5 de mayo de 2018

COMUNICADO. Anuncio cierre CAMBRIDGE ANALYTICA por escándalo uso inapropiado datos usuarios Facebook., pero no de creación empresa EMERDATA con similares propósitos.

La consultoría Cambridge Analytica, en el centro del escándalo sobre privacidad que afectó a Facebook este año, anunció el miércoles que comenzó un proceso de cierre de sus operaciones por insolvencia.
El miércoles 2 de mayo, la empresa británica de análisis de datos digitales Cambridge Analytica, envuelta en un escándalo de filtración de datos de unos 87 millones de usuarios de Facebook a través de una aplicación, anunció su cierre.
En un comunicado, la consultora citó como motivos principales de esta decisión la pérdida de clientes y los altos costes judiciales que la empresa ha tenido que afrontar a consecuencia del escándalo.
El documento denuncia que la compañía "ha sido objeto de numerosas acusaciones infundadas" por unas prácticas que "no solo son legales, sino que también están ampliamente aceptadas como un elemento común del 'marketing' en línea".
Sin embargo, el mensaje no menciona que tanto Cambridge Analytica como su empresa matriz, SCL Group, se refundarán en otra compañía que tiene la misma dirección registrada y los mismos directivos: Emerdata.
Según publica Financial Times, esta empresa fue creada el año pasado y sus principales altos cargos son el exdirector ejecutivo de Cambrige Analytica, Julian Wheatland, y el exjefe de datos de la polémica entidad, Alexander Tayler.
Al ser preguntado sobre el objetivo principal de Emerdata, un portavoz de Cambridge Analytica no negó que las dos compañías estén vinculadas. "Muchas corporaciones internacionales tienen diferentes divisiones y diferentes ramas para diferentes tipos de negocios", señaló la fuente citada por Financial Times.
En cuanto a la refundación de Cambridge Analytica en Emerdata, el portavoz agregó que "es una decisión de negocios, los directivos de la empresa [Cambridge Analytica] evaluarán oportunamente los resultados de una investigación independiente y tomarán las decisiones correspondientes".
¿El negocio de siempre?
Mientras tanto, desde el Parlamento del Reino Unido creen que la empresa continuará con su trabajo de análisis de datos, aunque bajo un nombre diferente.
"Es como la Hidra de la mitología griega: le cortas una cabeza y le crece otra", comentó Damian Collins, jefe del Comité para Cultura, Medios de Comunicación y Deportes del Parlamento británico.
"Creo que para Cambridge Analytica será el negocio de siempre pero con un nombre diferente", agregó.
Fuente: RT.com

TWITTER. Pide a usuarios cambiar claves tras fallo informático que expuso muchas de ellas

Twitter instó a cambiar sus claves después que un fallo informático expuso muchas de ellas en archivos de texto en su intranet.
Debido a un error de programación, Twitter almacenó las contraseñas de sus usuarios en texto sin formato, en una base de datos interna (shadow database). La empresa recomienda a a sus más de 330 millones de usuarios actualizar sus contraseñas.
La red social dijo que arregló la falla e inició una investigación interna que no halló indicios de robo o uso inapropiado de contraseñas por personas dentro de la firma, pero instó a todos los usuarios a que evalúen un cambio en sus claves “por exceso de precaución”.
El blog que publicó el anuncio no especificó cuántas contraseñas se vieron afectadas. Pero una persona que tiene conocimiento de la respuesta de la compañía dijo que la cantidad era “sustancial” y que estuvieron expuestas durante “varios meses”.
Twitter descubrió el error hace algunas semanas y lo informó a algunos reguladores, dijo la fuente, que no estaba autorizada para discutir el asunto.
La revelación se hace cuando legisladores y reguladores de todo el mundo analizan la forma en que las empresas almacenan y cuidan los datos de los usuarios, luego de una serie de incidentes de seguridad que han salido a la luz en firmas como Equifax Inc, Facebook Inc. y Uber.
El problema se relaciona con el uso de Twitter de una tecnología conocida como “hash” que enmascara las contraseñas cuando el usuario ingresa reemplazándolas con números y letras, según el blog.
Un error provocó que las contraseñas se escriban en un registro interno de una computadora antes de que se completara el proceso con la tecnología, dijo el blog.
“Sentimos mucho que esto haya ocurrido”, dijo Twitter en el blog.
Fuente: Reuters

KASPERSKY LAB. Identifica la infraestructura de Crouching Yeti, conocido por sus ataques a compañías industriales

Kaspersky Lab ha descubierto la infraestructura utilizada por el conocido grupo APT de habla rusa Crouching Yeti, también conocido como Energetic Bear
Numerosos servidores en diferentes países se han visto afectados desde 2016, a veces solo con el fin de obtener acceso a otros recursos. Otros muchos, incluidos aquellos que alojan sitios web rusos, se utilizaron para ataques “watering hole”.
Crouching Yeti es un grupo de habla rusa de amenazas persistentes avanzadas (APT) al que Kaspersky Lab lleva siguiendo desde 2010. Es muy conocido por dirigirse contra industrias de todo el mundo, con un interés prioritario por las instalaciones de energía, con el objetivo de robar datos valiosos de los sistemas. Una de las técnicas que el grupo utiliza es la de los ataques “watering hole” (los atacantes inyectan en una web un enlace que redirige a los visitantes a un servidor malicioso).
Kaspersky Lab descubrió recientemente una serie de servidores, comprometidos por el grupo, que pertenecen a diversas organizaciones con sede en Rusia, EE.UU., Turquía y varios países europeos, no limitándose exclusivamente a empresas industriales. Según los analistas, estos servidores fueron comprometidos en 2016 y 2017 con objetivos diferentes. Así, además de los ataques “watering hole”, estos servidores también se utilizaron en algunos casos como intermediarios para lanzar ataques contra otros recursos.
Durante el análisis de los servidores infectados, los analistas identificaron numerosos servidores y webs utilizados por organizaciones de Rusia, EE. UU., Europa, Asia y Latinoamérica, que los atacantes habrían escaneado con varias herramientas, posiblemente para encontrar un servidor que pudiera usarse como host para alojar sus herramientas y, más adelante, lanzar un ataque. Algunas de las webs escaneadas podrían considerarse como candidatas para usarse en un “watering hole”. La gama de webs y servidores que atrajeron a los intrusos es bastante amplia. Los analistas de Kaspersky Lab descubrieron que los ciberdelincuentes habían escaneado sitios web muy variados, desde tiendas y servicios online, organizaciones públicas, ONGs, fabricantes, etc…
Los analistas también encontraron que el grupo usó herramientas maliciosas de dominio público diseñadas para analizar servidores y para la búsqueda y recopilación de información. Además, durante su análisis encontraron un archivo sshd modificado con una puerta trasera. Este archivo se utilizó para sustituir el archivo original y la puerta podía abrirse mediante una “contraseña maestra”
“Crouching Yeti es un famoso grupo de habla rusa que lleva activo muchos años activo y que todavía tiene éxito en sus ataques contra grupos industriales utilizando ataques tipo “watering hole”, entre otras técnicas. Nuestros análisis muestran cómo el grupo comprometió servidores no solo con la intención de crear ataques de “watering hole”, sino también para otros análisis, y que activamente utilizaron herramientas de código abierto que posteriormente dificultaron bastante su identificación” dijo Vladimir Dashchenko, jefe del grupo de análisis de vulnerabilidades en Kaspersky Lab ICS CERT.
“Las actividades del grupo, como la recopilación inicial de datos, el robo de datos de autenticación y el escaneo de recursos, se utilizan para lanzar más ataques posteriores. La variedad y diversidad de servidores infectados y el tipo de recursos escaneados, sugiere que el grupo puede estar operando a cuenta de terceros”, añadió.
Kaspersky Lab recomienda a las organizaciones que implementen un marco integral contra amenazas avanzadas, que incluya soluciones de seguridad dedicadas para la detección de ataques y la respuesta a incidentes junto con servicios expertos e inteligencia de amenazas. Como parte de Kaspersky Threat Management and Defense, nuestra plataforma contra ataques dirigidos detecta un ataque en sus primeras etapas mediante el análisis de la actividad sospechosa que está teniendo lugar en la red, a la vez que Kaspersky EDR ofrece una mejor visibilidad del endpoint, aporta soluciones de investigación y respuesta automática. Todos estos elementos se han visto mejorados con a la inteligencia de amenazas global y los servicios expertos de Kaspersky Lab especializados en la búsqueda de amenazas y en la respuesta a incidentes.
Fuente: diarioti.com

FACEXWORM. El malware que se extiende a través de Facebook

Descubierto por Trend Micro, este malware se camufla tras una extensión de Google Chrome para robar criptomonedas a las víctimas.
La técnica de ataque utilizada por la extensión maliciosa surgió por primera vez en agosto del año pasado, pero los investigadores han descubierto que se añadieron nuevas capacidades a principios de este mes.
Estas novedades incluyen el robo de credenciales de sitios web, redirigir a las víctimas a estafas de criptomonedas y/o al enlace de referencia del atacante en programas relacionados con criptomonedas e inyectar mineros en las webs.
A finales del año pasado, se descubrió un bot de minería llamado Digmine el cual se propagaba a través de Facebook Messenger y tenía como objetivo a ordenadores Windows, así como a Google Chrome.
Al igual que el malware que acabamos de mencionar, FacexWorm también se propaga mediante ingeniería social a través de Facebook Messenger para redirigir a las víctimas a versiones falsas de sitios webs populares tales como YouTube.
Cabe señalar que la extensión solo se diseñó para usuarios de Chrome. Si el malware detecta cualquier otro navegador web en el dispositivo de la víctima, redirige a un anuncio de aspecto inofensivo.
Cómo funciona
Si el enlace al vídeo malicioso se abre con Chrome, FacexWorm redirecciona a la víctima a una página falsa de YouTube, donde se aconseja al usuario a descargar una extensión maliciosa para el navegador como si de un códec para reproducir el vídeo se tratase.
Una vez instalada, la extensión descarga más módulos para realizar varias tareas maliciosas.
"FacexWorm es un clon de una extensión legítima de Chrome, pero se le inyectó un código que contiene su rutina principal. Descarga el código JavaScript adicional del servidor C&C cuando se abre el navegador", explican los investigadores.
Dado que la extensión toma todos los permisos extendidos en el momento de la instalación, el malware puede acceder o modificar datos para cualquier web que el usuario abra.
A día de hoy, las criptomonedas reconocidas a las que se dirige FacexWorm incluyen Bitcoin (BTC), Bitcoin Gold (BTG), Bitcoin Cash (BCH), Dash (DASH), Ethereum (ETH), Ethereum Classic (ETC), Ripple (XRP), Litecoin (LTC), Zcash (ZEC) y Monero (XMR).
Dado que las campañas de spam en Facebook son bastantes comunes, se aconseja a los usuarios estar atentos al hacer clic en enlaces y archivos proporcionados a través de la plataforma del sitio.
Más información:
Fuente: Hispasec

El 90% de los clientes de SAP expuestos por un error en la configuración predeterminada de los productos basados en NetWeaver

Al menos 378.000 usuarios expuestos por un error en SAP NetWeaver desde hace 13 años
Recientemente la firma de seguridad 'Onapsis', ha descubierto que el 90% de los sistemas SAP se vieron afectados por una vulnerabilidad que puede ser explotada por un atacante remotamente y sin necesidad de autenticarse, lo único que debe tener es acceso a la red del sistema. La vulnerabilidad presente desde 2005 reside en las configuraciones predeterminadas afecta a cada producto basado en SAP NetWeaver incluyendo la suite 'S/4 Hana' y 'ERP'.
Cuando registramos una aplicación este registro se realiza a través del servidor de mensajes(SAP Message Server) por el puerto 3900 (por defecto).
Visualización del registro de aplicaciones en SAP
Para que esto se haga de forma segura el 'SAP Message Server' implementa un mecanismo de control mediante una lista de control de acceso o 'ACL' para verificar que direcciones IP pueden registrar una aplicación y cuales no. El parámetro para configurar esto es 'ms/acl_info' que recibe la ruta a un archivo con un formato determinado. La configuración por defecto hace que las 'ACL' permitan a cualquier host con acceso a la red del 'SAP Message Server' pueda registrar un servidor de aplicaciones en el sistema SAP.
Desde Onapsis no tienen pruebas de que se haya estado usando esta vulnerabilidad para un ataque, pero este fallo sin duda es bastante grave y con un gran número de afectados.
Para arreglar esta vulnerabilidad hay que modificar la configuración de acuerdo a las notas de seguridad expuestas por el fabricante para restringir el acceso.
Más información:
Fuente: Hispasec

Vulnerabilidades remotas en vehículos de Audi y Volkswagen


Investigadores holandeses han encontrado vulnerabilidades explotables remotamente en los sistemas de información de ciertos modelos de vehículos de la marca Audi y Volkswagen.
Dan Keuper y Thisj Alkemade, investigadores de la empresa Computest, han hallado varias vulnerabilidades en el sistema de información de los vehículos Audi A3 Sportback e-tron y Volkswagen Golf GTE fabricados en 2015. Las vulnerabilidades encontradas podrían causar que un atacante pueda escuchar por el micrófono del vehículo, acceder a los contactos de la agenda o acceder al histórico del sistema de navegación del vehículo.
Una vez conectados a la red wifi que ofrece el vehículo, mediante un exploit creado por ellos, consiguieron acceder al sistema de información de estos vehículos, fabricado por Harman. Una vez dentro, observaron que no podían enviar mensajes CAN (el protocolo de intercambio de mensajes entre módulos del vehículo) de forma directa, aunque si podían acceder a ciertas funcionalidades e información del sistema de información.
Un segundo vector fue encontrado a través de USB. En concreto, si el sistema detecta un dispositivo USB-to-Ethernet (una tarjeta de red USB), levanta una nueva interfaz donde expone el servicio vulnerable. Este vector a diferencia del primero requiere de la manipulación física del vehículo.
El problema añadido es que el software de estos vehículos no puede ser actualizado de forma remota, siendo necesario que el vehículo sea actualizado en un centro autorizado. Por parte de Volkswagen se han reconocido y corregido las vulnerabilidades halladas; que fueron reportadas de forma responsable por la compañía holandesa.
El paper publicado desgrana los detalles (hasta cierto punto) de la investigación realizada. Como podemos ver, cada vez que los vehículos se llenan de funcionalidades informáticas aumenta su superficie de exposición.
Desde hace años, este tipo de sistemas son objeto de más y más investigaciones en las que podemos ver como no se libran de fallos que pueden comprometer seriamente la seguridad tanto lógica como física de los automóviles.
Más información:
Fuente: Hispasec

Ejecución remota de código en 7-Zip y antivirus no especificados

Se ha descubierto una vulnerabilidad en el software de compresión 7-Zip, así como en cierto software antivirus, que permite la ejecución de código tras abrir un archivo comprimido especialmente manipulado
7-Zip es una popular aplicación gratuita de código abierto usada para comprimir y descomprimir archivos. Está desarrollada por Igor Pavlov, y además de usar el formato de compresión 7z (también libre), soporta los formatos de archivos comprimidos más conocidos (como ZIP, ARJ, tar, RAR…).
David L., cuya página personal es landave.io, encontró esta vulnerabilidad cuando buscaba vulnerabilidades en softwares antivirus. De hecho, esta vulnerabilidad primero fue descubierta en un producto antivirus y después encontrada en 7-Zip. Esto se debe a que el software antivirus y 7-Zip comparten la misma librería para descomprimir archivos RAR, llamada UnRAR. La arquitectura software de esta librería al parecer está cogida con pinzas, y si no la usas exactamente como el código de ejemplo proporcionado, se quedan sin inicializar ciertas estructuras de datos. Esto se puede aprovechar para efectivamente ejecutar código arbitrario al descomprimir un archivo.
En la publicación original se encuentra la explicación de cómo funciona exactamente la explotación del programa. La explicación se puede seguir sin dificultades con unas nociones básicas de exploiting en Windows. La cuestión es que cada día es más difícil alcanzar un nivel básico en exploiting, ya que las distintas mitigaciones implementadas por el sistema operativo hacen que cualquier exploit básico tenga que saltarse una por una las mitigaciones relevantes.
Afortunadamente, ya ha sido publicado el parche para esta vulnerabilidad en 7-Zip. A partir de la versión 18.05 no sólo contiene contiene el parche, sino que implementa ASLR en todos los ejecutables principales del programa. ASLR es una mitigación implementada a nivel de sistema operativo sobre la gestión de la memoria que dificulta la explotación de vulnerabilidades como éstas. Por desgracia, todavía no se han publicado parches para el producto antivirus afectado. Por tanto, el investigador que ha publicado la vulnerabilidad prefiere no decir cuál es el producto afectado hasta entonces.
Más información:
Fuente: Hispasec

Vulnerabilidades en productos F5

Se han descubierto dos vulnerabilidades de severidad alta que afectan a productos de F5 que podrían causar la interrupción de los servicios de vCMP y de TMM, catalogada de Importancia: 4 - Alta
Recursos afectados:
Ambas vulnerabilidades afectan a los siguientes productos:
  • BIG-IP 13.x. 12.x y 11.x
  • ARX 6.x
  • Enterprise Manager 3.x
  • BIG-IQ Centralized Management 5.x y 4.x
  • BIG-IQ Cloud and Orchestration 1.x
  • F5 iWorkflow 2.x
  • LineRate 2.x
  • Traffix SDC 5.x y 4.x
Detalle de vulnerabilidades:
Vulnerabilidad en vCMP: los usuarios root maliciosos con acceso de invitado a la plataforma vCMP, podrían interrumpir el servicio en invitados vCMP adyacentes que se ejecuten en el mismo servidor. Se ha reservado el identificador CVE-2018-5518 para esta vulnerabilidad.
Vulnerabilidad TMM: Los paquetes TCP mal formados enviados a una dirección IP propia o a un servidor virtual FastL4 podrían causar una interrupción en el servicio. Se ha reservado el identificador CVE-2018-5517 para esta vulnerabilidad.
Recomendación
Para la vulnerabilidad vCMP en BIG-IP: En las versiones 13.X actualizar a la versión 13.1.0.6 y en las versiones 12.x actualizar a la versión 12.1.3.4
Para la vulnerabilidad TMM en BIG-IP: En las versiones 13.x actualizar a la versión 13.1.0.6. Además, el fabricante recomienda las siguientes medidas preventivas:
En self IP addresses, restringir el acceso a usuarios de confianza mediante filtrado de paquetes.
En FastL4 virtual servers, habilitar TSO y reiniciar TMM. Se recomienda probar estos cambios en modo mantenimiento y valorando el posible impacto en el entorno específico.
Fuente: INCIBE

Ejecución remota de código en servicio de Windows

Microsoft ha publicado un boletín de seguridad en el que se describe una vulnerabilidad de severidad crítica que afecta a la librería hcsshim y que podría permitir a un atacante remoto ejecutar código arbitrario, catalogada de Importancia: 5 - Crítica
Recursos afectados:
·        Versiones anteriores a la 0.6.10 de la librería hcsshim
Recomendación
Actualizar la librería afectada a la versión 0.6.10, disponible en el siguiente enlace:
Detalle de vulnerabilidades
Un fallo en la validación de entrada a la hora de importar un contenedor de imágenes en la librería hcsshim, puede permitir a un atacante remoto ejecutar código arbitrario. Para explotar esta vulnerabilidad, un atacante debe crear un contenedor de imagen especialmente diseñado y además, un administrador autenticado en el sistema, debe extraer su contenido. Se ha reservado el identificador CVE-2018-8115 para esta vulnerabilidad.
Más información
·        Windows Host Compute Service Shim Remote Code Execution Vulnerability  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8115
Fuente: Hispasec

Múltiples vulnerabilidades en servidores HPE con procesadores AMD

Se han detectado dos vulnerabilidades de severidad crítica en servidores HPE que utilizan procesadores AMD, donde un atacante con acceso remoto podría obtener una elevación de privilegios, modificación no autorizada y divulgación de información o generar una condición de denegación de servicios (DoS), catalogada de Importancia: 5 - Crítica
Recursos afectados:
·        HPE ProLiant DL385 Gen10 Server anteriores a 1.22_04-16-2018.
·        HPE Cloudline CL3150 Gen10 Server con procesadores AMD.
Recomendación
HPE ha puesto a disposición de los usuarios las directrices a llevar a cabo para solventar las vulnerabilidades. Estas directrices pueden consultarse en el siguiente enlace:
Detalle de vulnerabilidades
Los procesadores AMD EPYC Server carecen de insuficiente control de acceso a las regiones de memoria protegida. Se ha reservado el identificador CVE-2018-8933 para esta vulnerabilidad.
Los procesadores AMD EPYC Server, Ryzen, Ryzen Pro, y Ryzen Mobile no disponen de una correcta validación de arranque por hardware. Se ha reservado el identificador CVE-2018-8930 para esta vulnerabilidad.
Más información
·        SUPPORT COMMUNICATION - SECURITY BULLETIN Document ID: hpesbhf03841en_us Version: 1 HPESBHF03841 rev.1 - Certain HPE Servers with AMD-based Processors, Multiple Vulnerabilities (Fallout/Masterkey) https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03841en_us
Fuente: INCIBE

CISCO. Múltiples vulnerabilidades en algunos productos

     Se han identificado múltiples vulnerabilidades en productos Cisco, de las cuales 3 son de severidad crítica y 5 de severidad alta, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
  • Cisco WebEx Business Suite (WBS31) versiones cliente anteriores a la T31.23.4
  • Cisco WebEx Business Suite (WBS32) versiones cliente anteriores a la T32.12
  • Cisco WebEx Meetings versiones cliente anteriores a la T32.12
  • Cisco WebEx Meeting Server versiones anteriores a la 3.0 Patch 1
  • Cisco Prime Data Center Network Manager (DCNM), versiones 10.0 y posteriores
  • Cisco Prime Infrastructure (PI), todas las versiones
  • Todas las versiones de Cisco Secure ACS anteriores a la versión 5.8 Patch 7
  • Cisco Wireless LAN Controllers que estén ejecutando Cisco Mobility Express Release 8.5.103.0
  • Todas las versiones de la 8.4 hasta la primera versión corregida para las series 5500 y 8500 de Wireless LAN Controllers y versiones 8.5.103.0 y 8.5.105.0 para las series 3500, 5500 y 8500 de Wireless LAN Controllers
  • Cisco Meeting Server (CMS) Acano X-series platforms que estén ejecutando una versión de CMS Software anterior a la 2.2.11
  • Cisco Aironet series 1810, 1830 y 1850 Access Points que estén ejecutando Cisco Mobility Express Software versiones 8.4.100.0, 8.5.103.0 o 8.5.105.0 y estén configuradas como master, subordinate, o punto de acceso standalone
  • Aironet 1800, 2800 y 3800 Series Access Points que estén ejecutando Cisco Mobility Express Software desde la versión 8.2.121.0 hasta la 8.5.105.0
Detalle de vulnerabilidades
El detalle de las vulnerabilidades de severidad crítica es el siguiente:
  1. Una vulnerabilidad en Cisco WebEx Network Recording Player for Advanced Recording Format (ARF) podría permitir que un atacante remoto no autenticado ejecute código arbitrario en el sistema de un usuario atacado, mediante el envío de un enlace o archivo ARF malicioso. Se ha reservado el código CVE-2018-0264 para esta vulnerabilidad.
  2. Una incorrecta validación en los datos de entrada en el servlet de carga de archivos de Cisco Prime Data Center Network Manager (DCNM) podría permitir a un atacante remoto no autenticado subir archivos arbitrarios a cualquier directorio de un dispositivo vulnerable y luego ejecutar esos archivos. Se ha reservado el código CVE-2018-0258 para esta vulnerabilidad.
  3. Una incorrecta validación en el protocolo AMF (Action Message Format) del componente ACS Report de Cisco Secure Access Control System (ACS) podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios en un sistema afectado, mediante el envío de un mensaje AMF malicioso. Se ha reservado el código CVE-2018-0253 para esta vulnerabilidad.
Recomendación
Más información
Fuente: INCIBE