23 de febrero de 2017

ANTIVIRUS. Podrían hacer las conexiones HTTPS inseguras

Las conexiones HTTPS se caracterizan principalmente por viajar cifradas de extremo a extremo y con la certeza de que estas conexiones no son interferidas ni monitorizadas por piratas informáticos en el trayecto. Actualmente, más de la mitad de Internet ya utiliza conexiones HTTPS para garantizar la seguridad de las conexiones de sus usuarios, sin embargo, últimamente, los antivirus pueden estar poniendo en peligro estas conexiones sin que nosotros nos demos cuenta.
Desde hace algún tiempo, muchos de los antivirus comerciales están utilizando técnicas MITM para poder analizar el tráfico HTTPS y poder proteger a los usuarios de posibles amenazas que nos lleguen a través de la red. Sin embargo, las técnicas utilizadas por estas aplicaciones, en realidad, suponen un peligro mucho mayor para la seguridad y privacidad del que suponen proteger.
Las aplicaciones de seguridad suelen interceptar estas conexiones mientras se realiza la negociación “TLS handshake“, tomando el control de las conexiones y descifrando el tráfico para poder analizarlo. Aunque después el antivirus suele utilizar otros algoritmos para cifrarlas, un estudio ha demostrado que estos algoritmos son débiles, inseguros, y suponen un gran peligro para los usuarios.
Entre otros datos interesantes, este estudio ha demostrado que, por culpa de esta agresiva técnica de los antivirus modernos, el 97% de las conexiones realizadas desde el navegador Mozilla Firefox, el 32% de las compras online y el 54% de las conexiones realizadas a través del CDN Cloudflare se hicieron menos seguras y pudieron poner en peligro a los usuarios.
Fuente: Redes Zone.net



EEUU. Donald Trump y sus 3.000 webs

   El presidente ha comprado dominios en internet para proteger su nombre y evitar ataques de detractores y "ciberocupas"
   De 'TrumpEmpire.com' a 'TrumpFraud.org', pasando por 'DonaldJTrump.com', el presidente de Estados Unidos, Donald Trump, es propietario de 3.643 dominios en internet, según un análisis de la cadena de televisión CNN.
   A Trump no sólo le gusta poner su nombre en letras doradas en la entrada de sus edificios y en los productos más variados -desde el vino Trump a la fracasada universidad Trump, pasando por los filetes Trump-, sino también en internet.
   El presidente ha comprado más de 3.000 dominios de internet no sólo para proteger su marca, sino también para evitar que sus detractores "ciberocupen" dominios para atacarle.
   Su hija, Ivanka Trump, ha seguido el ejemplo de su padre y ha adquirido más de 300 dominios. "Desafortunadamente, la ciberocupación ('cyber squatting', en inglés), la publicación de contenido falso y el uso de nombres 'negativos' de domino es un asunto serio al que se enfrentan todas las compañías grandes en todo el mundo", explicó a través de un comunicado Amanda Miller, portavoz de Trump Organization, la compañía familiar cuyo control Trump ha dejado en manos de sus hijos, Eric y Donald Jr., al llegar a la Casa Blanca.
   Según la portavoz de Trump Organization, la compañía se toma "muy en serio" la protección de su identidad corporativa y propiedad intelectual. De ahí, que haya decido comprar tanto los dominios positivos como los negativos que lleven el nombre de Trump.
   Si es necesario la compañía toma "acciones legales firmes" para proteger la marca, explicó la portavoz.Trump es propietario de dominios positivos como 'TrumpOrganization.com' o 'DonaldJTrump.com', pero también de dominios negativos como 'TrumpScam.com', 'IamBeingSuedByTheDonald.com', 'DonaldTrumpPyramidScheme.com' o 'TrumpFraud.org'.
   Antes de lanzarse a la carrera a la Casa Blanca, compró los dominios 'VoteAgainstTrump.com', 'NoMoreTrump.com', 'TrumpMustGo.com', 'ThrowOutTrump.com', 'TrumpisFired.com', 'InTrumpWeTrust.com' y 'MakeAmericaGreatAgain.us'.
   El lema de su campaña electoral fue precisamente "Hacer a Estados Unidos grande otra vez". El multimillonario amplió su colección de dominios de internet con la compra de 93 nuevos dominios después de lanzar su candidatura presidencial en junio de 2015.
   Aunque Trump sea propietario de todos estos dominios, muchos no los utiliza. La mayoría son 'websites' vacías y otras redirigen al público a otras páginas web del imperio Trump.
   Según CNN, solo 50 de los más de 3.000 dominios del presidente son sitios webs únicos relacionados con los negocios de Trump.
Fuente: El Mundo.es

ACCENTURE. Las organizaciones tienen que 'reiniciar' sus modelos de ciberseguridad

Las políticas actuales de ciberseguridad de muchas compañías son ineficaces. La consultora Accenture aporta recomendaciones para reducir los riesgos y adoptar una "confianza justificada".
Claves para mantener su empresa a salvo de los cibercriminales
·        Defina el éxito en ciberseguridad. Adapte las estrategias de seguridad a las necesidades de la empresa y mejore su capacidad de detectar y evitar ataques cada vez más sofisticados.
·        Ponga a prueba sus defensas. Recurra a 'sombreros blancos' ('hackers' éiticos) externos para simular ataques y tener una evaluación realista de sus capacidades internas.
·        Proteja desde el interior. Dé prioridad a proteger los activos clave de la organización y concéntrese en evitar ataques internos que tienen un mayor impacto potencial.
·    Siga innovando. Invierta en programas avanzados que le permitan anticiparse a sus adversarios, en lugar de invertir más en programas que ya existen.
·        Implique a todos. Muchos ataques no son detectados por el equipo de seguridad, sino por otros empleados. Dé prioridad a la formación de todos los empleados.
·        Logre el apoyo de la dirección. Los CISO deben estar en contacto con los líderes de sus empresas y convencerles de que la ciberseguridad es prioritaria para salvaguardar el valor de la empresa.
La consultora tecnológica ha realizado una encuesta global a más de 2.000 ejecutivos de ciberseguridad, con conclusiones como las siguientes: el 79% asegura que la ciberseguridad es parte de la cultura de su organización y, sin embargo, sólo el 40% invertiría en mitigar pérdidas financieras. En España, una organización recibe una media de 94 ataques dirigidos al año, de los que una tercera parte alcanza su objetivo, lo que equivale a dos o tres ataques con éxito al mes. Y, sin embargo, sólo el 30% invertiría en formación sobre ciberseguridad.
"La posición de España muestra una preocupante desconexión entre las inversiones realizadas y la confianza real en que las compañías van a poder responder adecuadamente ante ataques dirigidos", advierte David Pérez Lázaro, managing director de Accenture Security España.
El problema es aún más grave por el tiempo que se tarda en detectar estos ataques. Según este estudio, el 59% (51% a nivel global) de los encuestados reconoce que tarda "meses" en identificar un ataque, mientras que otro 5% (17%) necesita "un año" o más para detectarlo.
Ahora bien, el 57% confiesa no confiar en la capacidad de los controles internos de su organización para detectar posibles ataques.
La consultora recomienda invertir en los siguientes siete dominios de ciberseguridad para mejorar sus defensas y adquirir resiliencia:
  1. Exposición al riesgo. Sólo el 23% de las empresas puede identificar activos y procesos de negocio de alto valor. "Analice distintos incidentes de ciberseguridad que pueden afectar a la empresa, identifique factores comunes, puntos de decisión y obstáculos al desarrollo de la estrategia", dice Accenture.
  2. Gobierno y liderazgo. Sólo el 15% de las empresas tiene una cadena de mando clara para ciberseguridad. "Establezca responsabilidades, fomente una cultura de seguridad y defina una cadena de mando clara para ciberseguridad".
  3. Contexto estratégico. Sólo el 25% de las empresas es competente en la monitorización de amenazas. "Adapte el programa de seguridad a la estrategia de negocio, analizando riesgos competitivos y geopolíticos, estudiando lo que hace la competencia e identificando otras amenazas".
  4. Resiliencia. Sólo el 19% de las empresas cuenta con sistemas y procesos diseñados conforme a requisitos de resiliencia. "Estudie las posibles amenazas, defina modelos de protección de activos y use técnicas de diseño resiliente para limitar las consecuencias de un ciberataque".
  5. Capacidad de respuesta. Sólo el 31% de las empresas tiene vías eficaces de escalado de incidentes. "Defina un sólido plan de respuesta, un buen sistema de notificación de incidentes, planes probados de protección y recuperación de activos clave, y vías eficaces de escalado de incidentes".
  6. Ecosistema extendido. Sólo el 19% de las empresas gestiona de forma eficaz la ciberseguridad de terceros, y sólo el 15% es competente en el cumplimiento de normativas sobre ciberseguridad. "Prepárese para colaborar en la gestión de una crisis, defina cláusulas y acuerdos de ciberseguridad de terceros, y garantice el cumplimiento de normativas sobre ciberseguridad".
  7. Inversión eficiente. Sólo el 19% de las inversiones en ciberseguridad protege activos clave. "Justifique las inversiones en ciberseguridad comparándolas con referencias industriales, objetivos de negocio y tendencias de ciberseguridad".
En definitiva, se trata de justificar la confianza en la organización de seguridad. "La ciberseguridad debe estar embebida en cualquier proceso de negocio y formar parte inseparable de cualquier iniciativa de transformación digital.
Más información
Fuente: Expansion.com

MICROSOFT. Actualización solo para Flash

Una semana después de informar que este mes no habría actualizaciones de seguridad, Microsoft ha publicado un boletín (el MS17-005) para solucionar únicamente las vulnerabilidades relativas a Flash Player.
Aunque Microsoft había anunciado que no publicaría más boletines en el formato habitual, una semana después de la fecha esperada ha sorprendido con el ya habitual boletín en el que se resuelven las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico.
Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-04 de Adobe .
Resulta un poco extraño la publicación de este único boletín, aun más cuando existen dos vulnerabilidades públicamente conocidas y aun sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado por Project Zero de Google, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038). Todo indica, que tendremos que seguir esperando hasta el próximo 14 de marzo (segundo martes del mes).
En cualquier caso, esta actualización puede descargarse a través de Windows Update o desde Microsoft Update Catalog donde se incluyen las direcciones de descarga directa de cada parche. También se instalará a través de las actualizaciones automáticas en caso de estar programadas.
Más información:
Fuente: Hispasec

ANDROID. El mes de Enero más de 1.100 ransomwares

El ransomware es un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.
A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware.
Haciendo uso de una recolección de datos de seis meses, podemos observar como éste último muestra un aumento muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar un incremento en este tipo de malware en Android, e incluso como hemos podido llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos muy particulares para los que se debe reorientar la programación del malware para aprovechar las características de este tipo de sistemas o adaptar los vectores de infección.
De entre todas las muestras recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware, se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así, se pueden observar cinco grandes grupos basados en la extracción de particularidades en su comportamiento. Estas muestras se nos pueden presentar de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres de aplicación, sin embargo, poseen un cuerpo de características comunes muy significativo.
Estamos por tanto frente a un auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical en el número de detecciones e infecciones exitosas como de una ramificación grupal en base a su "modus operandi", debido a la evolución de este tipo de malware o a nuevos grupos de creadores de malware que progresivamente van adaptándose a la plataforma móvil Android.
¿Cómo evitamos este tipo de malware? 
  • No existen la solución definitiva. Todo está expuesto y todos estamos expuestos al comportamiento dañino de un código que termina haciendo aquello que menos esperamos cuando aceptamos su instalación. 
  • De nuevo, las medidas son los principios básicos: sentido común como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la comunidad.
Fuente: Hispasec

IBM. Corrige una vulnerabilidad en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Application Server que podría permitir la realización ataques de Cross-Site Scripting.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
El problema (con CVE-2017-1121) podría permitir a un atacante remoto realizar ataques de cross-site scripting debido a una validación inadecuada de las entradas del usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador y permitir la obtención de credenciales.
Recursos afectados
  • Se ven afectadas las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5 y 9.0.
Recomendación
Más información:
Fuente: Hispasec

VULNERABILIDAD. Elevación de privilegios en la maquina anfitriona en Xen

Se ha anunciado un problema de seguridad en Xen que podría permitir a un administrador de un sistema huésped conseguir información sensible o privilegios elevados en la máquina anfitriona.
Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.
Detalle de la vulnerabilidad
·        El problema anunciado, con CVE-2017-2615, reside en un acceso a memoria fuera de límites en qemu en la emulación de tarjetas de vídeo Cirrus, que podría permitir a usuarios administradores en el sistema invitado obtener información sensible de la memoria o conseguir privilegios elevados en el sistema anfitrión.
Recursos afectados
·        Se ven afectados los sistemas Xen que se ejecutan en x86 con invitados HVM, con el proceso qemu ejecutándose en dom0. Sólo los invitados que dispongan de la tarjeta de video emulada "Cirrus" pueden aprovechar la vulnerabilidad. La tarjeta de vídeo emulada no predeterminada "stdvga" no es vulnerable. Los sistemas ARM no son vulnerable, así como los que solo usan invitados PV.
Recomendación
Se han publicado las siguientes actualizaciones:
  1. Para mainline qemu, qemu-xen master,4.8 http://xenbits.xen.org/xsa/xsa208-qemuu.patch
  2. Para qemu-xen 4.4, 4.5, 4.6, 4.7 http://xenbits.xen.org/xsa/xsa208-qemuu-4.7.patch
  3. Para qemu-xen-traditional http://xenbits.xen.org/xsa/xsa208-qemut.patch 
Más información:
Fuente: Hispasec

OPENSSL. Denegación de servicio

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL destinada a corregir una vulnerabilidad, calificada de gravedad alta, que podría permitir la realización de ataques de denegación de servicio.
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).
Detalle de la vulnerabilidad
  • La vulnerabilidad, con CVE-2017-3733, reside en que si durante una renegociación se encuentra la extensión Encrypt-Then-Mac pero esta no estaba en la negociación original (o viceversa) se puede provocar una denegación de servicio (dependiendo de la suite de cifrado). Se ven afectados tanto clientes como servidores.
Recomendación
OpenSSL ha publicado la versión 1.1.0e disponible desde http://openssl.org/source/
  • No afecta a versiones OpenSSL 1.0.2.
  • Se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.
Más información:
Fuente: Hispasec

MICROSOFT. Retrasa sus parches de febrero hasta el 14 de marzo

Microsoft ha anunciado que la publicación del paquete de actualizaciones planificadas para este pasado martes 14 de febrero se retrasa hasta el próximo 14 de marzo (segundo martes del mes). Problemas de última hora sin confirmar han obligado a la compañía a tomar esta drástica medida.
Se esperaban las actualizaciones de Microsoft de este segundo martes de mes con mayor inquietud que otros meses. Ya era conocido el cambio de modelo de anuncio y distribución de las actualizaciones lo que hacía que a la habitual curiosidad de todos los meses por saber los problemas corregidos se juntara la expectación por comprobar esos cambios de forma efectiva.
Sin actualizaciones en febrero
Pero con cierta sorpresa el pasado día 14, segundo martes de febrero, no se publicaba ninguna nueva actualización. Ya sabíamos que no habría boletines, pero la Security Update Guide, base de datos donde debían recogerse los nuevos parches, tampoco reflejaba ninguna novedad.
Posteriormente Microsoft publicaba un escueto comunicado en el informaba de que un problema de última hora podría afectar a algunos clientes y sin posibilidad de resolverlo a tiempo para ofrecer las actualizaciones planificadas. Por lo que tras considerar todas las opciones decidían retrasar los parches de este mes.
"After considering all options, we made the decision to delay this month’s updates. We apologize for any inconvenience caused by this change to the existing plan."
Pero ese "problema" del que no han ofrecido más detalles debe ser mucho más complicado de resolver de lo esperado inicialmente. Ya que finalmente en un añadido, aun más escueto, a la anterior información Microsoft comunicaba su decisión de retrasar todas las actualizaciones de febrero hasta el 14 de marzo.
"UPDATE: 2/15/17: We will deliver updates
as part of the planned March Update Tuesday,
March 14, 2017."
No está claro cuál es ese problema de última hora, pero muchos creen que tiene algo que ver con las actualizaciones acumulativas, esto es la inclusión de todos los parches publicados en uno solo. Anteriormente en el modelo de actualizaciones independientes en caso de un problema con uno de los parches éste podía ser excluido fácilmente de la publicación mensual sin afectar al resto de boletines. Recordamos muchos meses en los que "curiosamente" había un salto en la numeración de los boletines. Ahora se especula que el sacar uno de los parches de todo un paquete conjunto puede ser mucho más problemático que anteriormente.
En cualquier caso seguimos desconociendo las causas de este retraso y todo son especulaciones.
Fuente: Hispasec

APPLE. Publica una nueva actualización de seguridad para GarageBand

Hace menos de un mes Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Lamentablemente el problema no quedó totalmente solucionado, y se hace necesaria una nueva actualización.
GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.
De nuevo es Tyler Bohan del equipo Cisco Talos el que reporta el problema, que reside en una escritura fuera de límites al tratar archivos de proyecto específicamente creados y que da lugar a condiciones explotables. También confirman que la vulnerabilidad es resultado de una corrección incompleta del fallo anterior.
"This vulnerability is the result
of an incomplete fix of bug id
TALOS-2016-0262 / CVE-2017-2372."
Afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.6 para solucionar el problema descrito.
Como ya hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.
Más información:
Fuente: Hispasec

ADOBE. Actualizaciones de seguridad para Flash Player, Digital Editions y Campaign

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 13 vulnerabilidades en Flash Player, nueve en Digital Editions y dos en Adobe Campaign.
Flash Player
El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-04 que soluciona 13 vulnerabilidades.
Los problemas incluyen cuatro vulnerabilidades de corrupción de memoria, tres desbordamientos de búfer, una vulnerabilidad de confusión de tipos, un desbordamiento de entero y cuatro por uso de memoria después de liberarla; todas ellas podrían permitir la ejecución de código. Los CVE asignados son CVE-2017-2982, CVE-2017-2984 al CVE-2017-2988 y CVE-2017-2990 al CVE-2017-2996.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 24.0.0.221
  2. Flash Player para Linux 24.0.0.221
  3. Igualmente se ha publicado la versión 24.0.0.221 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
Recomendación
Adobe Digital Editions
También se han solucionado nueve vulnerabilidades en Adobe Digital Editions (ADE), un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.
Se han solucionado nueve vulnerabilidades de de desbordamiento de búfer, aunque solo una de ellas podría permitir la ejecución remota de código. Los CVE asignados son CVE-2017-2973 al CVE-2017-2981.
Recomendación
Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.4 desde:
Adobe Campaign
Por último, Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad de impacto moderado, que podría permitir a un usuario autenticado con acceso a la consola de cliente subir un archivo malicioso y ejecutarlo (CVE-2017-2968). También se resuelve otro problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2017-2969).
Recomendación
Más información:
Fuente: Hispasec

FORTIMANAGER. Exposición de datos sensibles.

Una inapropiada validación por parte del software del FortiManager de los certificados TLS puede conducir a que un atacante remoto acceda a claves secretas en el dispositivo afectado, catalogada de  Importancia 4 Alta
Detalle e impacto de la vulenerabilidad
  • Un usuario malintencionado podría aprovechar una incorrecta validación de los certificados TLS que se produce en el momento en que un FortiManager sondea en busca de dispositivos para ser gestionados. Una explotación exitosa de esta vulnerabilidad permitirá al atacante acceder a claves secretas contenidas en el FortiManager.
Recursos afectados:
  • FortiManager 5.0.6 a 5.2.7 y 5.4.0 a 5.4.1.
Recomendación
Más información
Fuente: INCIBE

Cisco UCS. Escalado de privilegios.

Se ha detectado una vulnerabilidad que permite a un usuario local autenticado la ejecución de flujos de trabajo arbitrario unicamente con un perfil de usuario final, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  • Versiones 6.0.0.0 y 6.0.0.1 del Cisco UCS
Detalle e impacto de la vulnerabilidad:
  • La gestión inadecuada del acceso basado en roles una vez que se habilita el menú de desarrollador podría permitir a un atacante habilitar, a través de su usuario, dicho menú. Con esto el usuario puede  añadir nuevos catálogos con items de flujo de trabajo arbitrario arbitrarios a su perfil, lo que le permitiría generar flujos con acciones que afecten otros usuarios.
Recomendación
  • Cisco ha publicado una la versión de UCS Director 6.0.1.0, que corrige esta vulnerabilidad.
Más información
Fuente: Hispasec

SAP. Actualización de seguridad de febrero de 2017

SAP ha corregido vulnerabilidades de seguridad en diferentes productos, catalogada de Importancia: 4. Alta
Recursos afectados:
  1. NWAs 710: SP16 a SP21
  2. NWAs 711: SP12 a SP16
  3. NWAs 730: SP12 a SP16
  4. SUPDOE Add-On 731: SP01 a SP04
  5. SAP Web IDE for SAP HANA
  6. AP 3D Visual Enterprise Author, Generator and Viewer
  7. DOE Administration Portal
  8. Componente BC-SRV-KPR-DMS
Otros: consultar el enlace proporcionado en la sección "Más información"
Recomendación
  • Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
Detalle e Impacto de la vulnerabiloidad:
En la actualización mensual, SAP ha publicado 15 nuevas notas de seguridad de las que detallamos las más críticas:
  • Vulnerabilidad en el motor SAP Netweaver Data Orchestration (Alta): vulnerabilidad debido a que no se chequea correctamente la autorización.
  • Vulnerabilidad en interfaz web de SAP HANA (Alta): vulnerabilidad en SAP HANA que podría permitir la manipulación remota de datos así como denegación de servicio.
  • Configuración de Trusted RFC en GRC Access Control EAM (Alta): podría aprovecharse un problema existente en el modo en que se realiza el control de acceso a la cuenta Fire Fighter ID.
  • Corrupción de memoria en SAP 3D Visual Enterprise Author, Generator and Viewer: un bug podría permitir que un atacante consiguiera acceso al servidor SAP.
  • Elevación de proivilegios (Alta): vulnerabilidad que permite que un usuario pueda crear y ejecutar su propia transacción si se ha realizado previamente una autorización de perfil incorrecta.
Más información
Fuente: INCIBE