3 de septiembre de 2016

CIBERSEGURIDAD. Observan deficiencias en el 100% de aplicaciones empresariales de nube

Según el Informe de amenazas en datos ocultos (Shadow Data Threat Report) publicado por Elastica de Blue Coat, cerca del 100 por ciento de las aplicaciones empresariales de nube carecen de funciones de seguridad y cumplimiento de nivel empresarial.
Blue Coat Systems, Inc., un proveedor de soluciones de seguridad web avanzada para gobiernos y empresas globales, publicó los hallazgos del Informe sobre amenazas en datos ocultos del primer semestre de 2016. 
La investigación fue desarrollada y publicada por Blue Coat Elastica Cloud Threat Labs y ofrece un análisis realizado aplicando la ciencia de datos en más de 15.000 aplicaciones empresariales de nube en uso y 108 millones de documentos empresariales almacenados y compartidos dentro de ellas.
El informe reveló los siguiente: 

  1. Que de las 15.000 aplicaciones analizadas, el 99 por ciento no provee la seguridad, los controles de cumplimiento ni las funciones suficientes para proteger de manera eficaz los datos empresariales en la nube. 
  2. Que los datos ocultos, contenido no administrado que los empleados almacenan y comparten a través de las aplicaciones de nube, continúan siendo una de las amenazas principales, ya que un 23 por ciento de ellos se comparte en forma generalizada entre los empleados y terceras partes externas a la empresa. 
  3. Que las organizaciones ejecutan 20 veces más aplicaciones de nube de lo que se estima; y la mayoría utiliza un promedio de 841 en sus redes extendidas.
Además de los hallazgos principales revelados en este informe, se descubrieron muchos más:
  • El 12% de los documentos y archivos que se comparten en forma generalizada contienen información regulada y datos confidenciales como información legal y código fuente.
  • El 95% de las aplicaciones de nube de clase empresarial no cumplen con SOC 2.
  • El 63% de la actividad riesgosa de usuarios en la nube indica intentos de transferir datos sin autorización.
  • El 37% de la actividad sospechosa en la nube indica intentos de hackear cuentas de usuarios en la nube.
  • El 71% de las aplicaciones empresariales de nube no provee autenticación de factores múltiples.
  • El 11 por ciento de las aplicaciones empresariales de nube aún son vulnerables a uno o más de los exploits principales, como FREAK, Logjam, Heartbleed, Poodle SSLv3, Poodle TLS y CRIME.

La plataforma de seguridad de nube de Elastica de Blue Coat provee un conjunto único de soluciones de seguridad para más de 15.000 organizaciones de todo el mundo que trabajan en entornos de implementación local y entornos empresariales administrados en la nube.
La plataforma integra el poder de la ciencia de datos con el aprendizaje automático para ofrecer visibilidad avanzada del tráfico de red en tiempo real, a fin de identificar amenazas y mitigar los riesgos de los datos confidenciales en la nube, al tiempo que permite el uso seguro de las aplicaciones aprobadas.

Fuente: Diarioti.com

POKÉMON GO y los Riesgos de Ciberseguridad

Los principales, están ligados a la georreferenciación, que se activa de manera más precisa abriendo Wi-Fi, además de activar GPS. Y a esto, se suma el acceso completo a la cámara.
Hoy en día,  las actualizaciones del juego se entregan aún mayor seguridad a los usuarios con respecto a sus datos en el celular. Es que en general, los usuarios suelen descargar aplicaciones sin procurar proteger su información y aceptan todos los requerimientos de las nuevas herramientas, con tal de tener acceso a la app del momento, sin conciencia total de lo que implica permitir el uso de la cámara, por ejemplo.
En el caso de Pokémon Go, los usuarios tienen mayor conciencia de lo que están permitiendo. No obstante, el hecho de que existan más ventanas abiertas hacia los datos personales por medio de esta aplicación, también conlleva a más riesgos, asegura. Si antes había problemas con apps más básicas, donde los usuarios aceptaban todas las condiciones de las nuevas apps descargadas, ahora hay más probabilidades de que los hackers puedan intervenir.
Hasta ahora, mucho se ha hablado respecto a los riesgos que implica el hecho de que los usuarios vayan por las calles sin prestar atención a los cruces, los demás peatones o cualquier objeto en la vía pública que pueda generar un accidente si no es esquivado. Pero, ¿alguien se ha preocupado de advertir sobre la seguridad informática? Principalmente, considerando que los usuarios de Pokémon Go son de todas las edades.
Aquí, los principales riesgos están en la georreferenciación, que se activa de manera más precisa abriendo Wi-Fi, además de activar GPS. Y a esto, se suma el acceso completo a la cámara. Por lo demás, se trata nuevamente de una aplicación que muchos descargaron sin leer las políticas de privacidad.
Ante este panorama, existe otra probable ventana abierta hacia un riesgo mayor. Con este tipo de herramientas, es muy probable que existan desarrollos maliciosos que busquen infiltrarse a través de esta app. El hecho de que sea altamente masiva, ya la hace atractiva de por sí. Entonces, esto implica que en el futuro podrían aparecer pokémones falsos, desarrollados para que el dispositivo dé acceso a una especie de malware que pueda ingresar en el momento que se captura un pokémon, por ejemplo.
Asimismo, cuando llegue Pokémon Go Plus, el dispositivo anexo a esta aplicación, que avisa cuando un pokémon está cerca sin tener la pantalla del celular activa, también podría significar un riesgo, ya que abre más opciones a que los hackers puedan entrar al dispositivo celular, porque se conecta a este vía Bluetooth.
Aunque hay una salvedad: mientras no sea un juego multiusuario y no interactúen entre distintos dispositivos móviles, no existen riesgos latentes importantes. Esto se confirma porque la misma compañía desarrolladora del videojuego, afirmó que las únicas batallas pokémon que se librarán serán en los gimnasios, apostando a ganar el control del mismo, por lo que los datos no se arriesgarán.

Fuente: Diarioti.com

VULNERABILIDAD. Afectados 900 millones de dispositivos Android con chips de Qualcomm

Según Check Point, cuatro vulnerabilidades de Android permiten a los cibercriminales controlar los dispositivos y acceder a los datos tanto personales como profesionales. La empresa ofrece una app para comprobar eventual infección.
El equipo de investigadores de dispositivos móviles de Check Point® Software Technologies, proveedor mundial especializado en seguridad, ha anunciado el descubrimiento de cuatro nuevas vulnerabilidades que afectan a más de 900 millones de smartphones y tablets Android. El anuncio ha tenido lugar durante la conferencia Def Con 24, celebrada en las Vegas.
Durante su presentación en Def Con 24, Adam Donenfeld, investigador líder de seguridad móvil de Check Point, ha desvelado cuatro grandes vulnerabilidades que afectan a los dispositivos Android con chipsets de Qualcomm. Qualcomm es el principal fabricante de chipsets LTE del mundo, con un 65% del mercado de módems LTE de banda base para Android.
Check Point ha bautizado a este conjunto de vulnerabilidades como QuadRooter. Si son explotadas, pueden dar a los cibercriminales un control completo de los dispositivos. También les garantizan acceso ilimitado a los datos sensibles personales y corporativos que contengan. El intruso obtiene también permisos para realizar keylogging y seguimiento por GPS, y para grabar audio y vídeo.
Las vulnerabilidades se encuentran en los drivers que Qualcomm envía con sus chipsets. Un hacker puede explotar estos puntos débiles mediante una app maliciosa. La aplicación no requeriría de permisos especiales, por lo que el usuario no tendría por qué sospechar nada. Algunos de los modelos que se encuentran entre los cerca de 900 millones de dispositivos previsiblemente infectados son:
  1. Samsung Galaxy S7 y S7 Edge
  2. Sony Xperia Z Ultra
  3. Google Nexus 5X, 6 y 6P
  4. HTC One M9 y HTC 10
  5. LG G4, G5 y V10
  6. Motorola Moto X
  7. OnePlus One, 2 y 3
  8. BlackBerry Priv
  9. Blackphone 1 y 2
Debido a que los drivers vulnerables vienen preinstalados en los dispositivos de fábrica, sólo pueden arreglarse instalando un parche creado por el distribuidor o el operador. Esto sólo puede hacerse cuando las compañías de móviles reciben paquetes de drivers reparados desde Qualcomm.
Check Point ha lanzado la app gratuita Quadrooter scanner, disponible en Google Play. Este escáner permite al usuario saber si su terminal es vulnerable.
“Las vulnerabilidades como QuadRooter ponen de manifiesto el desafío que supone proteger los dispositivos Android y los datos que contienen explica Michael Shaulov, responsable de productos de movilidad de Check Point. “La cadena de suministro es compleja, ya que cada parche debe ser agregado y probado en todos los modelos afectados por los errores. El proceso puede tardar meses, dejando a los dispositivos indefensos durante este tiempo. Además, normalmente no se alerta a los usuarios de que sus datos corren peligro. El proceso de actualizaciones de seguridad de Android es defectuoso y necesita mejorar.”
Check Point recomienda seguir estos pasos para mantener a los dispositivos Android a salvo de los ataques que tratan de explotar cualquier vulnerabilidad:
  1. Descargar e instalar las actualizaciones de Android en cuanto estén disponibles.
  2. Ser consciente de los riesgos que conlleva el rooting de dispositivos – tanto si es de forma intencionada como si es consecuencia de un ataque.
  3. Evitar la descarga de archivos .APK, así como el uso de suites de descarga de terceros. En lugar de eso, utilizar solamente Google Play.
  4. Leer cuidadosamente las solicitudes de permiso al instalar una app. Ser precavido con las aplicaciones que piden permisos extraños o innecesarios, o que consumen muchos datos o batería.
  5. Usar redes Wi-Fi conocidas y de confianza. Cuando se viaja, conectarse sólo a aquellas que se pueda verificar que provienen de una fuente de confianza.
  6. Los usuarios finales y las empresas deben considerar el uso de soluciones de seguridad móvil diseñadas para identificar comportamientos extraños en el terminal. Por ejemplo, malware encubierto en apps instaladas.
Los investigadores de Check Point han facilitado a Qualcomm toda la información sobre las vulnerabilidades en abril de este año. Tras esa notificación y siguiendo las políticas del sector (política CERT/CC), Qualcomm ha contado con un plazo de 90 días para proveer parches para dichas vulnerabilidades antes de hacerse públicas. Qualcomm ha revisado las vulnerabilidades y las ha clasificado como “de alto riesgo” y ha proporcionado a los fabricantes de dispositivos (por sus siglas en inglés OEMs) los parches correspondientes.

Fuente: Diarioti.com

LINUX. Vulnerabilidad permite interceptar datos vía TCP

Incluso el anonimato de la red Tor puede verse amenazado debido a una vulnerabilidad en el kernel de Linux que hace posible realizar una serie de ataques contra conexiones externas.
Investigadores de la Universidad de California dicen haber detectado una grave vulnerabilidad en la implementación de Transmission Control Protocol (TCP), o Protocolo de Control de Transmisión en todas las versiones de Linux desde fines del 2012 (3.6 y posteriores).
La vulnerabilidad hace posibles las escuchas remotas e intercepción de las comunicaciones vía Internet de terceros. Todo lo que un intruso necesita es la dirección IP de los dispositivos participantes en la comunicación, y que ambos estén dotados de sistemas operativos basados en el kernel de Linux.
Servidores y smartphones
  • Aunque el uso del kernel de Linux es limitado en computadoras personales, hay otras áreas donde es el sistema operativo dominante. Esto incluye el sistema operativo móvil Android. Paralelamente, numerosos servidores web funcionan con sistemas operativos basados en Linux. Lo mismo ocurre con servidores de correo electrónico y otros servicios de comunicación.
  • Lo anterior implica que el número de conexiones Linux-a-Linux en Internet es formidable. Los investigadores han demostrado que la vulnerabilidad hace posible iniciar ataques dedicados que detectan las actividades de un usuario en Internet, junto con tener la posibilidad de suspender sus conexiones a la red, escuchar comunicaciones no cifradas, inyectar datos falsos y reducir la protección de la privacidad ofrecida por redes como Tor.
  • La vulnerabilidad fue detectada durante un proyecto de investigación científica liderado por Zhiyun Qian, catedrático de UCR. En un comunicado, Qian explica que al contrario de lo que ocurre con los ataques convencionales, el ataque a TCP puede realizarse incluso cuando el afectado no haya descuidado su propia seguridad.
  • Durante sus pruebas, los expertos constataron que los ataques en que se utiliza la vulnerabilidad TCP pueden ser realizados en menos de un minuto, con un porcentaje de éxito del 90%.
 “El aspecto peculiar del ataque que hemos demostrado es lo limitado de las condiciones que deben manifestarse para realizarlo. En principio, puede ser realizado por cualquier individuo, en cualquier lugar del mundo donde haya una máquina atacante que permita la modificación de la IP. Lo único necesario es saber las direcciones IP del cliente y del servidor”, agrega Qian en el comunicado.
Parches disponibles
  • La vulnerabilidad ya ha sido solucionada en la versión más reciente del kernel de Linux (4.7), pero no en las versiones anteriores. Por ejemplo, Red Hat informa en ésta página que Fedora 23 y 24 fueron actualizadas hace más de tres semanas, mientras que las versiones afectadas de Red Hat Enterprise Linux fueron actualizadas hace una semana.
  • Publicados detalles del trabajo de investigación, financiado por Army Research Laboratory (ARL Cyber Security CRA) del Ejército estadounidense y por Nation Science Foundation, en:  
  • http://www.cs.ucr.edu/~zhiyunq/pub/sec16_TCP_pure_offpath.pdf ) 
Fuente: Diarioti.com

RANSOMWARE. El malware más lucrativo de la historia

El Reporte de Ciberseguridad de Ciscode Medio Año 2016 (MCR, por sus iniciales en inglés) encuentra que las organizaciones no están preparadas para enfrentar las nuevas formas más sofisticadas de ransomware. Factores como: infraestructura frágil, falta de mantenimiento en las redes y lentitud en los rangos de tiempo de detección, están dándole una ventana de tiempo y espacio a los adversarios para que operen.
Cisco aconseja seguir pasos simples para proteger los ambientes de negocio
Los investigadores de Cisco Talos han observado que las organizaciones que toman algunos simples pero significativos pasos, pueden mejorar en gran manera la seguridad de sus operaciones. Estos incluyen:
  1. Mejorar el mantenimiento de la infraestructura de la red, mediante: el monitoreo de la red, desplegar los patches y actualizaciones a tiempo, segmentar la red, implementar defensas en los límites de la red, que incluya email y seguridad web, Firewalls de Next- Generation y Next-Generation IPS.
  2. Integrar las defensas, por medio de un acercamiento de seguridad desde la infraestructura vs. el despliegue de los productos de nicho.
  3. Medir el tiempo de detección, insistir en los tiempos más rápidos disponibles para exponer las amenazas y abordarlas inmediatamente. Hacer a las métricas parte de la política organizacional de seguridad para promover el desarrollo.
  4. Proteger a los usuarios donde quiera que estén y donde sea que trabajen, no solamente los sistemas con los que interactúan o en los tiempos en los que están utilizando la red corporativa.
  5. Hacer Respaldo de datos críticos y de manera rutinaria evaluar la efectividad y al mismo tiempo confirmar que los respaldos no estén susceptibles a ser comprometidos.
Marty Roesch, Vicepresidente and Arquitecto Jefe, Grupos de Seguridad de Negocio Cisco, declaró: “Mientras que las organizaciones están capitalizando en nuevos modelos de negocio presentados por la transformación digital, velar por la seguridad es fundamental. Los atacantes están moviéndose sin ser detectados y están expandiendo su tiempo para operar. Para cerrar la ventana de oportunidades de los atacantes, los clientes van a requerir más visibilidad en sus redes y deben mejorar actividades cómo realizar ajustes y eliminar infraestructura antigua que no tenga las capacidades de seguridad avanzada.
Mientras los atacantes continúen monetizando sus golpes a la seguridad de las compañías y creando modelos de negocios muy rentables, en Cisco continuaremos trabajando con nuestros clientes para ayudarles a igualar y exceder los niveles de sofisticación de los atacantes, tener más control y mayor visibilidad”.
Fuente: Diarioti.com

NSA. Poco interés por sus herramientas de espionaje

Sólo 26 pujas se han registrado en una subasta que estos días se realiza en el submundo de Internet, entre interesados por un juego de herramientas de espionaje sustraída por un grupo autodenominado "The Shadow Group" a "Equation Group", entidad supuestamente vinculada a la Agencia Nacional de Seguridad de Estados Unidos, NSA.
En realidad, 26 pujas es un número atractivo si se hubiera tratado de ofertas serias. Sin embargo, en su mayoría son insignificantes, en el rango de fracciones mínimas de bitcoin (BTC), ciberdivisa valorada a la fecha en US$ 571.
La mayor oferta hecha hasta el momento, y la única probablemente real, es de 1,5 BTC, equivalente a aproximadamente US$ 882. Éste importe es relativamente insignificante para un botín que ha generado considerable atención mediática en todo el mundo.
Las condiciones de la subasta limitan indudablemente las pujas, debido a que éstas deben ser abonadas inmediatamente, no hay devoluciones para quienes no se adjudiquen el material ofrecido, y tampoco se señala una fecha para el fin de la subasta.
Por otra parte, hay razones para suponer que el propósito de la filtración no ha sido lucrar con las herramientas, sino dar una señal, o una advertencia, a la contraparte, en el sentido que no tienen control de su propio material.
Según algunas fuentes, no se trataría de un hackeo propiamente tal contra sistemas pertenecientes o asociados a la NSA, sino más bien alguien que ha extraído el material en una memoria USB u otro soporte informático. Esta versión es sustentada por una fuente anónima consultada por la publicación Business Insider, quien supuestamente ha trabajado para la unidad Tailored Access Operations (TAO) de la NSA.
“Al conocer la estructura de la NSA resulta improbable que alguien pueda hackearla. Algo así es simplemente ridículo. Su sistema es demasiado perfecto, o impenetrable”, comentó la fuente, agregando que el material subastado consiste de un juego específico de herramientas, lo que lleva a suponer que alguien se apropió de ellas copiándolas en un disco, directamente desde la infraestructura operativa de la organización.
Al igual que esta fuente anónima, un sujeto identificado como Dave Aitel, ex investigador de seguridad en la NSA, indicó que la subasta probablemente causó conmoción en la NSA, aunque no necesariamente por las herramientas sustraídas – que probablemente son irrelevantes dada su antigüedad – sino por el hecho en sí que alguien haya podido extraer el material desde su infraestructura. Esta posibilidad les lleva a suponer, indudablemente, que otras herramientas pudieron ser sustraídas durante la misma operación.
“Al desconocerse la forma en que se produjo la sustracción del material, comenzó a cundir el pánico respecto de otro material que podría estar circulando, especialmente desde una perspectiva de contraespionaje. ¿Cuándo hay que preocuparse, en realidad? ¿Serán reveladas todas mis operaciones? Creo que estas cosas son preocupantes para ellos, debido a que quieren mantener en secreto su trabajo” comentó la fuente a Business Insider.
Al comienzo se desconocía si las herramientas filtradas eran auténticas o falsificadas. Sin embargo, Cisco y la empresa de seguridad informática Fortinet han advertido que las herramientas explotan vulnerabilidades reales, algunas de las cuales han sido desconocidas hasta ahora. En gran medida, se trata de procedimientos para eludir cortafuegos.
En julio de 2014, la organización EFF (Electronic Frontier Foundation) demandó a la NSA por aprovechar secretamente la vulnerabilidad Heartbleed en lugar de advertir a la opinión pública.
Fuente: Diarioti.com

SPYWARE. Utilizado por gobiernos permite intervenir comunicaciones de iPhones

Apple ha eliminado tres graves vulnerabilidades detectadas en iOS, que son activamente utilizadas para instalar spyware desde sistemas remotos.
Apple publicó el 25 de agosto una actualización crítica para su sistema operativo iOS. El parche, que actualiza iOS a la versión 9.3.5, elimina tres vulnerabilidades que hacen posible la instalación subrepticia de spyware desarrollado por la empresa israelí NSO Group.
Las vulnerabilidades habrían sido detectadas después que un destacado defensor de los derechos humanos, Ahmed Mansoor, de Emiratos Árabes Unidos, recibió un mensaje de texto en su iPhone 6. En el SMS se le prometían supuestos secretos sobre tortura de reclusos en cárceles de su país, a los que podría acceder haciendo clic en un enlace. En lugar de hacer clic, Mansoor contactó a los expertos en seguridad informática de Citizen Lab.
“Reconocimos los enlaces como parte de la infraestructura ofensiva de NSO Group, empresa israelí especializada en ciberguerra, que comercializa el software Pegasus, herramienta de ‘intercepción legítima’ utilizada por las autoridades de diversos países”, comenta Citizen Lab en su blog oficial.
Citizen Lab habría contactado entonces a sus colegas de Lookout Security, que comentan los hechos en su propio blog. De esa forma, un grupo interdisciplinario de expertos constató que los enlaces conducían a una cadena de códigos de ataque que permitían explotar vulnerabilidades de día cero, que habrían hecho posible un jailbreaking del iPhone de Mansoor. Las empresas asignaron la denominación “Trident” al trío de vulnerabilidades.
Si el ataque hubiese sido consumado, el teléfono se hubiera convertido en un espía digital en el bolsillo de Mansoor. Según Citizen Lab, el software habría activado la cámara y el micrófono del aparato, teniendo así la posibilidad de interceptar conversaciones y mensajes transmitidos mediante diversos servicios de mensajería, aparte de establecer la posición del aparato mediante geolocalización.
Por su parte, Lookout comenta que una de las vulnerabilidades habilita un proceso de filtración de datos que hace posible para los atacantes acceder a la memoria del teléfono. Otra de las vulnerabilidades inutiliza el kernel de la memoria, facilitando así la instalación de spyware. La última vulnerabilidad radica en el componente Webkit de Safari y permite al atacante controlar el dispositivo cuando el usuario hace clic en un enlace maligno.

Fuente: Diarioti.com

FACTOR HUMANO. ¿El eslabón más débil de la Seguridad Informática?

La masificación de dispositivos portátiles y la hiperconectividad, entre otros elementos, están abriendo nuevas brechas de seguridad de la información para las personas y las organizaciones.
Los usuarios sin una conciencia sobre la seguridad de la información, sin capacitación, constituyen un alto riesgo para las organizaciones, pues, además del riesgo que conlleva la clásica ‘ingeniería social’, hoy las personas acceden a un mayor número de dispositivos conectados a Internet, donde muchas veces portan o manejan también información de su empresa.
En ese contexto, es cada vez más frecuente que usen dispositivos móviles de su propiedad, los cuales suelen no ser tema de injerencia o preocupación por parte la empresa en la que trabajan. La tendencia a usar smartphones, notebooks y tablets en donde se accede a datos de la empresa es universal; por lo tanto, las empresas deben adaptar y/o ampliar sus políticas de seguridad a dichos dispositivos, los cuales pueden controlarse de manera transparente para los usuarios y sin afectar su privacidad.
Pokémon y Juegos Olímpicos
  • A lo anterior hay que sumar que las personas suelen tener incluso barreras de seguridad más bajas en los dispositivos propios o de uso personal que en los relacionados directamente con su trabajo, lo que se refleja en la descarga indiscriminada de juegos y aplicaciones potencialmente nocivas, y sin mayores restricciones.
  • Los ciberdelincuentes suelen aprovechar ciertas modas de juegos o eventos nacionales o mundiales para cometer sus fechorías, aprovechándose de las escasas medidas de resguardo que adoptan los usuarios. En eventos masivos, como los Mundiales de Fútbol o los Juegos Olímpicos, existe el riesgo de que surjan nuevas aplicaciones móviles maliciosas o sitios web que, aparentando informar, se convierten en fuentes de malware, aprovechándose del auge mediático del evento.
  • Algo similar ocurre con los juegos de moda, como hoy sucede con Pokémon Go, que parece tan inocente y que ya ha desatado diversas críticas por sus riesgos reales y también virtuales.
  • Aprovechando la ansiedad de algunos por tener el juego antes de que esté disponible en su país, se ha detectado versiones no oficiales descargadas desde sitios desconocidos que roban información personal desde el smartphone sin que el usuario se percate.
Más Riesgos
  • No sólo por la tendencia BYOD (Bring Your Own Device) los usuarios internos deben ser hoy uno de los focos de preocupación más importantes de las empresas, sino porque muchas veces la propia organización comete descuidos sencillos y que abren importantes brechas en materia de seguridad de la información. Los usuarios internos son hoy estadísticamente uno de los focos de riesgo más importantes, no sólo por lo que puedan hacer ellos mismos deliberadamente, sino porque pueden ser blanco, sin saberlo, del robo de sus credenciales legítimas por diversas vías y ser suplantados por cibercriminales que se apoderan posteriormente de la información crítica de la empresa.
  • Este riesgo puede darse incluso cuando una persona ya no se encuentra trabajando en la empresa y no se aplican en forma inmediata protocolos de seguridad para dar de baja su perfil de usuario, por ejemplo, continuando activa la o las cuentas que le permitían acceder a los sistemas en forma remota.
  • Un ex empleado descontento puede usar su clave de acceso a correo electrónico u otro sistema de información para robar, borrar o dañar datos sensibles como una represalia contra la organización. Por ello, cada perfil de usuario debe tener muy bien definido roles y vigencia de las credenciales de acceso, debiendo aplicarse políticas de seguridad sobre los teléfonos inteligentes o los computadores portátiles de propiedad del trabajador pero que usa en su trabajo, ya que además pueden ser extraviados o robados, exponiendo datos confidenciales.
Fuente: Diarioti.com

VULNERABILIDADES. En Kaspersky Internet Security Suite

El equipo de seguridad de Cisco Talos ha anunciado cuatro vulnerabilidades en Internet Security Suite de Kaspersky que podrían permitir a un atacante provocar denegaciones de servicio o fugas de memoria.
Detalle de las vulnerabilidades
  • Los dos primeros problemas residen en la forma en que el driver KLIF intercepta las llamadas NtUserCreateWindowEx y NtAdjustTokenPrivileges a la Windows API. En ambos casos una aplicación maliciosa podrá efectuar llamadas maliciosas a la API con parámetros incorrectos. Lo que podría provocar que el controlador intente acceder a memoria no accesible lo que causaría una caída del sistema. Se han asignado los identificadores CVE-2016-4304 y CVE-2016-4305.
  • Otra denegación de servicio, con CVE-2016-4307, reside en el controlador KL1 de Kaspersky. Un usuario malicioso puede enviar una llamada IOCTL especialmente creada a driver KL1, que en determinadas condiciones esto provoca una lectura de memoria fuera de la asignación del búfer. Esto provoca una violación de acceso a memoria y la consiguiente caída del sistema.
  • Por último, con CVE-2016-4306, una llamada IOCTL específicamente creada se puede utilizar para filtrar el contenido de la memoria del kernel al entorno de usuario a través de una implementación débil del servicio KlDiskCtl del controlador kldisk.sys.
  • Un atacante podría aprovechar esto para obtener información de seguridad relevante y combinar este conocimiento con otras vulnerabilidades para explotar el sistema local. Por ejemplo, para evitar la funcionalidad de seguridad ASLR ("Address Space Layout Randomization").
Recursos afectados
  • Las vulnerabilidades afectan a las versiones 2016 de Kaspersky Internet Security, Kaspersky Anti-Virus y Kaspersky Total Security (16.0.0.614), versión del driver KLIF 10.0.0.1532. 
Recomendación
  • Se han corregido en las versiones Kaspersky Internet Security 2017, Kaspersky Anti-Virus 2017 y Kaspersky Total Security 2017 (17.0.0.611), debiendo los usuarios afectados actualizar a las nuevas versiones de los respectivos productos a través del procedimiento de actualización de cada producto.
Más información
Fuente: Hispasec.com

Nueva versión de OpenSSL

Se ha publicado una nueva versión de OpenSSL, la 1.1.0, con importantes novedades y solución a múltiples problemas y vulnerabilidades.
La nueva versión 1.1.0 de OpenSSL, se considera una actualización mayor y abre una nueva rama de desarrollo, de ahí su importancia. Como es de esperar incorpora importantes novedades y la solución a diversas vulnerabilidades. Cabe señalar la eliminación de protocolos y algoritmos ya obsoletos e inseguros y el soporte de nuevos algoritmos  criptográficos.
  • Se ha incluido soporte para los nuevos algoritmos ChaCha20 (para cifrado simétrico) y Poly1305 (para autenticación).
  • La mayoría de las estructuras públicas de libcrypto y libssl se han hecho opacas incluyendo: BIGNUM y tipos asociados, EC_KEY y EC_KEY_METHOD, DH y DH_METHOD, DSA y DSA_METHOD, RSA y RSA_METHOD, BIO y BIO_METHOD, EVP_MD_CTX, EVP_MD, EVP_CIPHER_CTX, EVP_CIPHER, EVP_PKEY y tipos asociados, HMAC_CTX, X509, X509_CRL, X509_OBJECT, X509_STORE_CTX, X509_STORE, X509_LOOKUP, X509_LOOKUP_METHOD.
  • Igualmente las estructuras internas de libssl también se han hecho opacas.
  • Se elimina el soporte a SSLv2 y al conjunto de cifrado Kerberos.
  • RC4 también se ha eliminado de los conjuntos de cifrado por defecto en libssl.
  • Se ha retirado el soporte de cifrado de 40 y 56 bits de libssl.
  • Todos los archivos de cabecera públicos se han movido a include/openssl, para evitar los enlaces simbólicos.
  • Se ha añadido en libcrypto el soporte para modo OCB (Offset Codebook Mode).
  • También se ha añadido a las librerías libcrypto y libssl el sopote para operaciones criptográficas asíncronas.
  • Nuevos niveles de seguridad.
  • Se ha incluido soporte de los algoritmos scrypt y KDF (implementando TLS PRF como un KDF). Igualmente se soporta X25519, Certificate Transparency, HKDF y la autenticación entre pares RFC6698/RFC7671 DANE TLSA.
  • Ahora se pueden desactivar las interfaces obsoletas en tiempo de compilación, ya sea con respecto a la versión más reciente a través del argumento de configuración "no-deprecated", o a través de la opción "--api=1.1.0|1.0.0|0.9.8".
Detalle de vulnerabilidades corregidas
  • Entre las vulnerabilidades corregidas, cabe señalar que se mitigan los ataques Sweet32 (CVE-2016-2183). Este ataque podría permitir a un atacante remoto que monitorice y capture una gran cantidad de tráfico de una sesión cifrada 3DES en modo CBC del que se conozca algo de texto plano podrá llegar a descifrar algún texto. Este ataque afecta a cifrados en bloque de 64 bits como 3DES o Blowfish. En la nueva versión los conjuntos de cifrado 3DES y RC4 no se incluyen por defecto.
  • Se soluciona una fuga de memoria por un uso inadecuado en el método SRP_VBASE_get_by_user (CVE-2016-0798). Y un fallo en la comprobación de límites en el tratamiento de la extensión hearbeat TLS puede permitir la revelación de hasta 64k de memoria a un cliente conectado o un servidor (CVE-2014-0160).
Recomendación
     Versión OpenSSL 1.1.0 está disponible desde http://openssl.org/source/
Más Información:
Fuente: Hispasec.com

Actualización para productos VMware

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware Identity Manager y vRealize Automation, que podrían permitir a un usuario local elevar sus privilegios y la ejecución de código arbitrario.
VMware Identity Manager es una solución IDaaS, o Identity as a Service, que ofrece un sistema de control de acceso que permite a los administradores establecer políticas sobre dispositivos y de gestión de información especialmente en entornos cloud. VMware vRealize Automation automatiza el despliegue y gestión de servicios, aplicaciones e infraestructuras en entornos de cloud
Detalle de vulnerabilidades
  • El primer problema, con CVE-2016-5335, reside en una vulnerabilidad de elevación de privilegios en VMware Identity Manager y vRealize Automation. Un atacante local con permisos reducidos podría conseguir permisos de root. 
  • Por otra parte, con CVE-2016-5336, una vulnerabilidad de ejecución remota de código en vRealize Automation.
Recursos afectados
  • Se ven afectadas las versiones VMware Identity Manager 2.x y vRealize Automation 7.0.x.
Recomendación
VMware ha publicado las siguientes actualizaciones:
Más información:
Fuente: Hispasec.com

MEDIAWIKI. Nuevas versiones corrigen diversas vulnerabilidades

Se han publicado nuevas versiones de MediaWiki para las ramas 1.27, 1.26 y 1.23 que corrigen diferentes fallos de seguridad, que podrían permitir a un atacante realizar ataques de cross-site scripting y eludir restricciones de seguridad.
MediaWiki es un software de código abierto de creación de sitios de edición colaborativa de páginas web, comúnmente conocidos como wikis. Entre este tipo de software, MediaWiki es popular por ser el utilizado para alojar y editar los artículos de Wikipedia.
Detalle de la actualización

  • Un problema corregido reside en cross-site scriptings por la codificación del carácter "%" dentro de enlaces internos y en la previsualización de CSS. 
  • Otro problema por un error en la API relacionado con la generación de elementos de las cabeceras. Usuarios con permisos de recuperación pueden borrar el estado de una revisión de archivo (incluso si el archivo está eliminado), cuando realmente no tienen permisos para ello. Las cuentas eliminadas no cerraban adecuadamente la sesión, de forma que un usuario autenticado podía seguir accediendo aun  con una cuenta ya cerrada o inexistente. Por último la API podía emplearse para eludir  completamente la extensión Lockdown.

Recomendación

Más información:
Fuente: Hispasec.com

VBULLETIN. Diversas vulnerabilidades exponen más de 27 millones de cuentas

Más de 27 millones de cuentas de usuarios, la mayoría del dominio mail.ru, se han visto expuestas debido a vulnerabilidades no parcheadas en foros con software vBulletin.
vBulletin es un software desarrollado por vBulletin Solutions, para la creación y mantenimiento de foros en Internet. Está basado en PHP y MySQL y según la propia compañía más de 100.000 sitios funcionan bajo este sistema, incluyendo compañías como Electronic Arts, Sony, NASA o Steam.
En total se han visto afectadas más de 27 millones de cuentas de usuario a través de casi una docena de sitios web. La mayoría de las cuentas comprometidas, hasta 25 millones, están vinculadas a los foros de tres juegos (CFire, Parapa y Tanks) alojados bajo el dominio mail.ru. También se han visto expuestas, más de 190.000 cuentas de expertlaw.com y más de 100.000 cuentas en gamesforum.com.
Entre los datos filtrados se encuentran nombres de usuario, direcciones de correo, contraseñas, números de teléfono, direcciones IP y cumpleaños.
Los dominios afectados han sido:
  • cfire.mail.ru
  • parapa.mail.ru
  • parapa.mail.ru (forums)
  • tanks.mail.ru
  • expertlaw.com
  • ageofconan.com
  • anarchy-online.com
  • freeadvice.com
  • gamesforum.com
  • longestjourney.com
  • ppcgeeks.com
  • thesecretworld.com (inglés)
  • thesecretworld.com (francés)
  • thesecretworld.com (alemán)
Todos los sitios comprometidos funcionaban con una versión sin parchear del software vBulletin, que permitía la realización de ataques de inyección SQL a través del complemento (add-on) incluido Forumrunner en versiones anteriores a la 4.2.2 o 4.2.3. La actualización estaba disponible desde mediados de junio. Una vez más, la importancia de mantener actualizado todo el software.
La compañía Funcom ha reconocido la intrusión y el compromiso de los datos de los usuarios de los foros TheSecretWorld.com, AgeofConan.com, Anarchy-Online.com y LongestJourney.com. Aunque confirman que el software se actualizó el día 19 de agosto no pueden determinar exactamente cuando se produjo la intrusión. Como medida de seguridad temporal Funcon ha reiniciado todas las contraseñas de estos foros.
Más información:
Fuente: Hispasec.com

APPLE. Publica iOS 9.3.5 tras el descubrimiento de un spyware

Apple acaba de publicar la versión 9.3.5 de iOS, su sistema operativo para dispositivos móviles. Está versión está destinada a solucionar tres vulnerabilidades 0-day empleadas por un software espía.
Los problemas fueron descubiertos hace 10 días, por investigadores de Citizen Lab (Munk School de la Universidad de Toronto) y la compañía Lookout. Se trata de tres vulnerabilidades, bautizadas como Tridente, que forman una cadena de ataques que pueden permitir evitar toda la protección del sistema iOS. Una combinación que canaliza un ataque desde un simple click a un enlace a la elevación de privilegios dentro del dispositivo.
Este "Tridente" de vulnerabilidades se ha empleado en un spyware conocido como Pegasus, desarrollado según sus descubridores por la organización israelí NSO Group, una empresa con productos similares a los ofrecidos por Hacking Team.
La cadena de vulnerabilidades funciona según la siguiente sucesión
  • CVE-2016-4657: Un exploit para WebKit, que permite la ejecución del shellcode inicial cuando el usuario pulsa un enlace.
  • CVE-2016-4655: Un exploit para saltar la protección Kernel Address Space Layout Randomization (KASLR) que permite al atacante calcular la localización del kernel en memoria.
  • CVE-2016-4656: Vulnerabilidades a nivel del kernel iOS de 32 y 64 bits que permiten la ejecución de código en el kernel, empleadas para realizar un jailbreak del dispositivo y ejecutar software espía sin conocimiento del usuario.
La secuencia de ataque se realizaba mediante un clásico esquema de phishing: enviar un mensaje de texto, abrir el navegador, cargar una página, explotar las vulnerabilidades e instalar el software persistente para recopilar información. Todo ellos, realizado de forma invisible y silenciosa, de manera que las víctimas no llegan a saber que han sido comprometidos.
Según los investigadores de Lookout el software espía es altamente configurable, dependiendo del país de uso y el conjunto de características adquiridas por el usuario, podía permitir acceder a los mensajes, llamadas, correos electrónicos, registros y datos desde aplicaciones como Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, WeChat, SS, Tango y otras. El kit parece persistir incluso cuando el software del dispositivo se actualiza y podía actualizarse a sí mismo para reemplazar módulos o funcionalidades obsoletas.
El equipo de Citizen Lab ha rastreado los ataques a varios activistas de derechos humanos y periodistas de diferentes partes del mundo, mientras que Lookout se ha centrado en los detalles técnicos del malware, desde la cadena del exploit hasta su uso. Ambos grupos de investigadores han publicado completos, y muy interesantes, informes con análisis detallados de las vulnerabilidades, de cómo se han llevado a cabo los ataques y del software espía.
Recomendación
  • Esta nueva versión de iOS está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod touch de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).
Más información:
Fuente: Hispasec.com

WORDPRESS. Corregidas distintas vulnerabilidades

Se ha publicado la versión 4.6 de WordPress que entre otras mejoras está destinada a solucionar dos vulnerabilidades, que podrían permitir la construcción de ataques cross-site request forgery o provocar condiciones de denegación de servicio.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.
Detalle de vulnerabilidades corregidas
  • El primer problema, con CVE-2016-6896, podría permitir a un atacante remoto autenticado aprovechar un fallo de traspaso de rutas en la función "wp_ajax_update_plugin()" de "ajax-actions.php" para leer datos de "/dev/random/" y agotar la fuente de entropía y de esta forma evitar la ejecución de scripts PHP.
  • Por otra parte, con CVE-2016-6897, una vulnerabilidad de cross-site request forgery; que podría permitir a un atacante remoto sin autenticar realizar acciones como un usuario autenticado, si consigue que la víctima cargue una página html específicamente creada.
  • Además está versión contiene la corrección de otros fallos y múltiples mejoras no relacionadas directamente con problemas de seguridad.
Recomendación
Más información:
Fuente: Hispasec.com

CISCO. Múltiples vulnerabilidades en sus productos

Cisco ha informado de varias vulnerabilidades que afectan a sus productos: dos son de importancia crítica, una de importancia alta y nueve de importancia media.
Estas vulnerabilidades podrían permitir entre otros: accesos no autorizados, realizar denegación de servicios, XSS, CSRF,  accesos  una elevación de privilegios en el sistema, ejecución remota de código, etc.
Recursos afectados:
Las vulnerabilidades afectan a los siguientes productos:
1.   Todas las versiones de Cisco Wireless LAN Controller anteriores a las primeras versiones solucionadas de 8.0.140, 8.0.140.0, 8.2.121.0, and 8.3.102.0.
2.   Cisco Hosted Collaboration Mediation Fulfillment (HCM-F) versiones anteriores a la 10.6(3).
3.   Cisco Virtual Media Packager (VMP) usando Media Origination System Suite Software versiones 2.6 y anteriores.
4.   Cisco WebEx Meetings Player versión T29.10 para archivos WRF.
5.   Cisco Small Business 220 Series Smart Plus (Sx220) Switches con firmware release 1.0.0.17, 1.0.0.18, o 1.0.0.19. Esta vulnerabilidad se solucionó con la release de firmware 1.0.1.1
6.   Cisco Small Business 220 Series Smart Plus (Sx220) Switches con firmware release 1.0.0.17, 1.0.0.18, or 1.0.0.19 y SNMP habilitado.
7.   Cisco Small Business IP Phones que ejecuten software release 7.5.7(6) o anterior: SPA300 Series IP Phones, SPA500 Series IP Phones, SPA51x IP Phones
Detalle de vulnerabilidades publicadas
1.   Acceso no autorizado (crítica): una vulnerabilidad en la implementación de SNMP en switches Cisco Small Business 220 Series Smart Plus (Sx220) permitiría un atacante remoto no autenticado ganar acceso a los objetos SNMP del dispositivo. La vulnerabilidad se debe a la presencia de una "community string" SNMP por defecto que es añadida durante el proceso de instalación del dispositivo y que no puede ser borrada. Se ha reservado para esta vulnerabilidad el identificador CVE-2016-1473.
2.   Ejecución remota de código (alta): una vulnerabilidad en el Cisco WebEx Meetings Player permitiría a un atacante remoto no autenticado ejecutar código arbritario. El fallo se produce por el incorrecto manejo de archivos suministrados por el usuario, y puede ser explotada mediante el envío de paquetes manipulados HTTP al dispositivo afectado. Se ha reservado para esta vulnerabilidad el identificador CVE-2016-6370.
3.   Denegación de servicio (alta): una vulnerabilidad en el framework HTTP de los Cisco Small Business SPA300 Series IP Phones, Cisco Small Business SPA500 Series IP Phones, y Cisco SPA51x IP Phones permitiría a un atacante remoto no autenticado provocar una denegación de servicio en el dispositivo. La vulnerabilidad se debe por el incorrecto manejo de tráfico HTTP mal formado, y puede ser explotada mediante el envío de paquetes manipulados HTTP al dispositivo afectado. Se ha reservado para esta vulnerabilidad el identificador CVE-2016-1469.
Resto de vulnerabilidades, de importancia media, pueden consultarse desde el apartado de referencias del aviso (https://tools.cisco.com/security/center/publicationListing.x )
Recomendación
·        Aplicar las actualizaciones correspondientes según el producto afectado, indicadas por el fabricante en Cisco Security Advisories and Alerts. (https://tools.cisco.com/security/center/publicationListing.x )
Más información
Fuente: INCIBE