21 de agosto de 2017

Vulnerabilidades en productos Lenovo

Se han detectado varias vulnerabilidades en diversos productos Lenovo. Los errores, de gravedad alta, se corresponden con saltos de restricciones de seguridad, elevación de privilegios dentro del sistema y/o ejecución de código arbitrario.
Lenovo es un conocido fabricante de ordenadores, tabletas, smartphones, servidores, etc. También provee servicios de soporte y tecnología de información de integración, teniendo incluso servicios de acceso a Internet. La compañía es poseedora desde 2005 de la división de ordenadores IBM, convirtiéndose en uno de los fabricantes de ordenadores más grandes del mundo, teniendo los derechos de marcas tan importantes como Thinkpad, Aptiva o Ideapad.
Los errores se detallan a continuación:
      CVE-2017-3751: Existe un error al no poner entre comillas determinadas rutas de servicios en el driver del ThinkPad Compact USB Keyboard. Un atacante local autenticado podría valerse de este error para escalar privilegios dentro del sistema y potencialmente ejecutar código arbitrario dentro del sistema a través de entradas de rutas de determinados servicios especialmente manipuladas. Esta vulnerabilidad afecta a versiones anteriores a la 1.5.5.0 .
      CVE-2017-3752: Existe una vulnerabilidad en la implementación del protocolo de red para encaminamiento “Primer Camino Más Corto” (OSPF) en determinados switches Lenovo. Para explotar esta vulnerabilidad, el atacante tendría que controlar un router o dispositivo que soporte OSPF, de modo que mediante el envío de mensajes OSPF especialmente manipulados podría alterar o incluso borrar tablas de encaminamiento de todos los routers o dispositivos dentro del mismo dominio. Esta vulnerabilidad afecta a los dispositivos y versiones indicados en el siguiente enlace: https://support.lenovo.com/es/es/product_security/len-14078
      CVE-2017-3753: Esta vulnerabilidad se debe a un error en la UEFI (BIOS) desarrollada por American Megatrends (AMI) e incorporada de serie en muchos dispositivos Lenovo. Un atacante con permisos administrativos o acceso físico al sistema podría ser capaz de ejecutar código arbitrario dentro del sistema saltando restricciones de seguridad tales como Device Guard y Hyper-V. AMI ha proporcionado parches para solucionar esta vulnerabilidad, pero aun así se recomienda seguir las siguientes medidas de seguridad:
  1. Habilitar arranque seguro en el sistema.
  2. Deshabilitar la consola UEFI en el arranque,
  3. Deshabilitar cualquier opción de arranque que no sea el disco duro primario.
  4. Establecer una contraseña para la BIOS, para asegurarse de que el arranque seguro y el arranque de la consola UEFI no vuelvan a ser re establecidas.
  5. Trabajar como “No” administrador dentro del sistema Windows.
  6. Ejecutar código o software de fuentes fiables y conocidas.
Esta vulnerabilidad afecta a un amplio número de dispositivos, para ver el listado completo de dispositivos y versiones afectadas: https://support.lenovo.com/es/es/product_security/len-14695
Recomendación
  • Se recomienda actualizar a versiones superiores en todos los dispositivos vulnerables.
Fuente: INCIBE

ASSANGE: "Quienes financian a ISIS son los mismos que financiaron la Fundación Clinton"

“Son los Gobiernos de Qatar y de Arabia Saudita los que han financiado al Estado Islámico”, resalta el fundador de Wiki Leaks.
El fundador de Wiki Leaks, Julian Assange, revela en una entrevista en exclusiva con el periodista australiano John Pilger un correo electrónico demuestra que quienes financian al ISIS son los mismos que los que financian la Fundación Clinton.
El correo fue enviado por Hillary Clinton a su jefe de campaña, John Podesta, donde la entonces candidata a la presidencia de Estados Unidos manifiesta que el actual Estado Islámico es financiado por los gobiernos de Arabia Saudí y Qatar, y no por “algún príncipe canalla" que "utiliza el dinero del petróleo para eso pero que, en realidad, su gobierno no está de acuerdo”.
“Son los Gobiernos de Qatar y de Arabia Saudita los que han estado financiando al Estado Islámico”, según Asssange desprende de ese correo.
En la entrevista con el fundador de WikiLeaks, de noviembre de 2016, Assange agrega que “el dinero catarí y saudita está repartido por todas partes, incluyendo muchos medios de comunicación”.
Assange señala a Hillary Clinton como un elemento central y representativo del ‘establishment’ estadounidense o el llamado consenso de Washington y sus influencias: “Ella es un centralizador. Hay un montón de engranajes en el mecanismo: desde los grandes bancos, como Goldman Sachs, hasta los elementos principales de Wall Street, pasando por los servicios de inteligencia, personal del Departamento de Estado, los sauditas, etc.”, asegura.
Otro correo filtrado demuestra que la Fundación Clinton recibió un millón de dólares de Qatar. Dicha Fundación no informó inicialmente al Departamento de Estado, según informó Reuters.
Según se desprende de un correo electrónico, Qatar prometió ese dinero en 2011 para el 65.º cumpleaños de Bill Clinton, y solicitó reunirse con el expresidente estadounidense en persona al año siguiente para entregarle un cheque.
VER VIDEO
Fuente: Publico.es

ADN cargado con un virus informático hackea un ordenador por primera vez

El trabajo demuestra que es posible codificar malware en un gen y utilizarlo para tomar el control de un programa de ordenador. Aunque el ataque se realizó en condiciones especiales y es poco probable que se utilice en un futuro próximo, los expertos lo consideran un nuevo tipo de amenaza
Parece que la ciencia ha conseguido, por primera vez, hackear con éxito un programa de software con un fragmento de ADN. Según los investigadores responsables de la hazaña, el malware que incorporaron a una molécula genética les permitió tomar el control de la computadora usada para analizarla.
El malware biológico ha sido creado por científicos de la Universidad de Washington en Seattle (EEUU), en lo que consideran el primer "exploit basado en ADN de un sistema informático".
Para llevar a cabo el hackeo, los investigadores, liderados por Tadayoshi Kohno y Luiz Ceze, codificaron software malicioso en una corta secuencia de ADN que compraron en internet. Luego lo usaron para lograr el "control total" de un ordenador para que procesara datos genéticos leídos por una máquina de secuenciación de ADN.
Los investigadores advierten de que en un futuro los hackers podrían usar muestras falsas de sangre o saliva para obtener acceso a ordenadores universitarios, robar información de laboratorios forenses de la policía e infectar archivos genómicos compartidos por científicos.
Aunque, de momento, el malware de ADN no plantea un gran riesgo de seguridad. Los investigadores admiten que para infliltrarse en el sistema, diseñaron un escenario con las "mejores posibilidades" de éxito al deshabilitar funciones de seguridad e incluso añadir una vulnerabilidad a un programa bioinformático poco utilizado.
"Su exploit es sencillamente poco realista", opina el genetista y programador Yaniv Erlich, que es director científico de MyHeritage.com, una página web de servicios de genealogía.
Kohno fue una de las primeras personas en mostrar cómo hackear un automóvil a través de su puerto de diagnóstico, y más tarde también demostró cómo obtener acceso en remoto al atacar las conexiones Bluetooth de los coches.
El nuevo malware de ADN se está presentando esta semana en el Simposio de Seguridad de Usenix en Vancouver (Canadá). El estudiante de postgrado en el Laboratorio de Investigación de Seguridad y Privacidad de Kohno Peter Ney detalla: "Nos fijamos en las tecnologías emergentes y nos preguntamos si podrían dar lugar a nuevas amenazas de seguridad, con la idea de llevar la delantera".
Para hacer el malware, el equipo tradujo un simple comando de ordenador a una breve secuencia de 176 letras de ADN, denominadas A, G, C y T. Después de encargar copias del ADN a un proveedor por unos 75 euros, los investigadores introdujeron las moléculas en un máquina de secuenciación, que leyó las letras genéticas, almacenándolas como dígitos binarios, ceros y unos.
Erlich explica que el ataque aprovechó un efecto de desbordamiento, cuando los datos que exceden un búfer de almacenamiento pueden ser interpretados como un comando de computadora. En este caso, el comando contactó con un servidor controlado por el equipo de Kohno, desde el que tomaron el control de la computadora de su laboratorio que estaban utilizando para analizar el archivo de ADN.
Las empresas que fabrican cadenas de ADN sintético y las envían a científicos ya están en alerta ante posibles bioterroristas. Los investigadores sugieren que en el futuro también podrían tener que empezar a revisar secuencias de ADN por amenazas informáticas.
El equipo de la Universidad de Washington también advierte de que los hackers podrían usar medios más convencionales para elegir como blanco los datos genéticos de las personas, precisamente porque cada vez aparecen más en internet (véase 10 Tecnologías Emergentes 2015: Internet se llena de ADN) e incluso se accede a ellos a través de tiendas de aplicaciones (ver 10 Tecnologías Emergentes 2016: Apps para el ADN).
En algunos casos, los programas científicos para organizar e interpretar los datos de ADN no se actualizan de forma activa, y eso podría crear riesgos, en opinión del experto en bioinformática del Instituto Sanger James Bonfield. Bonfield afirma ser el autor del programa que los investigadores de la Universidad de Washington apuntaron en su ataque y que este pequeño programa, "fqzcomp," fue escrito como un experimento para una competición de compresión de archivos y probablemente nunca haya sido usado.
Fuente: MIT Technology Review

PULSE WAVE. Nueva modalidad de ataques DDoS:

Como su nombre sugiere, el nuevo método Pulse Wave ejecuta los ataques de denegación de servicio (DDoS) mediante oleadas de pulsos. Algunas soluciones de mitigación están teniendo dificultades para contener a Pulse Wave.
El método en cuestión ha sido analizado por Imperva Incapsula, empresa dedicada precisamente a la mitigación de ataques DDoS. En su análisis, Imperva escribe que al ser colocados en un gráfico, los ataques clásicos tienen la forma de un triángulo que crece en la medida que los atacantes van sumando recursos, por ejemplo botnets, para alcanzar su objetivo.
Los nuevos ataques Pulse Wave, en tanto, comienzan en cero y alcanzan un alto nivel de intensidad en un corto período de tiempo, para luego volver a cero e iniciar nuevamente el proceso durante ciclos continuos activados mediante breves intervalos.
Según la empresa, una botnet especialmente activa ha estado utilizando la técnica de manera regular durante los últimos meses. Imperva Incapsula escribe que los ataques DDoS de esta red, que no identifica, alcanzaron en una oportunidad un máximo de 350Gbps, nivel que supera con creces el 1 Gbps de los ataques DDoS clásicos.
En su análisis, Imperva Incapsula escribe que durante el breve período de suspensión del ataque, la botnet no se desactiva para luego reiniciarse, sino es dirigida hacia otro objetivo. Este nivel de precisión y control es propio de botnets disponibles mediante el formato DDoS como servicio, donde se ofrece capacidad máxima constante.
Un reto para la mitigación tradicional
·        La nueva táctica de ataque mediante pulsos está causando dificultades para las soluciones de mitigación híbrida, es decir, una combinación de herramientas on-premise y en la nube. Los elementos on-premise consisten normalmente de hardware configurado para activar la protección Cloud cuando el equipo está siendo desbordado por el ataque DDoS. En otras palabras, este tipo de protección es adecuado para los ataques DDoS clásicos, que van incrementando su intensidad con el paso de las horas.
·        Los ataques wave, en tanto, tienen una intensidad tal que el equipo local se ve rápidamente desbordado, sin tener tiempo, o el ancho de banda necesario, para invocar la solución basada en la nube.
·        Según la entidad, recuperarse de un pulso toma normalmente algunos minutos, pero para entonces habrá llegado un nuevo pulso, que paralizará la red. Utilizando esta técnica, los atacantes pueden desconectar a organizaciones por prolongados períodos de tiempo, y paralelamente atacar otros objetivos.
Más información
Fuente: Diarioti.com

CIBERATAQUES. Delincuente solitario ataca a más de 4.000 empresas

La escala global del ataque, y las compañías afectadas, sugerían que un grupo de expertos o una agencia patrocinada por algún Estado eran responsables. Sin embargo, todo fue obra de un nigeriano veinteañero.
Check Point® Software Technologies Ltd. (Nasdaq: CHKP), el proveedor mundial especializado en seguridad, ha revelado la identidad del delincuente responsable de una serie de ciberataques contra más de 4.000 empresas de los sectores de energía, minería e infraestructuras.
La campaña comenzó en abril de 2017, y se ha dirigido a algunas de las multinacionales más grandes en las industrias de petróleo y gas, fábricas, banca y construcción. Su escala global, y las compañías a las que apuntaba, sugerían que un grupo de expertos o una agencia patrocinada por algún Estado eran responsables. Pero la realidad es que es obra de un solo nigeriano de unos 20 años que vive cerca de Abuya, la capital del país. En su cuenta de Facebook, utiliza el lema: “hacerse rico o morir en el intento”.
Su ataque utilizó emails fraudulentos, en los que se hacía pasar por el gigante del petróleo y gas Saudi Aramco, el segundo mayor productor de petróleo del mundo. Los correos iban dirigidos al personal financiero de las empresas, y pretendían engañarlos y robar sus datos bancarios.
El ciberdelincuente utilizó NetWire, un troyano de acceso remoto que permite el control total de las máquinas infectadas, y Hawkeye, un programa de keylogging. La campaña ha resultado en 14 infecciones exitosas, lo que ha generado miles de dólares de ingresos para el autor.
Maya Horowitz, directora del equipo de Inteligencia de Amenazas de Check Point, explica: “Este individuo utiliza emails de phishing de baja calidad y malware genérico fácil de encontrar en la red. Sin embargo, su campaña ha sido capaz de infectar a varias organizaciones y ha apuntado a miles más en todo el mundo. Muestra lo fácil que es para un ciberdelincuente relativamente poco cualificado lanzar una ofensiva a gran escala que tiene éxito incluso en las grandes empresas, lo que les permite cometer fraude”.
“Esto hace hincapié en la necesidad de que las corporaciones mejoren su seguridad para protegerse contra el phishing y las amenazas que comprometen sus correos electrónicos, y para formar a los empleados sobre la apertura de mensajes, incluso de compañías o personas que reconocen”.
Desde el descubrimiento de la campaña y el establecimiento de sus orígenes, el equipo de investigación de Check Point ha notificado a las autoridades policiales nigerianas, así como a los cuerpos de seguridad internacionales, y ha compartido sus conclusiones con ellos.
Los ataques que comprometen los correos corporativos han aumentado de forma drástica en los últimos 18 meses. El FBI ha reportado un aumento del 270% en las víctimas desde el inicio de 2016. Esto ha costado a las empresas de todo el mundo más de tres mil millones de dólares en el periodo transcurrido entre 2013 y 2016. También se estima que las víctimas de este tipo de amenaza pierden una media de 50.000 dólares.
Check Point Anti-Spam & Email Security Software Blade protege a sus clientes de ser víctimas de las estafas por email. Su enfoque multidimensional protege la infraestructura del correo electrónico, proporciona cobertura anti-spam muy precisa y defiende a las organizaciones de una amplia variedad de amenazas de virus y malware difundidas a través de mensajes. Además, la tecnología SandBlast ™ Agent with Zero Phishing™ protege a las compañías contra nuevos sites de phishing, así como de amenazas contenidas en documentos y enlaces dentro de correos electrónicos.

Fuente: Diarioti.com

CISCO. Múltiples vulnerabilidades de algunos productos

Cisco ha publicado 3 avisos de seguridad que afectan a los productos Cisco Application Policy Infrastructure Controller (APIC) y Cisco Virtual Network Function (VNF), catalogadas de Importancia: 4 – Alta
Recursos afectados:
·       Cisco Application Policy Infrastructure Controller (APIC) bajo determinadas condiciones.
  • Cisco Virtual Network Function (VNF) Element Manager versiones anteriores a 5.0.4 y 5.1.4.
Detalle e impacto de las vulnerabilidades
Cisco ha publicado los siguientes avisos de seguridad:
·        Cisco Application Policy Infrastructure Controller (criticidad alta): Esta vulnerabilidad podría permitir a un atacante remoto autenticado obtener mayores privilegios de los asignados a la cuenta.
·        Cisco Application Policy Infrastructure Controller (criticidad alta): Esta vulnerabilidad podría permitir a un atacante local autenticado obtener privilegios de root.
·        Cisco Virtual Network Function Element Manager (criticidad alta): Esta vulnerabilidad podría permitir a un atacante remoto autenticado obtener mayores privilegios y ejecutar comandos en el servidor en modo root.
Recomendación
·        Cisco ha publicado actualizaciones para corregir las vulnerabilidades. Dichas actualizaciones pueden descargarse desde el panel de descarga de Software Cisco
·        No obstante, recomienda que antes de desplegarlas, los clientes verifiquen la compatibilidad con los entornos en los que serán aplicadas.
Fuente: INCIBE

DRUPAL. Actualización de seguridad crítica

El equipo de seguridad de Drupal ha publicado una actualización para Drupal 8.x que corrige varias vulnerabilidades críticas, catalogada de Importancia: 5 - Crítica
Recursos afectados:
·        Versiones Drupal core 8.x anteriores a 8.3.7.
Detalle e impacto de la vulnerabilidad
Las vulnerabilidades corregidas en esta actualización son:
·        Modulo Views - evasión de acceso
·        Modulo API REST - evasión de la aprobacion de comentarios
·        Evasión del acceso de entidades para entidades no tienen UUIDs o no lo usan
Recomendación
·        Actualizar Drupal core a la versión 8.3.7.
Más información
· Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004  https://www.drupal.org/SA-CORE-2017-004
Fuente: INCIBE

Vulnerabilidad de validación de entrada inadecuada en dispositivos BMC Medical y 3B Medical Luna CPAP

MedSec ha identificado una vulnerabilidad de validación inadecuada de entrada de datos en dispositivos de presión positiva continua en las vías respiratorias (CPAP). La explotación de esta vulnerabilidad podría permitir a un atacante provocar un bloqueo del módulo Wi-Fi del dispositivo, catalogada de Importancia: 4 - Alta
Recursos afectados:
  • Dispositivos Luna CPAP (versiones anteriores al 1 de Julio de 2017)
Detalle e impacto de la vulnerabilidad
      MedSec ha identificado una vulnerabilidad de validación de entrada inadecuada en dispositivos de presión positiva continua en las vías respiratorias (CPAP) de BMC Medical y 3B Medical's Luna.
      La explotación de esta vulnerabilidad podría permitir a un atacante provocar un bloqueo del módulo Wi-Fi del dispositivo, generando una denegación del servicio que afectaría al módulo Wi-Fi. Esto no afectaría a la capacidad del dispositivo para administrar la terapia.
      Para esta vulnerabilidad se ha asignado el indentificador CVE-2017-12701b.
Recomendación
Esta vulnerabiliad está solucionada en dispositivos posteriores al 1 de julio de 2017. Para dispositivos anteriores a 1 de julio de 2017, BMC Medical y 3B Medical no existen soluciones disponibles.
Para mitigar el riesgo de explotación de esta vulnerabilidad, se recomiendan las siguientes medidas:
      Cambiar contraseñas predeterminadas para reducir el riesgo de acceso no autorizado a las configuraciones del dispositivo o a las páginas de administración.
      Minimizar la exposición a la red para todos los dispositivos y/o sistemas médicos y asegurándose de que no sean accesibles desde Internet.
      Ubicar todos los dispositivos médicos y dispositivos remotos detrás del cortafuegos y aislarlos de la red.
      Cuando se requiera acceso remoto, usar métodos seguros, tales como redes privadas virtuales (VPN), considerando que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También verificar que la VPN utilizada sea tan segura como los dispositivos a los que se conecte.
Más información
Fuente: INCIBE

Múltiples vulnerabilidades en OSNEXUS QuantaStor

OSNEXUS QuantaStor es un software diseñado para facilitar el proceso de administración de almacenamiento. Está presentes en muchos centros de datos alrededor del mundo.
Se han encontrado 3 vulnerabilidades diferentes en la aplicación. Un ataque de enumeración de usuarios y dos vulnerabilidades XSS. Estas vulnerabilidades permitirían un ataque remoto para obtener nombres de usuarios válidos para realizar fuerza bruta y así obtener información confidencial.
Recursos afectados
      Versiones Afectadas: OSNEXUS QuantaStor v4
Enumeración de usuarios
El sistema de logueo del software devuelve distintas respuesta dependiendo de si el usuario está presente o no en el sistema. Aprovechando estas respuestas, el atacante podría realizar esta enumeración de usuarios del sistema, ya que podría distinguir cuentas válidas de las inválidas.
Vulnerabilidad XSS en “qsCall”
La API de QuantaStor acepta parámetros mediante el uso de "qsCall". Si el método llamado no existe salta un error indicando que el método invocado no es válido. Un atacante puede incluir código HTML o JS en las llamadas a "qsCall".
Vulnerabilidad XSS en “jsonrpc”
El "jsonrpc" de la API de QuantaStor acepta parámetros a través del uso de un diccionario en JSON. Si el método llamado no existe se dispara un error parecido al de la anterior vulnerabilidad. Un atacante puede aprovechar esto para incluir código HTML o JS en la key "method: x".
Recomendación
      Para corregir estas vulnerabilidades se recomienda actualizar a la versión 4.3.1 que solventa estos errores.
Más información
      Blog Una al día  http://unaaldia.hispasec.com/2017/08/multiples-vulnerabilidades-en-osnexus.html
Fuente: Hispasec.com

MOZILLA. Vulnerabilidades en el navegador Firefox

Mozilla ha publicado su boletín número 18 de este año, el cual está calificado como crítico. En total se han corregido 29 vulnerabilidades, de las cuales 5 tienen un impacto crítico,  11 de impacto alto, 7 de impacto moderado  y 6 de bajo.
Vulnerabilidades de impacto crítico
   Se corrigen dos vulnerabilidades en la gestión de memoria, una inyección XUL en la herramienta en desarrollo y dos uso de memoria previamente liberada en el WebSocket y en el proceso de reescalado. Todas ellas podría permitir la ejecución de código.
      CVE asociados: CVE-2017-7779, CVE-2017-7780, CVE-2017-7798, CVE-2017-7800 y CVE-2017-7801.
Vulnerabilidades de impacto alto
      Se corrigen cuatro vulnerabilidades: una al utilizar memoria previamente liberada durante la gestión del DOM, en el observador de imagen, en el elemento imagen y en el gestor SVG. Además, se corrigen tres desbordamientos de memoria en el atributo ARIA del DOM, en el renderizado del SVG y en el visor de certificados. Finalmente, se corrige dos saltos de restricciones, uno en ‘WindowsDllDetourPatcher’ y otro en las políticas de mismo origen (same-origin), un secuestro de dominio (Domain hijacking) y una lectura fuera de límites.
      CVE asociados: CVE-2017-7753, CVE-2017-7784, CVE-2017-7785, CVE-2017-7786, CVE-2017-7787, CVE-2017-7792, CVE-2017-7802, CVE-2017-7804, CVE-2017-7806, CVE-2017-7807 y CVE-2017-7809.
Vulnerabilidades de impacto moderado
      Se corrige un spoofing en la navegación con datos, una fuga de información CSP, un error en la reserva de memoria en las protecciones DWP y WindowsDllDetourPatcher, un error al añadir un punto en una curva elíptica, dos errores en la sandbox y una inyección XUL.
      CVE asociados: CVE-2017-7781, CVE-2017-7782, CVE-2017-7791, CVE-2017-7794, CVE-2017-7799, CVE-2017-7803 y CVE-2017-7808.
Vulnerabilidades de impacto bajo
      Se corrige un error al procesar el nombre de usuario en la URL, un error de herencia en las directivas CSP en el iframe sbout:srcdoc, un error al activar HSTS, un error de lectura en los reportes de Windows, una gestión de ficheros al gestionar las actualizaciones y una fuga de información en en nombre de algunas cabeceras.
      CVE asociados: CVE-2017-7783, CVE-2017-7788, CVE-2017-7789, CVE-2017-7790, CVE-2017-7796 y CVE-2017-7797.
      La vulnerabilidades han sido corregidas en la versión 55 del navegador, que puede ser descargada desde la página oficial o a través del propio sistema de actualización de Firefox.
Más información:
      Mozilla Foundation Security Advisory 2017-18 https://www.mozilla.org/en-US/security/advisories/mfsa2017-18/
Fuente: INCIBE

GIT. Ejecución de código arbitrario

Se ha hecho público un fallo en el sistema de versiones Git que podría permitir la ejecución de código arbitrario en la máquina de la víctima y al cual se le ha asignado el identificador CVE-2017-1000117.
Los sistemas de control de versiones son herramientas desarrolladas para el seguimiento de un proyecto o aplicación. Herramientas sumamente importantes y utilizadas en cualquier desarrollo.
Detalle e impacto de la vulnerabilidad
      La vulnerabilidad no solo afecta al control de versiones Git, sino también están afectados los sistemas de control de versiones Mercurial y Subversion. Aunque el error es similar, los identificadores de la vulnerabilidades son distintos, siendo CVE-2017-9800 para Subversion y CVE-2017-1000116 para Mercurial.
      El fallo es provocado por un error en el procesado de los comandos “ssh://“, el cual puede ser explotado si un repositorio remoto envía una URL especialmente manipulada a la víctima cuando esta ejecuta un comando “clone“, permitiendo la ejecución de cualquier programa existente en la máquina de la víctima.
      Pero esto no acaba aquí: esta URL podría ser colocada en el fichero “.gitmodules“ del proyecto clonado para así conseguir tener la máquina infectada y que esta vulnerabilidad se ejecute de nuevo al invocar un comando “git clone --recurse-submodules“
Recomendación
      La vulnerabilidad en Git ha sido corregidas en las últimas versiones publicadas.
Más información:
      The Recurity Lablog http://blog.recurity-labs.com/2017-08-10/scm-vulns
Fuente: Hispasec

CURL Y LIBCURL. Afectados por varias vulnerabilidades

Se ha publicado una nueva versión de la librería libcurl y de la propia herramienta curl, para corregir 3 vulnerabilidades que podrían permitir a un atacante local o remoto obtener información sensible o causar una denegación de servicio
cURL es un cliente de transferencia de archivos multiprotocolo que también tiene una versión en formato librería (libcurl) para poder ser integrado en productos de terceros. Es una de las herramientas de referencia en su ámbito, y es utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs. En su página web aparece una lista incompleta de los productos comerciales que usan libcurl.
Detalle e impacto de las vulnerabilidades
Son tres las vulnerabilidades que se han corregido en esta nueva versión:
  1. La vulnerabilidad identificada como CVE-2017-1000101, afecta únicamente a la versión de línea de comandos (no a la librería). Básicamente es un error al parsear una URL con formato incorrecto, que podría permitir la lectura de una pequeña cantidad de memoria del proceso (o al menos, detener el proceso). El escenario de ataque más claro es un atacante local que introduce una URL especialmente manipulada en una aplicación que usa libcurl
  2. Otra vulnerabilidad, ésta identificada como CVE-2017-1000099, afecta a ambas versiones, línea de comandos y libcurl. El error se produce por utilizar por error un trozo de memoria no inicializado cuando se realiza una petición a una URL con protocolo file:// (archivos locales), lo que confunde al programa y puede terminar devolviendo al usuario un trozo extra inesperado de memoria dinámica en una pseudo-cabecera HTTP (cURL devuelve los metadatos del archivo como cabeceras HTTP). El escenario de ataque sería muy similar al de la vulnerabilidad comentada anteriormente.
  3. Y finalmente, el CVE-2017-1000100 también afecta a ambas versiones, línea de comandos y libcurl. Este error sí que tiene bastante más peligro, y recuerda un poco a Heartbleed, aunque en este caso sería revelación de información del cliente hacia el servidor, y no al contrario. El problema es que las URL's con protocolo TFTP que son demasiado largas son truncadas por cURL cuando se almacenan en memoria, pero cURL usa la longitud previa al truncamiento cuando quiere transmitir información al servidor. Por lo que termina saliendo de los límites de memoria asignado y envía más de lo debido. Debido a la estructura de memoria dinámica no se puede saber qué hay exactamente después, pero podría ser cualquier cosa. El ataque más simple sería, ante una petición al servidor maligno, que éste redirigiese a una URL especialmente manipulada con protocolo TFTP apuntando al mismo servidor (para recoger la memoria filtrada).
Recomendación
      La nueva versión publicada es la 7.55.0, no es una versión publicada expresamente para corregir vulnerabilidades (es decir, resuelve otros fallos no relacionados con la seguridad y añade nuevas funcionalidades), y está disponible desde https://curl.haxx.se/download.html .
   También se han publicado parches individuales para solucionar los diferentes fallos de seguridad.
Más información:
SecurityTracker
curl security
Fuente: Hispasec

GOOGLE CHROME. Comprometidas dos populares extensiones

El equipo de seguridad de Google ha enviado advertencias a través de e-mail a los desarrolladores de extensiones de Chrome después de que muchos de estos fuesen objetivos de ataques de phishing. Algunos de estos ataques consiguieron su objetivo y permitieron el robo de algunas extensiones.
Detalle de los ataques
      Estos ataques tuvieron lugar la semana pasada, cuando las cuentas de los desarrolladores de las extensiones CopyFish (80.000 usuarios) y Web Developer (100.000) se vieron comprometidas. Los atacantes aprovecharon para insertar código malicioso de adware en la extensión. De esta manera consiguieron ingresos a través de todos los usuarios que las tuvieran instaladas.
      Estos ataques llevan cerca de dos meses produciéndose sin que hasta la fecha nadie se haya percatado. El phishing en cuestión se hace pasar por una cuenta oficial de Google, informando a los desarrolladores de una supuesta violación de los terminos de servicio de Chrome Web Store. Es entonces cuando las víctimas accedian a un sitio falso que solicitaba el login a una cuenta de Google.
      Los avances en la investigación indican que los dominios utilizados para robar la información de estas dos extensiones son los mismos, y el e-mail prácticamente idéntico, lo que apunta a un actor común en ambos ataques. La misma estrategia fue probada de nuevo en agosto, pero esta vez Google Safe Browsing bloqueó estos enlaces fraudulentos.
   Tras el secuestro de las extensiones, Google envió un e-mail a todos los desarrolladores informando de la situación e indicando las instrucciones para reportar futuros casos similares.
Más información:
      Chrome Extension Developers Under a Barrage of Phishing Attacks https://www.bleepingcomputer.com/news/security/chrome-extension-developers-under-a-barrage-of-phishing-attacks/
Fuente: Hispasec