4 de febrero de 2018

CIBERROBO. Regulador de Japón realiza inspección a bolsa digital Coincheck

El regulador financiero de Japón hizo el viernes una inspección a Coincheck Inc para proteger a los usuarios, dijo el ministro de Finanzas, Taro Aso, en momentos en que las autoridades buscan determinar cómo piratas informáticos robaron 530 millones de dólares en dinero digital desde la bolsa de criptomonedas.
El robo de la semana pasada, uno de los mayores hurtos cibernéticos de la historia, subrayó las vulnerabilidades de las operaciones de un activo que las autoridades buscan regular, así como los mayores riesgos para Japón mientras busca apalancar a la industria de tecnología financiera para estimular el crecimiento económico.
El regulador, la Agencia de Servicios Financieros (FSA, por su sigla en inglés), emitió anteriormente esta semana una orden de mejora a Coincheck y dijo que investigaría todas las bolsas de criptomonedas en Japón en búsqueda de brechas de seguridad luego del ataque informático.
“(La FSA) está realizando una inspección en terreno hoy”, dijo el viernes a periodistas Aso, quien también funge como ministro de servicios financieros.
Coincheck recibió la orden de presentar antes del 13 de febrero un reporte sobre el ataque informático y medidas para evitar que se repita. La inspección, sin embargo, se realizó antes del plazo para “garantizar la protección de los usuarios”, dijo Aso.
La FSA dijo el viernes que ordenó que todas las bolsas de criptomonedas presenten un reporte sobre sus sistemas de gestión de riesgos.
Coincheck, con sede en Tokio, dijo el domingo que reembolsaría cerca de 46.300 millones de yenes (425 millones de dólares) de dinero virtual. La FSA ha dicho que aún debe confirmar si la compañía tiene fondos suficientes para el reembolso.
Bitcoin, la mayor criptomoneda del mundo, se hundió un 11 por ciento el jueves a su menor nivel desde noviembre, luego de que Facebook prohibió la publicidad de criptomonedas y debido a que la reacción de los reguladores frente al naciente mercado ha asustado a los inversores.
Bitcoin extendió su caída a 8.660 dólares después de que el jueves tocó un mínimo de 9.022 dólares en la bolsa Bitstamp de Luxemburgo, menos que la mitad del precio máximo de casi 20.000 dólares que alcanzó en diciembre.
Fuente: Reuters

CRIPTOGRAFIA. El CNI descifra el código del Gran Capitán

Desentrañan el alfabeto de las cartas secretas del Rey Fernando el Católico a Gonzalo Fernández de Córdoba
Nadie había podido descifrarlas porque no se conservaba la tabla de sustitución múltiple que aplicaron a los textos. Los correos iban y venían continuamente entre la corte de los Reyes Católicos y el Reino de Nápoles sin que nadie pudiera leerlos más que el destinatario. Portaban órdenes, veladas amenazas, instrucciones contundentes y llamadas al orden. Hoy, ese misterio ha llegado a su fin. Los hallazgos realizados por los expertos del centro confirman la gran sofisticación del código empleado, muy por delante de su tiempo.
Dos cartas de 1502 y 1506
En 2015, el Museo del Ejército expuso un conjunto de cartas, procedentes del archivo de los duques de Maqueda, en una muestra dedicada al Gran Capitán y solicitó la ayuda de expertos del CNI para que intentaran dar con la clave, según confirma a ABC el coronel Jesús Anson desde la institución toledana.
En el CNI se lo tomaron como un desafío: abordar sistemas no convencionales sirve de entrenamiento y la historia de las comunicaciones secretas es un conocimiento útil. Pero además el trabajo sobre estas cartas que abren una nueva ventana a la historia incumbe a un centro que se considera «más servicio que secreto», en palabras de su director Félix Sanz Roldán.
Aunque las cartas cifradas eran un sistema común en la Italia de la época, las tablas del Rey Católico estaban «muy bien pensadas», según los técnicos españoles de «sigint» (inteligencia de señales), a prueba de ojos indiscretos. Es un precursor del sistema Vigenère, pero bastante avanzado, tanto que no se hallará nada parecido hasta el siglo XVII.
Aplicaron los símbolos conocidos en el trozo de la carta «Rosetta» al texto de la otra carta y empezaron a extraer coincidencias. Uno de los primeros casos fue la F de Felipe, que correspondía con el símbolo 31. Así fueron desvelando pieza a pieza, como si fueran píxeles, una imagen oculta que permitía decodificar las cartas. Una y otra vez sometieron a nuevas combinatorias los textos de estas dos misivas y luego hicieron lo mismo con otras dos cartas cifradas, más largas, de 7 y 11 folios, disponibles en la misma colección. El castellano antiguo aportaba otra dificultad añadida al desafío. En total se han contabilizado 88 símbolos y 237 códigos de letras combinadas, y la tabla del «código Gran Capitán», en el momento inicial del imperio español, ha sido completada.
De la primera transcripción se desprende que las cartas se corresponden con fragmentos de otras «en claro» que había en el mismo archivo, pero incluso en este caso se han podido descifrar cuatro párrafos que no figuraban en las copias y resultan reveladores.
Reproches del Rey
A la luz de este descubrimiento, estos primeros párrafos arrancados a un misterio de cinco siglos retratan al Rey Fernando reprochando al Gran Capitán, que también era su pariente, que hubiera escrito «al Rey de los romanos y al Rey y Archiduque mi fijo y han lo mirado algunos queriendo poner nota en vuestra limpieza». Esas dudas las expresa el Rey porque Fernández de Córdoba había escrito al archiduque con el fin de contratar mercenarios lansquenetes, una infantería profesional armada con picas que precisaba para completar sus formaciones. Pero Fernando se lo prohíbe: «No cureys de escrevirles cosa alguna y si algo vos escrivieren o movieren consultad conmigo sobrello y esperad mi rrespuesta antes de rrespondelles porque para todo cumpll fazerlo asi».
En el fragmento de la misiva que ahora conocemos tampoco le permite enviar emisario alguno «a negociar cosas dese reyno porque faze alli mucho danno a nuestros negocios fazerse mediante divisio apartamiento y si alguno allí teneys escrevidle que luego se bvelva para vos que ya otras vezes lo avemos escrito y en ninguna manera se dilate el rremedio».
En opinión de José Enrique Ruiz-Domènec, el mayor especialista en la figura de Gonzalo Fernández de Córdoba, estamos ante un hallazgo fundamental para revisar uno de los momentos más importantes de la historia de España. Fernando el Católico tiene muchas reservas «ante una campaña muy peligrosa en la que se jugaba mucho. Y las expresa de un modo diferente a lo que decía en documentos oficiales».
El secreto de estas misivas ha durado 500 años. Ahora, los historiadores deberán aplicar la aportación del CNI al resto de cartas cifradas con los secretos del reinado que iba a fundar un imperio.
Fuente: ABC.es

WANNAMINE. El Virus capaz de minar criptomonedas y expandirse de forma viral

Panda Security ha alertado sobre el Wannamine, un malware que es capaz de minar criptomonedas en los equipos que ataca y que desde su descubrimiento el pasado mes de octubre se ha propagado rápidamente por Internet, como informa la compañía Panda Security.
El equipo de investigación de Pandalabs ha descubierto que Wannamine se trata de un 'malware' capaz de minar criptomonedas que se presenta, además, como 'fireless', es decir, un malware que no instala ningún programa en el equipo, lo que hace que pueda quedar latente en los equipos que infecta y que pueda propagarse por redes corporativas, de forma legítima, sin tener que estar operativo.
Wannamine aprovecha las vulnerabilidades creadas por Eternalblue, un 'exploit' creado por la Agencia de Seguridad de Estados Unidos (NSA) filtrado por el grupo de cibercriminales Shadow Brokers y utilizado en el ataque mundial de 'ransomware' con WannaCry, el pasado mes de abril.
Debido a esta brecha de seguridad, los cibercriminales pueden minar las criptomonedas sin necesidad de que los dueños de los equipos hayan descargado ningún tipo de aplicación. En concreto, se trata de un 'script' que toma el control de algunas funciones básicas de ordenadores que funcioan con el sistema operativo de Microsoft.
Aunque no ha creado el mismo colapso que su predecesor WannaCry, que llego a infectar a cientos de miles de ordenadores, desde Panda Security aseguran que Wannamine "es igual de peligroso". Esta afirmación se basa en que al margen de minar criptomonedas en ordenadores de terceros para el lucro de los cibercriminales que lo han desarrollado, también es capaz de ralentizar los equipos que infecta, lo que podría ocasionar que muchas empresas quedasen inoperativas.
Al emplear como vía una red local y propagarse mediante permisos legítimos, este 'malware' puede llegar a infectar a toda una red en poco tiempo, con lo que con su activación puede llegar a producir el colapso en la red general de una empresa, en el caso de no contar con las medidas de seguridad requeridas para evitar estos ataques.
Según declaraciones del Global Consumer Operation Manager de Panda Security, Hervé Lambert, es necesario "contar con medidas de seguridad acordes a la sensibilidad de los datos que guardemos en nuestros equipos y a la importancia que les demos". Por todo ello, desde la compañía de ciberseguridad aconsejan revisar con cierta frecuencia el sistema operativo, lo que reducirá el riesgo de una futura infección.
Fuente: Europa Press

MICROSOFT. Office 2019 solo será compatible con equipos que trabajen con Windows 10

Microsoft ha confirmado que su próximo paquete de ofimática Office 2019 saldrá en exclusiva para equipos que trabajen con el sistema operativo Windows 10. Este 'software' ofrecerá siete años de soporte y habilitará sus primeras versiones de prueba durante el segundo trimestre del año.
Office 2019, la próxima versión perpetua del paquete de ofimática de Microsoft y sucesor de Office 2016, estará disponible solo para equipos con Windows 10. Este 'software' fue anunciado por la tecnológica estadounidense el pasado mes de septiembre, y será lanzado en la segunda mitad del presente año.
De esta forma, el nuevo paquete de ofimática se distanciará de su predecesor, que era compatible con Windows 7 SP1 y todas las versiones posteriores del sistema operativo de Microsoft. La compañía ha precisado a través de un comunicado que Office 2019 trabajará con todas las versiones de Windows 10 vigentes en ese momento, Windows 10 Enterprise LTSC 2018 y el próximo lanzamiento LTSC de Windows Server.
Asimismo, Microsoft ha confirmado que la versión comercial de Office 2019 solo estará disponible a través de la tecnología Click-to-Run, que permite usar el programa mientras el proceso de instalación continúa desarrollándose, en lugar de en forma de paquete de instalación MSI. Este último método solo seguirá disponible para los productos Office Server.
Frente a su paquete predecesor, Office 2019 ofrecerá un tiempo oficial de soporte de siete años, en lugar de los diez habilitados en las versiones anteriores. La compañía ha considerado que el 'software' que supera la década de antigüedad es "difícil de asegurar" y "menos productivo", y ha precisado que el soporte de Office 2019 concluirá el 14 de octubre de 2025.
Microsoft Office 2019 incluirá en su paquete programas como Word, Excel, PowerPoint, Outlook o Skype for Business, además de otros servicios como Exchange o SharePoint.
Fuente: Europa Press

ONEPLUS. Acusada de envio de datos de usuarios de sus 'smartphones' a servidor chino

El fabricante de 'smartphones' OnePlus ha sido acusado de enviar información personal de usuarios de sus dispositivos a un servidor chino peteneciente a la compañía Teddy Mobile, especializada en soluciones de lista de contactos telefónicos. Dentro de los datos transferidos se encontrarían números IMEI, direcciones IP o números de teléfono.
El investigador de seguridad Elliot Alderson ha publicado este viernes varios 'tuits' en su perfiul de Twitter donde alerta de que OnePlus transfiere datos personales procedentes del portapapeles de sus 'smartphones' a un servidor propiedad de la compañía china de servicios de Internet móvil Teddy Mobile.
El código compartido por este usuario de Twitter revela que OnePlus transfiere a esta empresa información como el código IMEI del terminal --un número que identifica a cada unidad--, la dirección IP, el número de teléfono o el número de serie de su 'hardware', entre otros datos.
According to the code @OnePlus is sending your IMEI and the phone manufacturer to a Chinese server owned by teddymobile ?? pic.twitter.com/Au0u1sdpNi
— Elliot Alderson (@fs0c131y) 25 de enero de 2018
El portapapeles de los 'smartphones' OnePlus, utilizado para conservar la información copiada por el usuario para ser pegada en otro lugar, contiene un archivo de texto que almacena palabras como 'dirección', 'email' o 'mensaje privado'. Este archivo, identificado por Alderson como badword.txt, también está incluido en una carpeta comprimida que parece ser propiedad de Teddy Mobile.
The @OnePlus #clipboard app contains a strange file called badword.txt ??
In these words, we can find: Chairman, Vice President, Deputy Director, Associate Professor, Deputy Heads, General, Private Message, shipping, Address, email, ...https://t.co/ePQvD1citn pic.twitter.com/3dCh0joVkH
— Elliot Alderson (@fs0c131y) 25 de enero de 2018
El investigador incluso alerta del riesgo que supone copiar y pegar el número de una cuenta bancaria o de una tarjeta de crédito, que puede caer en manos de esta empresa china. Según Alderson, Teddy Mobile cuenta con método dedicado para reconocer precisamente este tipo de información.
Esta acusación se ha producido pocos días después de que la página de pago de OnePlus fuese atacada con un 'script' malicioso que permitió acceder a los datos de las tarjetas de crédito de más de 40.000 clientes, como ha reconocido el propio fabricante asiático.
Fuente: Europa Press

MICROSOFT. Publica actualización para deshabilitar parche de 2ª variante de Spectre

La actualización ha sido lanzada para aquellos usuarios que se han visto afectados por reinicios aleatorios tras la aplicación del parche, pero no ha sido publicada como una actualización automática
Sin duda, entre los propósitos de Intel para el próximo año, debe encontrarse empezar mejor que lo que lo han hecho este 2018. Si leíamos hace unos días cómo Linus Torvalds tildaba el parche de Intel para Spectre y Meltdown de una "auténtica y rotunda basura", ahora el parche para los sistemas Windows parece reafirmarse que no es mucho mejor, habiendo publicado Microsoft una actualización para poder desactivarlo tras los ya reconocidos problemas que está habiendo con la misma.
La actualización ha sido publicada para su descarga en Windows 7 (SP1), Windows 8.1, y todas las versiones de Windows 10, tanto para cliente como para servidor. La actualización debe ser instalada por el propio usuario, no siendo esta una actualización programada. Cabe recordar, que la propia Intel recomendó el pasado día 22 parar la propagación de este parche que mitiga la segunda variante de Spectre. Entre los problemas que ha provocado el parche, se encontrarían reinicios de forma aleatoria e incluso pérdida y corrupción de datos.
Microsoft también ha publicado instrucciones de cómo desactivar el parche de forma manual sin utilizar esta actualización, tanto para usuarios finales avanzados (KB4073119) como para clientes de servidor (KB4072698). También ha recordado en la publicación de la actualización que los usuarios no afectados por la vulnerabilidad no necesitan instalarla. Para saber si eres vulnerable, Intel publicó el día 24 una guía con las familias de procesadores afectados.
Los problemas con los parches y la actuación de Intel ya le ha valido para ser demandada por usuarios, y el Congreso de Estados Unidos ha pedido explicaciones sobre por qué se ha mantenido tanto en tiempo en secreto. Recordemos que el fallo se conoce al menos desde el 1 de junio de 2017, habiendo tenido Intel al menos 7 meses para depurar los parches de los diferentes sistemas. Ahora, los problemas de Intel podrían ir a más tras conocerse que advirtió antes a compañías chinas antes que al gobierno estadounidense.
No obstante, a pesar del huracán mediático al que se enfrenta Intel desde que inició el año, sus acciones no se han visto tan afectadas como algunos esperarían, y los precios de sus procesadores no parecen haberse visto afectados.
Más información:
Fuente: Hispasec

FIREFOX. Vulnerabilidad por ataques XSS y JavaScript privilegiado

Mozilla Firefox no protege adecuadamente de ataques XSS en el código JavaScript privilegiado usado internamente por el navegador, principalmente en su propia interfaz gráfica
Así es, hay código JavaScript privilegiado corriendo en los navegadores modernos. Tanto Google Chrome como Mozilla Firefox usan JavaScript en la programación de sus interfaces de usuario. Por privilegiado nos referimos a código que tiene acceso a las páginas abiertas en el navegador, el sistema de archivos... Hay distintos contextos de ejecución dentro del código privilegiado (algunos más restringidos que otros), siendo uno de los más interesantes por permitir introducir código externo es el de las extensiones del navegador.
En este caso, nos encontramos con una vulnerabilidad de Mozilla Firefox por no restringir la introducción de código JavaScript embebido en los documentos web que corren código privilegiado. Específicamente, el llamado 'chrome code', que no es más que código JavaScript especialmente privilegiado usado en la interfaz gráfica de Firefox (en la barra de estado, los menús... A toda esta parte se le llama Chrome).
Separación entre contexto de ejecución JavaScript privilegiado (Chrome, interfaz gráfica de Firefox) y no privilegiado (content, donde acostumbramos a que se ejecute JavaScript). Extraído de developer.mozilla.org.
Tras analizar superficialmente la vulnerabilidad, no está claro de qué forma sería explotable (sólo si la interfaz gráfica ya tiene una vulnerabilidad XSS). Los de Cisco afirman que basta con convencer a un usuario para que abra un link o un archivo especialmente diseñado. La descripción de la vulnerabilidad es especialmente vaga en cuanto a los términos de su explotación... Tras contactar con el investigador original de la vulnerabilidad, Johann Hofmann, éste nos confirma que la descripción es intencionalmente vaga, debido a que algunos usuarios tardan en actualizar. Dicho esto y viendo que los de Mozilla evalúan como crítica la vulnerabilidad , podemos imaginar que los de Cisco quizás no se equivoquen...
El parche a esta vulnerabilidad no se ha hecho esperar, y ya en la versión 58.0.1 está corregido el fallo. Según sus declaraciones, lo ideal sería usar CSP (políticas de seguridad respecto al contenido de los documentos web, configurables) en una de sus configuraciones más estrictas, para evitar JavaScript embebido en los documentos web que corren 'chrome code'. Pero por desgracia, tienen bastante de ésto en el código fuente de Firefox, y no es plausible a corto plazo. Así que se conforman con sanear la creación de nuevas etiquetas HTML para que no contengan JavaScript embebido.
Es posible que todo esto te haya sonado a chino, y no es de extrañar. Un navegador web modernos es de las piezas más complejas en cuanto a ingeniería de software. Y lo tienes gratis, al alcance de tus dedos :)
Más información:
·        Arbitrary code execution through unsanitized browser UI https://www.mozilla.org/en-US/security/advisories/mfsa2018-05/
·        An overview of the script security architecture in Gecko https://developer.mozilla.org/en-US/docs/Mozilla/Gecko/Script_security
·        MDN web docs: Add-ons https://developer.mozilla.org/en-US/Add-ons
·        Chrome extensions: Overview https://developer.chrome.com/extensions/overview
Fuente: Hispasec

PHPBB. Comprometidos los paquetes oficiales del popular sistema de foros

El pasado 26 de enero un atacante desconocido comprometió el sitio oficial del popular sistema de foros phpBB, suplantando dos paquetes oficiales por otros que contenían ficheros maliciosos. En concreto han sido suplantadas las versiones phpBB 3.2.2 y el parche para actualizar de la versión 3.2.1 a la 3.2.2.
Los enlaces a los archivos fraudulentos sólo estuvieron activos durante tres horas. En este tiempo casi 500 personas descargaron el paquete comprometido.
El equipo de phpBB todavía está investigando los vectores de ataque, pero ha declarado que ni el dominio oficial phpBB.com ni la aplicación fueron explotados en el ataque.
El código malicioso cargaba código JavaScript desde una infraestructura remota que actualmente se encuentra en control del equipo de phpBB, por lo que la amenaza ya se encuentra neutralizada.
Como medida preventiva ante este tipo de ataques recomendamos siempre comparar las sumas SHA o MD5 de los ficheros descargados con las publicadas en el sitio oficial.
Más información:
[Security] phpBB 3.2.2 Packages Compromised https://www.phpbb.com/community/viewtopic.php?f=14&t=2456896
Fuente: Hispasec

INGENIERÍA SOCIAL. Logos de empresas reputadas para ganarse la confianza del usuario

Para ganarse la confianza de los usuarios, muchas empresas y webs utilizan legítimamente logos de compañías importantes que les apoyan. Por desgracia, los atacantes también hacen uso de estos logos de manera fraudulenta.
Los PUP's (Potentially Unwanted Program) son por definición programas que probablemente no quieras en tu ordenador, ya que te estafan en mayor o menor medida. Ejemplos claros de PUP's: El típico programa que instalas y te mete barras en Internet Explorer, el que te introduce publicidad en el ordenador... Estos programas potencialmente no deseados suelen intentar hacer creer a los usuarios que aquello que van a instalar está respaldado por grandes compañias, con el fin de crear una falsa sensación de confianza.
Segun los investigadores de Malwarebytes, los criminales que distribuyen PUP's tienen entre sus logos más usados, los de Mcafee, Norton y Microsoft.
En esta ocasión, se trata de un falso scanner antivirus que intentará hacer creer al usuario que su ordenador está infectado, y que su solución anti-malware puede ser la mejor solución. Tras ejecutar su "solución", ésta informará de problemas aún mayores en el sistema... Subsanables por un módico precio, claro está.
Para obtener estos 'badges' o insignias, los atacantes no tienen más que hacer un par de búsquedas en Google para encontrarlos y poder utilizarlos en sus campañas. Por otro lado, estos logos aun siendo reales y autorizados no siempre significan respaldo a una compañía. Por ejemplo, el de McAfee quiere decir que el sitio web está libre de malware, que tiene un certificado válido y que no ha sido detectado como phishing, pero en ningún momento quiere significar que la presencia de este "certificado" apoye el producto donde se utiliza. Para poder comprobar la autenticidad de los mismos, se puede hacer click sobre ellos ya que incluyen información del sitio web. Incluso, aquellos de Microsoft Partner Network pueden buscarse en su base de datos.
Como podemos observar, es fácil hacer uso de estos logos para actividades fraudulentas, ya que crean una falsa sensación de seguridad a los usuarios que desconocen el significado real de éstos. Lo mejor es asumir que un simple logo no significa nada, y evitar caer en la falsa sensación de seguridad.
Más información:
Fuente: Hispasec

MINERÍA DE DATOS. La nueva fiebre del oro virtual

"Todo dispositivo capaz de ejecutar un conjunto de instrucciones puede servir de plataforma para minar criptomoneda".
Ahora lo que se lleva es el minado. Da igual que tengas acceso a un cluster de computación de altas prestaciones o un smartwatch. O si eres root en cien mil dispositivos IoT. El nuevo 'in' es triturar 'nonces' para ver si nos ha tocado el hash que lleva el premio gordo.
El cibercrimen no para de encontrar vías de recaudación para su negocio (el uso involuntario, y si es posible inadvertido, de lo ajeno) Si antes utilizaban nuestro ancho de banda como arma de ataque o nuestro disco duro para crear su propia nube privada, la CPU es usada ahora para minar criptomoneda. Al abordaje.
El caso más sonado, de entre muchos, es el de "The Pirate Bay". Visitas la web, cargas el infame 'coinhive.min.js' (ojo, puede llamarse de cualquier modo, el nombre es lo de menos) y en pocos segundos tu CPU empieza a fibrilar dando mazazos con su pico virtual:
Para algunos sitios webs, cuya fuente de ingresos suele ser la publicidad, es normal que recurran a vías alternativas de financiación, sobre todo con el alza de los bloqueadores de publicidad o proyectos como Pi-Hole. Quizás incluso más de uno esté dispuesto a donar esos ciclos de CPU a cambio de la lectura de artículos, etc. Porque de algo tienen que vivir ¿no? No es mala opción, yo daría un ratito del núcleo #2 a cambio de que no me estampen un anuncio a pantalla completa mientras hago scroll (la nag screen del siglo XXI).
El problema aparece cuando se hace con inquina. Hackean un sitio web, meten el minero y a esperar que saque dineros hasta que alguien se da cuenta y el responsable arregla el desaguisado. Incluso es tal la avaricia que aunque estos scripts poseen un nivel de consumo, en la mayor parte de los casos se les quita el freno y cabalgan a toda máquina, alertando así a los usuarios. Aun más, suelen desplegar una ventana minimizada con el minero, para pasar desapercibidos aunque el usuario crea que ha cerrado todas las pestañas. Todo un gesto de supervivencia.
Otro problema asociado es en dispositivos móviles. Minar en un móvil es sinónimo de acabar en pocos minutos con la batería del dispositivo (si has jugado a algún juego con gran carga gráfica puede que lo hayas experimentado). De nuevo, estos scripts suelen traer de fábrica la detección de móviles. En ese caso no proceden a ejecutarse, pero, por supuesto, en el caso de sitios malogrados este script es configurado para ejecutarse en estas plataformas, tan sensibles al gasto energético.
Por otro lado, tenemos un arsenal de anti-mineros que se basan en listas negras de sitios o scripts con contenido conocido. Su uso es similar, sino es que está incluido, a los anti-ads o bloqueadores de publicidad. No es una solución elegante (no escala nada bien), pero funciona, de momento, aunque y ya existen anti-anti-adblocks que previenen la prevención (valga la redundancia):
De momento, ya sea por una gráfica de consumo de CPU disparada o el chivato del ventilador de la CPU, en ocasiones, los mineros son pillados in fraganti sacando tajada del micro por el propio usuario. El problema es cuando meten un minero en firmware de un router perdido, bajan el consumo de CPU por debajo del radar o detienen su actividad si observan que el usuario está activo.
El futuro está en la mina. De eso no hay duda, pero eso nos va a costar un buen recibo en algunos casos. Muchos dejan su equipo encendido durante horas o días, una visita a la web equivocada podría dejar un script de minería rodando durante ese tiempo, con lo que podríamos machacar el equipo y terminar pagando un buen pico en el recibo de la luz.
Fuente: Hispasec

Vulnerabilidad en Cisco Adaptative Security Appliance (ASA)

Se ha detectado una vulnerabilidad de severidad crítica en productos Cisco que podría permitir a un atacante la ejecución remota de código o una denegación de servicio en los dispositivos afectados, catalogada de Importancia: 5 - Crítica
Recursos afectados:
Esta vulnerabilidad afecta al software Cisco ASA que se ejecuta en los siguientes productos Cisco:
·        3000 Series Industrial Security Appliance (ISA)
·        ASA 5500 Series Adaptive Security Appliances
·        ASA 5500-X Series Next-Generation Firewalls
·        ASA Services Module for Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers
·        ASA 1000V Cloud Firewall
·        Adaptive Security Virtual Appliance (ASAv)
·        Firepower 2100 Series Security Appliance
·        Firepower 4110 Security Appliance
·        Firepower 9300 ASA Security Module
·        Firepower Threat Defense Software (FTD)
Recomendación
Cisco ha publicado una actualización gratuita que aborda la vulnerabilidad.
Los usuarios que dispongan de una licencia de Cisco en vigor obtendrán el parche de la vulnerabilidad junto con su actualización de mantenimiento.
Aquellos usuarios que no dispongan de licencia de Cisco en vigor deben ponerse en contacto con el servicio de técnico de asistencia de Cisco (Cisco TAC) para obtener la actualización desde http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html
Detalle e impacto de vulnerabilidad
La vulnerabilidad es debida a un intento de duplicar la región libre de la memoria cuando la característica webvpn está activa en el dispositivo Cisco ASA. Un atacante podría ejecutar esta vulnerabilidad en la funcionalidad SSL-VPN enviando múltiples paquetes XML modificados a la interfaz de configuración webvpn. Un exploit podría permitir a un atacante la ejecución de código arbitrario y obtener el control completo del sistema o un reinicio en el dispositivo.
Se ha reservado el identificador CVE-2018-0101 a esta vulnerabilidad.
Más información
·        Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
Fuente: INCIBE

JOOMLA!. Inyección SQL en el núcleo

Se ha publicado una vulnerabilidad de severidad baja en el núcleo de Joomla! que podría permitir una inyección SQL en el mensaje de post-instalación Hathor, catalogada de Importancia: 2 - Baja
Recursos afectados:
·        Versiones desde 3.7.0 hasta la 3.8.3
Recomendación
Las versiones de producto afectadas deberán actualizarse a la versión 3.8.4 para solucionar esta vulnerabilidad.
Detalle e impacto de vulnerabilidades
Las versiones afectadas contienen una sentencia SQL donde no se realiza conversión de tipos de una variable específica, lo que podría aprovecharse para realizar una inyección SQL en el mensaje de post-instalación Hathor. Se ha reservado el identificador CVE-2018-6376 para esta vulnerabilidad.
Más información
·        [20180104] - Core - SQLi vulnerability in Hathor postinstall message https://developer.joomla.org/security-centre.html
Fuente: INCIBE

IBM. Vulnerabilidad en WebSphere Application Server

Se ha identificado una vulnerabilidad de severidad alta que podría permitir una escalada de privilegios en los productos afectados, catalogada de  Importancia: 4 - Alta
Recursos afectados:
Versiones de WebSphere Application Server: 7.0, 8.0, 8.5 y 9.0
Recomendación
·        Consulte el boletín de seguridad de IBM para obtener parches, actualizaciones o información sobre soluciones sugeridas de los productos afectados desde https://www-01.ibm.com/support/docview.wss?uid=swg22012345
Detalle e impacto de vulnerabilidades
IBM WebSphere Application Server presenta una debilidad en la seguridad de la consola de administración que podría permitir que un atacante remoto autenticado lleve a cabo una escalada de privilegios. Se ha reservado el identificador CVE-2018-0101 para esta vulnerabilidad.
Más información
·        IBM Security Bulletin: Potential Privilege Escalation in WebSphere Application Server Admin Console (CVE-2017-1731) http://www-01.ibm.com/support/docview.wss?uid=swg22012345
Fuente: INCIBE

Vulnerabilidad en routers Cisco ASR

Se ha identificado una vulnerabilidad en el servicio IPv6 del software Cisco IOS XR 5.3.4 utilizado en los productos Cisco Aggregation Services Router (ASR) 9000 Series que podría permitir que una atacante provocara una denegación de servicio, catalogada de Importancia: 4 - Alta
Recursos afectados:
  • Router Aggregation Aervices 9000 Series
Recomendación
Cisco ha lanzado una actualización que soluciona esta vulnerabilidad.
Detalle de vulnerabilidades
La vulnerabilidad en el servicio IPv6 de los productos afectados podría permitir a un atacante sin permisos en el sistema enviar paquetes IPv6 con las cabeceras malformadas dando como resultado una denegación de servicio “DoS”. Se ha reservado el identificador CVE-2018-0136 para esta vulnerabilidad.
Más información
·        Cisco Aggregation Services Router 9000 Series IPv6 Fragment Header Denial of Service Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180131-ipv6
Fuente: INCIBE

Vulnerabilidad en controladores gráficos de Intel

Se ha publicado una vulnerabilidad que afecta a múltiples versiones de controladores gráficos de Intel y que podría permitir a un atacante escalar privilegios, catalogada de Importancia: 4 - Alta
Recursos afectados:
Plataformas Mobile, Desktop, Server, Workstation y Embedded basadas en procesadores Intel® Core™ y Atom™ con un procesador gráfico que use alguno de las siguientes versiones de controladores: 15.40, 15.45 o 15.46.
Recomendación
·        Versión 15.40: deberá actualizarse a 15.40.x.4835, 20.19.x.4835
·        Versión 15.45: deberá actualizarse a 15.45.x.4821, 21.20.x.4821
·        Versión 15.46: deberá actualizarse a 15.46.x.4811, 22.20.x.4811. Intel recomienda: 15.47.x.4785, 22.20.x.4785 o 15.49.x.4836, 22.20.x.4836 o versiones futuras compatibles.
-        Puede usarse el asistente de soporte de Intel desde https://www.intel.com/content/www/us/en/support.html
-        Los controladores gráficos disponibles pueden encontrarse en: https://downloadcenter.intel.com
Detalle de vulnerabilidades
Un usuario sin privilegios con acceso local podría elevar sus privilegios a través de una desreferencia de puntero en los productos afectados. Se ha reservado el identificador CVE-2017-5727 para esta vulnerabilidad.
Más información
·        Pointer dereference in subsystem in Intel(R) Graphics Driver allows unprivileged user to elevate privileges via local Access https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00089&languageid=en-fr
Fuente: INCIBE

Vulnerabilidad en HPE Fortify

Una vulnerabilidad de criticidad alta ha sido identificada en Micro Focus Fortify Audit Workbench (AWB) y Micro Focus Fortify Software Security Center (SSC), catalogada de Importancia: 4 - Alta
Recursos afectados:
  • Fortify Audit Workbench (AWB) versiones: 16.10, 16.20, 17.10
  • Fortify Software Security Center (SSC) versiones: 16.10, 16.20, 17.10
Recomendación
Se ha publicado una actualización para solucionar la vulnerabilidad en AWB y SSC. Hay que realizar una actualización a la versión 17.20 de Fortify o posteriores a través del siguiente enlace: https://softwaresupport.softwaregrp.com/
Detalle de vulnerabilidades
La vulnerabilidad podría permitir un ataque de inyección de código XML externo (XXE), que permitiría a un usuario remoto sin permisos una denegación de servicio o acceso a datos confidenciales.
Esta vulnerabilidad ha sido catalogada con el identificador CVE-2018-6486
Más información
Fuente: INCIBE