5 de noviembre de 2017

CIBERSEGURIDAD. Empresa pública y privada unidas contra el cibercrimen

Empresas de seguridad privadas e instituciones públicas están trabajando de la mano para luchar contra  el ransomware
El ransomware es algo que las empresas se toman muy en serio. Los problemas, no son simplemente la ralentización del ordenador o algún tipo de fallo simple. Va mucho más allá y puede paralizar por completo una empresa. Es por ello que las compañías no escatiman en gastos de seguridad.
En este 2017 sin duda se ha convertido en una de las principales amenazas informáticas a nivel global. Su crecimiento podemos decir que ha sido exponencial desde hace dos años. Y lo peor es que los expertos aseguran que la tendencia va a continuar e incluso puede agravarse en los próximos años.
Han sido muchos los ataques de este tipo que hemos visto este año. Uno de los más conocidos y que puso en jaque a muchas empresas fue WannaCry. Este caso supuso un punto de inflexión para que la empresa privada y la pública decidieran trabajar conjuntamente para resolver este tipo de amenazas.
Instituciones muy variadas
En la lucha frente al ransomware trabajan instituciones públicas muy variadas, así como múltiples empresas internacionales. Para lograr una mayor efectividad, tanto la empresa privada como la pública se han dado cuenta de que tienen que trabajar conjuntamente. Y es que por ejemplo en el segundo trimestre del año este tipo de ataques aumentó un 40%.
También están presentes cuerpos y fuerzas de seguridad de medio mundo. Entre ellos la Interpol o la Europol.
Han surgido proyectos como el de No More Ransom, que está centrado en la lucha contra el ransomware. Surgió tras la colaboración entre Kaspersky Lab, instituciones públicas y cuerpos policiales de muchas zonas del mundo.
La utilidad
Su utilidad es muy variada. Por un lado buscan informar a los usuarios para prevenir los ataques. Hacerles ver del peligro que existe con este tipo de amenazas. Está orientado tanto a empresas como a usuarios particulares. También buscan desarrollar herramientas de descifrado y recuperación de datos. Esto está pensado para cuando el ataque ya se ha producido.
Por último, buscar y perseguir a los desarrolladores de ransomware. Con esto logran un doble objetivo: evitar que se siga desarrollando nuevos tipos de ransomware y requisar los servidores donde se almacenan las claves de descifrado.
Según datos, el proyecto No More Ransom ha logrado recuperar miles de dispositivos gracias a sus herramientas de descifrado. Se calcula que equivale a unos 7 millones de dólares de ahorro en rescates.
Fuente: Ticbeat

OpenSSL. Corrige dos vulnerabilidades detectadas con el servicio OSS-Fuzz

Los responsables del desarrollo de OpenSSL anunciaron el lanzamiento de una nueva actualización de seguridad, la 1.1.0g, para el conjunto de librerías y dependencias que lo forman. Esta nueva actualización se centra en solucionar, concretamente, dos vulnerabilidades (una de peligrosidad media y otra baja) que han sido detectadas gracias a OSS-Fuzz, el sistema de código abierto de Fuzzing de Google.
OpenSSL es una aplicación que está formada por un conjunto de librerías criptográficas que, utilizadas junto a otros paquetes, como OpenSSH, nos permiten hacer uso de funciones avanzadas de seguridad en páginas web y aplicaciones. Al ser una herramienta esencial, su mantenimiento es vital para evitar que vuelva a ocurrir un nuevo Heartbleed, y por ello, los desarrolladores la someten constantemente a tests y pruebas de vulnerabilidades con el fin de poder detectar y mitigar cuanto antes cualquier fallo que se pueda descubrir en ella.
Las vulnerabilidades que soluciona OpenSSL 1.1.0g
La primera de estas vulnerabilidades ha sido registrada como CVE-2017-3736. Este fallo de seguridad de peligrosidad media en OpenSSL puede permitir a un atacante recuperar las claves de cifrado utilizadas para proteger las comunicaciones y, por lo tanto, acceder a ellas. Aunque en un principio se trata de un fallo aparentemente grave, en realidad ha sido denominado como peligrosidad media debido a que los desarrolladores lo consideran un fallo muy complicado de explotar.
Este fallo de seguridad es muy similar a otros vistos ya con anterioridad, uno en diciembre de 2015 y dos nuevos fallos detectados a principios de este mismo año. En esta ocasión, este fallo solo afecta a algunos componentes de hardware muy concretos, como, por ejemplo, BMI1, BMI2 y ADX, así como en los procesadores Intel Broadwell y posteriores y en los nuevos AMD Ryzen.
La segunda de las vulnerabilidades, registrada como CVE-2017-3735, lleva presente en OpenSSL desde 2006, más de 11 años, y se descubrió el pasado mes de agosto. Este fallo de seguridad ha sido considerado como de baja importancia y peligrosidad (motivo por el cual no se ha publicado antes un parche) y puede permitir a un usuario malintencionado leer información más allá de los límites de la memoria.
Versiones afectadas por estas dos vulnerabilidades de OpenSSL
Tal como podemos ver en el comunicado oficial de OpenSSL, los desarrolladores recomiendan actualizar a la versión 1.1.0g, en caso de estar utilizando la rama 1.1.0, o a la versión 1.0.2m, en caso de estar utilizando la rama 1.0.2.
Las ramas 0.9.8 y 1.0.0 llevan ya desde diciembre de 2015 sin soporte, por lo que su uso está totalmente desaconsejado. Igualmente, la rama 1.0.1 lleva sin soporte desde diciembre de 2016, por lo que tampoco debemos utilizarla, ya que tiene fallos que pueden ponen en peligro nuestras conexiones.
Poco a poco, OpenSSL se va haciendo cada vez más fuerte y más seguro. Un mantenimiento más o menos frecuente, y someterlo a pruebas como las que ofrece OSS-Fuzz, el servicio de análisis de vulnerabilidades de Google, nos ayudan a evitar un nuevo Heartbleed que ponga en jaque, otra vez, la seguridad de todo Internet.
Fuente: openssl

BAD RABBIT. El 'ransomware' global de 2017 que viene del este

Una nueva campaña de 'ransomware', protagonizada por un gusano identificado como Bad Rabbit, ha afectado desde este martes a dispositivos de países como Rusia, Ucrania, Turquía o Alemania a través de páginas web infectadas de medios de comunicación rusos. Se trata del tercer gran ciberataque protagonizado por este tipo de 'malware' en 2017, tras WannaCry y ExPetr.
La primera actividad infecciosa de Bad Rabbit fue detectada este martes por la agencia de noticias rusa Interfax, que vio cómo su página web dejaba de estar operativa. Otros medios de comunicación del país, como el periódico digital Fontanka, también se han visto afectados por la acción de este 'ransomware'.
La compañía de ciberseguridad Kaspersky Lab ha informado a través de un comunicado que la mayoría de las víctimas de este ataque se ubican en Rusia, aunque se han detectado casos "similares, pero en menor cantidad", en países como Turquía, Alemania o Ucrania. De hecho, el Aeropuerto Internacional de Odesa (Ucrania) ha alertado de un ataque informático contra su sistema de información, aunque la firma rusa no ha podido comprobar si está relacionado con este 'malware'.
Como ha sucedido con otros ciberataques de igual naturaleza, el 'ransomware' Bad Rabbit encripta determinados ficheros de la víctima y exige el pago de una cantidad económica por su recuperación. En este caso, este gusano solicita el abono de 0,05 Bitcoins, cifra que equivale a unos 234 euros, aproximadamente.
Según ha podido saber Kaspersky Lab, este ataque no se basa en 'exploits', sino que afecta a sus víctimas a través de un falso instalador del 'plugin' Adobe Flash, que es descargado desde sitios web infectados y activado manualmente al ejecutar por error el archivo ejecutable .exe.
Los investigadores de la compañía de ciberseguridad han detectado que Bad Rabbit ha infectado dispositivos desde varias páginas web 'hackeadas', todas ellas correspondientes a medios de comunicación rusos, por lo que entienden que es un "ataque dirigido" contra estas compañías que usa un método similar al también 'ransomware' ExPetr --conocido también como Petya o NotPetya--, aunque no es posible precisar si ambos virus están relacionados.
Por el momento, se desconoce si es posible recuperar los archivos encriptados mediante el pago del rescate exigido o aprovechándose de algún 'glitch' en el código del 'ransomware'.
Kaspersky Lab ha recomendado a los usuarios de sus productos antivirus que activen los servicios System Watcher y Kaspersky Security Network. Por su parte, la empresa rusa ha recomendado al resto de usuarios que bloqueen la ejecución de los archivos c:\windows\infpub.dat y c:\Windows\cscc.dat; deshabiliten el servicio Instrumental de administración de Windows (WMI); hagan una copia de seguridad de sus datos, y no paguen el rescate exigido por los ciberatacantes.
Fuente: Europa Press

BAD RABBIT. Permite recuperar los archivos que encripta.

La compañía de ciberseguridad Kaspersky Lab ha confirmado que el 'ransomware' Bad Rabbit, que este martes atacó a dispositivos en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China, no es un virus de tipo 'wiper'. Esto implica que los archivos que encripta pueden ser recuperados a través de una clave privada, sin volverse irrecuperables.
Como ha explicado la firma rusa a través de un comunicado, este aspecto diferencia a Bad Rabbit de ExPetr --también conocido como Petya o NotPetya--, a pesar de que ambos gusanos fueron desarrollados por los mismos cibercriminales. El portal SecureList de Kaspersky Lab ha detallado que Bad Rabbit tiene la capacidad de descifrar la información necesaria para la recuperación del disco duro, algo que ExPetr no permite.
Esto significa que los archivos cifrados por Bad Rabbit pueden ser recuperados si se paga el rescate exigido por sus responsables, mientras que la recuperación de archivos es imposible con ExPetr. En este sentido, el análisis de Kaspersky Lab ha certificado que los autores de Bad Rabbit podían usar su propia clave privada para descifrar la información de identificación de infección y enviarla a la víctima; en el caso de ExPetr, era imposible extraer esta información utilizada para la clave de descifrado de datos.
Por otra parte, Kaspersky Lab ha advertido que el código Bad Rabbit no contiene el tipo de errores que podrían usarse para descifrar los archivos y datos de las víctimas, por lo que no hay forma de desencriptar la información sin la clave privada del atacante. Aún así, los expertos han encontrado un error en el código dispci.exe del 'malware' que refleja que este no borra de la memoria la contraseña generada, por lo que existe una pequeña posibilidad de extraerla antes de que se ejecute este código.
Pese a estas diferencias, Kaspersky Lab ha insistido en que Bad Rabbit y ExPetr comparten creadores. Ambos 'malware' utilizan un algoritmo 'hash' similar, y los expertos de Kaspersky Lab también han detectado que los dos ataques utilizan los mismos dominios. ExPetr y Bad Rabbit también comparten su intención de hacerse con credenciales de la memoria del sistema, así como de difundirse dentro de la red corporativa por el servicio Instrumental de administración de Windows (WMIC). Sin embargo, los investigadores no han encontrado el 'exploit' EternalBlue en el ataque de Bad Rabbit que sí se utilizó en ExPetr.
Bad Rabbit alcanzó casi 200 objetivos, localizados en Rusia, Ucrania, Turquía, Alemania, Kazajistán y China. Todos los ataques tuvieron lugar el pasado martes y no se han detectado nuevos ataques desde entonces, puesto que el servidor desde el que se distribuyó ha estado inactivo desde la noche de ese día 24.
Fuente: Europa Press

FIREEYE. Explica el proceso de detección y bloqueo de BADRABBIT

El malware aparece disfrazado como una actualización de Flash y, a partir de la descarga drive-by, autorizada por el propio usuario sin comprender las consecuencias, el invasor hospeda un código malicioso en el sitio de la víctima.
Desde mayo, cuando fue divulgada la campaña que diseminó el ransomware WannaCry, las organizaciones de todo el mundo están en alerta. En este periodo el último registro que se ganó los reflectores fue el EternalPetya en junio, el cual afectó a numerosas organizaciones ucranianas, incluyendo empresas, aeropuertos y departamentos gubernamentales, así como interrumpió las actividades de empresas multinacionales con operaciones en el país. El pasado martes, Ucrania volvió a ser uno de los blancos de los ciber atacantes que buscan organizaciones de infraestructura de los países localizados en Europa del este.
Existe la posibilidad de que estos ataques sean patrocinados por un grupo con intereses regionales específicos o que tiene motivaciones más allá de las ganancias financieras, de acuerdo a lo que muestra el material divulgado por FireEye. Esto es posible por el patrón de implementación utilizado durante el ataque, o BACKSWING. Este posee dos versiones las cuales tuvieron un aumento significativo desde mayo, viendo el compromiso de sitios ucranianos. Dado que muchos dominios de sitios todavía están comprometidos con esta estructura, los investigadores de FireEye alertan por el riesgo de ser usados en futuros ataques.
Paso a paso del BADRABBIT
Aparece disfrazado como una actualización de Flash y, a partir de la descarga drive-by, autorizada por el propio usuario sin comprender las consecuencias, el invasor hospeda un código malicioso en el sitio de la víctima. En el caso de BADRABBIT, la mayor parte de estos sitios eran de viajes y medios, con la finalidad de trazar el perfil de los visitantes a entregar – o no – el payload (carga útil del malware).
Se identificaron 51 sitios con el BACKSWING y cuatro autorizados a soltar el BADRABBIT. Esta estructura presenta dos versiones con la misma funcionalidad y que difieren apenas en el estilo de su código.
Los investigadores de FireEye iSIGHT Intelligence consideran el BACKSWING como un recipiente genérico que selecciona la sesión de navegación actual del usuario y envía la información al receptor. Si está conectado, el servidor analiza y reenvía dos opciones “InjectionType” (para la totalidad) o “InjectionString” (para contenido HTML).
La primera, el “InjectionType” actúa en dos frentes: redirecciona el navegador al URL o compila el HTML para el DOM (Modelo de Documento Objeto). Esta fue observada por FireEye al final de 2016 en sitios de turismo de la República Checa y de turismo turco, además de un sitio de gobierno de Montenegro. A partir de mayo de 2017 surgió una serie de sitios ucranianos comprometidos con esta versión de BACKSWING y, en junio, el contenido malicioso comenzó a ser disparado por los receptores. La segunda, “InjectionString”, procesa la respuesta de DOM, el primer registro de esta versión se hizo el 5 de octubre por FireEye. Este fue inyectando recursos legítimos de JavaScript en los sitios afectados.
FireEye también ha observado el uso de este cuadro de JavaScript mal intencionado desde febrero de 2017, incluyendo muchos de los sitios registrados en este reciente ataque de Europa del este. La estructura actúa como un perfilador que reúne informaciones de aquellos que ven las páginas comprometidas, como host y dirección IP, navegador, sitio de referencia y cookie del sitio de referencia, o que permite a los invasores obtener más datos sobre las víctimas potenciales antes de implantar las cargas útiles (es este caso, la actualización de Flash por medio del ransomware, BADRABBIT).
Fuente: Diarioti.com

El servicio de VoD Crunchyroll es vulnerado para la distribución de malware

El sitio web Crunchyroll.com, equivalente a Netflix especializado en animación, distribuyó malware a los usuarios a través de un software de seguimiento de series modificado para alojar contenido malicioso.
El pasado sábado 4 de noviembre el sitio web Crunchyroll, el cual se encuentra en el puesto 245 del ranking de Alexa para EEUU, fue vulnerado al menos desde las 12 de la mañana (UTC+1, hora peninsular en España), momento en que empezó a distribuir un fichero llamado 'CrunchyViewer.exe' con contenido malicioso.
Una vez descargado y ejecutado, nos encontramos ante una aplicación llamada Taiga, un seguidor de series de código abierto. Esta aplicación ha sido modificada para ejecutar software malicioso (más información en la incidencia https://github.com/erengy/taiga/issues/489 ). Al ejecutarla, a pesar de parecer una aplicación normal, en segundo plano se creará el archivo svchost.exe (que obtiene de los recursos, en base64) en %APPDATA% y posteriormente se ejecutará.
Este archivo %APPDATA%/svchost.exe creará una entrada de registro para ejecutarse tras iniciar el sistema. Una vez instalada, contactará con un servidor remoto alojado en OVH, especificamente a la dirección 145.239.41[.]131:6969, desde el cual descargará un shellcode y lo ejecutará en caso de estar disponible.
En el momento en que se detectó el malware, VirusTotal sólo mostraba 2 detecciones para el mismo, llegando en el momento de escribir estas líneas a 4 detecciones. Tras su instalación, este troyano pasa a ejecutarse con el inicio del sistema gracias a la clave de registro 'HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Java
C:\Users\user\AppData\Roaming\svchost.exe'. Si crees que puedes estar infectado, comprueba si existe dicha clave, y elimínala de ser así.
El ataque fue parado a cerca de las 14:00, momento en que el servidor desde el que se descargaba el programa, y en el que residía la página fraudulenta, fue desconectado. Crunchyroll no ha dado detalles del ataque, pero existe la posibilidad de que los servidores originales del portal no se hubiesen visto comprometidos. La web utiliza el servicio de proxy inverso Cloudflare para mejorar su servicio, pudiendo ser la cuenta de éste la que haya sido comprometida. Esta opción resulta bastante convincente, ya que el troyano residía en una máquina de un pequeño hosting de Países Bajos, en vez de en los propios servidores de Crunchyroll.
Este caso sorprende al no tratarse de un caso de ataque arbitrario, sino dirigido especialmente a la audiencia del sitio web. La página fue modificada especialmente con este motivo, al igual que la forma de infección. Aunque no hay de momento una estimación del número de usuarios que pudieron instalar el programa, al ser una página de gran afluencia, contar con pocas detecciones por parte de los antivirus en el momento de instalación, y tratarse de un servicio con apps para otros sistemas, es posible que el número de afectados sea bastante alto.
Más información:
Fuente: Hispasec

ACTUALIZACION. De Cisco Firepower 4100 Series NGFW y Firepower 9300 Security Appliance

Cisco ha publicado una actualización de seguridad que soluciona un fallo de seguridad en dos de sus modelos de Firewall Firepower.
El fallo identificado como CVE-2017-12277 permitiría a un atacante remoto sin autenticar ejecutar código remoto con privilegios de administración a través una URL especialmente manipulada.
Esta vulnerabilidad se debe a una incorrecta validación de los datos de entrada en los parámetros de configuración de "Smart Licensing", y afecta a las versiones 1.1.3, 1.1.4, y 2.0.1 de FX-OS en Cisco Firepower. Las versiones 2.1.1, 2.2.1, y 2.2.2 no están afectadas.
Recursos afectados
  • Firepower 4100 Series Next-Generation Firewall
  • Firepower 9300 Security Appliance
Más información:
Fuente: Hispasec

CIBERSEGURIDAD. Consejos para mejorar la seguridad de las redes WiFi

Hace pocos días se conocieron nuevas vulnerabilidades en la seguridad de las redes WiFi conocidas como KRACK, siglas en inglés de reinstalación de clave. El protocolo de seguridad WPA2, utilizado para proteger la gran mayoría de conexiones inalámbricas, había sido hackeado, comprometiendo la seguridad del tráfico de red WiFi y exponiendo la información personal de millones de usuarios.
La debilidad, identificada por el investigador Mathy Vanhoef, podría afectar al 41 por ciento de los dispositivos que funcionan con un sistema operativo Android, como apuntan desde McAfee, en un comunicado.
Con la irrupción de estas nuevas amenazas, los ciberdelincuentes podrían aprovechar las vulnerabilidades en la seguridad de las redes inalámbricas para interceptar credenciales de acceso, datos sobre tarjetas de crédito, correos electrónicos o información personal.
Además, y como explican desde la compañía de seguridad, también podrían inyectar 'ransomware' --'malware' que cifra los equipos pide un rescate-- u otro contenido malicioso en un sitio web, lo que significa que incluso un sitio web confiable podría estar ofreciendo un enlace o anuncio que realmente conduce a un programa u otro contenido malicioso.
En un mundo cada vez más conectado, los usuarios necesitan sentirse protegidos. No en vano, una vez que un cibercriminal tiene acceso a una red inalámbrica, las posibilidades de 'hackeo' son prácticamente infinitas. Pero, ¿cómo pueden los usuarios protegerse de estos ataques y conectarse a la red de forma segura?
Desde McAfee aconsejan a los usuarios mantener oculta su dirección IP mientras se conectan a redes WiFi públicas o abiertas, dado que esto permitirá que tanto su ubicación como su información (datos bancarios, contraseñas, credenciales, etc.) permanezcan seguras.
La compañía también subraya la importancia de actualizar los dispositivos. Los usuarios deben asegurarse de instalar actualizaciones de seguridad en sus dispositivos. De esta forma, pueden evitar, en la medida de lo posible, cualquier vulnerabilidad en los sistemas.
Actualizar el 'firmware' del router. El router es el elemento más importante para proteger la red inalámbrica. No obstante, esta actualización depende, en gran medida, de la rapidez con que los fabricantes de dispositivos y los desarrolladores de 'software' generen un parche. Por tanto, desde McAfee hacen hincapié en que es recomendable consultar el sitio web del fabricante del dispositivo correspondiente para conocer los detalles y el estado del parche para protegerse de KRACK.
También conviene utiliza redes VPN. Si el usuario necesita conectarse a una red pública, puede usar una red privada virtual (VPN). Una VPN mantendrá la información privada y se asegurará de que los datos vayan directamente desde el dispositivo hasta donde éste se conecte.
Resulta imprescindible instalar seguridad en los dispositivos. Disponer de una solución de seguridad completa puede ayudar a mantener los dispositivos alejados de virus y otros 'malware' no deseados.
Por último, los usuarios no deben olvidarse de proteger su hogar conectado. Por ejemplo, con una solución como McAfee Secure Home Platform protege todos los dispositivos conectados a Internet en la red doméstica, incluidos los dispositivos IoT (Internet de las Cosas), de una amplia variedad de amenazas emergentes como virus, 'malware' y 'phishing'.
La aparición de esta nueva vulnerabilidad en las redes WiFi que usan la encriptación de seguridad WPA2 refuerza la idea de que los ciberdelincuentes son cada vez más creativos y utilizan métodos de ataque más sofisticados para tratar de vulnerar los sistemas. Por ello, y como apuntan desde la compañía, los usuarios deben estar preparados para contrarrestar estas amenazas y garantizar la seguridad de todos sus dispositivos.
Fuente:Europa Press

CIBERSEGURIDAD. Características y vulnerabilidades de Bitcoins y otras criptomonedas

El rápido crecimiento de Bitcoin, Ethereum y otros emisores de criptomendas hace que este sea un buen momento para considerar cuestiones relacionadas con su ciberseguridad y descubrir a qué se enfrentan los usuarios cuando transforman dinero tradicional en criptomendas digitales.
El dinero digital continuará ganando relevancia como medio de intercambio alternativo en el futuro inmediato, como han apuntado desde Check Point. Y esto lleva aparejado un cambio en las prácticas de los ciberdelincuentes.
"Las criptomonedas llevan muy poco tiempo entre nosotros como para que tengamos que plantearnos si van a sustituir a las monedas de curso legal. Sin embargo, como apunta el director general de Check Point para España y Portugal, Mario García, "debido a que cada día es más común realizar pagos digitales con estas divisas, es de esperar que los ciberdelincuentes empiecen a atacar a los bitcoins o altcoins de los internautas".
Para comprender mejor los riesgos, como exponen desde la compañía de seguridad en un comunicado, es imprescindible entender cuáles son los elementos que constituyen una moneda digital y sus vulnerabilidades.
Por un lado, se encuentran los tokens, o fichas, similares a las monedas, pero que en lugar de ser emitido por una autoridad local o nacional y permitir el libre cambio de bienes, tiene un uso mucho más limitado, y no es de curso legal.
Como explican desde Check Point, todas las criptomonedas, como Bitcoin, son tokens, representados por una cadena alfanumérica que puede ser una clave pública o privada.
Hasta ahora, no ha habido informes de ciberamenazas que afecten a los tokens. Sin embargo, y como entienden desde la compañía, los ciberdelincuentes podrían modificarlos y utilizarlos para difundir 'malware' e instalar en los ordenadores que participan en la Blockchain bots para lanzar ataques DDoS.
Por otro lado, está Blockchain, un sistema que actúa como la cámara acorazada de un banco, almacenando tokens junto con un libro de registro de transacciones.
Blockchain es un sistema de software distribuido, lo que significa que tiene copias de su código y de sus datos en muchos terminales conectados entre sí a través de una red 'peer-to-peer'. Los equipos utilizan un protocolo de consenso para confirmar los registros de transacciones verificadas y realizar nuevas operaciones.
Para robar tokens, o alterar la Blockchain, los ciberdelincuentes deberían comprometer muchos cientos o miles de ordenadores a la vez. Esta descentralización y cifrado hace que las criptomonedas sean resistentes a la manipulación.
Sin embargo, apuntan desde Check Point, el punto débil de las criptomonedas es, como en gran parte de otros ciberataques, las personas. como explican, de poco sirve que los tokens o el sistema Blockchain sean seguros si los usuarios no toman medidas básicas de protección.
Los ciberdelincuentes son conscientes de este punto débil, y por eso lanzan ataques de 'phishing' --suplantación de identidad de una empresa o marca-- y de ingeniería social, con el objetivo de que la víctima les de sus claves.
"Las criptomonedas han demostrado tener sistemas de protección, como la Blockchain, más efectivos que los de los bancos tradicionales, pero esto no es excusa para dormirse en los laureles", advierte García.
Fuente: Europa Press

ESPAÑA. Un tercio de empresas españolas sufrieron ataques DDoS en primer semestre 2017

Un 35,4% de las empresas españolas han experimentado un ataque de denegación de servicio (DDoS) durante la primera mitad de 2017, según un estudio realizado por la firma de ciberseguridad Kaspersky Lab. Esta cifra es 9,9 puntos porcentuales superior a la registrada en 2016, cuando las compañías afectadas por este tipo de ataques representaron el 25,5%.
Kaspersky Lab ha presentado este viernes los resultados del estudio 'Global IT Security Risks' en su edición de 2017, realizado en colaboración con la empresa de investigación B2B International. Este informe incluye entre sus principales conclusiones que el 50,6% de las compañías españolas reconocen que la frecuencia y complejidad de los ataques DDoS dirigidos contra organizaciones como la suya están creciendo en número cada año.
Según estos datos, un 35,4% de las empresas nacionales ha experimentado durante los primeros seis meses del presente año un ataque de este tipo, frente al 25,5% que se vieron afectadas en 2016. Según ha expresado Kaspersky Lab a través de un comunicado, estos resultados demuestran "la importancia que tiene una mejor prevención y protección" frente ataques DDoS.
A nivel global, el 20% de las empresas afectadas por estos incidentes fueron empresas muy pequeñas, el 33% pymes y un 41% empresas grandes, "lo que demuestra que independientemente del tamaño o clase de las organizaciones, todas están en peligro".
En los últimos 12 meses, el 89% de las empresas españolas víctimas se han visto atacadas más de una vez, cifra superior en un 10% a la media mundial, con un 82% de las empresas víctimas de la acción de los cibercriminales. Las consecuencias son muy importantes: el 20,6% de las empresas españolas reconocen haber sufrido una importante reducción en el funcionamiento de sus servicios, el 12,7% vio como sus transacciones y procesos fallaban, y un 6,3% sufrió una total interrupción en su actividad.
Además de producir problemas inmediatos y visibles en sus operaciones, el 56,5% de las empresas españolas reconoce también que los ataques DDoS se han utilizado como cortinas de humo para otro tipo de acciones e incidentes, que han derivado en importantes daños financieros y reputacionales. Los ataques DDoS se utilizaron en el 37,2% de los casos para esconder ataques de 'malware', en un 30,2% para el robo o extracción de datos, en un 20,9% para el robo de dinero y hasta en un 44,2% para acceder a la red corporativa o 'hackearla'.
El responsable de Protección frente a DDoS de Kaspersky Lab, Kirill Ilganaev, ha asegurado que el riesgo de ser víctima de un ataque de este tipo "no parece que vaya a disminuir en un plazo de tiempo", por lo que las empresas deberían empezar a preguntarse cuándo va a producirse el ataque, y no si van a sufrirlo o no. El responsable de la firma rusa ha indicado que este problema "no deja de crecer y afecta cada vez más a empresas de todo tipo y tamaño", por lo que es necesario "tomar las medidas adecuadas" de protección de infraestructuras TI.
Fuente: Europa Press

Actualizaciones de PHP 7.1.11 y 7.0.25

PHP ha publicado las versiónes 7.1.11 y 7.0.25 que corrigen múltiples fallos en distintos componentes del software, incluido el core, catalogada de Importancia: 4 - Alta
Recursos afectados:
  • Versiones de la rama 7.1 anteriores a la 7.1.11
  • Versiones de la rama 7.0 anteriores a la 7.0.25
Detalle e impacto de las actualizaciones
Las actualizaciones solucionan múltiples fallos en las versiones afectadas, incluyendo la corrección de las siguientes vulnerabilidades:
  1. Desreferencia de puntero NULL en zend_mm_alloc_small().
  2. Violación de acceso en la llamada al padre de la función is_callable.
  3. Lectura fuera de los límites de memoria en timelib_meridian().
  4. El cifrado de flujo arcfour provoca la caída de php.
  5. Corrupción de datos al leer campos de tipo bit.
Recomendación
  • Actualizar a las versiones 7.1.11 o 7.0.25 según la rama correspondiente.
Más información
Fuente: INCIBE

F5. Descubiertas múltiples vulnerabilidades en productos de la compañía

F5 ha publicado varios avisos de seguridad donde se reportan múltiples vulnerabilidades de seguridad en varios de sus productos, catalogadas de  Importancia: 4 - Alta
Recursos afectados:
  1. BIG-IP LTM
  2. BIG-IP AAM
  3. BIG-IP AFM
  4. BIG-IP Analytics
  5. BIG-IP APM
  6. BIG-IP ASM
  7. BIG-IP DNS
  8. BIG-IP Edge Gateway
  9. BIG-IP GTM
  10. BIG-IP Link Controller
  11. BIG-IP PEM
  12. BIG-IP WebAccelerator
  13. Enterprise Manager
  14. BIG-IQ Cloud
  15. BIG-IQ Device
  16. BIG-IQ Security
  17. BIG-IP PSM
  18. BIG-IP WebSafe
Para ver el detalle de las versiones afectadas, por favor, visite los enlaces de la sección Referencias de este aviso.
Detalle e impacto de las vulnerabilidades
A continuación se detallan las vulnerabilidades de severidad alta:
  • Vulnerabilidad en núcleo de Linux: un atacante podría llegar a obtener acceso a información para la que no estaría autorizado, realizar modificaciones no aturizadas de datos o causar interrupciones en los servicios. Se ha reservado el identificador CVE-2014-3184 para esta vulnerabilidad.
  • Vulnerabilidades en el TMM: un atacante puede causar el reinicio del microkernel de gestión de tráfico (TMM), produciéndose una denegación de servicio. Se han reservado los identificadores CVE-2017-6159, CVE-2017-6160 y CVE-2017-6162  para estas vulnerabilidades.
  • Vulnerabilidad en servidores virtuales BIG-IP con cliente SSL y HTTP/2 o SPDY configurados: un cliente remoto que inicie un flujo de datos más allá del límite advertido, puede causar una interrupción en el servicio. Se ha reservado el identificador CVE-2017-6163 para esta vulnerabilidad.
  • Vulnerabilidad ConfigSync mcpd: un atacante podría generar una condición de denegación de servicio debido al agotamiento de recursos. Se ha reservado el identificador CVE-2017-6161 para esta vulnerabilidad.
  • Vulnerabilidad en proxy SOCKS: los dispositivos afectados no limpian correctamente la tabla de conexiones pudiendo llegar a una condición de denegación de servicio. Se ha reservado el identificador CVE-2017-0303 para esta vulnerabilidad.
Recomendación
    Si se posee una versión afectada (listadas en las columnas Versions known to be vulnerable en las tablas de productos afectados que pueden encontrarse en los enlaces de la sección Referencias de este aviso), deberá actualizar su producto a alguna de las versiones listadas en las columnas Versions known to be not vulnerable.
Más información
Fuente: INCIBE

Ejecución remota de código en Hewlett Packard Enterprise Intelligent Management Center

Se ha identificado una vulnerabilidad de ejecución remota de código en Hewlett Packard Enterprise Intelligent Management Center (iMC), catalogada de Importancia: 4 - Alta
Recursos afectados:
  • HPE Intelligent Management Center (iMC) iMC PLAT 7.3 E0504P02
Detalle e Impacto de vulnerabilidades
El investigador Steven Seeley (Offensive Security), en colaboración con Trend Micro's Zero Day Initiative, ha descubierto una vulnerabilidad en Hewlett Packard Enterprise Intelligent Management Center (iMC) que puede ser utilizada por un atacante remoto para ejecutar código en el sistema afectado.
Se ha reservado el identificador CVE-2017-8961.
Recomendación
  • Hewlett Packard Enterprise ha publicado la versión 7.3 E0506P03 de Intelligent Management Center(iMC) PLAT para corregir el fallo.
Más información
Fuente: INCIBE

Vulnerabilidad crítica en Oracle Identity Manager

Oracle ha publicado una vulnerabilidad de severidad crítica cuya explotación puede llevarse a cabo de forma remota y sin necesidad de autenticarse en el sistema. Un atacante podría llegar a comprometer totalmente al Oracle Identity Manager, catalogada de Importancia: 5 - Crítica
Recursos afectados:
Oracle Identity Manager (componente de Oracle Fusion Middleware) en sus versiones 11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0 y 12.2.1.3.0.
Detalle e Impacto de la vulnerabilidad
Esta vulnerabilidad fácilmente explotable, permite a un atacante no autenticado con acceso a la red del sistema mediante el protocolo HTTP, comprometer totalmente el producto. Además de este, otros productos de Oracle pueden ser atacados con esta vulnerabilidad. Se ha reservado el identificador CVE-2017-10151 para esta vulnerabilidad.
Recomendación
Oracle ha publicado una actualización que soluciona dicho problema de seguridad. Puede ser descargada desde su plataforma. Para obtener la actualización es necesaria una cuenta con la que autenticarse.
Más información
Fuente: INCIBE

Actualización de seguridad 4.8.3 para WordPress

El investigador Anthony Ferrara ha informado sobre una vulnerabilidad de inyección SQL en WordPress, catalogada de Importancia: 4 - Alta
Recursos afectados:
  • WordPress 4.8.2 y versiones anteriores
Detalle e Impacto de la actualización
Las versiones afectada de WordPress está afectada por una vulnerabilidad del tipo inyección SQL a través de la función “wpdb-prepare()”.
Además, esta actualización modifica el comportamiento de la función “esc_sql()”. Puedes obtener más información sobre ello desde el enlace https://make.wordpress.org/core/2017/10/31/changed-behaviour-of-esc_sql-in-wordpress-4-8-3/
Recomendación
Ha sido publicada la versión 4.8.3 del gestor de contenidos WordPress la cual soluciona dicha vulnerabilidad. Puedes descargarla desde su web oficial.
Más información
Fuente: INCIBE

Múltiples vulnerabilidades en productos Cisco

Se han identificado 17 vulnerabilidades (9 con criticidad alta y 8 con criticidad media) en productos Cisco que pueden ser aprovechadas por atacantes remotos para ejecutar código en los sistemas afectados o para denegar el servicio, catalogadas de  Importancia: 5 - Crítica
Recursos afectados:
  1. Aironet 1560 Series Access Points
  2. Aironet 2800 Series Access Points
  3. Aironet 3800 Series Access Points
  4. Cisco Application Policy Infrastructure Controller Enterprise Module, versiones anteriores a la 1.5.
  5. Cisco ISE
  6. Cisco ISE Express
  7. Cisco ISE Virtual Appliance
  8. Cisco Prime Collaboration Provisioning Software, versiones anteriores a la 12.3
  9. Cisco Wireless LAN Controllers (WLCs)
  10. Firepower 4100 Series Next-Generation Firewall
  11. Firepower 4100 Series Next-Generation Firewall
  12. Firepower 9300 Security Appliance
  13. Firepower 9300 Security Appliance
  14. Multilayer Director Switches
  15. Nexus 1000V Series Switches
  16. Nexus 1100 Series Cloud Services Platforms
  17. Nexus 2000 Series Switches
  18. Nexus 3000 Series Switches
  19. Nexus 3500 Platform Switches
  20. Nexus 5000 Series Switches
  21. Nexus 5500 Platform Switches
  22. Nexus 5600 Platform Switches
  23. Nexus 6000 Series Switches
  24. Nexus 7000 Series Switches
  25. Nexus 7700 Series Switches
  26. Nexus 9000 Series Switches in NX-OS mode
  27. Nexus 9500 R-Series Line Cards and Fabric Modules
  28. UCS 6200 Series Fabric Interconnects
  29. UCS 6300 Series Fabric Interconnects
  30. Unified Computing System (UCS) 6100 Series Fabric Interconnects
Detalle Impacto de vulnerabilidades
Entre las múltiples vulnerabilidades publicadas destacan las siguientes por ser de criticidad alta:
  • Denegación de servicio por un fallo en la implementación de Cisco Firepower Extensible Operating System (FXOS) y NX-OS System Software.
  • Denegación de servicio por un fallo en la implementación de la funcionalidad 802.11v Basic Service Set (BSS) Transition Management en Cisco Wireless LAN Controllers.
  • Denegación de servicio por un fallo en Simple Network Management Protocol (SNMP) de Cisco Wireless LAN Controllers.
  • Vulnerabilidad de ejecución remota de código en Cisco Identity Services Engine (ISE) accesible a través de SSH puede ser aprovechada por un atacante local para ejecutar código abritrario con privilegios elevados.
  • Vulnerabilidad de ejecución remota de código en el servicio Smart Licensing Manager service de Cisco Firepower 4100 Series Next-Generation Firewall (NGFW) y Firepower 9300 Security Appliance podría permitir a un atacante remoto autenticado ejecutar comandos con privilegios de administrador.
  • Vulnerabilidad en el interfaz del framework para SQL de Cisco Prime Collaboration Provisioning podría permitir a un atacante remoto autenticado afectar a la confidencialidad e integridad de la aplicación.
  • Vulnerabilidad en la configuración del firewall de Cisco Application Policy Infrastructure Controller Enterprise Module (APIC-EM) podría permitir a un atacante no autenticado obtener acceso privilegiado a los servicios.
  • Denegación de servicio por un fallo en Extensible Authentication Protocol (EAP) al procesar tramas en Cisco Aironet 1560, 2800 y 3800 Series Access Points.
Recomendación
  • Cisco ha publicado actualizaciones para corregir estos problemas, no obstante recomienda que antes de desplegarlas, los clientes verifiquen la compatibilidad con los entornos en los que serán aplicadas.
Más información
Fuente: INCIBE

GOOGLE. Declara obsoleto HTTP Public Key Pinning (HPKP)

La misma Google acaba con este estándar que anunció hace 3 años para prevenir los ataques "Man in the Middle" usando CAs vulnerados.
Hace 3 años se anunciaba con el rfc7469 esta medida de seguridad adicional, creada por la misma Google e implementado en sus servidores y el navegador Chrome con su versión 46, que previene de un posible 'ataque MitM de sustitución' haciendo uso de una CA vulnerada en la que confía el cliente.
La medida ha sido anunciada por Chris Palmer, que trabaja en la seguridad de Google Chrome, el pasado 27 de octubre. Entre las razones que exime para declararlo obsoleto se encuentra el alto riesgo de dejar un sitio inutilizable.
HTTP Public Key Pinning (HPKP) es una cabecera adicional enviada por el servidor que contiene la declaración de las claves públicas válidas para el sitio web durante un periodo de tiempo. En caso de cambiar la clave pública utilizada, como cuando se cifra la conexión con el certificado de otra CA, el cliente corta la conexión evitando así un posible ataque MitM. El problema de esta medida es que no se diferencia entre un cambio de clave pública fidedigno y un ataque real, pudiendo dejar el sitio inaccesible.
Además del problema antes descrito, puede que su baja adopción, con sólo un 0.1% según Netcraft, también sea una de las razones para su eliminación. Otra opción es el apoyo de Google a su otro proyecto similar (aunque complementario) Certificate Transparency.
Certificate Transparency (CT) es un proyecto de Google para el registro y monitorización de los certificados expedidos, el cual involucra a entidades de certificación, dueños de los certificados y clientes. Las CAs enviarían los cambios de los certificados que gestionan a los registros CT, los dueños podrían monitorizar los cambios indebidos sobre los certificados de sus dominios, y los clientes validarían el certificado que envía el sitio respecto al registrado en CT. Este nuevo sistema permite a los dueños saber rápidamente si están sufriendo un ataque, y a los clientes denegar el cambio fraudulento de no estar registrado.
Esta medida, que no requiere de cambios por los dueños de los sitios para su adopción, da solución a uno de los mayores problemas del ataque por reemplazo de certificado: la mayoría se realizan sin que el dueño se entere.
Más información:
Fuente: Hispasec.com

SHADOWSOCKS. Ejecución arbitraria de comandos en

El investigador de seguridad, Niklas Abel, ha descubierto un problema de seguridad en la librería shadowsocks que podría resultar en una ejecución de comandos del shell arbitrarios.
Shadowsocks es una librería que implementa socks5 de forma segura.
El problema reside en el componente ss-manager, el cual no valida adecuadamente la entrada proveniente de usuario, en concreto, peticiones de configuración en formato JSON. Un usuario malintencionado podría ejecutar comandos de forma arbitraria a través de una petición especialmente manipulada.
La vulnerabilidad tiene asignado el CVE-2017-15924 (https://security-tracker.debian.org/tracker/CVE-2017-15924
Recomendación
Recomendamos que actualice sus paquetes y/o librerías para solventar esta vulnerabilidad.
Más información:
Fuente: Hispasec.com

Exfiltrando fallos de seguridad en productos de Google a través de su Issue Tracker

El investigador y desarrollador Alex Birsan ha descubierto diversos fallos de seguridad en el 'Issue Tracker' de Google que le han permitido acceder a información técnica sobre graves vulnerabilidades en diferentes productos de la compañía.
Issue Tracker, también conocido como "Buganizer", es una herramienta usada por Google para llevar un registro de fallos, vulnerabilidades y futuras 'features' de sus productos.
La herramienta permite el acceso a usuarios que no pertenecen a la organización, pero sólo a ciertos tickets marcados como públicos. La mayor parte del contenido (más del 99%) sólo está disponible para usuarios a los que se les ha dado acceso explícito.
Como Birsan explica en su artículo, una fuga de información en la herramienta podría tener un grave impacto, por lo que se propuso poner a prueba la seguridad del sistema.
El primer intento de Birsan fue intentar conseguir una cuenta corporativa que le permitiera el acceso a zonas restringidas del sistema. Diferentes intentos le llevaron a descubrir que podía registrar una cuenta falsa y luego cambiar el correo por uno de tipo "@google.com" a través del correo de confirmación. Esto le permitió registrar la cuenta "buganizer-system+123123+67111111@google.com", que aunque no sirvió para conseguir acceso a Buganizer sí que permitía utilizar otros servicios exclusivos como GRide.
El segundo fallo descubierto por Birman permitía suscribirse a una 'issue' arbitraria cambiando el ID, al no aplicarse ningún control de acceso sobre esta llamada a la API. Aunque no consiguió filtrar ninguna información importante, Google clasificó esta vulnerabilidad como crítica.
La última vulnerabilidad reportada por Birsan es la más crítica y permitiría monitorizar en tiempo real toda la actividad que sucedía en el sistema de tickets. El fallo residía en una llamada a la API expuesta en el JavaScript de la página y que se utilizaba para dejar de recibir notificaciones sobre un cierto ticket.
Esta llamada revelaba en su respuesta todos los detalles sobre el ticket, sin implementar ningún control de acceso. Pudiendo conocer los detalles técnicos de cualquier fallo o vulnerabilidad simplemente consultando su ID.
A pesar de que los tickets de prioridad alta se corrigen en pocas horas, el equipo de Google atendió rápidamente las vulnerabilidades reportadas por Birsan y recompensó al técnico a través de su programa de 'bug bounty'.
Más información:
Fuente: Hispasec.com

UNCAPTCHA. Rompe hasta 450 captchas en cerca de 5 segundos y medio.

Cuatro investigadores de la universidad de Maryland han diseñado un sistema automático capaz de romper el reCAPTCHA de Google con una precisión cercana al 85%
Este sistema no esta dirigido a resolver los retos basados en imágenes que ofrece reCAPTCHA sino las versiones de audio. El audio es utilizado para que aquellas personas que tengan dificultades para visualizar los retos puedan resolver aquellos que reCAPTCHA ofrece.
unCAPTCHA descarga el audio del puzzle y lo suministra a 6 sistemas distintos 'Text-To-Speech'. Estos sistemas traducen el audio a texto y unCAPTCHA escoge la respuesta más probable que es posteriormente enviada a los servidores de Google.
Los investigadores que trabajaron en este sistema hicieron pruebas para comprobar la eficiencia de esta herramienta, llegando a un 85,15% de precisión al romper 450 reCAPTCHAS en casi cinco segundos y medio.
Existen otras herramientas como ReBreakCaptcha cuya finalidad y metodología es prácticamente idéntica, sin embargo unCAPTCHA informó en todo momento a Google de su investigación, permitiendo mejorar el sistema.
Según afirman los investigadores, tras comunicarse los hallazgos Google comenzó a limitar el éxito de unCAPTCHA. Por ejemplo se detectaron mejoras en la detección de navegadores bloqueando el uso de Selenium, que al ser usado el audio obtenido contenía fragmentos sin sentido o incluso texto añadido, cuando antes únicamente contenían dígitos.
Más información:
Fuente: Hispasec.com