16 de noviembre de 2019

CHINA. Ya trabaja en la tecnología 6G, días después de lanzar la 5G

Ya lo dice el dicho popular “pararse es como retroceder con respecto a quien avanza”. 
  El ministerio chino de Ciencia y Tecnología anunció el jueves que ha creado un grupo de investigación sobre la tecnología de las redes de sexta generación (6G), tan solo días después de haber lanzado la tecnología 5G.
El ministerio explicó que ha formado un grupo de trabajo de 37 expertos, procedentes de universidades, institutos de investigación y empresas, para comenzar a estudiar la tecnología 6G.
"Es el inicio oficial de la investigación y el desarrollo de las redes 6G", dijo el ministerio en un comunicado publicado en su página web.
Además, la empresa china de telecomunicaciones Huawei, considerada líder mundial de la tecnología 5G, trabaja ya en la investigación de la tecnología 6G, indicó el jueves la empresa a la AFP, sin dar más detalles.
China, que mantiene una rivalidad tecnológica con Estados Unidos, se dio prisa en lanzar las redes 5G, que proponen una velocidad muy superior a las redes 4G existentes. Los tres principales operadores de telefonía chinos ofrecen ya este servicio desde el viernes en las principales ciudades del país.
Esta tecnología se presenta como una verdadera revolución de las telecomunicaciones ya que propone objetos conectados, automóviles sin conductor y una automatización incrementada en numerosos aspectos de la vida cotidiana.
Fuente: El Mundo.es

QUALCOMM. La mitad de los móviles del mundo en peligro por una vulnerabilidad de la firma

En los últimos meses hemos visto graves vulnerabilidades Android en cuanto a apps que han logrado traspasar la seguridad de la Google Play Store y convertirse en aplicaciones populares descargadas millones de veces, algo que pone en peligro a millones de móviles. Pero lo que ha sucedido esta semana es algo peor, porque no son millones los smartphones afectados, sino básicamente cientos y cientos de millones. Porque se ha descubierto una grave vulnerabilidad en los procesadores Qualcomm, de los más populares entre las marcas Android.
Vulnerabilidad en Qualcomm
Check Point, una compañía de ciberseguridad, descubría esta semana una vulnerabilidad crítica en los procesadores de Qualcomm. Y dada su extensión entre los fabricantes Android, esto significa que que afecta a casi la mitad de los móviles del mundo. La vulnerabilidad se encuentra presente en Qualcomm TrustZone, una extensión de seguridad utilizada en los microprocesadores Corex-A de ARM, utilizados en un amplio número de sus procesadores para móviles incluyendo tablets también.
Más concretamente hablamos de un fallo en el Qualcomm Secure Execution Environment, el QSEE o Secure World, una implementación del TEE (Trusted Execution Environment) basada en la tecnología ARM TrustZone. El problema es que el QSEE es una zona segura del procesador cuyo objetivo es proteger información sensible dentro de un entorno seguro creado para las apps de confianza que tenemos en el móvil. Por ello, el QSEE está aislado del resto del hardware -hay apps que no tienen acceso ni siquiera con permisos Root-, y puede provocar:
  • Fuga de datos protegidos
  • Robo de información (claves de cifrado, contraseñas)
  • Robo de credenciales de pago (datos de tarjetas de crédito)
El Fuzzing
Investigando durante 4 meses, Check Point ha usado la técnica del Fuzzing, una prueba de 'software' que implica proporcionar datos inválidos o aleatorios a las entradas de un programa con el fin de monitorizar las caídas o encontrar filtraciones de memoria. Y los resultados han descubierto varias vulnerabilidades que afectan a teléfonos de Samsung, Motorola o LG.
Todos estos dispositivos tienen en común que usan un código de Qualcomm. Según Strategy Analytics casi la mitad de los 'smartphones' utilizan procesadores de Qualcomm, lo que hace que casi todos ellos puedan ser susceptibles de ser atacados
Actualiza tu SO
Por suerte, y también dada la enorme gravedad, Qualcomm, Samsung y LG ya ha lanzado parches de seguridad para solucionar esta vulnerabilidad (CVE-2019-10574), además de que recomiendan a los usuarios actualizar al último sistema operativo disponible. Check Point recomienda estar atento a los movimientos de las cuentas bancarias y descargarse una herramienta de seguridad que examine el estado del sistema de forma rutinaria.
Fuente: El Pais.com

MICROSOFT. Alerta del crecimiento de los ataques por la vulnerabilidad BlueKeep

      Microsoft ha alertado del crecimiento de los ataques de la vulnerabilidad BlueKeep, que aprovechan un fallo en el Protocolo de Escritorio Remoto (RDP) -que permite conectar con otro ordenador a través de una conexión de red- en ordenadores con sistema Windows, con el objetivo de minar criptomonedas.
La compañía ha informado en un comunicado sobre una investigación conjunta con expertos de ciberseguridad en la que descubrieron un exploit del RDP llamado Bluekeep. Esta vulnerabilidad de 'software' afecta a las versiones Windows 7, Windows Server 2008 y Windows Server 2008 R2.
A pesar de que la compañía lanzó un parche de seguridad para estos ataques en mayo de 2019, esta vulnerabilidad ha vuelto a afectar a varios ordenadores Windows desde octubre a través del exploit Metasploit.
Microsoft ya había implementado medidas de detección para el módulo Metasploit en el antivirus de serie Microsoft Defender ATP en septiembre de este año. Gracias a la experiencia con estas explotaciones la compañía pudo comprobar que el módulo era inestable y que por ese motivo se habían incrementado los ataques a los 'software' más vulnerables.
La investigación señaló que la explotación BlueKeep era para instalar mineros de criptomonedas en los sistemas vulnerables. También observaron que había afectado a varios países como España (cuarto país más afectado, con el 9 por ciento), Francia (18 por ciento), Rusia (16 por ciento) e Italia (10 por ciento). La infraestructura a la que estaban conectadas todas estos mineros estaba localizada en Israel.
En el comunicado, Microsoft ha explicado a pesar de las medidas la amenaza continuará existiendo hasta que no se aplique el parche de seguridad y actualice el sistema. Además recomiendan a los usuarios que revisen sus sistemas ya que BlueKeep puede explotarse sin dejar apenas rastros.
Fuente: Europa Press

XORPASS. Nueva herramienta para saltar filtros WAF

Se ha publicado una nueva herramienta que permite saltar los filtros WAF y lograr ejecución de código PHP en el servidor.
Daniel Púa (@devploit), nuestro compañero en el laboratorio de Hispasec, ha desarrollado una herramienta en PHP que aprovecha las operaciones XOR y las peculiaridades del propio lenguaje PHP para saltar las protecciones de aplicaciones WAF (Web Application Firewall).
La idea de desarrollar la herramienta nace como necesidad durante una de las competiciones CTF en las que Daniel compite a menudo. La competición de hacking BitUp Alicante 2019 ponía a disposición de los participantes un reto de categoría web donde, intencionalmente, se presentaba una página web desarrollada en PHP y vulnerable a inyección de código.
No era sencillo realizar la inyección de código, ya que para evitar la resolución directa del reto, sus creadores incluyeron un WAF que filtrase y bloquease las peticiones, evitando así que se pudiese ejecutar cómodamente el código necesario para resolver el reto.
Intentando hacer un bypass del firewall web o WAF, nuestro compañero tuvo en cuenta las posibilidades que ofrecen las operaciones XOR, lo que, unido a la capacidad de ejecución de una función indicando el nombre como una cadena de texto, permitía realizar un bypass exitoso de las medidas de seguridad.
Analizando la base matemática sobre las que se apoya el funcionamiento de la herramienta, encontramos que realizando operaciones XOR con cadenas de texto en PHP somos capaces de pasar nombres de funciones prohibidas al servidor. De esta forma, podremos ejecutarlas.
El operador XOR, aplicado sobre cadenas, funciona teniendo en cuenta lo siguiente:
Teniendo en cuenta el funcionamiento de las operaciones XOR, podemos usar esta operación para, a partir de dos o más cadenas de texto, generar una nueva cadena que contenga la función prohibida que deseamos ejecutar, como si de un cifrado se tratase.
Adicionalmente, la herramienta aprovecha la posibilidad de indicar el nombre de las funciones utilizando cadenas de texto PHP, lo que permite utilizar la operación XOR para codificar/cifrar las palabras prohibidas y lograr la ejecución de cualquier función.
Al unir el uso de operaciones XOR para codificar el nombre de las funciones no permitidas por el WAF, con la posibilidad de de ejecutar funciones utilizando cadenas de texto para referenciarlas, obtenemos una forma muy interesante de saltar las protecciones del firewall para lograr la ejecución de código.
XORpass, como podemos observar, es una idea muy interesante que nos puede ayudar mucho para la resolución de retos en CTFs, pero no sólo es útil en CTFs. También puede ser de gran utilidad en la explotación de vulnerabilidades en entornos reales en los que estemos realizando un test de penetración sobre infraestructuras protegidas por WAFs cuyo backend corra en PHP.
Descarga de herramienta
Desde repositorio de Github: https://github.com/devploit/XORpass
Fuente: Hispasec

El proveedor de servicio SmarterASP.NET atacado con un ransomware

El servicio de hosting SmarterASP.NET sufría el pasado 9 de noviembre un ataque por ransomware que ha dejado sin servicio total o parcialmente a unos 440.000 clientes.
La compañía ha reconocido en un comunicado oficial el ataque y ha informado a sus usuarios que se está llevando a cabo la restauración progresiva de sus cuentas.
Por lo que han podido comprobar algunos de los usuarios que han conseguido acceder a su cuenta, sus ficheros se encontraban cifrados y con la extensión «.kjhbx».
Un usuario compartía en Twitter la nota de rescate:













Nota de rescate. Fuente @calamitatum en Twitter
Por la nota, puede tratarse de una versión de Snatch. Aunque se desconocen más detalles sobre el ataque ni cuál fue el vector de entrada.
SmarterASP.NET se une a la lista de empresas de hosting golpeadas por un ransomware. A lo largo de este año, compañías como A2 y iNSYNQ se han visto afectadas por esta amenaza.
Por el momento no existe ninguna forma de descifrar los archivos cifrados por Snatch. No sabemos si la compañía ha optado por pagar el rescate o está utilizando copias de seguridad para restaurar sus sistemas.
Más información:
Fuente:Hispasec

Vdeoportero de Amazon permite a los atacantes robar tu clave Wifi

Investigadores de seguridad de Bitdefender han descubierto una brecha de seguridad en el videoportero de Amazon «Ring Video Doorbell Pro» que podría permitir a los atacantes robar la contraseña del Wifi de nuestros hogares y, posteriormente, lanzar ataques del tipo Man in the Middle (MitM) contra otros dispositivos conectados a la misma red.
Para los que no hayan escuchado hablar sobre Ring, es un videportero que nos permite interactuar con cualquier persona desde cualquier parte del mundo. El timbre tiene que estar conectado a nuestra red Wifi, lo que nos permitiría acceder al dispositivo desde una aplicación móvil.
Cuando estamos configurando el timbre debemos ponerlo en modo <>, lo cual activa un punto de acceso inalámbrico que lleva el dispositivo incorporado y que carece de cualquier tipo de protección. Esto permite que la aplicación móvil se conecte de forma automática al timbre.
Además, los investigadores descubrieron que al establecer la conexión inicial entre el timbre y la aplicación móvil, momento en el que se comparte la clave Wifi, ésta se hace mediante HTTP.
Este tipo de ataque solo es posible realizarlo durante la configuración inicial del dispositivo, pero… ¿cómo podría un atacante aprovecharlo?
Los investigadores sugirieron que, al enviar de forma constante mensajes de desautorización para hacer que el dispositivo se caiga de la red, éste envía al usuario una sugerencia para que vuelva a configurarlo. El botón de visualización en vivo se vuelve gris y, al pulsarlo, se mostrará una notificación para que el usuario reinicie el router o pulse dos veces el botón de configuración del dispositivo. Una vez pulsado dos veces seguidas se intentará volver a conectar a la red, pero ese intento fallará, por lo que solo nos quedaría reconfigurar el dispositivo.
Una vez que el propietario acceda al modo configuración para ingresar la clave Wifi, el atacante que «esnife» el tráfico capturará la contraseña en texto plano, como se muestra en la imagen.
Bitdefender reportó el fallo encontrado en el dispositivo ‘Ring Video Doorbell Pro’ en junio de este año e informó a Amazon. Después de cierta comunicación con el proveedor, el 5 de septiembre se lanzó una actualización para corregir la vulnerabilidad.
Más información:
Fuente: Hispasec

Filtrados datos de ZoneAlarm Forum

El foro dedicado al producto de seguridad ZoneAlarm de Check Point parece haber sido hackeado tras aprovechar una vulnerabilidad parcheada a finales de septiembre y los detalles de los miembros del foro se han hecho públicos.
CheckPoint dice que su producto ZoneAlarm ha sido utilizado por casi 100 millones de usuarios en todo el mundo, pero el incidente solo parece afectar a unos pocos miles de usuarios. El foro ZoneAlarm tiene aproximadamente 4.500 miembros, pero Breach Report afirma haber encontrado un archivo que contiene 5.175 registros filtrados.
El archivo contiene direcciones de correo electrónico, valores hash de contraseña, fechas de nacimiento y direcciones IP de usuarios. El foro ZoneAlarm funciona con el software del foro vBulletin y Breach Report sugirió que los piratas informáticos pueden haber obtenido los datos después de aprovechar la vulnerabilidad CVE-2019-16759, una vulnerabilidad de vBulletin que se parcheó a finales de septiembre.
La falla habría sido explotada antes del lanzamiento de un parche y algunos afirmaron que su existencia se conocía desde hacía años.
Los representantes de Check Point aseguran que el equipo de ZoneAlarm contactó a las personas afectadas dentro de las 24 horas posteriores a la detección de la bracha de seguridad. La compañía llevó a cabo una investigación sobre el incidente y no confirmó que se tratara de la explotación de una vulnerabilidad de vBulletin.
Además la compañía aseguró que las contraseñas «permanecen encriptadas«, pero aconsejó a los usuarios que las cambien «como medida de seguridad».
«Es importante destacar que este sitio web está aislado de cualquier otro sitio web de Check Point y fue utilizado solo por los suscriptores registrados del foro ZoneAlarm. ZoneAlarm es una de nuestras líneas de productos más pequeñas ”, dijo Check Point a SecurityWeek por correo electrónico.
El foro ZoneAlarm no se encuentra disponible actualmente. Por otro lado, desde Hispasec recomendamos que se cambien periódicamente las contraseñas de los sitios webs en los que tengamos cuenta y recordamos la necesidad de que estos sitios webs implementen mecanismos de segundo factor de autentificación.
Más información:
Fuente: Hispasec

PSIXBOT. Malware que activa cámara y micrófono durante la reproducción de pornografía.

Se trata de una versión mejorada del malware PsiXBot que añade nuevas funcionalidades. Entre ellas, el uso de DNS sobre HTTPS durante las operaciones de recuperación de información del servidor C&C, para ocultar las peticiones DNS, que resultarían sospechosas, bajo una capa cifrada como HTTPS. De este modo, sólo a través de un análisis de SSL/TLS posterior a un eventual MITM, podríamos detectar esas peticiones al servidor malicioso.
En los últimos días hemos tenido constancia de la actualización de este malware, capaz de grabar vídeo y audio de la webcam de los equipos infectados. La funcionalidad es activada cuando el título de las webs que se visitan en el navegador coinciden con una lista de palabras regulares que tienen relación con webs de contenido pornográfico. A continuación puede comprobarse esto en el código del malware:
Aunque la noticia más mediática ha sido la inclusión del «PornModule», enfocado, como hemos dicho, a la captura de imágenes y audio mientras se ve contenido pornográfico para una posterior extorsión, no es una práctica novedosa ni sofisticada.
Lo interesante, desde el punto de vista técnico, es la inclusión de dos elementos que refinan y mejoran la funcionalidad del malware. En primer lugar la utilización de técnicas Fast Flux y, en segundo lugar, el uso de DNS a través de HTTPS.
Fast Flux es una técnica DNS utilizada típicamente en contextos que involucren botnets y que persigue ocultar las direcciones IP de servidores de phishings y envío de malware a través del cambio permanente y rápido de la topología de red, utilizando un conglomerado de hosts comprometidos que actúan como proxies. La idea fundamental de la técnica es asociar una cantidad ingente de IPs a un dominio cualificado, siendo las IPs cambiadas con una frecuencia extremadamente alta a través de la modificación de los registros DNS.
Por otro lado, la utilización de DNS a través de HTTPS, permite ocultar las peticiones DNS a estos servidores detrás de una capa cifrada como HTTPS. El autor del malware utiliza además el propio servicio de Google para realizar este paso.
Como puede apreciarse, los dominios van hardcodeados, por lo que, simplemente, deben incluirse dentro de una petición GET a https://dns.google.com como una variable, tal y como puede apreciarse en la siguiente imagen:
A continuación, adjuntamos algunos indicadores de compromiso, así como fuentes y referencias que permitan ampliar o complementar la información:
Más información:
Fuente: Hispasec

Explotan una nueva vulnerabilidad de día cero en Google Chrome 76 Y 77

La compañía de ciberseguridad Kaspersky ha alertado de una nueva vulnerabilidad conocida como CVE-2019-13720 que afecta al navegador Google Chrome en sus versiones 76 y 77, para la que Google ya ha publicado un parche de seguridad pero que también ha sido aprovechada por ciberdelincuentes.
Google ha confirmado que se trata de una vulnerabilidad de día cero, es decir desconocida por los desarrolladores hasta el momento, sin embargo, la compañía ya ha lanzado un parche para proteger a los usuarios, como ha confirmado Kaspersky en un comunicado.
Según los investigadores, el ataque se inició en un portal de noticias coreano en el que los atacantes introdujeron un código Java Script malicioso que cargaba un 'script' de creación de perfiles para examinar los sistemas que podían ser atacados. En este caso los sistemas vulnerables de ataque son el Google Chrome versión 65 o sus posteriores versiones.
Si el sistema operativo y el navegador cumplen con los requisitos, el 'script' descarga el 'exploit' por fragmentos y después lo ensambla y descifra de nuevo. Este 'script' analiza la versión de Google, de momento los casos se han dado en las versiones 76 y 77 de Chrome, aunque es posible que existan más vulnerabilidades para las distintas versiones de navegador.
El 'exploit' intenta aprovechar la vulnerabilidad CVE-2019-13720, que se basa en el uso inapropiado de la memoria de ordenador. Básicamente, manipula la memoria para obtener el permiso de leer y escribir datos en el dispositivo, que usa para descargar, descifrar y ejecutar el 'malware'.
La compañía ha denominado a la campaña que ha explotado esta vulnerabilidad como Operación WizardOpium. Los expertos han encontrado varias similitudes en el código con campañas del grupo norcoreano Lazarus y los ataques de DarkHotel.
Para evitar ser atacados por la vulnerabilidad, se debe descargar el parche de Google, actualizar el 'software' de forma regular para tener siempre los últimos parches de seguridad descargados y realizar medidas básicas de ciberseguridad en todos los sistemas.
Fuente: Europa Press

iOS 13.2.2. Corrige problemas con apps en segundo plano y pérdida temporal señal móvil y datos

Apple ha distribuido la actualización 13.2.2 del sistema operativo móvil iOS para corregir problemas identificados con la señal móvil y las aplicaciones en segundas plano.
Un 'bug' en iOS 13 ha afectado a la multitarea en los dispositivos iOS, ya que cerraba inesperadamente las aplicaciones abiertas en segundo plano. Este problema se ha corregido con la nueva actualización iOS 13.2.2, y en la versión beta 13.3.
Otros problemas que corrige la actualización, como explica la propia Apple en su página, son la pérdida temporal de conexión a los servicios móviles después de una llamada así como la falta de disponibilidad temporal de datos móviles
Fuente: Europa Press

GOOGLE. Junto a socios ciberseguridad móvil para luchar contra las aplicaciones maliciosas en Play Store

Google se ha unido a sus socios de innovación y desarrollo (I+D) del sector de la seguridad móvil ESET, Lookout y Zimperium en una alianza a la que han denominado 'App Defense Alliance' (Alianza para la Defensa de las Aplicaciones) con el objetivo de evitar que lleguen aplicaciones maliciosas a la Play Store que puedan ser descargadas por los usuarios.
Google ha anunciado a través de un comunicado su alianza con las empresas de ciberseguridad ESET, Lookout y Zimperium en la denominada 'Alianza para la Defensa de las Aplicaciones' que tiene como objetivo "reducir juntos los riesgos del código malicioso asociado a las aplicaciones, identificar nuevas amenazas y proteger a los usuarios", de acuerdo con la empresa.
Así, afirma que su principal misión es "garantizar la seguridad en la Play Store", evitando que las aplicaciones maliciosas lleguen a los dispositivos de los usuarios. Para ello, identificarán "con rapidez" las aplicaciones potencialmente dañinas, de tal manera que se puedan retirar a tiempo, evitando que se publiquen y que lleguen a estar a disposición del usuario para su descarga.
Es por ello por lo que Google declara que, como parte de esta alianza, ha decidido integrar sus sistemas de detección Google Play Protect con los motores de búsqueda de cada uno de sus socios, pues asegura que, de esta forma, generarán "nueva inteligencia sobre el riesgo de las aplicaciones mientras están en espera de ser publicadas". De esta forma, los socios analizarán todos los datos recogidos sobre las mismas antes de que pasen a estar disponibles en la Play Store.
ESET, Lookout y Zimperium son tres empresas de ciberseguridad, socias de Google, que trabajan en el sector de la protección 'endpoint', es decir, un sistema de protección para redes que se conectan de forma remota a los dispositivos del usuario, y que ofrecen productos específicos para la protección de tanto los dispositivos como el entorno móvil.
Para ello, utilizan tecnologías que se basan en una combinación de aprendizaje automático y análisis estático/dinámico para detectar comportamientos nocivos. El motivo de escoger a estos tres socios radica, de acuerdo con Google, en los éxitos que han tenido en la detección de amenazas potenciales y "por su dedicación a la mejora del ecosistema".
Fuente: Europa Press

MICROSOFT. Boletín de seguridad de noviembre de 2019

La publicación de actualizaciones de seguridad de Microsoft correspondiente al mes de noviembre consta de 75 vulnerabilidades, 13 clasificadas como críticas y 62 como importantes, catalogada con Importancia  5 - Crítica
Recursos afectados:
  1. Microsoft Windows,
  2. Internet Explorer,
  3. Microsoft Edge (Edge basado en HTML),
  4. ChakraCore,
  5. Microsoft Office y Microsoft Office Services y Web Apps,
  6. Open Source Software,
  7. Microsoft Exchange Server,
  8. Visual Studio,
  9. Azure Stack.
Recomendación
Instalar la actualización de seguridad correspondiente. En la página de información de la instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.
Resumen de vulnerabilidades corregidas
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
escalada de privilegios;
  • ejecución remota de código;
  • divulgación de información;
  • denegación de servicio;
  • suplantación;
  • omisión de característica de seguridad.
Más información
Fuente: INCIBE

SAP. Actualización de seguridad de noviembre de 2019

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  1. SAP Business Client, versión 6.5;
  2. SAP Diagnostic Agent (LM-Service), versión 7.20;
  3. SAP BusinessObjects Business Intelligence Platform (Web Intelligence HTML interface), versiones 4.1 y 4.2;
  4. SAP Enable Now, versiones anteriores a la 1908;
  5. S4HANA Sales (S4CORE), versiones 1.0, 1.01, 1.02, 1.03 y 1.04;
  6. SAP Treasury and Risk Management (EA-FINSERV), versiones 6.0, 6.03, 6.04, 6.05, 6.06, 6.16, 6.17, 6.18 y 8.0;
  7. SAP NetWeaver Application Server Java (J2EE-Framework), versiones - 7.1, 7.2, 7.3, 7.31, 7.4 y 7.5;
  8. SAP Quality Management (S4CORE), versiones 1.0, 1.01, 1.02 y 1.03;
  9. SAP UI 700, versión 2.0;
  10. SAP NetWeaver AS Java, versiones 7.10, 7.20, 7.30, 7.31, 7.4 y 7.5;
  11. SAP Treasury and Risk Management (S4CORE), versiones 1.01, 1.02, 1.03 y 1.04;
Recomendación
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle de vulnerabilidades corregidas
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 11 notas de seguridad y 4 actualizaciones, siendo 4 de ellas de severidad crítica, 1 alta, y 10 medias.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
  • 1 vulnerabilidad de SQL injection,
  • 1 vulnerabilidad de escalada de privilegios,
  • 3 vulnerabilidades de inyección de comandos del sistema operativo,
  • 1 vulnerabilidad de falta de comprobación de XML;
  • 1 vulnerabilidad de comprobación de autorización;
  • 1 vulnerabilidad de otro tipo.
Las notas de seguridad más destacadas se refieren a:
Se han encontrado nuevos bypass múltiples sobre la lista blanca definida para Linux/Unix que podría permitir a un atacante eliminar, modificar o ejecutar comandos arbitrarios en el agente. Se ha asignado el identificador CVE-2019-0330 para esta vulnerabilidad.
Se ha incluido una validación XML adicional en SAP Business Objects Business Intelligence Platform, ya que los documentos XML procedentes de fuentes no fiables no se filtraban correctamente para detectar contenido malicioso, lo que podía permitir a un atacante la divulgación de información o la denegación del servicio. Se ha reservado el identificador CVE-2019-0396 para esta vulnerabilidad.
Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2019-0385, CVE-2019-0386, CVE-2019-0384, CVE-2019-0389, CVE-2019-0382, CVE-2019-0393, CVE-2019-0390, CVE-2019-0388, CVE-2019-0391 y CVE-2019-0383.
Más información

Fuente: HISPASEC

INTEL. Múltiples vulnerabilidades en productos de la firma

Intel ha publicado 12 avisos de seguridad en su centro de seguridad de productos, 2 de severidad crítica, 8 de severidad alta y 2 de severidad media. Estas vulnerabilidades también afectan a otros fabricantes que utilizan componentes de Intel en sus propios productos, catalogadas de  Importancia: 5 - Crítica
Recursos afectados:
1)   Intel Core:
a)   desde la 2ª, hasta la 10ª generación de procesadores;
b)   familia m;
c)    familia X-series.
2)   Intel Pentium serie Gold;
3)   Intel Celeron:
a)   serie G;
b)   serie 5000.
4)   Intel Xeon:
a)   Scalable;
b)   familia E;
c)    familia D;
d)   familia W;
e)   legacy.
5)   Intel Atom serie C;
6)   Intel Converged Security and Manageability Engine (CSME), Intel Active Management Technology (AMT), Intel Dynamic Application Loader (DAL) e Intel DAL software:
a)   desde 11.0, hasta 11.8.65;
b)   desde 11.10, hasta 11.11.65;
c)    desde 11.20, hasta 11.22.65;
d)   desde 12.0, hasta 12.0.35;
e)   13.0.0;
f)    14.0.0.
7)   Intel SPS:
a)   desde SPS_E5_04.00.03.199.0, hasta SPS_E5_04.00.04.380.0;
b)   desde SPS_SoC-X_04.00.04.051.0, hasta SPS_SoC-X_04.00.04.085.0;
c)    desde SPS_SoC-A_04.00.03.065.0, hasta SPS_SoC-A_04.00.04.180.0;
d)   desde SPS_E3_04.01.03.021.0, hasta SPS_E3_04.01.04.053.0.
8)   Intel Trusted Execution Engine (TXE):
a)   desde 3.0, hasta 3.1.65;
b)   desde 4.0, hasta 4.0.15.
9)   Intel Ethernet 700 Series Controller:
a)   versión de firmware anterior a 7.0;
b)   versión de software anterior a 24.0.
Intel WIFI Drivers e Intel PROSet/Wireless WiFi Software, versiones anteriores a 21.40 para los siguientes productos:
Ø  Intel Wi-Fi 6 AX201 y AX200;
Ø  Intel Wireless-AC 9560, 9462, 9461 y 9260;
Ø  Intel Dual Band Wireless-AC 8265, 8260 y 3168;
Ø  familia Intel Wireless 7265 (Rev D);
Ø  Intel Dual Band Wireless-AC 3165.
v  Intel SGX SDK para Windows, versiones:
Ø  2.4.100.51291 y anteriores;
Ø  2.3.101.50222;
Ø  2.3.100.49777.
v  Intel SGX SDK para Linux, versiones:
Ø  2.6.100.51363 y anteriores;
Ø  2.5.100.49891;
Ø  2.4.100.48163;
Ø  2.3.100.46354;
Ø  2.2.100.45311.
10) Intel Server Boards, versiones: BBS2600BPB, BBS2600BPQ, BBS2600BPS, BBS2600BPBR, BBS2600BPQR, BBS2600BPSR, S2600WF0, S2600WFQ, S2600WFT, S2600WF0R, S2600WFQR, S2600WFTR, S2600STB, S2600STQ, S2600STBR, S2600STQR, BBS2600STB, BBS2600STQ, BBS2600STBR y BBS2600STQR;
11) Intel Compute Modules, versiones: HNS2600BPB, HNS2600BPQ, HNS2600BPS, HNS2600BPB24, HNS2600BPQ24, HNS2600BPS24, HNS2600BPBLC, HNS2600BPBLC24, HNS2600BPBR, HNS2600BPBRX, HPCHNS2600BPBR, HNS2600BPQR, HPCHNS2600BPQR, HNS2600BPSR, HPCHNS2600BPSR, HNS2600BPB24R, HNS2600BPB24RX, HNS2600BPQ24R, HNS2600BPS24R, HNS2600BPBLCR, HNS2600BPBLC24R, S9256WK1HLC, S9248WK1HLC, S9232WK1HLC, S9248WK2HLC, S9232WK2HLC, S9248WK2HAC y S9232WK2HAC;
12) Intel Server Systems, versiones: R1304WF0YS, R1304WFTYS, R1208WFTYS, R2308WFTZS, R2208WF0ZS, R2208WFTZS, R2208WFQZS, R2312WF0NP, R2312WFTZS, R2312WFQZS, R2224WFQZS, R2224WFTZS, R1208WFTYSR, HPCR1208WFTYSR, R1304WF0YSR, HPCR1304WF0YSR, R1304WFTYSR, HPCR1304WFTYSR, R2208WFTZSR, R2208WFTZSRX, HPCR2208WFTZSR, HPCR2208WFTZSRX, R2208WF0ZSR, HPCR2208WF0ZSR, R2224WFTZSR, HPCR2224WFTZSR, R2308WFTZSR, HPCR2308WFTZSR, R2312WFTZSR, HPCR2312WFTZSR, R2312WF0NPR, HPCR2312WF0NPR, R2208WFQZSR, HPCR2208WFQZSR, R1208WFQYSR y HPCR1208WFQYSR.
13) Estas vulnerabilidades afectan a fabricantes como:
14) Xen: sistemas que estén ejecutando todas las versiones de Xen (procesadores x86 basados en Intel);
15) Citrix
a)   Citrix Hypervisor, versión 8.0 y anteriores;
b)   Citrix ADC y Citrix Gateway, las siguientes series MPX/SDX:
i)     8900;
ii)    14000-40G/14000-40S/14000-40C;
iii)  15000-25G/15000-50G;
iv)  25000-40G;
v)   26000/26000-50G.
16) Dell: Dell EMC Servers y Dell EMC Networking Virtual Edge Platform 4600 (VEP 4600).
Recomendación
Actualizar a la última versión del producto. https://downloadcenter.intel.com/
Detalle de vulnerabilidades corregidas
Un usuario malintencionado que aprovechara alguna de las vulnerabilidades descritas, podría llegar a realizar las siguientes acciones en los productos afectados:
·       denegación de servicio;
·       escalada de privilegios;
·       divulgación de información.
Se han reservado los siguientes identificadores: CVE-2018-12207, CVE-2019-0123, CVE-2019-0124, CVE-2019-0152, CVE-2019-0151, CVE-2019-0169, CVE-2019-11132, CVE-2019-11147, CVE-2019-11105, CVE-2019-11088, CVE-2019-11131, CVE-2019-11104, CVE-2019-11097, CVE-2019-11103, CVE-2019-0131, CVE-2019-11090, CVE-2019-0165, CVE-2019-0166, CVE-2019-0168, CVE-2019-11087, CVE-2019-11101, CVE-2019-11100, CVE-2019-11102, CVE-2019-11106, CVE-2019-11107, CVE-2019-11109, CVE-2019-11110, CVE-2019-11086, CVE-2019-11108, CVE-2019-11112, CVE-2019-0155, CVE-2019-11111, CVE-2019-14574, CVE-2019-14590, CVE-2019-14591, CVE-2019-11089, CVE-2019-11113, CVE-2019-0140, CVE-2019-0145, CVE-2019-0142, CVE-2019-0139, CVE-2019-0143, CVE-2019-0144, CVE-2019-0146, CVE-2019-0147, CVE-2019-0148, CVE-2019-0149, CVE-2019-0150, CVE-2019-11135, CVE-2019-11136, CVE-2019-11137, CVE-2019-11151, CVE-2019-11152, CVE-2019-11153, CVE-2019-11154, CVE-2019-11155, CVE-2019-11156, CVE-2019-14566, CVE-2019-14565, CVE-2019-11168, CVE-2019-11170, CVE-2019-11171, CVE-2019-11172, CVE-2019-11173, CVE-2019-11174, CVE-2019-11175, CVE-2019-11177, CVE-2019-11178, CVE-2019-11179, CVE-2019-11180, CVE-2019-11181 y CVE-2019-11182.
Más información
Fuente: HISPASEC