8 de enero de 2017

ESPAÑA. 100.000 incidentes digitales registrados en 2016

Los delitos en la web suponen un impacto de un billón de euros a nivel mundial, mientras que el gasto en seguridad digital es de 70.000 millones
La ciberdelincuencia está hoy más activa que nunca, los ataques informáticos y el fraude económico a través de la tecnología alcanzan un grado de sofisticación hasta ahora inimaginable. El resultado es que las actividades ilícitas a través de internet pueden llegar a alcanzar un impacto económico de 1 billón de euros al año en el mundo, según estimaciones del Instituto Nacional de Ciberseguridad (Incibe) o, lo que es lo mismo, el equivalente al PIB de un país como España. Fuentes policiales aseguran que esta actividad supera al narcotráfico en lucro. En cambio, las inversiones en ciberseguridad en el planeta se estima que alcanzan los 70.000 millones de euros.
  • En las últimas semanas ha quedado claro que nadie está exento de sufrir un ataque. El caso más llamativo es, quizá, la acusación de Barack Obama al Gobierno ruso de haber realizado ataques informáticos con el fin de interferir en los resultados a favor del candidato republicano.
  • Las entidades financieras son víctimas recurrentes. A través de software malicioso, un grupo de ciberdelincuentes atacó remotamente cajeros de más de una docena de países de Europa a lo largo de 2016 para expedir dinero en efectivo que pudo llegar a superar los 10 millones de euros.
  • En noviembre, piratas informáticos suplantaron la web corporativa de la constructora francesa Vinci y publicaron una nota de prensa falsa que se distribuyó a medios de comunicación. La consecuencia fue el desplome del 18% de la acción, equivalente a 7.000 millones de euros. Y estos son sólo algunos ejemplos.
Informe sobre España
  • El Estado cuenta con un organigrama de instituciones públicas en materia de ciberdefensa. Está formado por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), el Centro Criptológico Nacional, dependiente del CNI, el Incibe y el Mando Conjunto de Ciberdefensa (MCCD), éste último perteneciente al Ministerio de Defensa.
  • El ciberespacio se ha convertido en un nuevo dominio para las operaciones militares, igual que el terrestre, marítimo y aéreo
  • Los ámbitos de actuación de este Mando consisten en controlar los sistemas del Ministerio de Defensa -"las fuerzas armadas son ciberdependientes, tenemos sistemas de armas muy eficientes y precisos, pero todos ellos necesitan estar interconectados", asegura el general Gómez- así como proteger los sistemas de infraestructuras críticas y servicios esenciales que se les asignen a partir del catálogo del CNPIC y, si llega el caso, llevar a cabo acciones ofensivas en el ciberespacio. A pesar de que en los últimos años la partida a Defensa de los Presupuestos Generales del Estado se ha ido reduciendo, la creación del MCCD y su puesta en marcha recibe una inversión mayor en cada ejercicio.
  • Casi la mitad de los 4.667 imputados y detenidos por cibercriminalidad en España en 2015 tenían entre 26 y 40 años
  • El fraude en suplantación de la identidad del CEO más grande que se conoce en España alcanza los 600.000 euros
  • Tanto en ransomware como en el correo del CEO tiene una relevancia fundamental la llamada ingeniería social, que consiste en conseguir que un usuario actúe de una determinada manera teniendo en cuenta la vulnerabilidad humana.
Recomendaciones 
  • Wifis públicas.- Conectar los dispositivos lo menos posible a este tipo de redes.
  • Actualizaciones.- Realizar actualizaciones periódicas de los sistemas operativos.
  • Webcam.- La cámara del ordenador es mejor mantenerla tapada mientras no se utiliza.
  • Copia de seguridad.- Aprender a realizar copias de seguridad de nuestro material más sensible garantiza una mayor tranquilidad al usuario.
  • Antivirus.- Siempre contar con un antivirus, y si es de pago mejor.
  • Disco duro externo.- Trasladar los archivos más importante al disco duro externo dificulta en el robo de información.
  • Smartphone.-Mantener las funciones bluetooth y GPS desconectadas cuando no se usen.
Fuente: El Mundo.es

ASSANGE. Suecia decidirá en pocas semanas el rumbo que seguirá la investigación

Suecia no decidirá hasta dentro de varias semanas si sigue adelante o pone punto final a una investigación sobre las acusaciones de violación contra el fundador de WikiLeaks, Julian Assange, afirmó su Autoridad Fiscal el jueves.
Los fiscales dijeron que acaban de recibir una transcripción de la entrevista mantenida en noviembre con Assange, de 45 años, en la Embajada de Ecuador en Londres, donde se encuentra refugiado desde 2012 para evitar su extradición a Suecia para responder por una acusación de violación en 2010 que él niega.
"La documentación está en español y consta de varios cientos de páginas, que serán traducidas ahora", indicó la Autoridad Fiscal en un comunicado.
"Se espera que la traducción tome varias semanas. Los fiscales decidirán entonces si continúan con la investigación", agregó.
Fuente: Reuters

CIBERATAQUE RUSO. Jefe de inteligencia EEUU "firme", discrepa con Trump

El principal funcionario de inteligencia de Estados Unidos dijo el jueves al Congreso que su opinión de que Rusia llevó a cabo ciberataques contra los demócratas en la campaña electoral del 2016 era "más firme", rechazando el persistente escepticismo del presidente electo Donald Trump sobre la participación de Moscú.
El director de Inteligencia Nacional, James Clapper, dijo que tenía un muy alto nivel de confianza de que Rusia "hackeó" instituciones del Partido Demócrata y a empleados de la campaña, además de difundir propaganda y noticias falsas sobre las elecciones del 8 de noviembre.
"Nuestra evaluación ahora es incluso más firme de lo que era" el 7 de octubre cuando el gobierno acusó públicamente a Rusia por primera vez, dijo Clapper en una audiencia ante la Comisión de Servicios Armados del Senado. Añadió que la semana próxima se divulgará el motivo del ciberataque.
Pese a que Trump dijo el jueves ser un "gran admirador" de la comunidad de inteligencia, se encamina a un conflicto sobre el tema con los demócratas y hasta algunos republicanos en el Congreso, muchos de los cuales están recelosos de Moscú y de los elogios del empresario hacia el presidente ruso, Vladimir Putin.
Trump y sus principales asesores creen que los demócratas están intentando deslegitimar su victoria electoral al acusar a Rusia de ayudar al candidato republicano. Clapper dijo que el ciberataque no cambió ningún número en los votos.
"No creo que hayamos encontrado nunca una campaña más agresiva o directa para interferir en nuestro proceso electoral de lo que hemos visto en este caso", dijo Clapper, quien deja su cargo cuando Trump asuma la presidencia el 20 de enero.
El funcionario se abstuvo de calificar las acciones de Rusia como "un acto de guerra", diciendo que esa denominación está más allá del alcance de su oficina.
Moscú niega las acusaciones. La semana pasada, el presidente Barack Obama ordenó la expulsión de 35 supuestos espías rusos e impuso sanciones a dos agencias de inteligencia de ese país por su presunta participación en los ciberataques
Fuente: Reuters

HACKERS RUSOS. Eficacia comprobada

Desde hace años, la capacidad técnica de los hackers rusos ha quedado de manifiesto en escenarios políticos y comerciales de todo el mundo. 
La semana pasada, el presidente estadounidense Barack Obama expulsó de su país a 35 diplomáticos rusos, como represalia ante la supuesta manipulación de la campaña electoral que resultó en la victoria de Donald Trump.
Con ello, una situación que tuvo su origen hace 27 años, con un gran número de ingenieros rusos sin empleo, se ha convertido en un factor de poder internacional que ya no es posible ignorar. La cultura rusa de hackers comenzó en la década de 1990, en los años siguientes a la caída del muro de Berlín. Entonces, Rusia tenía un grupo de talentosos científicos y matemáticos, desempleados debido al colapso de la economía y a la necesidad de las Fuerzas Armadas rusas de hacer recortes presupuestarios.
Una opinión generalizada es que al no contar Rusia en esos años con las avanzadas computadoras que el promedio de los consumidores occidentales pueden adquirir en cualquier comercio, los hackers rusos se vieron en la necesidad de mejorar sus conocimientos de programación y su capacidad de entender el funcionamiento de software y sistemas operativos. Esta situación habría resultado en el surgimiento de diversos foros y clubes de programadores y hackers. Con el paso del tiempo, “hacker ruso”, se convirtió en un concepto respetado, y por cierto temido.
Este vacío fue aprovechado durante la primera década del milenio por organizaciones delictivas, que recurrían a la capacidad de los hackers rusos para incursionar contra bancos y organizaciones financieras, o para perpetrar fraude, sabotaje y otros delitos en el ciberespacio. Con el paso del tiempo, los hackers lograron penetrar las redes y sistemas de seguridad de emblemáticas empresas tecnológicas como Microsoft u organizaciones como la NASA.
En el submundo de Internet, los foros dedicados a la ciberdelincuencia están dominados por el idioma ruso. Dmitrij Volkov, experto moscovita en seguridad informática, declaró a The Moscow Times que desde el comienzo fue fácil obtener en estos foros descripciones y procedimientos para perpetrar ciberdelitos. “Estos foros estaban abiertos a todo tipo de preguntas; por ejemplo, se podría preguntar qué programa funcionaba mejor para ingresar al sistema de un banco”.
Según un reciente informe de Europol, la situación no ha cambiado mayormente desde comienzos de la pasada década, y los foros dedicados a la ciberdelincuencia continúan siendo dominados por el idioma ruso. Volkov agregó que los hackers se organizan en grupos especializados, o colectivos, donde es posible comprar servicios o software. Según explicó, estas comunidades se han regido por dos reglas fundamentales: en primer lugar, no hay que atacar objetivos nacionales en Rusia, incluidas las empresas de ese país; en segundo lugar, es necesari o asistir al Estado ruso si este lo requiere.
Fuente: Diarioti.com

MALWARE. Nuevo ransomware cifra los datos sin ofrecer recuperarlos

El equipo de investigadores de amenazas de Check Point revela el descubrimiento de dos nuevas familias, así como sus correspondientes soluciones de descifrado, que pueden ayudar a las víctimas a recuperar de forma gratuita sus datos perdidos. Check Point es partner del proyecto No More Ransom (NMR), cuyo objetivo es luchar contra la epidemia del secuestro digital. Por ello, las nuevas herramientas de descifrado son de uso público.
DeriaLock: Ransomware que muta en cuestión de horas
  • DeriaLock es un peculiar malware que ha evolucionado de manera muy rápida. Cuando apareció por primera vez el 24 de diciembre de 2016, lo único que hacía era tomar el control de la pantalla de la víctima e impedirle acceder a su ordenador. Era una molestia, pero no causaba daños reales. Dos días después, se descubrió otra variante. Esta vez incluía un mecanismo de cifrado de archivos, y amenazaba a los usuarios con borrar todos sus ficheros si reiniciaban sus equipos.
  • Karsten Hahn, el analista de malware que descubrió por primera vez DeriaLock, señaló en Twitter que esta era una amenaza vacía. Al menos durante unas horas, hasta que la última variación del ransomware apareció. La versión actual incluye todas estas funciones: bloqueo de pantalla, cifrado de archivos y eliminación de ficheros después de reiniciar.
  • En este momento, la demanda de rescate es de sólo 30 dólares, un precio no muy alto en comparación con otras familias activas. Los investigadores de Check Point han encontrado una manera de explotar varios defectos en su programación. Esto les ha permitido crear herramientas de descifrado que ayudan a las víctimas a recuperar sus archivos y evitar tener que pagar.
2 – PHP Ransomware
  • El equipo de investigadores de Check Point también ha descubierto un nuevo ransomware en forma de un script PHP. La primera vez que lo encontraron fue accediendo al dominio hxxp://med-lex[.]com. Aunque esta amenaza encripta los archivos de la víctima, no es exactamente un “ransomware” per se.
  • A diferencia de la mayoría del malware de secuestro de datos más populares, este script no muestra ninguna nota de rescate ni intenta recibir un pago para descifrarlos archivos. Por el contrario, sólo los cifra sin ofrecer ninguna opción para recuperarlos. Tampoco se intenta comunicar con un servidor de comando y control, lo que generalmente permite rastrear el número de máquinas infectadas, descargar ejecutables u otras actividades malignas.
  • El PHP Ransomware comienza escaneando el sistema repetidamente. Cuando se encuentra con un directorio, comprueba sus subcarpetas y busca los archivos relevantes, para averiguar si contienen alguna de estas extensiones:
zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso
Si uno de los archivos coincide con las extensiones anteriores, el script cambia los permisos de acceso y permite al propietario y a otros usuarios leer, escribir y ejecutar el archivo. Después lee los primeros 2048 bytes del archivo y los cifra. Si el tamaño del archivo es menor de 2 MB, se cifrará completamente. Además, una extensión “.crypted” se agrega al nombre del archivo sin omitir el original.
Check Point facilita en su blog los enlaces para descargar ambos descifradores, así como las instrucciones de uso de cada uno de ellos. Además, recomienda utilizar las herramientas con precaución, ya que sólo son efectivas contra las versiones actuales de Derialock y de PHP ransomware. Las compañías de seguridad y los hackers permanecen en un eterno juego del ratón y el gato, por lo que existe la posibilidad de que los ciberatacantes lancen nuevas versiones del malware que haga imposible recuperar los archivos. Por lo tanto, la empresa no se hace responsable de los intentos fallidos de descifrar ficheros utilizando estas herramientas.
Recomendación
  • Antes de iniciar el proceso de descifrado, Check Point recomienda realizar una copia de seguridad de su disco duro. El usuario también tiene que estar familiarizado con el procedimiento específico de cómo iniciar su ordenador en modo seguro, ya que si no inicia el equipo de esta manera todos sus datos serán eliminados.
Fuente: Diarioti.com

MOZILLA. Solventa vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 45.6, su popular cliente de correo, en la que corrigen ocho vulnerabilidades (dos de nivel crítico y las seis restantes de gravedad alta).
Dado que Thunderbird 45 contiene código subyacente que se basa en el de Firefox 45 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 45.6 ESR (publicado a mediados de mes).
Los problemas críticos residen en un uso de memoria después de liberarla mientras se manipulan eventos DOM y elementos de audio (CVE-2016-9899) y múltiples problemas de corrupción de memoria en Thunderbird que igualmente podrían permitir la ejecución remota de código (CVE-2016-9893).
Las vulnerabilidades consideradas de gravedad alta consisten en un uso de memoria después de liberarla en el Editor mientras se manipulan subárboles DOM (CVE-2016-9898), imágenes SVG permiten la carga de recursos externos restringidos a través de URLs data: (CVE-2016-9900), una fuga de información en atoms compartidos (CVE-2016-9904), salto de CSP (Content Security Policy) usando la etiqueta marquee (CVE-2016-9895), una caída en EnumerateSubDocuments (CVE-2016-9905) y una corrupción de memoria en libGLES (CVE-2016-9897).
Recomendación
  • La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird https://www.mozilla.org/thunderbird/
  • o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.
Más información:
Fuente: Hispasec

PHPMAILER. Ejecución remota de código

Se han hecho públicas varias vulnerabilidades en el software en PHP de envío de correo PHPMailer integrado en muchos productos opensource basados en PHP. Estas vulnerabilidades permitirían a un atacante ejecutar código arbitrario en el sistema afectado, catalogadas de Importancia: 5 Crítica
Recomendación
  • Actualizar a la versión 5.2.21 de PHPMailer.

Detalle e Impacto de la vulnerabilidad:
  • Las vulnerabilidades encontradas permiten la ejecución de código arbitrario en el sistema a través de una incorrecta validación de parámetros en la función de envío de correo de PHPMailer, pudiendo de esta manera ejecutar código en el sistema afectado. Un atacante podría aprovecharse de esta vulnerabilidad en formularios de registro, contacto o de recuperación de contraseñas, que realizan un envío de email utilizando PHPMailer.
  • Se han reservado los identificadores CVE-2016-10045 y CVE-2016-10033 para estas vulnerabilidades.

Más información


Fuente: INCIBE

PIWIGO. Descubiertas multiples vulnerabilidades

Se han reportado tres vulnerabilidades en Piwigo Photo Gallery, de las cuales dos son consideradas de gravedad alta y la última de gravedad media. Estas podrían permitir a un atacante remoto ejecutar código arbitrario dentro del sistema y realizar ataques de tipo XSS (Cross-Site Scripting). Las vulnerabilidades han sido reportadas de manera interna a través de GitHub.
Piwigo Photo Gallery, es una galería de álbumes web totalmente gratuita con la que se puede organizar y compartir fotos. Permite añadir nuevas funciones y personalizar las galerías con las "extensiones" desarrolladas por la comunidad.
En el primer problema, con CVE-2016-10083, podría permitir a un atacante remoto autenticado realizar ataques XSS (Cross-Site Scripting) e inyectar código Javascript a través de nombres de ficheros especialmente manipulados. La vulnerabilidad, en 'admin/plugin.php', se debe a un defecto de gestión de nombres de archivos en determinados escenarios de errores.
Recordamos que un ataque Cross-site Scripting (o XSS) se basa en que una página web no filtra correctamente ciertos caracteres especiales y permite ejecutar código JavaScript.
Mediante el segundo problema, con CVE-2016-10084, un atacante remoto con privilegios administrativos en el sistema podría llevar a cabo ataques de Inclusión Remota de Archivos y potencialmente ejecutar código arbitrario dentro del sistema través de párametros especialmente manipulados. La vulnerabilidad en 'admin/batch_manager.php' se debe a una falta de comprobación en el uso de la variable '$page['tab']' en include().
La vulnerabilidades de Inclusión Remota de Archivos o "File inclusion" se dan en páginas dinámicas en PHP al permitir la inclusión remota de archivos por una falta de filtrado adecuado al usar la función include().
El último problema, con CVE-2016-10085, podría permitir a un atacante remoto con privilegios administrativos en el sistema realizar una Inclusión Remota de Archivos y potencialmente ejecutar código arbitrario dentro del sistema través de parámetros especialmente manipulados. La vulnerabilidad en 'admin/languages.php', se debe a una falta de comprobación en el uso de la variable '$page['tab']' en include().
Las vulnerabilidades han sido reportadas de manera interna a través de GitHub y afectan a Piwigo 2.8.3 y versiones anteriores
Recomendación
Se recomienda actualizar a la versión 2.8.5 (o superior) disponible en:
o aplicar los siguientes parches:
Más información:
Fuente: Hispasec

Denegación de servicio a través de libpng

Se ha anunciado una vulnerabilidad en libpng que podría ser aprovechada por atacantes remotos para provocar condiciones de denegación de servicio en aplicaciones y sistemas que usen esta librería.
El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.
Datalle e Impacto de la vulnerabilidad
  • El fallo (con CVE-2016-10087) reside en una desreferencia de puntero nulo en png_set_text_2() cuando una aplicación de edición de imágenes añade, elimina o edita chunks de texto a una imagen PNG. El problema no afecta los visualizadores puros, solo a editores que hagan uso de versiones de la librería hasta la 1.6.26, 1.5.27, 1.4.19, 1.2.56 y 1.0.66.
Recomendación
Más información:
Fuente: Hispasaec

PAZERA. Un troyano para entidades chilenas

El "regalo" navideño viene en forma de un nuevo malware bancario especialmente dirigido a múltiples entidades Chilenas, que llega a través de un correo que suplanta la Policía chilena y en un fichero comprimido.
El correo que recibe el usuario se hace pasar por el PDI (Policía de Investigaciones de Chile), con un mensaje alarmante:
"Atencion Ciudadano, Citacion para comparecimiento ante el tribunal de justicia. - ( 82495995797  )
En un principio, el archivo comprimido incluido contiene un archivo JavaScript ofuscado, de manera que es complejo entender su funcionamiento. Tras observar con detenimiento se tiene una idea clara de su comportamiento.
Lo primero de todo, es que se conecta a distintos puntos para obtener los archivos necesarios, siendo en este caso un archivo comprimido de nombre aleatorio y protegido con contraseña. Paralelamente, se descarga un archivo binario que en principio no presenta maldad alguna, concretamente un portable de 7-Zip. Este extractor se utiliza para descomprimir el binario final utilizando la contraseña “pazera2012”.
El modus operandi de este malware o “pazera”, por llamarlo de alguna forma, es el de inyectarse en Internet Explorer para obtener las credenciales que busca. En este caso, observa constantemente el texto de los títulos de pestañas y de las URLs que visitamos hasta dar con uno de sus objetivos.  Podemos ver un ejemplo de lo que captura, en este caso se probó a buscar Santander Chile en Bing, sabiendo que Santander es una de las entidades afectadas, y vemos que la información es capturada por el malware...
Entre las entidades afectadas, se encuentran:
  1. ScotiaBank
  2. Banco Falabella (Chile)
  3. Corpbanca
  4. BBVA Chile
  5. Santander Chile
Con todo esto, los accesos remotos a los que conecta son de origen brasileño, por lo que es muy posible que un atacante de dicho país esté detrás de esta campaña.
Ante este tipo de amenazas donde los antivirus no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.
Muestra:
Fuente: Hispasec

KASPERSKY. Múltiples vulnerabilidades en productos suyos

Se han anunciado múltiples vulnerabilidades en diferentes productos Kaspersky que podrían permitir a atacantes remotos evitar la validación de certificados o a usuarios locales obtener una llave SSL privada.
Recursos afectados
  • Kaspersky Anti-Virus 2016, 2017
  • Kaspersky Internet Security 2016, 2017
  • Kaspersky Total Security 2016, 2017
  • Kaspersky Small Office Security 4, 5
  • Kaspersky Fraud Prevention for Endpoints 6.0
  • Kaspersky Safe Kids for Windows 1.1
  • Kaspersky Endpoint Security for Mac
Los problemas fueron reportados por el conocido Tavis Ormandy de Google Project Zero. No es la primera vez que este investigador se centra en productos de seguridad, y más concretamente en Kaspersky. En esta ocasión el problema reside en la característica de inspección de tráfico SSL/TLS que los antivirus Kaspersky usan para detectar potenciales riesgos escondidos dentro de las conexiones cifradas.   
Un usuario local puede obtener una llave privada empleada para gestionar conexiones SSL y construir ataques contra las conexiones SSL iniciadas por el navegador del usuario atacado.
Cuando el usuario atacado confía explícitamente en un certificado SSL no válido para un determinado sitio, es posible que un usuario remoto pueda omitir las advertencias de validación de certificados de los sitios enumerados en los Subject Alternative Names del certificado SSL no válido original.
Por último, un usuario remoto que pueda realizar un ataque de hombre en el medio podría aprovechar un error en la caché del certificado SSL para acceder a conexiones SSL iniciadas por el navegador del usuario de destino para un sitio.
Recomendación
Kaspersky ha publicado actualizaciones para los siguientes productos:
  • Kaspersky Anti-Virus 2016, 2017
  • Kaspersky Internet Security 2016, 2017
  • Kaspersky Total Security 2016, 2017
  • Kaspersky Small Office Security 4, 5
  • Kaspersky Fraud Prevention for Endpoints 6.0
  • Kaspersky Endpoint Security for Mac
La corrección se incluyo a través de la autoactualización el pasado 28 de diciembre. Se recomienda actualizar los productos afectados.
Más información:
Fuente: Hispasec

GOOGLE. Corrige 95 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de enero en el que corrige un total de 95 vulnerabilidades, 29 de ellas calificadas como críticas.
Detalle de las vulnerabilidades corregidas.
  • En el nivel de parches de seguridad 2017-01-01 ("2017-01-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.
  • En este bloque se solucionan 23 vulnerabilidades, tan solo una de ellas se considera crítica y podría permitir la ejecución remota de código en MediaServer. Otras 14 de ellas son de gravedad alta y otras ocho de importancia moderada. Los problemas más graves se refieren a vulnerabilidades de ejecución remota de código en MediaServer, en Framesequence, Framework APIs, Audioserver, libnl o en el almacenamiento externo.
  • Por otra en el nivel de parches de seguridad 2017-01-05 ("2017-01-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 72 fallos en subsistemas del kernel, controladores y componentes OEM. 28 de las vulnerabilidades están consideradas críticas, 27 de gravedad alta y 17 de riesgo medio. Cabe destacar que los componentes NVIDIA y Qualcomm son los más afectados.
  • Los problemas críticos se tratan principalmente de vulnerabilidades de elevación de privilegios, a través del subsistema de memoria del kernel, del sistema de archivos del kernel, del controlador MediaTek y 11 a través del controlador NVIDIA GPU. También hay otros 10 fallos en componentes Qualcomm. 
  • A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. 
Más información:
Fuente: Hispasec

Grave vulnerabilidad en HPE Operations Orchestration

Se ha confirmado una vulnerabilidad en HPE Operations Orchestration, que podría permitir a un atacante lograr comprometer los sistemas afectados.
El problema, con CVE-2016-8519, afecta a todas las versiones de HPE Operations Orchestration anteriores a la v10.70 y podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados. Sin embargo HP no ha facilitado más información sobre el problema, que fue reportado por Jacob Baines de Tenable Network Security a través de Zero Day Initiative (ZDI) de Trend Micro.
Recomendación
Más información:
Fuente: Hispasec

SQUID. Solucionadas dos vulnerabilidades

Se han solucionado dos vulnerabilidades en SQUID versiones 3x y 4.x que podrían permitir a atacantes remotos conseguir información sensible del sistema atacado.
Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).
El primer problema, con CVE-2016-10003, se debe a una comparación incorrecta de las cabeceras de las peticiones, Squid puede devolver respuestas que contengan datos privados a clientes a los que no debería llegar. Por otra parte, con CVE-2016-10002, otra vulnerabilidad debida a la manipulación incorrecta de petición condicional HTTP, de forma similar Squid puede devolver respuestas que contengan datos privados a clientes.
Ambos problemas afectan a versiones Squid 3.5 a 3.5.22 y Squid 4.0 a 4.0.16. Los problemas están solucionados en las versiones Squid 3.5.23 y 4.0.17, o se puede también aplicar los parches disponibles desde las alertas publicadas.
Más información:
Fuente: Hispasec

Cross-Site scripting en Novell GroupWise

Se ha anunciado una vulnerabilidad en Novell GroupWise 2014, que podría permitir a atacantes remotos construir ataques de cross-site scripting.
Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc. En la actualidad Novell forma parte de Micro Focus.
El problema (con CVE-2016-9169) reside en la consola web de GroupWise Document Viewer Agent que podría permtir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
  • Para resolver esta vulnerabilidad se recomienda aplicar GroupWise 2014 R2 Support Pack 1 Hot Patch 2 (o posterior).
Más información:
Fuente: Hispasec

Vulnerabilidad crítica en Cisco CloudCenter Orchestrator

Cisco ha confirmado una vulnerabilidad en la configuración Docker Engine de Cisco CloudCenter Orchestrator (CCO; anteriormente conocido como CliQr) que podría permitir a un atacante remoto sin autenticar conseguir privilegios de root en los sistemas afectados.
El problema, con CVE-2016-9223, se debe a una configuración incorrecta que provoca que el puerto de administración del Docker Engine quede accesible fuera del sistema CloudCenter Orchestrator. Un atacante podría explotar esta vulnerabilidad instalando contenedores de Docker en el sistema afectado con privilegios arbitrarios. Como impacto secundario, esto podría permitir al atacante obtener privilegios de root en el CloudCenter Orchestrator afectado.
El problema afecta a todas las versiones de Cisco CloudCenter Orchestrator (CCO) con el puerto 2375 del motor Docker Engine abierto en el sistema y enlazado a la dirección local 0.0.0.0 (cualquier interfaz), configuración por defecto.
  • Se ha solucionado en la versión de Cisco CloudCenter Orchestrator 4.6.2
Más información:
Fuente: Hispasec

Desbordamiento de búfer en la librería libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.
cURL es una librería y herramienta para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
La vulnerabilidad, con CVE-2016-9586, reside en un desbordamiento de búfer en la implementación de las funciones printf() de la libería libcurl cuando se produce una salida de un punto flotante de gran tamaño. El fallo se produce con salidas de conversión de más de 255 bytes.El fallo se debe a que en las conversiones de punto flotante se usan funciones de sistema sin las adecuadas comprobaciones.
La vulnerabilidad afecta desde la versión 7.1 hasta la 7.51.0 incluida, únicamente en la librería. Esto es la utilidad cURL no se ve afectada. Se deben tener en cuenta las aplicaciones de terceros que incluyen en su implementación la librería de forma interna.
Recomendación
Más información:
Fuente: Hispasec

Cross-site scripting en VMware vSphere Hypervisor (ESXi)

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware vSphere Hypervisor (ESXi) que podrían permitir a un atacante construir ataques de cross-site scripting.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.
Detalle e Impacto de la vulnerabilidad
  • El problema, con CVE-2016-7463, reside en que un atacante con permisos para administrar máquinas virtuales a través de Cliente Host ESXi, o engañando al administrador de vSphere para importar una máquina virtual específicamente manipulada, podría realizar ataques de cross-site scripting (XSS) almacenados en el Cliente Host ESXi. El problema se puede provocar en el sistema desde donde el Cliente Host ESXi se utiliza para administrar la máquina virtual especialmente diseñada.
Recursos afectados
  • Afecta a versiones VMware vSphere Hypervisor (ESXi) 6.0 y 5.0.
Recomendación
VMware ha publicado las siguientes actualizaciones:
  1. ESXi 6.0: ESXi600-201611102-SG
  2. ESXi 5.5: ESXi550-201612102-SG
Más información:
Fuente: Hispasec

OpenSSH. Nueva versión que soluciona diversas vulnerabilidades

Se ha publicado una nueva versión de OpenSSH destinada a corregir seis vulnerabilidades que podrían permitir la ejecución de código, elevar privilegios, obtener llaves privadas, escribir archivos o provocar condiciones de denegación de servicio.
OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.
Detalle de la vulnerabilidad
  • Un usuario remoto autenticado con control de un servicio sshd podría devolver una petición al ssh-agent para cargar un módulo PKCS#11 manipulado y ejecutar código o escribir archivos en el sistema que ejecuta ssh-agent (CVE-2016-10009).
  • Por otra parte, con CVE-2016-10010, un usuario podría conseguir privilegios de root a través del reenvío de sockets Unix-domain en sistemas con separación de privilegios desactivada. Un usuario local con privilegios podría conseguir llaves privadas del host (CVE-2016-10011).
  • Con CVE-2016-10012, una vulnerabilidad de elevación de privilegios por un fallo en la comprobación de límites en el administrador de memoria compartida. Una condición de denegación de servicio debido a que un atacante que envíe múltiples mensajes KEXINIT puede llegar a consumir hasta 128MB por conexión.
  • Por último, un atacante remoto podría evitar los controles de acceso basados en direcciones si la directiva AllowUser está configurada con rangos de direcciones CIDR no válidos.
Recomendación
  • OpenSSH ha publicado la versión OpenSSH 7.4 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.
Más información:
Fuente: Hispasec

SAMBA. Nuevas versiones que solucionan distintas vulnerabilidades

Se han publicado nuevas versiones de Samba, destinadas a solucionar tres vulnerabilidades que podrían permitir a un atacante ejecutar código de forma remota o elevar privilegios en los sistemas afectados.
Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).
Detalle de las vulnerabilidades subsanadas
  • El primero de los problemas (con CVE-2016-2123) reside en un desbordamiento de búfer en ndr_pull_dnsp_name al tratar objetos Samba NDR (Network Data Representation). Por otra parte, con CVE-2016-2125, una elevación de privilegios en servidores Kerberos en sitios de confianza. Y por último, con CVE-2016-2126, fallos en la validación PAC de Kerberos que podrían permitir elevar privilegios a usuarios locales.
Recomendación
Adicionalmente, se han publicado parches para solucionar estas vulnerabilidades:
Más información:
Fuente: Hispasec

Vulnerabilidad crítica en múltiples routers Netgear

Se ha confirmado una vulnerabilidad de inyección de comandos en múltiples modelos de routers Netgear. El problema es especialmente grave dada la facilidad con que se puede reproducir.
Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos:
  1. R6250
  2. R6400
  3. R6700
  4. R6900
  5. R7000
  6. R7100LG
  7. R7300DST
  8. R7900
  9. R8000
  10. D6220
  11. D6400
La vulnerabilidad puede permitir a un atacante remoto ejecutar comandos arbitrarios en los dispositivos afectados. Basta con tener acceso a la interfaz de administración web del router (aunque no se esté autenticado). Para conseguir su objetivo el atacante puede convencer o engañar al usuario para que visite un sitio web específicamente creado.
El ataque se reduce a:
http:///cgi-bin/;COMANDO
Un atacante puede abrir un Telnet remoto en el puerto 45, con una petición como:
http://RouterIP/;telnetd$IFS-p$IFS'45'
Como contramedida se puede desactivar la interfaz de administración web, mediante el siguiente comando:
http:///cgi-bin/;killall$IFS'httpd'
"NETGEAR is working on a production firmware version that fixes this command injection vulnerability and will release it as quickly as possible." ("NETGEAR está trabajando en una versión de firmware de producción que corrija esta vulnerabilidad de inyección de comandos y la publicará lo más rápido posible")
En la actualidad existen versiones beta del firmware que solucionan el problema para los siguientes modelos:
Y las siguientes versiones de producción del firmware:
Más información:
Fuente: Hispasec

Múltiples vulnerabilidades en McAfee VirusScan Enterprise para Linux

McAfee ha confirmado un total de 10 vulnerabilidades en McAfee VirusScan Enterprise para Linux/LinuxShield con diferentes efectos que incluyen saltos de autenticación, obtención de información sensible, Cross-Site Request Forgery o Cross-site Scripting. La combinación de varias de ellas podría permitir la ejecución remota de código como root.
Las vulnerabilidades corregidas incluyen la exposición de información sensible que podría permitir a atacantes remotos obtener la existencia de archivos no autorizados en el sistema a través de parámetros en una URL (CVE-2016-8016). Inyección de elementos especiales que podría permitir a atacantes remotos leer archivos del servidor web a través de entradas de usuario manipuladas (CVE-2016-8017).
Con CVE-2016-8018 un Cross Site Request Forgery (CSRF) y con CVE-2016-8019 otra vulnerabilidad de Cross-Site Scripting (XSS) en Attributes. Un control inadecuado de generación de código podría permitir a atacantes remotos autenticados ejecutar código arbitrario a través de parámetros http manipulados (CVE-2016-8020).
La verificación inadecuada de firma criptográfica (CVE-2016-8021) podría permitir a usuarios remotos autenticados falsificar el servidor de actualizaciones y ejecutar código arbitrario a través de un archivo manipulado. Dos vulnerabilidades (con CVE-2016-8022 y CVE-2016-8023) de salto de autenticación mediante cookies manipuladas.
Una neutralización inadecuada de secuencias CRLF en cabeceras http podría permitir a atacantes remotos sin autenticar obtener información sensible a través de falsificación de respuestas http (CVE-2016-8024). Por ultimo, con CVE-2016-8025, una inyección SQL a través de parámetros http específicamente construidos.
Los problemas afectan a VirusScan Enterprise para Linux (VSEL) 2.0.3 y anteriores. 
Recomendación
Más información:
Fuente: Hispasec

MOZILLA. Publica actualizaciones para Firefox y Firefox ESR

La Fundación Mozilla ha publicado dos boletines de seguridad considerados críticos (MFSA 2016-94 y MFSA 2016-95) destinados a corregir 13 vulnerabilidades en el navegador Firefox y otras 10 en la versión ESR de soporte extendido.
Se han publicado las versiones Firefox 50.1 y Firefox ESR 45.6. Centrándonos en el navegador Firefox, según la propia clasificación de Mozilla de las 13 vulnerabilidades corregidas cuatro vulnerabilidades están consideradas críticas, 6 de gravedad alta y 3 moderada.
Los problemas críticos residen en un desbordamiento de búfer en SkiaGL (CVE-2016-9894), un uso de memoria después de liberarla mientras se manipulan eventos DOM y elementos de audio (CVE-2016-9899), problemas de corrupción de memoria en Firefox que podrían permitir la ejecución remota de código (CVE-2016-9080) y de forma similar, múltiples problemas de corrupción de memoria en Firefox y Firefox ESR que igualmente podrían permitir la ejecución remota de código (CVE-2016-9893).
Las vulnerabilidades consideradas de gravedad alta, consisten en un uso de memoria después de liberarla en el Editor mientras se manipulan subárboles DOM (CVE-2016-9898), imágenes SVG permiten la carga de recursos externos restringidos a través de URLs data: (CVE-2016-9900) y una fuga de información en atoms compartidos (CVE-2016-9904).
Se han publicado las versiones Firefox 50.1 y Firefox ESR 45.6, disponibles para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Fuente: Hispasec