7 de mayo de 2017

EEUU.. El Pentágono todavía usa Windows 95

Muchos de los sistemas críticos de seguridad del Pentágono funcionan con versiones anticuadas de Windows que al no estar conectados a Internet, el riesgo de sufrir ataques informáticos es más reducido
Actualizar teléfonos, ordenadores y otros dispositivos es una de las claves más básicas para tener dispositivos seguros, en parte porque las grandes compañías actualizan constantemente sus sistemas operativos, y en parte también porque dichas empresas abandonan las versiones más antiguas, haciéndolas más inseguras ante hackers y otros usuarios malintencionados.
Curiosamente, el mismísimo Pentágono hace oídos sordos a estas recomendaciones y todavía mantiene versiones muy anticuadas de Windows en algunos sistemas de seguridad que son críticos, tal y como expone la web especializada en defensa militar Defense One.
Según comenta uno de los responsables de la oficina del Subsecretario de Defensa de Energía, Instalaciones y Medio Ambiente, alrededor de un 75% de los ordenadores todavía trabajan con Windows XP, Windows 98 e incluso Windows 95, que ya tiene más de 20 años a sus espaldas. Y, al parecer, esto no pasa sólo en el Pentágono, sino que otras 15 instalaciones militares del Departamento de Defensa están en la misma situación.
En un contexto diferente, esto sería un problema inmenso, dado que dichos sistemas operativos ya no se actualizan oficialmente y alguien con conocimientos suficientes podría colarse en una de las instalaciones más importantes para el gobierno de los EEUU. Sin embargo, parece que los sistemas que funcionan con estas versiones tan viejas de Windows no están conectados a Internet, por lo que la única forma de colarse en ellos sería estar físicamente delante del dispositivo y acceder a su red cerrada, lo que sin duda no es tan sencillo. Eso no significa que no haya riesgos, pues sí existen comunicaciones entre ordenadores con sistemas operativos obsoletos que están conectados por red a otras instalaciones del Gobierno, lo que sí los haría más vulnerables a ataques informáticos.
El Pentágono está actualmente actualizando parte de su infraestructura a la última versión de Windows, si bien no parece que los ordenadores con funciones críticas vayan a ponerse al día con la misma velocidad que los equipos de oficina.
Más información
Fuente: El Mundo.es

FRANCIA. Correos electrónicos de campaña presidencial de francés Macron se filtran en internet

El comité de campaña del candidato Emmanuel Macron dijo el viernes que fue blanco de un "enorme" ataque informático que volcó a internet correos electrónicos, contratos y documentos contables, ocurrido precisamente poco antes que los franceses elijan a su futuro presidente entre el candidato de centro y la rival de ultraderecha Marine Le Pen.
Un usuario identificado como EMLEAKS publicó cerca de nueve gigabytes de datos en Pastebin, un sitio para compartir documentos que permite subir material de forma anónima. No fue posible comprobar inmediatamente si la información subida era genuina, ni la identidad de la persona que la publicó.
"El movimiento En Marche! (¡En marcha!) ha sido víctima de un ataque coordinado de gran escala esta tarde, que ha dado paso a la difusión en las redes sociales de información interna", informó el movimiento político de Macron a través de un comunicado.
Un representante del Ministerio del Interior de Francia no quiso referirse al tema, aduciendo reglamentaciones que prohíben hacer comentarios que pudieran influenciar una elección y que entraron en vigencia a la medianoche del viernes (2200 GMT) y abarcan hasta el cierre de los últimos centros de votación el domingo a las 1800 GMT.
Las encuestas mostraban que Macron se encaminaba a derrotar a Le Pen en las elecciones de hoy domingo, en la que se considera la elección más importante del país en décadas.
El equipo de campaña de Macron ya había denunciado intentos de intervenir sus sistemas, que atribuyó a piratas informáticos rusos. El Kremlin negó que estuviera detrás de tales ataques.
En su comunicado, En Marche! declaró que los documentos que se divulgaron mostraban sólo el funcionamiento normal de una campaña presidencial, pero que textos auténticos se habían mezclado en las redes sociales con datos falsos para sembrar "duda y desinformación".
Fuente: Reuters

GOOGLE. Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas para corregir una nueva vulnerabilidad y ofrecer la migración a 64 bits.
El navegador se actualiza a la versión 58.0.3029.96 para Windows, Mac y Linux. En esta ocasión Google confirma la corrección de una nueva vulnerabilidad considera de gravedad alta.
Cabe señalar que en el aviso Google indica que para mejorar la estabilidad, rendimiento y seguridad los usuarios que actualmente cuentan con una versión de 32 bits de Chrome, y un Windows 64-bits con 4GB o más de memoria en la autoactualización se efectuará la migración automática a la versión 64 bits del navegador. La version 32 bits de Chrome seguirá estando disponible desde la página de descargas de Chrome.
La vulnerabilidad corregida está considerada como de gravedad alta y consiste en una condición de carrera en WebRTC (CVE-2017-5068). Según la política de la compañía ha supuesto 500 dólares de recompensa al descubridor del problema.  https://twitter.com/GoogleChromeDev/status/859479386063388672
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

WORDPRESS. Grave vulnerabilidad “0-day” que permite restablecer contraseñas

Se ha anunciado un grave 0-day en WordPress que podría permitir a un atacante sin autenticar conseguir el enlace de restablecimiento de contraseña y de esta forma obtener acceso a la cuenta de la víctima.
Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos. WordPress tiene un porcentaje de uso superior al 27% entre los principales 10 millones de sitios web. A su vez WordPress se sitúa como el sistema más popular de administración de blogs con más de 60 millones de usuarios.
El problema, con CVE-2017-8295, reside en la funcionalidad de reinicio de contraseña que podría permitir a un atacante obtener el enlace de restablecimiento de contraseña sin autenticación previa. Esto se debe a la utilización de datos no fiables de forma predeterminada al crear el correo de restablecimiento de contraseña, que se supone que solo se entrega al propietario de la cuenta.
[Adv.Update] #WordPress 4.7.4 Unauth. Pass Reset
Example scenarios divide into requiring interaction and no inter.https://t.co/d8g3kDzo0W
— Dawid Golunski (@dawid_golunski) 4 de mayo de 2017
De esta forma mediante la modificación de la petición http el atacante podrá construir una petición de solicitud de reinicio de contraseña de cualquier usuario. En determinadas configuraciones del servidor web, el atacante podrá enviar un valor de cabecera HTTP_HOST específicamente construido a la página de reinicio de contraseña para modificar los valores de cabeceras de correo SMTP 'From' o 'Return-Path' que se utilizan para enviar el correo electrónico de restablecimiento de contraseña. Si el servidor de correo electrónico del usuario de destino no puede enviar mensajes SMTP al usuario de destino, el correo electrónico de restablecimiento de contraseña se puede devolver a la dirección de correo electrónico del usuario remoto.
Como resultado, el atacante podrá obtener el código de restablecimiento de contraseña. El impacto específico depende del tipo de servidor web, la configuración del servidor web y las condiciones del propio escenario (por ejemplo, el estado del servidor de correo del usuario de destino).
Se ven afectadas todas las versiones de WordPress. Según Dawid Golunski, (@dawid_golunski) el investigador que ha reportado el fallo, comunicó el problema a WordPress repetidas veces desde julio del año pasado sin obtener respuesta. Por lo que finalmente ha decidido hacerlo público a pesar de no existir solución oficial.
Más información:
Fuente: Hispasec

CISCO. Múltiples vulnerabilidades en algunos de sus productos

Se han descubierto varias vulnerabilidades en productos Cisco, siendo una de ellas de severidad crítica.
Recursos afectados:
  1. Cisco CVR100W Wireless-N VPN Router con versión anterior a Firmware Release 1.0.1.22.
  2. Routers Cisco IOS XR  con versión 6.1.1 de Cisco IOS XR Software cuando el servicio gRPC está habilitado en el dispositivo. El servicio gRPC no está habilitado por defecto.
  3. Cisco Aironet 1800 Series Access Points, versión 8.3.102.0, ejecutando Lightweight AP Software o una imagen Mobility Express.
  4. Cisco Aironet 2800 Series Access Points, versión 8.3.102.0, ejecutando Lightweight AP Software o una imagen Mobility Express.
  5. Cisco Aironet 3800 Series Access Points, versión 8.3.102.0, ejecutando Lightweight AP Software o una imagen Mobility Express.
  6. Porductos Cisco TelePresence pcon las versiones CE8.1.1, CE8.2.0, CE8.2.1, CE8.2.2, CE 8.3.0, or CE8.3.1:
    1. Spark Room OS.
    2. TelePresence MX Series.
    3. TelePresence SX Quick Set Series.
    4. TelePresence SX Series.
Recomendación
Detalle e impacto de las vulenarabilidades:
Las vulnerabilidades identificadas se detallan a continuación:
  1. Vulnerabilidad critica de búfer overflow en Cisco CVR100W Wireless-N VPN Router Universal Plug-and-Play, provocada por la comprobación incompleta de los datos de entrada UPnP. Podría ser aprovechada por un atacante adyacente de Capa-2 para ejecutar código  arbitrario o provocar una condición de denegación de servicio.
  2. Vulnerabilidad de denegación de servicio en Cisco IOS XR Software, provocada por el tratamiento inadecuado de las peticiones gRPC. El fallo podría permitir a un atacante provocar una condición de denegación de servicio al enviar peticiones especialmente diseñadas para aprovechar el fallo.
  3. Vulnerabilidad de denegación de servicio en Cisco TelePresence ICMP, provocada por la validación incorrecta del tamaño de los paquetes ICMP recibidos. El fallo podría permitir a un atacante provocar una condición de denegación de servicio al enviar peticiones ICMP especialmente manipuladas.
  4. Ejecución de código arbitrario en Cisco Aironet 1800, 2800, and 3800 Series Access Points Plug-and-Play provocada por la validación insuficiente de respuestas de los servidores PnP.
Más información
Fuente: Hispasec

IBM. Vulnerabilidad de redirección abierta en WebSphere Portal

IBM ha publicado un parche para una vulnerabilidad que permitiría realizar un ataque de redirección a un usuario que visite una web manipulada, provocando de esta manera ser víctima de ataques de phishing, catalogada de importancia: 4 - Alta
Recursos afectados:
  1. IBM WebSphere Portal 9.0.
  2. IBM WebSphere Portal 8.5.
Detalle e impacto de la vulnerabilidad
  • IBM ha corregido una vulnerabilidad de redirección abierta que permitiría a un atacante remoto realizar ataques de phishing utilizando esta vulnerabilidad a través de una página web manipulada si un usuario la visita. De esta manera, el atacante podría falsear la URL mostrando al usuario una URL válida aunque en realidad fuera redirigido a un sitio web malicioso. Esto permitiría al atacante completar el ataque de phishing y obtener información sensible del usuario.
Recomendación
Más información
Fuente: INCIBE

CIBERSEGURIDAD. Cómo mejorar la inteligencia de las empresas en este ámbito

Sin embargo, construir una inteligencia de seguridad web es complejo. Esto requiere que las empresas hagan el seguimiento de varios temas, entre los cuales se encuentra las firmas de malware, las reglas de cortafuegos de aplicaciones web, las visualizaciones gráficas del tráfico de red y las descripciones de las amenazas. Pero muchas empresas solo tienen una única perspectiva: los ataques contra ellas mismas. Necesitan contexto como por ejemplo saber si existen ataques específicos contra otras empresas del mismo sector o ataques generalizados que están ocurriendo en otras partes en Internet.
Cada vez más, las empresas entienden la importancia de tener una perspectiva más amplia. Para conseguir datos contextuales sobre eventos de ciberseguridad, emplean varias fuentes de datos, incluyendo a proveedores de seguridad externos, organizaciones industriales e incluso motores de búsqueda. Pero, dichos métodos no son suficientes. Las empresas no tienen un alto nivel de confianza en las Fuentes de información que usan. Necesitan maneras efectivas y eficientes de agregar datos, analizarlos y utilizarlos para protegerse.
¿Qué falta en las estrategias de inteligencia en ciberseguridad?
Desgraciadamente, a medida que van evolucionando los problemas de seguridad, los esfuerzos en términos de inteligencia de las empresas no siguen el ritmo. Los hackers comparten mucho mejor la información que las propias empresas. Una vez que los hackers han encontrado una vulnerabilidad, la ponen a la venta o sencillamente la comparten en los medios sociales.
Las empresas no son tan ágiles. Les cuesta mantener actualizadas las reglas, firmas y parches. El panorama de amenazas cambia muy rápido y las empresas siguen el ritmo a duras penas. Sin embargo, solo la agregación de información procedente de numerosos ataques en muchos sitios puede ofrecer a las empresas una visión sobre las tendencias en términos de ciberseguridad. Por ejemplo ¿qué puertos se ven más atacados? ¿Cuándo ocurren más a menudo los ataques?
Cómo pueden ayudar las soluciones de inteligencia en ciberseguridad
Las soluciones de inteligencia en ciberseguridad son importantes. Al analizar información procedente de varias Fuentes, las empresas adquieren un conocimiento contextual que les puede ayudar a protegerse. Por ejemplo, si un retailer ve que otro retailer ha sido atacado, incluso si el informe mantiene el anonimato del atacado, dicho retailer puede aumentar sus medidas de seguridad.
Las empresas están utilizando soluciones de inteligencia de terceros para realizar las siguientes tareas:
1.    Medir, seguir y registrar las amenazas de seguridad
2.    Identificar, absorber y bloquear las amenazas de seguridad
3.    Desarrollar una estrategia de ciberseguridad proactiva para mitigar futuras amenazas
4.    Tomar mejores decisiones basándose en el conocimiento de las condiciones de red
Empleo de la inteligencia colectiva por parte de Akamai
La inteligencia colectiva no es una ventaja inherente a la nube. Aunque muchos proveedores afirman que aportan inteligencia colectiva, esta rinde poca utilidad si carece de una escala, un número de clientes y un volumen de tráfico significativos.
Aprovechamos la escala de la Plataforma Inteligente de Akamai (Akamai Intelligent Platform™), nuestro ingente volumen de tráfico, los miles de clientes de todos los tamaños a los que prestamos servicio y nuestro conjunto propio Kona Rule Set para ofrecer a todos los clientes una protección más adecuada contra los incidentes que sufra cualquiera de ellos. La visibilidad del tráfico web global revela su evolución, incluidos el desarrollo del tráfico de bots y las variaciones en este.
La visibilidad sin precedentes que tiene Akamai sobre el tráfico web permite acceder a más datos de clientes web que ningún otro proveedor de seguridad de red. Nos servimos de la heurística y algoritmos avanzados para generar la puntuación de reputación de cada dirección IP que pasa por la plataforma. Nuestra solución de reputación de IP otorga en cada categoría una puntuación del riesgo del 1 al 10, que se basa en las actividades observadas de forma reciente, con el fin de que tome las medidas apropiadas según sus necesidades específicas de actividad comercial y gestión de riesgos.
Fuente: Diarioti.com