1 de octubre de 2014

MEDIOS. Denuncian bloqueo de Instagram en China y protestas en Hong Kong

Instagram, la popular red social de fotos propiedad de Facebook, fue bloqueada en China, según numerosas informaciones, incluidas algunas de periodistas del New York Times en Hong Kong.
La compañía no respondió de inmediato a las peticiones de confirmación.
Hong Kong está viviendo protestas prodemocracia y en Internet se han subido imágenes y videos, incluidos algunos en los que se ve a policías lanzando gases lacrimógenos contra los manifestantes.
Muchas de las fotos fueron etiquetadas como "Occupy Central", una frase que fue bloqueada el domingo en Weibo, la versión china de Twitter, pero que luego fue permitida.
La web www.blockedinchina.net también indicó que Instagram fue bloqueada en toda China, incluidas Pekín y Shenzhen.
Si el sitio fuera bloqueado en China, los usuarios de Hong Kong no podrían subir información en redes sociales ni los usuarios de otros países ver las fotografías.
Fuente: Reuters 

APPLE Y GOOGLE. Para el FBI van más allá de la Ley con su encriptado

   El FBI ha criticado los sistemas de encriptación de datos que han implementado las compañías Apple y Google en las últimas versiones de sus 'software', debido a que impiden que las autoridades accedan al contenido de los terminales.
   La queja ha sido planteada por el director del FBI James Comey después de que este mes tanto Google como Apple hicieran públicas sus nuevas medidas de seguridad por las que una nueva encriptación refuerza la protección de los contenidos alojados en los dispositivos móviles.
   "Soy un gran creyente en la Ley", ha explicado Comey, según ha recogido Business Insider. "Pero también creo que nadie en este país está más allá de la Ley. En lo que me concierte, estas compañías publicitan algo que expresamente permite a las personas posicionarse más allá de la Ley".
   La nueva medida de seguridad implementada por Google llegará con su sistema operativo Android L, que incluirá por defecto el encriptado de los datos. Por su parte, Apple ha implementado en iOS 8 un nuevo encriptado, acompañado de una nueva política de privacidad.
Más información
Fuente: Europa Press

UNIÓN EUROPEA. Acusa a Apple y a Irlanda de tener acuerdo tributario ilegal

 El acuerdo implicaría, en realidad, que Irlanda otorga una subvención estatal ilegal a Apple, que no sólo infringe normativas tributarias, sino también vulnera principios de libre competencia.
La investigación de la Unión Europea fue, a su vez, resultado de una investigación realizada por la Organización para la Cooperación y el Desarrollo Económicos (OCDE), sobre prácticas tributarias realizadas por Irlanda en el período 1991-2007. La organización requirió a Irlanda proporcionar información sobre sus acuerdos tributarios con Apple y otras empresas. Apple se convierte en el caso más emblemático debido a la envergadura de los impuestos “ahorrados”.
Según una investigación realizada por el Senado estadounidense, las prácticas tributarias de Apple le permiten ahorrar 20 millones de dólares diarios en impuestos.
La OCDE también investiga a Luxemburgo y Países Bajos por prácticas tributarias similares, orientadas exclusivamente a ayudar a compañías multinacionales a evitar impuestos. Con una tasa del 12,5%, Irlanda aplica los impuestos más bajos de la Unión Europea.
Sky News informó en su noticiero matinal de hoy que Apple ha ahorrado “miles de millones de dólares durante los últimos años”, como resultado de subsidios posiblemente ilegales. El acuerdo tributario inicial fue suscrito por Steve Jobs en la década de 1980, e implica que Apple sólo para el 2% de impuestos por sus operaciones en Irlanda. Por su parte, CNBC informó hoy que Apple ha mantenido fuera de Estados Unidos un total de USD 102 mil millones, evitando así gravar tal importe en su país de origen. Según la fuente, Apple ha ahorrado hasta USD 9 mil millones anuales por concepto de impuestos.
El portal de noticias de Yahoo en el Reino Unido publica la siguiente declaración de la Unión Europea: “La Comisión Europea es de la opinión que las autoridades irlandesas han conferido una ventaja a Apple. Esta ventaja es obtenida el año tras año, y se mantiene vigente. En este momento, la Comisión Europea no tiene indicación alguna de que esta práctica sea compatible con el mercado único. La conclusión preliminar de la Comisión es que las normas tributarias aplicadas a Apple durante el período 1991-2007 favorecen a esa empresa, y constituyen subvenciones estatales”.
El director de finanzas de Apple, Luca Maestri, declaró a Financial Times: “Tenemos la convicción de no haber actuado en forma contraria a la ley, y tenemos plena confianza en que la investigación demostrará que en ningún momento ha habido trato selectivo a favor de nuestra empresa”.
La estrategia tributaria de Apple fue objeto de denuncias similares en noviembre de 2012. En esa oportunidad, la agencia Associated Press se refirió  al tema como “la estrategia Double Irish with a Dutch Sandwich, que implicaría canalizar el superávit mediante subsidiarias irlandesas y holandesas, y desde allí hacia empresas con domicilio comercial en paraísos tributarios.
Fuente: Diarioti.com

DEMANDAS. Google ante la justicia por descubrimiento y revelación de secretos

La empresa estadounidense captó información de usuarios que utilizaron redes wifi abiertas en España entre 2008 y 2010
Bárbara Navarro, directora de políticas públicas y asuntos institucionales de Google en España, compareció este lunes como imputada por un presunto delito de descubrimiento y revelación de secretos ante el titular del Juzgado de Instruccion número 45 de Madrid. Los hechos investigados tuvieron lugar entre el 15 de mayo de 2008 y el 20 de mayo de 2010, cuando la empresa norteamericana se hizo con una gran cantidad de información, "por error", según la multinacional, de usuarios que accedieron a internet a través de redes wifi abiertas.
Google reconoció haber captado datos de un indeterminado número de personas mientras desarrollaba su proyecto ' Google Street View', con el que tomaba imágenes de varias ciudades españolas como Madrid y Barcelona, para elaborar un callejero digital con escenarios reales. Los datos captados por los vehículos que tomaban estas imágenes se recogían de forma aleatoria y pertenecían a la intimidad de las personas. Google recopiló documentación de muy diverso cariz como imágenes, códigos de usuario, claves de acceso, direcciones y contraseñas de correos electrónicos o mensajes instantáneos, entre otros. Aunque todos ellos estaban escritos en código binario y precisaban de una descodificación para poder proceder a su lectura.
Según la multinacional, toda esta información se almacenaba en diversos discos duros que eran enviados a una base de datos en Bélgica. Posteriormente se enviaba a los servidores de Google En mayo de 2010, la empresa informó del supuesto error y anunció que había paralizado su proyecto en todos los países en los que se estaba llevando a cabo.
La Asociación para la Prevención y Estudio de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (Apedanica), conoció estos hechos y presentó una querella contra Google en 2010. La juez instructora, Raquel Fernandino, la admitió a trámite y comenzó la investigación.
En un informe emitido por la Fiscalía el 11 de febrero de 2013 al que COLPISA ha tenido acceso, la representante del Ministerio Público, María Pilar Rodríguez, solicitaba el sobreseimiento y archivo del caso, al considerar que "los hechos no merecen reproche penal". La acusación, sin embargo, interpreta que la multinacional habría incurrido en un "delito de espionaje masivo" y arguye que habría utilizado para el proyecto 'Street View' un software "mucho más sofisticado del necesario con el objetivo de espiar a un gran número de usuarios", según señaló su abogado, José Manuel López Iglesias.
La Fiscalía, en contra de la opinión de López Iglesias, argumentó que la información útil recopilada por Google es "casi inapreciable respecto al total", un 0,33%, según un informe de la Agencia Española de Protección de Datos (AEPD), elaborado a partir de la información facilitada por la compañía. Indicó además que "no existen indicios de que los datos que afectan a la intimidad de las personas hayan sido utilizados por ningún producto o servicio de Google ".
Por último, la fiscal sostiene que "no se puede pensar que ( Google ) pretende obtener datos de personas concretas" y afirma que "son los usuarios los que deciden cuál de su información es pública y cuál privada". Insinúa también que los internautas que utilizan redes públicas son los que deciden en exclusiva exponer sus datos personales. López Iglesias considera, en cambio, que "al haber utilizado un software tan sofisticado que captaba todos estos datos, cuando podían haber empleado otro más limitado, Google actuó con dolo e intencionalidad".
Fuente: INNOVA

GOOGLE . Acusado por Assange de actuar bajo los intereses del Gobierno de EE.UU.

El fundador de Wikileaks, Julian Assange, arremetió hoy contra Google y su presidente ejecutivo Eric Smichdt, en una videoconferencia desde Londres con algunos seguidores en Nueva York, y acusó al gigante de internet de actuar bajo los intereses del gobierno estadounidense.
Eric Schmidt, presidente ejecutivo de la empresa de internet, catalogó de paraonico al fundador de WikiLeaks
Assange, que anunció el pasado agosto que «saldría pronto» de la embajada de Ecuador en Londres, donde se encuentra asilado desde hace dos años, presentó su último libro «Cuando Google Conoció a Wikileaks» en una charla a distancia con una galería de arte de Nueva York, evento al que asistieron un centenar de personas.
El fundador de Wikileaks opinó que los que le acusan de ser «paranoico» o «traidor» tienen comportamientos «ridículos», e ironizó sobre las ventajas de encontrarse en asilo político en la embajada ecuatoriana en el Reino Unido. «Tengo más tiempo para mi, para pensar y para escribir este libro», dijo. Assange no reveló cuándo pretende interrumpir su estancia en la embajada, y sólo se limitó a hablar del contenido de su libro, en el que acusa a Google de haberse convertido en una nueva forma de «colonización» al «utilizar a todas las sociedades como su objetivo».
«Google no vende un producto, la gente es su producto. Parece un organización blanda, un patio de colegio, pero no lo es», aseguró el periodista, que considera que la empresa actúa bajo la influencia de la Agencia de Seguridad Nacional (NSA), ya que «ordena, indexa y organiza la información privada de las personas».
Las palabras de Assange llegan después de Schmidt lo catalogara de «paranoico». Y ante las acusaciones de actuar en confabulación con la NSA se defendió.
«Bueno, él (Assange), está escribiendo, digamos, desde el alojamiento de lujo de una embajada en Londres. El hecho del asunto es que Julian es muy paranoico sobre las cosas y es cierto que la NSA hizo cosas que no debería haber hecho, pero Google ha hecho ninguna de esas cosas. Google nunca colaboró con la NSA y de hecho, hemos luchado muy duro en contra lo que hicieron. Lo que NSA hizo no nos gusta, por lo que hemos tomado todos nuestros datos, y sistemas de intercambio y los hemos encriptados pata que nadie pueda conseguirlos, especialmente el gobierno», dijo en una entrevista con ABCNEws.
Más información
Fuente: ABC.es

TWITER. Por amenazas de violación a través de la red social 4,5 meses de cárcel

   Sus tuits amenazantes lo han llevado a la cárcel. Peter Nunn, un joven británico de 33 años, tendrá que estar en prisión 18 semanas por dirigir mensajes amenazantes al miembro del Parlamento Stella Creasy, que apoyó una campaña para poner una imagen de Jane Austen en el billete de 10 libras esterlinas.
   Sus ataques en Twitter comenzaron el 29 julio de 2013, cinco días después de que el Banco de Inglaterra anunciara que la campaña de Austen tuvo éxito. Peter Nunn llegó a escribirle mensajes a Creasy en la red social como estos: "Estoy aquí de nuevo para decirte que te violaré mañana a las seis de la tarde".
   También hizo lo mismo con la activista que lideró la campaña de Austen, Caroline Criado-Pérez, a la que le escribió: "La mejor manera de violar a una bruja es tratar de ahogarla en primer lugar, a continuación, amordazarla, que es cuando entras".
   A Nunn ya le habían suspendido otras cuentas en Twitter por amenazas. Durante el juicio sostuvo que es una feminista y negó "el usara Twitter para promover la violencia o la violación", según The Guardian.
   Según informó el medio citado, se ha dictado sentencia de acuerdo con la sección 127 de la Ley de Comunicaciones, que prohíbe los mensajes electrónicos que son "manifiestamente ofensivos, obscenos o amenazantes hacia un personaje".
Más información
Fuente: Europa Press

APPLE. Fue consciente de la vulnerabilidad antes del Celebgate

El almacenamiento en la nube es muy útil, pero igualmente es muy peligroso si no se sabe utilizar correctamente. Debemos mantener siempre ciertas normas de seguridad y cuidar el contenido que subimos a la nube con el fin de evitar males mayores como el que ocurrió a principios de septiembre.
Celebgate es uno de los mayores escándalos y una de las brechas de seguridad en la nube más grande de los últimos meses. Cientos de fotografías íntimas de famosas se han filtrado directamente desde los servidores de Apple debido a un fallo de seguridad en iCloud y al hecho de que todas las fotos y vídeos tomadas con los smartphones se sincronizaban automáticamente con la nube. Aunque ya la compañía ha aplicado nuevas medidas de seguridad para evitar que esto vuelva a ocurrir, es posible que ya conociera la existencia de la vulnerabilidad desde hacía meses.
En marzo de este mismo año un investigador de seguridad de Londres reportó a Apple que su sistema era vulnerable ante ataques de fuerza bruta pudiendo llegar a adivinar una contraseña en un período más o menos largo en función de la complejidad de la misma. Este investigador de seguridad rellenó y envió el formulario que la compañía facilita para reportar posibles vulnerabilidades y explicó a los responsables de seguridad que se podían comprobar más de 20.000 contraseñas diferentes para un mismo usuario sin que el sistema impusiera ninguna restricción.
El mismo día también envió a la compañía la misma vulnerabilidad en el sistema de autenticación de iCloud mediante un ID falso y utilizando este token de inicio afirmando a la compañía que Google también contaba con el mismo fallo y que ya lo había reportado a los responsables de seguridad.
Los responsables de seguridad de Apple afirmaron que la vulnerabilidad no era para preocuparse ya que es un proceso muy lento y preguntaron al investigador si era capaz de conseguir explotar la contraseña en menos tiempo. Ante la negativa del investigador la vulnerabilidad ha quedado zanjada y tanto las cuentas de Apple como iCloud han seguido estando vulnerables hasta este momento.
Fuente: Ars Technica

PIRATERIA. Hackers atacan los servidores de los principales videojuegos del mercado

Un grupo de cibercriminales ha atacado los servidores en línea de importantes empresas del mundo de los videojuegos como Electronic Arts, Bungie y Activision.
Los fans de juegos como Call of Duty: Ghosts, Destiny, así como de algunos títulos de la compañía Electronic Arts, han sufrido una interrupción en el servicio online de los mismos que habría sido responsabilidad de un grupo de hackers, informan en VentureBeat.
Los responsables que se han atribuido la autoría de esas interrupciones son el grupo de hackers Lizard Squad, cuyos miembros aseguran que haber atacado a los servidores que prestan el servicio online de esos videojuegos.
Para el título “Destiny”, que llegó el pasado 9 de septiembre, el problema es especialmente grave porque se trata de uno de los mejores lanzamientos del año que en sus primeros cinco días en el mercado ya generó unos ingresos de 325 millones de dólares.
De momento las empresas que han tenido problemas en sus servidores no han informado sobre el estado de las incidencias ni las razones detrás de esas interrupciones en el servicio.
Fuente: Silicon News.es

AWS. Publica parche urgente para instancias EC2

Amazon Web Services está aplicando a partir de hoy, y hasta el 30 de septiembre, un parcheo urgente de EC2.
Amazon ha admitido que un error de código detectado en la plataforma de virtualización Xen podría ser la causa. Se desconoce si el problema es, en realidad, una incidencia de seguridad, o un simple error de código.
Detalle del parche
  • El parche implicará un “reinicio por mantenimiento” de instancias EC2. El problema fue detectado por el director técnico de la empresa RightScale, Thorsten Von Eicken.
  • En su blog, Eicken señaló: “Los elementos que distinguen esta incidencia de otras anteriores son las siguientes: 1) Un número sustancial de instancias serán reiniciadas, aunque AWS ha dicho que la medida no es aplicable a todas las instancias de las categorías afectadas. 2) Si usted reinicia por cuenta propia una instancia antes del mantenimiento anunciado, no se garantiza que ésta sea cargada en un servidor parcheado”.
Recursos afectados
  • Las instancias tipo T1, T2, M2, R3 y HS1 no serán afectadas.
Nota Oficial
  • En un e-mail dirigido a sus clientes, Amazon escribe: “Se ha programado el reinicio, por razones de mantenimiento, de una o más de sus instancias Amazon EC2. El mantenimiento será realizado durante la ventana de tiempo señalada para cada instancia. Cada instancia será objeto de un reinicio total, y no estará disponible mientras las actualizaciones estén siendo aplicadas al servidor que las contiene”.
Comentarios al respecto del investigador descubridor de la vulnerabilidad
  • Comentando las palabras de AWS, Eicken señaló: “AWS muestra su habitual hermetismo sobre la causa subyacente. Parece obvio que la empresa está parcheando una vulnerabilidad de seguridad, pero no dirá cual hasta el 1 de octubre; es decir, cuando haya parcheado todos los servidores”.
Fuente: Diarioti.com

FACEBOOK. Facilita datos de usuarios en su nueva plataforma para anunciantes

El gigante de las redes sociales Facebook sacó este martes al mercado una nueva plataforma en la que facilita datos de sus usuarios a los anunciantes para que puedan colocar su publicidad con más eficacia en terceros portales.
La plataforma Atlas recogerá los datos de Facebook y los utilizará en webs externas, de manera que si por ejemplo, un usuario pulsa el "Me gusta" de la red social en una página de calzado deportivo, es posible que a partir de entonces le aparezcan anuncios sobre productos similares en otras webs.
Con los datos recabados a través de Facebook se elabora un historial de los gustos y aficiones de cada usuario que permiten a los anunciantes identificar mejor a sus posibles compradores.
Facebook compró Atlas el año pasado a Microsoft por 100 millones de dólares y, tras rediseñarla por completo, la ha lanzado finalmente este lunes.
Hasta ahora Facebook vendía espacios publicitarios en la red social y utilizaba las llamadas galletas ("cookies") para rastrear los gustos de los usuarios cuando navegaban por otras páginas de internet y así dirigirles anuncios acordes con sus preferencias.
Esta nueva metodología está pensada, en principio, para mejorar la eficacia de la publicidad, ya que las galletas presentan algunas imprecisiones y no rastrean la navegación en dispositivos móviles, algo que Atlas, a través de Facebook, sí hace.
Facebook trata con este movimiento de acercarse un poco más a su gran competidor en la publicidad en internet, Google, quien le sigue superando por amplio margen.
En su segundo trimestre fiscal de este año, Google presentó beneficios derivados de la publicidad por valor de 14.360 millones de dólares, mientras que Facebook obtuvo en ese mismo período 2.680 millones, es decir, casi cinco veces menos.
Fuente:  La Vanguardia.com

FACEBOOK. Distribuye su publicidad más allá de su web con Atlas

La plataforma, que Facebook compró el año pasado y relanza ahora, le permitirá vender anuncios en webs de terceros usando los datos de sus usuarios.
Facebook anunció ayer domingo que relanzará Atlas, una tecnología de publicidad que compró a Microsoft el año pasado. La nueva Atlas ha sido reconstruida para permitir que los socios de Facebook puedan enviar anuncios a los usuarios de la red social en cualquier lugar donde el servicio puede verlos en Internet.
De este modo, por ejemplo, PepsiCo, uno de los anunciantes que han firmado un acuerdo con Facebook para usar Atlas, podría utilizar la plataforma para mostrar anuncios de un nuevo refresco a un grupo específico de personas sobre la base de la información que la red social ya posee acerca de ellos, como la edad, ubicación y lo que les gusta.
Según CNET, las empresas serán capaces de seguir a los clientes por toda la Red y orientar los anuncios a medida que avanzan. Facebook está trabajando para ir un paso más allá, con la integración de dispositivos móviles.
¿Cómo funciona Atlas? Cuando un usuario inicia sesión en Facebook con su dispositivo móvil, se registra un identificador de dispositivo especial con los servidores de la compañía. Este identificador se puede utilizar para realizar un seguimiento a un cliente para que si otra aplicación en su teléfono le pide un anuncio, Facebook pueda utilizar la información sobre el cliente para encontrar el mejor anuncio para él.
La nueva plataforma, si tiene éxito, ayudará a Facebook a ampliar el alcance de su tecnología de publicidad más allá de su sitio web y aplicaciones, llegando al resto de Internet. Con ello, entraría en una competencia más directa con Google, que a día de hoy es el amo de la publicidad en la Red, una industria que facturará más de 140.000 millones de dólares este año.
Google acumuló casi el 32% de la inversión publicitaria en línea el año pasado, según eMarketer. Facebook, en comparación, ocupó el segundo lugar, con un pequeño 5,8%. Este año se espera que llegue al 7,8%, a gran distancia de Google aún, pero mucho más arriba que Microsoft y Yahoo!, en el tercer y cuarto puesto respectivamente.
Fuente: ITespresso.es

VULNERABILIDADES. Descubren fallo de seguridad potencialmente más peligroso que Heartbleed

Han descubierto un nuevo bug de seguridad dentro del un software de Linux conocido como «Bash» y que puede suponer una amenaza mayor para los usuarios que el error «Heartbleed».
Bash es el software utilizado para controlar el indicador de comandos en muchos ordenadores Unix. Según han explicado en expertos en seguridad, los hackers pueden explotar un bug en Bash y tomar el control completo de un sistema.
El Departamento de seguridad nacional de Estados Unidos para emergencias cibernéticas (US-CERT) emitió una alerta diciendo que la vulnerabilidad afecta sistemas operativos con Unix, como Linux y o Mac OS X de Apple.
El fallo de «Heartbleed» permitió hackers para espiar a los equipos pero no tomar el control de ellos, explica Dan Guido, director ejecutivo de la firma de seguridad Trails of Bits. «El método de explotar esta cuestión también es mucho más simple. Puedes cortar y pegar una línea de código y obtener buenos resultados», ha dicho.
Tod Beardsley, un gerente de ingeniería en materia de ciberseguridad en la firma Rapid7, ha advertido que este error ha sido clasificado con un «10» en la escala de gravedad por el gran impacto que puede causar, pero clasificado como «bajo» en grado de explotación. Esto último quiere decir que los hackers pueden lanzar ataques de forma muy sencilla.
«Utilizando esta vulnerabilidad, los atacantes pueden potencialmente asumir el control del sistema operativo, acceder a información confidencial, realizar cambios, etcétera», ha dicho Beardsley. «Las personas con sistemas que utilicen Bash deberán realizar un parche inmediatamente», ha recomendado.
US-CERT aconseja a los usuarios de ordenadores que busquen actualizaciones de sistemas para sus equipos a través de los fabricantes de software. Desde Linux han señalado que han realizado un parche de seguridad. Desde Apple no se han pronunciado. Un investigador de Google ha señalado que aunque se haya instalado un parche de seguridad, algunos equipos con filtros podrán seguir siendo vulnerables.
Fuente: Abc.es

APPLE. La mayoría de usuarios Mac están a salvo de Shellshock

   Tras conocerse que el nuevo fallo de seguridad Shellshock afectaba a ordenadores Mac, entre otros dispositivos, Apple ha querido tranquilizar a los usuarios de su sistema operativo OS X asegurando que la mayoría de ellos están a salvo de la vulnerabilidad.
   Conocido como el Shellshock o Bash la última vulnerabilidad que afecta a los ordenadores de todo el mundo consiste en la ejecución de código malicioso dentro de un Bash shell, que es un shell de línea de comandos que utilizan muchos sistemas operativos Linux y Unix, y también el OS X de Apple.
   Apple, sin embargo, acaba de decir que la mayoría de usuarios que utiliza su software no tiene nada de qué preocuparse. "La gran mayoría de los usuarios de OS X no está en peligro por la vulnerabilidad Bash de la que se ha informado recientemente", dijo Apple a la web iMore.
   "Bash, un shell de comandos UNIX y el lenguaje incluido en OS X, tiene una debilidad que podría permitir a los usuarios no autorizados obtener de forma remota el control de los sistemas vulnerables", dijo Apple. "Con OS X, los sistemas son seguros por defecto y no están expuestos a vulnerabilidades, a menos que los usuarios configuren los servicios avanzados de UNIX. Estamos trabajando para proporcionar lo antes posible una actualización de software para nuestros usuarios avanzados de UNIX".
   Según expertos de seguridad, es poco probable que el fallo Bash afecte a tantos sistemas como Heartbleed -identificado en abril- debido a que no todos los ordenadores que utilizan Bash pueden ser explotados, pero sí tiene potencial para provocar un mayor caos, debido a que permite a los hackers tomar el control total de una máquina infectada.
Fuente: Europa Press

“SHELLSHOCK” . Vulnerabilidad crítica que afecta a Linux y OS X

 Descuido en el diseño de la herramienta 'bash' - intérprete de la línea de comandos de Unix - permite en teoría ejecutar código a distancia y así tomar el control de sistemas. Shellshock ha impactado aproximadamente a medio millón de servidores web y dispositivos.
Una vulnerabilidad crítica recién descubierta llamada Shellshock, ha impactado aproximadamente a medio millón de servidores web, así como dispositivos conectados a Internet, incluyendo teléfonos móviles, routers y dispositivos médicos; de acuerdo con los expertos de defensas amenazas de Trend Micro. La empresa destaca que Shellshock, al estar relacionado con Linux, puede también afectar a las plataformas PC y Apple.
Shellshock es una vulnerabilidad crítica, que Trend Micro describe como “una plaga”. Dicha amenaza, al ser explotada, permite el acceso a los sistemas basados ​​en Linux a través de sus líneas de comando.
Considerando que estos sistemas constituyen aproximadamente el 51% de los servidores web en el mundo, la capacidad de penetración es elevada y los ataques podrían aumentar a un ritmo muy rápido.
“La reciente vulnerabilidad Heartbleed es de naturaleza similar a Shellshock, pero Heartbleed solo queda eclipsada por la extensión y alcance de esta nueva vulnerabilidad”, escribe Trend Micro.
Debido a la naturaleza y alcance de Shellshock, la empresa sugiere considerar lo siguiente:
-  Usuario final: Estar atento a los nuevos parches de seguridad e implementarlos inmediatamente.
-   Administrador de TI: Si cuentan con el sistema Linux, se recomienda deshabilitar los scripts o las secuencias de comandos BASH inmediatamente.
-      Operador de sitio Web: Si el BASH está en sus scripts, parche lo antes posible, o modifique sus scripts para no utilizar BASH.
-  Clientes que cuentan con servicios de hosting o de terceros: Pregunte a su proveedor que están haciendo para remediar y aplicar parches.
Más información
-      Trend Micro ofrece información actualizada sobre Shellshock” http://blog.trendmicro.com/bash-shellshock-vulnerability/
Fuente: Diarioti.com

"SHELLSHOCK" . Piratas informáticos explotaron error con gusanos en primeros ataques

 Piratas informáticos comenzaron a explotar el recientemente identificado error de software de computación "Shellshock", utilizando gusanos informáticos rápidos para examinar sistemas vulnerables y luego infectarlos, advirtieron el jueves investigadores.
"Shellshock" es la primera gran amenaza que surge en internet desde el descubrimiento en abril de "Heartbleed", que afectó al software de cifrado utilizado en cerca de dos tercios de todos los servidores de la red, junto con cientos de productos de tecnología.
La más reciente falla ha sido comparada con "Heartbleed" en parte debido a que el software en el centro del error "Shellshock", conocido como Bash, también es ampliamente utilizado en servidores de internet y otros tipos de equipos computacionales.
Según expertos de seguridad, es poco probable que "Shellshock" afecte a tantos sistemas como "Heartbleed" debido a que no todos los computadores que utilizan Bash pueden ser explotados.
Sin embargo, ellos dicen que el nuevo error tiene el potencial de provocar mayor caos debido a que permite que los piratas informáticos tomen el control total de una máquina infectada, lo que les permitiría destruir datos, botar redes o lanzar ataques contra sitios en internet.
El error "Heartbleed" sólo permitía a los piratas robar datos.
La industria busca determinar qué sistemas pueden ser comprometidos de manera remota por piratas informáticos, pero actualmente no hay estimaciones sobre la cantidad de sistemas vulnerables.
Amazon.com Inc y Google Inc han divulgado boletines para aconsejar a los clientes de servicios en internet sobre cómo protegerse de la nueva ciberamenaza. Un portavoz de Google dijo que la compañía lanzaría parches para corregir el error.
"Actualmente no sabemos cuán generalizado es esto. Este es posiblemente uno de los errores más difíciles de medir que se ha conocido en años", dijo Dan Kaminsky, un reconocido experto en amenazas de internet.
Para que un ataque tenga éxito, un sistema afectado debe ser accesible a través de internet y además debe estar operando un segundo grupo de códigos vulnerables además de Bash, dijeron expertos.
"Hay muchas especulaciones sobre qué es vulnerable, pero no tenemos las respuestas", dijo Marc Maiffret, jefe de tecnología de la firma de ciberseguridad BeyondTrust. "Esto se va a desarrollar durante las próximas semanas y meses", agregó.
Fuente: Reuters

OS X y LINUX. Afectados por una vulnerabilidad en Bash

Una nueva vulnerabilidad se ha descubierto y registrado en el lenguaje Bash de los sistemas Unix, incluidos tanto los sistemas Linux como Mac OS X. Este fallo permite ejecutar comandos de forma remota debido al fallo en el proceso de variables de entorno si se explota correctamente la vulnerabilidad. 
Como cualquier otro lenguaje de programación, Bash permite declarar variables para trabajar con él, sin embargo dichas variables no son validadas correctamente pudiendo declararse mal y permitiendo así la ejecución de contenido que no debería hacerlo en los sistemas vulnerables.
Los principales servicios afectados por esta vulnerabilidad son:
  1. Páginas web con CGIs fácilmente localizables desde Google.
  2. Ejecución de comandos de forma remota a través de SSH.
  3. Otros CGIs como PHP o Perl, entre otros.
  4. Clientes DHCP con shells.
  5. Sistemas que hagan uso del shell para determinadas funciones.
  6. Sistemas operativos móviles que ejecuten scripts de Bash como Android.
  7. Más dispositivos que utilizan Linux en segundo plano como televisores, routers, etc.
Sin duda una vulnerabilidad bastante importante y que dará mucho de qué hablar en los próximos días. Habrá que esperar a que todos los fabricantes y desarrolladores lancen un parche que solucione esta vulnerabilidad en todos los equipos. En los sistemas mejor mantenidos ya está llegando la solución a través de los gestores de actualizaciones, sin embargo, los sistemas poco mantenidos probablemente nunca lleguen a recibir dicho parche de seguridad y sigan estando siempre vulnerables.
Fuente: SecurityByDefault

BASH. Caracteríticas y consecuencias

 Stephane Chazelas ha descubierto una vulnerabilidad en el procesamiento de variables de entorno en el interprete de comandos Bash, común en sistemas Linux. Esta vulnerabilidad puede ser explotable de forma remota y podría permitir ejecución de código. La vulnerbilidad se ha catalogado de Importancia: 5 - Crítica
Recursos afectados
  1. La vulnerabilidad afecta potencialmente a todos los sistemas que tengan Bash instalado. Se recomienda consultar las versiones afectadas para cada distribución.
  2. Los productos de Cisco afectados se pueden consultar en el aviso de la compañía.
Detalle e Impacto de la vulnerabilidad
  •  La vulnerabilidad descubierta podría ser utilizada para ejecución remota de código, debido a que es común uitlizar bash en background dentro de otros procesos. Esto se hace, por ejemplo, para el parseado de scripts CGI (utilizado por Apache, por ejemplo), o incluso ejecución de comandos (utilizado por git, entre otros).
  •  El problema viene debido a un incorrecto parseado de las variables de entorno, muchas veces utilizadas para controlar el comportamiento de scripts en Bash. Ya se han detectado escaneos en busca de este fallo, como indica la firma Volexity en la página http://www.volexity.com/blog/?p=19, donde se pueden ver peticiones GET capturado
  •  La vulnerabilidad ha recibido el identificador CVE-2014-6271. Por otra parte, también se ha asignado el identificador CVE-2014-7169 a una corrección incompleta de esta vulnerabilidad por parte de Red Hat.
  • Actualización a 26/09/2014: Cisco ha publicado un aviso con sus productos afectados. http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash
Recomendación
Actualizar Bash a la versión recomendada por la distribución o producto correspondiente. En concreto:
  1. Red Hat https://access.redhat.com/articles/1200223
  2. Debian https://www.debian.org/security/2014/dsa-3032
  3. Ubuntu http://www.ubuntu.com/usn/usn-2362-1/
  4. CentOS http://centosnow.blogspot.com.es/2014/09/critical-bash-updates-for-centos-5.html
  5. SUSE/Novell http://support.novell.com/security/cve/CVE-2014-6271.html
  6. Cisco http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140926-bash
Más información
Fuente: INTECO

FALLO BASH. Compruebe si su máquina aún es vulnerable

El otro día se hacía pública una vulnerabilidad en Bash que comprometía seriamente los sistemas Unix, Linux y Mac ya que permitía declarar variables de forma incorrecta y ejecutar así código de forma remota en los sistemas vulnerables sin que el usuario pudiera hacer mucho para evitarlo.
Aunque la mayoría de los sistemas operativos (especialmente Linux) ya cuenta con el parche de seguridad correspondiente para esta vulnerabilidad la actualización depende del usuario y es él quien debe ejecutar el gestor de actualizaciones para instalarla. Por ejemplo, en Ubuntu podemos actualizar nuestro sistema e instalar todos los parches de seguridad simplemente tecleando en el terminal:

  • sudo apt update
  • sudo apt upgrade

De esta forma todos los parches se descargarán, instalarán y evitaremos que piratas informáticos puedan explotar esta vulnerabilidad en nuestro sistema. Igualmente disponemos de un método para comprobar si somos vulnerables ante este fallo o de lo contrario ya tenemos nuestro sistema protegido. Para ello debemos probar a ejecutar en un terminal la siguiente línea de código:
  • env x='() { :;}; echo vulnerable’ bash -c ‘echo hello’
Al ejecutarla pueden ocurrir 2 casos: Si somos vulnerables se nos mostrará en el terminal las palabras “vulnerable” y “hello” como podemos ver a continuación.
Sin embargo, si nuestro sistema ya está protegido veremos en el terminal un mensaje de advertencia que nos informa de que la variable está mal declarada y no puede ser ejecutada mostrando por pantalla únicamente “hello”.
Otra forma de comprobar fácilmente si aún somos vulnerables es comprobar la versión instalada de Bash con:
  • bash –version
Si nuestra versión corresponde con 3.2.51(1) entonces debemos actualizar nuestro sistema ya que esta es vulnerable y no contamos con la versión más reciente de las librerías.
Fuente: lifehacker

MOZILLA. Vulnerabilidad en librerías NSS. permiten falsificación de certificados

Se ha anunciado una vulnerabilidad en las librerías NSS (Network Security Services o Servicios de Seguridad de Red) de Mozilla que podría permitir a un atacante remoto la falsificación de certificados en aplicaciones que hagan uso de estas librerías.
 Los Servicios de Seguridad de Red  (Network Security Services (NSS)) son un conjunto de librerías diseñadas para ayudar a la incorporación de protocolos de seguridad en el desarrollo de aplicaciones para servidor y cliente en múltiples plataformas. Las aplicaciones desarrolladas con NSS pueden admitir SSL v2 y v3, TLS, PKCS #5, PKCS #7, PKCS #11, PKCS #12, S/MIME, certificados X.509 v3, y otros estándares de seguridad.
Detalle e impacto de la vulnerabilidad
  •  El problema, con CVE-2014-1568, reside en que la librería no trata adecuadamente valores ASN.1 en una firma digital. Un usuario podría construir un ataque de falsificación de firma contra el algoritmo RSA (una variante de uno publicado anteriormente por Daniel Bleichenbacher), con lo que podría crear un certificado falsificado.
  •  Mozilla y Google han confirmado la vulnerabilidad en los productos Firefox, Thunderbird, SeaMonkey, NSS y Google Chrome, y han publicado versiones actualizadas de todos ellos.
Recomendación
  •  Se han publicado las versiones Firefox 32.0.3, Firefox ESR 24.8.1, Firefox ESR 31.1.1, Thunderbird 31.1.2, Thunderbird 24.8.1, SeaMonkey 2.29.1, NSS 3.16.2.1, NSS 3.16.5, NSS 3.17.1 y Google Chrome 37.0.2062.124 para Windows y Mac.
  •  Todos los proyectos que hagan uso de NSS 3.17 deben actualizar a la nueva versión 3.17.1.
Más información:
Fuente: Hispasec

APPLE. . Nueva actualización de iOS 8 corrige los fallos de v8.0.1

   Apple ha lanzado este jueves una nueva actualización del sistema operativo iOS 8, después de que algunos usuarios de su nuevo 'smartphone' iPhone 6 se quejaron de interrupciones al servicio de llamadas y otros problemas debido a una actualización previa.
   Menos de 40.000 aparatos iPhone 6 o iPhone 6 Plus fueron afectados cuando los usuarios descargaron el iOS 8.0.1, ha dicho la portavoz de Apple Trudy Muller. La nueva actualización, 8.0.2 corrige el problema.
   La compañía ha explicado que el sistema operativo iOS 8.0.1 estuvo disponible por poco más de 60 minutos, antes de que la empresa lo retirara rápidamente para investigar el problema.
   Los nuevos teléfonos de Apple también han ecibido críticas por su flexibilidad, apodada "bendgate". En redes sociales y foros en Internet han abundado los comentarios sobre cómo los nuevos teléfonos pueden doblarse cuando se dejan en el bolsillo trasero del pantalón, o si se visten pantalones vaqueros ajustados.
   La nueva actualización también incluye otras mejoras, a la tienda de aplicaciones, correo y cámara fotográfica, detalladas por la compañía en su web.
   Las acciones de Apple cerraron el jueves con una baja de casi un 4 por ciento, a 97,87 dólares, borrando casi 23.000 millones de dólares en valor de mercado de la empresa.
Fuente: Europa Press

APPLE. Lanza iOS 8.0.2 que corrige varios problemas

Apenas días después del lanzamiento de iOS 8, Apple publica una nueva versión de su sistema operativo para dispositivos móviles. Esta versión está destinada a corregir los primeros problemas encontrados en la versión recién publicada.
 A los pocos días de publicar iOS 8, Apple lanzó la actualización 8.0.1 destinada a corregir los primeros problemas encontrados en iOS 8, sin embargo en esta ocasión el remedio fue peor que la enfermedad. Los usuarios con iPhone 6 (e iPhone 6 Plus) vieron como sus dispositivos experimentaban fallos de cobertura, problemas con el TouchID y otras incidencias. Lo que obligó a Apple a retirar la actualización apenas transcurridas unas horas desde su publicación, e incluso recomendar a los usuarios volver a iOS 8.
Tras los problemas iniciales Apple publica iOS 8.0.2, que más que fallos de seguridad está destinada a solucionar cuestiones relacionadas con la usabilidad y funcionalidad de los dispositivos. Se solucionan los errores de conectividad y con el Touch ID en iPhone 6 e iPhone 6 Plus que dieron lugar a la retirada de iOS 8.0.1. Apple no ha detallado si la actualización referente al Touch ID es para mejorar su seguridad, en relación a los avisos que confirmaban que su funcionalidad había sido vulnerada. También corrige un fallo por el que las aplicaciones HealthKit están disponibles en la App Store. Se soluciona un problema de usabilidad en los teclados de terceras partes.
 También se ha corregido un error que impedía que diversas aplicaciones pudieran acceder a las fotos desde la Librería de Fotos. Otro problema solucionado hacía relación a un aumento del uso de datos al recibir mensajes SMS/MMS. Y por último, otros fallos corregidos hacen relación a la restauración de tonos de llamada desde copias iCloud y a la subida de fotos y vídeos desde Safari.
 Esta nueva versión está disponible para los dispositivos Apple iPhone 4 y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Más información:
·         iOS 8.0.2  http://support.apple.com/kb/DL1758?
Fuente: Hispasec

iOS 8 Nuevos fallos ponen al descubierto contraseñas y eliminan archivos de iCloud Drive

   Desde su lanzamiento oficial hace apenas dos semanas, iOS 8 ha generado más fallos de los que cabría esperar y, a pesar de las actualizaciones lanzadas por Apple, siguen apareciendo nuevos errores.
   Los dos últimos atañen concretamente a QuickType -el teclado predictivo del sistema operativo-, que muestra parte de las contraseñas, y a los archivos almacenados en iCloud Drive, que cuando se restauran los ajustes del dispositivo puede eliminar los documentos almacenados en la Nube.
Quicktype propone contraseñas
  • Según se hacen eco diversos medios especializados, el nuevo teclado predictivo sugiere palabras utilizadas como contraseña al empezar a escribir en los cuadros de texto para iniciar en algunos servicios web.
  • Uno de los primeros en dar parte del fallo fue el analista de seguridad Stefan Esser, quien escribió un tuit en el que exponía que la "sofisticada" predicción de texto de iOS 8 le sugería una de sus contraseñas, que no era una "palabra normal".
W T F - iOS 8's fancy typing prediction offers one of my passwords as prediction. (Not a regular word)
 — Stefan Esser (@i0n1c) septiembre 23, 2014
  • Esto ocurrió el día 23 de septiembre, pero unos días antes, el 19, el fallo llegaba hasta los foros de soporte Apple cuando un usuario denunció el mismo error, en este caso al entrar a la 'app' de Outlook  y pinchar en el cuadro de texto para introducir su contraseña.
  • El hecho de que el teclado de los dispositivos que utilizan iOS sugiera las contraseñas como palabra a escribir supone un gran fallo de seguridad y privacidad para los usuarios de la marca de la manzana, ya que el banco de palabras almacenadas del teclado podría ser atacado por 'hackers', dejando al descubierto las claves de acceso a servicios sensibles, como las cuentas bancarías o fotos.
Eliminación de documentos en iCloud Drive
  • Otro de los errores de iOS 8 tiene que ver con los archivos almacenados en iCloud Drive, la nube de Apple. Según explican desde Appleweblog, al restaurar los ajustes del terminal, no sólo se deja el dispositivo tal y como salió de fábrica, sino que también elimina todos los archivos de iWork almacenados en iCloud Drive.
  • Por el momento, la empresa liderada por Tim Cook no ha hecho ningún comentario respecto a ninguno de los dos fallos.
Fuente: Europa Press

iPHONE 6. El lector de huellas sigue siendo vulnerable

La historia se repite, apenas días después del lanzamiento del iPhone 6 un investigador ha vuelto a conseguir saltar el sistema Touch ID de seguridad biométrica que permite al usuario utilizar su huella digital como credencial en operaciones como el bloqueo del terminal o realizar compras en las diferentes tiendas Apple.
 El Touch ID se presento en los dispositivos iPhone 5s, un sensor de huellas dactilares montado en el interior del botón de casa del dispositivo. Una vez tomada la huella dactilar, esta se almacena en la zona segura del iPhone ("Secure Enclave") como una representación matemática a partir de la cual, según Apple, no se puede conoce la forma original de la huella. Esta representación no se almacena en ningún otro lugar ni es compartida con ninguna aplicación.
 A los pocos días de la presentación del iPhone 5s fueron varios los investigadores que publicaron diferentes formas de saltar la protección. En esta ocasión Marc Rogers, jefe investigador de seguridad en Lookout Mobile Security, ha anunciado que ha sido capaz de desbloquear el iPhone 6, empleando la misma técnica (económica) que ya utilizara en 2013 para desbloquear el iPhone 5s.
"Sadly there has been little in the way of measurable improvement in the sensor between these two devices. Fake fingerprints created using my previous technique were able to readily fool both devices." ("Lamentablemente han sido pocas las mejoras apreciables en el sensor entre los dos dispositivos. Las huellas dactilares falsas creadas usando mi técnica anterior fueron capaces de engañar fácilmente ambos dispositivos.")
 Según el investigador parece ser solamente se han realizado avances leves en el Touch ID, señala un aumento en la resolución de escaneo y por el escaneo de un área mucho más amplia de la huella dactilar para mejorar la fiabilidad. También indica que las mismas huellas falsas que conseguían engañar al iPhone 5s, no consiguen su objetivo en el nuevo dispositivo. Para engañar al iPhone 6 se requiere un clon de una huella digital de mucha mayor "calidad".
 A pesar de todo el propio investigador señala que aunque el sensor de huellas puede ser saltado, la dificultad, habilidad, paciencia y el disponer de una buena copia digital confieren al sistema de la suficiente seguridad como para considerarlo eficaz para su propósito principal: el desbloqueo de su teléfono.
Más información:
Fuente: Hispasec

ASTERISK. Publica boletines de seguridad

Asterisk ha publicado dos boletines de seguridad (AST-2014-009 y AST-2014-010) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos provocar denegaciones de servicio.
 Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.
Detalle e Impacto de las vulnerabilidades corregidas
  •  El primero de los problemas (AST-2014-009) reside en el tratamiento de peticiones SIP SUBSCRIBE específicamente manipuladas y podría permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2014-6609). Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x y 12.x; así como a Certified Asterisk 11.6 y 1.8.15. Se ha publicado la versión Asterisk Open Source 12.5.1 que soluciona este problema.
  •  Por otra parte, en el boletín AST-2014-010, se trata una vulnerabilidad (con CVE-2014-6610) que podría permitir a atacantes remotos autenticados provocar denegaciones de servicio cuando se tratan mensajes "out of call" en determinadas configuraciones dialplan. Este problema afecta a Asterisk Open Source 11.x y 12.x; así como a Certified Asterisk 11.6.
Recomendación
 Para corregir este problema se han publicado los siguientes parches:
  1. Para Asterisk 11: http://downloads.asterisk.org/pub/security/AST-2014-010-11.diff
  2. Para Asterisk 12: http://downloads.asterisk.org/pub/security/AST-2014-010-12.diff
  3. Para Certified Asterisk 11.6: http://downloads.asterisk.org/pub/security/AST-2014-010-11.6.diff
Más información:
Fuente: Hispasec

SCHNEIDER ELECTRIC’S VAMPSET SOFTWARE . Denegación de servicio

Se ha descubierto una vulnerabilidad en VAMPSET de Schneider Electric’s, reportada por Aivar Liimets de Martem AS (Sistemas de Telecontrol). Esta vulnerabilidad permitiría a un atacante local provocar una denegación de servicio.
 VAMPSET es un software de configuración especialmente utilizado en el sector energético, para mantener y configurar relés de protección. Es un software aplicado en protección de arco eléctrico, en sectores de protección y control de las redes de distribución de energía.
Recursos afectados
  • Esta vulnerabilidad se ha reportado en la versión Schneider Electric VAMPSET 2.2.136 y anteriores.
Detalle e Impacto de las vulnerabilidad
  • La vulnerabilidad, con identificador CVE-2014-5407, podría permitir a un atacante local aprovechar un error de desbordamiento de memoria intermedia basada en pila, para provocar una denegación de servicio (interrumpir la aplicación) al intentar abrir ficheros corruptos o especialmente manipulados.
Recomendación
  • Se recomienda actualizar a VAMPSET v.2.2.145 o superior.
Más información:
Fuente: Hispasec

JOOMLA!. Actualización de seguridad para el core del CMS

 Han sido corregidas varias vulnerabilidades en el core de Joomla! que afectan a varias versiones de la rama 2.x y 3.x.. La actualización se ha catalogado de Importancia: 3 - Media
Recursos afectados
  1. Versiones 2.5.24 y anteriores
  2. Versiones 3.2.4 y anteriores
  3. Versiones 3.3.0 hasta 3.3.3
Detalle e Impacto de las versiones afectadas
Los fallos de seguridad son los siguientes:
  • Vulnerabilidad cross-site scripting (XSS).- La entrada no es escapada adecuadamente en com_media, lo que podría permitir ataques XSS. (CVE-2014-6631)
  • Login sin autorización.- A través de LDAP es posible hacer login sin autorización, debido a una comprobación indadecuada. (CVE-2014-6632)
Recomendación
  1. Para las versiones de la rama 3.x, actualizar a las versiones 3.2.5 o 3.3.4
  2. Para las versiones de la rama 2.x, actualizar a la versión 2.5.25
Más información
Fuente: INTECO

CISCO. Lanza actualizaciones de seguridad para IOS e IOS XE

 Se han publicado diversos fallos de seguridad que afectan a múltiples funcionalidades en el software IOS e IOS XE en los dispositivos Cisco. Cisco ya ha publicado las actualizaciones que corrigen los problemas.  La actualización se ha catlogado de  Importancia: 5 - Crítica
Recursos afectados
  1. Cisco IOS
  2. Cisco IOS XE
  • NOTA: para conocer con detalle los productos afectados, se recomienda consultar el detalle de los avisos en la sección "más información"
Detalle e Impacto de la vulnerabilidad corregida
  • Protocolo RSVP.-  Una vulnerabilidad en la implementación del protocolo de reserva de recursos (Resource Reservation Protocol -RSVP-) podría permitir a un atacante remoto sin autenticar provocar el reinicio del dispositivo. Además este fallo podría derivar en una denegación de servicio, ya que se puede realizar repetidamente.
  • Fallos de seguridad en el flujo de metadatos.-  Se han descubierto dos vulnerabilidades que afectan a la funcionalidad que controla el flujo de metadatos que podría permitir a un atacante remoto sin necesidad de autenticación, reiniciar el dispositivo. Estos fallos están provocados por un manejo inadecuado de los paquetes RSVP que necesitan ser procesados por la infraestructura de metadatos. Un atacante podría explotar este fallo a través de paquetes RSVP especialmente manipulados.
  • Servicio DHCP v6.-  Existe un problema de seguridad en la implementación del servidor DHCP v6 que podría permitir a un atacante remoto sin autenticar provocar una denegación de servicio. Esta vulnerabilidad está provocada por una validación incorrecta de los paquetes DHCPv6 y podría ser explotada a través del envío de paquetes DHCPv6 especialmente manipulados.
  • Servicio de NAT.-  Un fallo en el servicio de traducción de direcciones (NAT) podría permitir a un atacante remoto sin necesidad de autenticación provocar una denegación de servicio en el dispositivo afectado a causa de un traducción incorrecta de los paquetes IPv4.
  • Protocolo de inicio de sesión (SIP).-  Se ha descubierto una vulnerabilidad en la implementación del protocolo de inicio de sesión (SIP) que podría permitir a un atacante remoto sin necesidad de autenticarse, provocar una denegación de servicio en aquellos dispositivos que están configurados para procesar mensajes SIP.
  • Múltiples vulnerabilidades en el sistema de nombre de dominios multicast (mDNS).-  La implementación en el sistema de nombre de dominios multicast (multicast Domain Name System -mDNS-) adolece de dos fallos de seguridad:
  1. Fuga de memoria en el mDNS Gateway: un atacante remoto sin autenticar podría provocar una fuga de memoria que resultaría en una denegación de servicio. Esto es provocado a causa de una validación incorrecta de los paquetes mDNS (UDP en IPv4 o IPv6) que se envían al dispositivo afectado.
  1. Denegación de servicio en el mDNS Gateway: un atacante remoto sin autenticar podría provocar una denegación de servicio mediante el envío de paquetes (IPv4 o IPv6) del tipo UDP que se envían al puerto 5353 del dispositivo afectado.
Recomendación
  1. Vulnerabilidad en el RSVP.- Instalar la actualización que ha publicado Cisco o implementar el workarround disponible en el detalle del aviso (sección referencias).
  2. Fallos de seguridad en el flujo de metadatos.-  Instalar el parche que ha publicado Cisco disponible en el detalle del aviso (sección referencias). Para estas vulnerabilidades no existe workarround.
  3. Vulnerabilidad en el servicio DHCP v6.-  Instalar la actualización que ha publicado Cisco disponible en el detalle del aviso (sección referencias). Para estas vulnerabilidades no existe workarround.
  4. Problema de seguridad en el servicio de NAT.-  Instalar el parche que ha publicado Cisco o implementar el workarround disponible en el detalle del aviso (sección referencias).
  5. Vulnerabilidad en el protocolo de inicio de sesión (SIP).-  Instalar la actualización que ha publicado Cisco disponible en el detalle del aviso (sección referencias). Para estas vulnerabilidades no existe workarround.
  6. Múltiples vulnerabilidades en el sistema de nombre de dominios multicast (mDNS).-  Instalar la actualización que ha publicado Cisco o implementar el workarround disponible en el detalle del aviso (sección referencias).
Más información
Fuente: INTECO