17 de enero de 2019

FACEBOOK. Aplicará normas más estrictas de anuncios en países con elecciones en 2019

Facebook va a ampliar algunas de sus reglas y herramientas de publicidad política para frenar la injerencia electoral en India, Nigeria, Ucrania y la Unión Europea antes de las elecciones que tendrán lugar en estos lugares en los próximos meses.
Facebook, la mayor red social en casi todos los grandes países, se ha convertido desde 2016 en un medio para que los políticos y sus adversarios distribuyan noticias falsas y todo tipo de propaganda.
La compra de anuncios de Facebook puede ampliar la visibilidad de dicho material, pero algunos de los intentos por influir en el voto pueden suponer una violación de las reglas electorales y las políticas de la compañía.
Bajo la presión de las autoridades de todo el mundo, el año pasado Facebook introdujo varias iniciativas para aumentar el control de los anuncios políticos.
Desde el miércoles, en Nigeria solo los anunciantes ubicados en el país podrán publicar anuncios electorales, replicando la decisión puesta en práctica durante un referéndum irlandés en mayo pasado, según dijo en una entrevista Katie Harbath, directora de política global de Facebook.
La misma medida entrará en vigor en Ucrania en febrero. Nigeria celebra una elección presidencial el 16 de febrero, mientras que en el caso de Ucrania será el 31 de marzo.
En la India, que tiene elecciones parlamentarias esta primavera, Facebook colocará los anuncios electorales en una biblioteca online con un motor de búsqueda a partir del próximo mes, dijo Rob Leathern, director de gestión de productos de la compañía.
“Estamos aprendiendo de todos los países”, dijo Leathern. “Sabemos que no vamos a ser perfectos, pero nuestro objetivo es la mejora continua”.
Facebook considera que mantener los anuncios en una biblioteca durante siete años es una parte clave de la lucha contra las injerencias, agregó.
La biblioteca será similar a los archivos introducidos el año pasado en Estados Unidos, Brasil y Reino Unido.
Esta nueva medida de transparencia generó el aplauso de altos cargos electos y grupos de responsabilidad de campañas, pero algunos también criticaron a Facebook por permitir que los anunciantes en Estados Unidos oculten sus identidades.
El archivo indio contendrá información de contacto de algunos compradores de anuncios o sus certificados reglamentarios oficiales. Para las personas que compran anuncios políticos, Facebook dijo que garantizaría que su nombre en la lista coincida con los documentos emitidos por el Gobierno.
En la Unión Europea habría una versión de ese sistema de autorización y transparencia antes de las elecciones parlamentarias del bloque que tienen lugar en mayo, dijo Leathern.
El mes pasado, investigadores que trabajaban a instancias de un comité del Senado de Estados Unidos concluyeron que la Agencia de Análisis de Internet del Gobierno ruso utilizaba anuncios en las redes sociales y ‘posts’ o entradas en cuentas auténticas para promocionar al entonces candidato presidencial Donald Trump. Rusia ha negado la acusación.
Esperemos que esta nueva normativa de Facebook, también sea de aplicación en España, en las próximas elecciones Europeas, Autonómicas y Locales, para que unidas al endurecimiento de la legislación relativa a la Protección de Datos, protejan los derechos y libertades de todo el electorado español.
Fuente: Reuters

XSS en Fornite permite el robo de cuentas

Se ha descubierto una brecha de información en el famoso juego multiplataforma Fornite de Epic Games que afecta a sus usuarios; dejando al descubierto información que podría ser aprovechada para ganar acceso a las cuentas de los jugadores donde pueden estar registradas sus tarjetas de crédito, pudiendo así comprar mejoras del juego y revenderlas.
Para los que no lo conozcan, Fornite es un juego lanzado por Epic Games en julio de 2017. Inicialmente los jugadores tenían que cooperar online para sobrevivir a una epidemia de muertos vivientes que intentan conquistar la Tierra. Posteriormente lanzaron la versión de Battle Royal, que fue la que impulsó este juego a la fama.
Actualmente hay más de 200 millones de usuarios registrados y se juegan cerca de 80 millones de partidas al mes.
Desde hace un tiempo se están detectando ataques de phishing hacia los jugadores de Fornite, pero los investigadores Alon Boxiner, Eran Vaknin y Oded Vanunu de la empresa Check Point decidieron buscar una alternativa más “sofisticada y siniestra” como describen ellos.
A raíz del descubrimiento de una vulnerabilidad XSS en uno de los subdominios de Epic Games, les fue posible conseguir las credenciales de la víctima, a tan solo un click.
  • El fallo encontrado tiene varios factores que lo hacen posible:
  • Un XSS en un antiguo dominio de Epic Games, http://ut2004stats.epicgames.com, actualmente deshabilitado.
  • http://ut2004stats.epicgames.com/index.php?stats=map&SearchName=[Código JS]
Un redirector que se pasa como parámetro en la URL que se genera cuando el jugador pulsar ‘Sign In’, y es fácilmente manipulable.
El uso de SSO o Single Sign-On, con las plataformas PlayStationNetwork, Xbox Live, Nintendo, Facebook y Google+
Fuente: Hispasec

Múltiples vulnerabilidades en productos de Microsoft

Microsoft ha corregido 3 vulnerabilidades fuera de ciclo, que afectaban a varios de sus productos, catalogadas de Importancia: 4 - Alta
Recursos afectados:
1.   Team Foundation Server 2017 versión 3.1
2.   Team Foundation Server 2018 versiones 1.2 y 3.2
3.   Skype for Business Server 2015 CU 8
Detalle de vulnerabilidades
Las vulnerabilidades de severidad alta son las siguientes:
  • Una vulnerabilidad de suplantación de identidad, cuando un servidor de Skype for Business Server no valida correctamente una solicitud especialmente diseñada, podría permitir a un atacante autenticado enviar dicha solicitud y ejectuar scripts. Se ha reservado el identificador CVE-2019-0624 para esta vulnerabilidad.
  • Una vulnerabilidad de Cross-site Scripting (XSS), cuando Team Foundation Server no valida correctamente la información proporcionada por el usuario, podría permitir a un atacante autenticado enviar un payload especialmente diseñado, y ejecutar scripts, que le permitirían leer contenido no autorizado, ejecutar código malicioso y suplantar la identidad de la víctima. Se ha reservado el identificador CVE-2019-0646 para esta vulnerabilidad.
  • Para la vulnerabilidad de severidad media se ha reservado el identificador CVE-2019-0647.
Recomendación
·        Actualizar el sistema afectado a través de los parches automáticos distribuidos por Microsoft.
Fuente: INCIBE

Actualización de seguridad de Joomla! 3.9.2

Joomla! ha publicado una nueva versión que soluciona cuatro vulnerabilidades en el núcleo, todas ellas de criticidad baja, catalogada de Importancia: 2 - Baja
Recursos afectados:
  • Joomla! CMS, versiones desde la 2.5.0 hasta la 3.9.2
Detalle de vulnerabilidades corregidas
·        Un escape inadecuado en mod_banners deriva en una vulnerabilidad XSS persistente. Se ha asignado el identificador CVE-2019-6264 para esta vulnerabilidad.
·        Un escape inadecuado en com_contact deriva en una vulnerabilidad XSS persistente. Se ha asignado el identificador CVE-2019-6261 para esta vulnerabilidad.
·        Las comprobaciones inadecuadas en la opción de configuración Global Configuration Text Filter permiten un XSS persistente. Se ha asignado el identificador CVE-2019-6263 para esta vulnerabilidad.
·        Las comprobaciones inadecuadas en la opción de configuración Global Configuration helpurl permiten un XSS persistente. Se ha asignado el identificador CVE-2019-6262 para esta vulnerabilidad.
Recomendación
Actualizar a la versión 3.9.2 disponible en su página web.
Fuente: INCIBE

Gestión inadecuada de cookie en Jenkins

Dos vulnerabilidades en Jenkins, una de criticidad alta y otra media, debidas a una incorrecta gestión de la cookie "Remeber me", permitirían a un atacante acceder al sistema de forma persistente o la imposibilidad de invalidar sesiones activas o reiniciar Jenkins, catalogadas de Importancia: 4 - Alta
Recursos afectados:
Jenkins Weekly, versiones 2.159 y anteriores.
Jenkins LTS, versiones 2.150.1 y anteriores.
Recomendación
Desde Jenkins recomiendan actualizar a las siguientes versiones:
Jenkins Weekly versión 2.160
Jenkins LTS versión 2.150.2
Detalle de vulnerabilidades
La vulnerabilidad de criticidad alta permitiría a usuarios con permisos Overall/RunScripts generar una cookie "Remember me" que no expiraría nunca. Esto daría acceso a un atacante a una instancia de Jenkins, mientras exista el correspondiente usuario en el dominio de seguridad, además de que le permitiría acceder al sistema de manera persistente.
Más información
·        Jenkins Security Advisory 2019-01-16 https://jenkins.io/security/advisory/2019-01-16/
Fuente: INCIBE

Múltiples vulnerabilidades en el núcleo de Drupal

El equipo de seguridad de Drupal ha publicado tres actualizaciones que corrigen múltiples vulnerabilidades en las versiones 7 y 8., catalogadas de Importancia: 5 - Crítica
Recursos afectados:
Drupal versiones 7.x, 8.5.x y 8.6.x
Detalle de vulnerabilidades
Las principales vulnerabilidades corregidas con estas actualizaciones son:
El núcleo de Drupal utiliza la biblioteca PEAR Archive_Tar de terceros. Esta biblioteca ha publicado una actualización de seguridad que afecta a algunas configuraciones de Drupal. Se ha asignado el identificador CVE-2018-1000888 para esta vulnerabilidad.
Una vulnerabilidad de ejecución de código remoto en el envoltorio integrado de phar stream de PHP, cuando se realizan operaciones de archivo en un phar:// URI no confiable, podría afectar a algunos códigos de Drupal (core, contrib y custom) que estén realizando operaciones de ficheros con entradas de usuario con validación incorrecta. Esta vulnerabilidad se ve mitigada por el hecho de que tales rutas de código normalmente requieren acceso con permisos de administrador o  una configuración atípica.
Recomendación
  1. Actualizar a Drupal 7.62, 8.5.9 o 8.6.6 en función de la versión utilizada.
  2. Las versiones de Drupal 8 anteriores a la 8.5.x están al final de su vida útil y no reciben cobertura de seguridad.
Más información
·        Drupal core - Critical - Third Party Libraries - SA-CORE-2019-001 https://www.drupal.org/sa-core-2019-001
·        Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2019-002 https://www.drupal.org/sa-core-2019-002
Fuente: INCIBE

¿Podría WhatsApp estar exponiendo tus mensajes?

Saltan las alarmas cuando leemos que una empresa puede estar tratando nuestros datos de manera irregular, y como no, WhatsApp siempre está en el punto de mira.
WhatsApp no parece tener un error que exponga los mensajes de sus usuarios, simplemente, así es como funciona el servicio.
Todo el revuelo sobre la exposición de mensajes empezó a raíz del siguiente tweet:
logged into whatsapp with a new phone number today and the message history from the previous number’s owner was right there?! this doesn’t seem right.
— Abby Fuller (@abbyfuller) 11 de enero de 2019
A partir de aquí se empezó a sugerir que la conocida aplicación de mensajería podría tener un error de privacidad enorme y podría estar exponiendo, bajo ciertas circunstancias, algunos de nuestros mensajes a otros usuarios.
Si leemos el Tweet de Abby Fuller comenta que, cuando instaló WhatsApp en su nuevo teléfono, con su nuevo número, encontró lo que sería el historial de mensajes del propietario anterior del mismo número.
Ya que para WhatsApp nuestro número de teléfono es nuestro nombre de usuario y la contraseña es la OTP (One-Time Password o contraseña de un solo uso) que envían a ese mismo número, no es una vulnerabilidad, así es como funciona el servicio.
WhatsApp mencionó en su blog que “common practice for mobile providers to recycle numbers, you should expect that your former number will be reassigned”
“Es una práctica común que los proveedores de servicios móviles reciclen números, es de esperar que su anterior número sea reasignado.”
En sus tweets, Fuller dijo que el historial de mensajes “no era completo, pero eran conversaciones reales” Queda por confirmar si esos mensajes incluían algún mensaje enviado por el anterior propietario del número.
A pesar de todo, la configuración de WhatsApp en un nuevo dispositivio con un número de teléfono nuevo no permite restaurar el archivo de mensajes del propietario anterior porque la empresa nunca realiza copias de seguridad de las conversaciones cifradas en sus servidores, actualmente las copias de seguridad de WhatsApp son almacenadas en nuestro Google Drive o localmente en el dispositivo.
Sin embargo, la empresa de mensajería mantiene los mensajes pendientes 45 días en su servidor hasta que el destinatario está en línea y los puede entregar. Después de esos 45 días los mensajes son eliminados.
Esto sugiere que los mensajes que Fuller encontró en su nueva cuenta de WhatsApp fueron, probablemente, mensajes no entregados que enviaron los contactos del antiguo propietario antes de que éste dejara de usar el número.
Para evitar que sus mensajes anteriores lleguen a otros dispositivos, WhatsApp recomienda a los usuarios eliminar su cuenta antes de dejar de usar una tarjeta SIM o cambiar de cuenta con la función “cambiar de número” que está disponible en la configuración de la APP.
Esto es lo que podría haber pasado
Algunos usuarios de sitios web como Reddit o Twitter sugieren que el mecanismo de eliminación de mensajes tras los 45 días en los servidores de WhatsApp contiene un error que, eventualmente, mantiene los mensaje sin entregar almacenados en el servidor de la compañía durante más tiempo. Pero todavía queda un detalle importante por mencionar, El antiguo usuario del número no necesitaba su tarjeta SIM para seguir usando su cuenta de WhatsApp, una vez que esté configurada en el teléfono. Eso significa que es probable que el antiguo propietario del número aún estuviera usando su cuenta después de deshacerse de su SIM hasta que Fuller configuró el mismo número y verificó la cuenta usando el OPT recibido.
Más información
Fuente: Hispasec

NSA. Lanzará su herramienta de ingeniería inversa GHIDRA

La Agencia de Seguridad Nacional de los Estados Unidos (NSA) planea lanzar gratuitamente su herramienta de ingeniería inversa (de aquí en adelante reversing) desarrollada internamente en la próxima conferencia de seguridad RSA 2019, que tendrá lugar en San Francisco durante el mes de marzo.
La existencia de este software fue revelada públicamente por primera vez en las filtraciones de la CIA Vault 7, pero ha pasado desapercibida hasta que Robert Joyce anunció su lanzamiento público en su descripción de la sesión de la conferencia RSA.
¿Qué es GHIDRA?
GHIDRA es un marco de trabajo de reversing desarrollado por NSA y utilizado por la misma durante más de una década.
La herramienta está escrita en Java y desde que salió a la luz se han hecho numerosas comparaciones con el conocido software IDA. Incluso hay varios hilos de Reddit como este en el que aparecen ex-empleados de la agencia que dan su opinión junto con algunos detalles del funcionamiento del programa.
¿Va a ser de código abierto?
Se está hablando mucho de la posibilidad de que la herramienta sea de código abierto. De ser así, el mantenimiento y mejora de la misma sería más cómodo, pero la NSA no suele ser partidaria de compartir su conocimiento.
A día de hoy no hay comunicado oficial de si será publicado el código o no, pero nos mantendremos a la espera para comprobar que ocurre el día 5 de marzo y si veremos el código publicado en el Github de la NSA.
Más información:
·        Enlace a Vault 7: https://wikileaks.org/ciav7p1/cms/page_9536070.htm
Fuente: Hispasec

ADOBE. Parchea dos vulnerabilidades graves en Acrobat y Reader

Los investigadores de Trend Micro’s Zero Day Initiative Abdul-Aziz Hariri y Sebastian Apelt, han reportado a Adobe dos importantes vulnerabilidades en Adobe Acrobat y Adobe Reader para Windows y MacOS que permiten el compromiso total del sistema con tan solo abrir un fichero PDF.
Adobe no hay dado de momento más detalles acerca de las vulnerabilidades a pesar de estar clasificadas con criticidad alta, ya que se permite la escalada de privilegios y la ejecución arbitraria de código.
La primera vulnerabilidad, reportada por Apelt, es un use-after-free que puede conducir a la ejecución remota de código. Ésta tiene el identificador CVE-2018-16011.
La segunda falla, descubierta por Hariri y con identificador CVE-2018-19725, permite la escalada de privilegios
Las versiones afectadas son Acrobat and Reader DC 2015 version 2015.006.30461 y anteriores, 2017 version 2017.011.30110 y anteriores, versión Continuous 2019.010.20064 y anteriores, tanto para Mac como para Windows.
Más información:
Fuente: Hispasec

CIBERSEGURIDAD. Expuestos datos de más de 202 millones de usuarios de webs de búsqueda de empleo

Bob Diachenko encontró una base de datos con más de 202 millones de usuarios chinos expuesta en Internet y sin autenticación.
El investigador de seguridad Bob Diachenko, ha encontrado recientemente una base de datos accesible a través de Internet sin autenticación, accesible a cualquiera que desease conectarse y obtener los datos.
La base de datos era una base de datos MongoDB, uno de los sistemas de bases de datos NoSQL más populares hoy en día. En ella había datos personales de más de 202 millones de usuarios chinos (202.730.434 concretamente), incluyendo correo electrónico, fecha de nacimiento, número de teléfono, nombre completo, experiencia laboral, etc. En total 854,8 gigabytes de datos.
Según Diachenko, el log de la base de datos antes de que fuese retirada contenía al menos una docena de direcciones IP diferentes que habían accedido a la información.
El origen de la base de datos se desconoce, pero Diachenko cree que podría pertenecer a alguien que haya usado una herramienta llamada “data-import” para realizar scraping a diferentes páginas web chinas de búsqueda de empleo. Esta creencia se debe a que los datos encontrados tienen un formato muy similar al utilizado por dicha herramienta.
Un nuevo caso en el que una base de datos MongoDB se encuentra expuesta en Internet sin protección debido a una mala configuración. Por desgracia este tipo de problemas de seguridad suelen darse con demasiada frecuencia en estas bases de datos, como ya hemos visto en otras ocasiones.
Más información:
Fuente: Hispasec

ORACLE. Corrige 284 vulnerabilidades en su actualización de seguridad de enero

Oracle publica su actualización correspondiente al mes de abril. Contiene parches para 284 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.
Productos afectados
Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista completa de productos afectados es cada vez más extensa. Se concreta en las siguientes familias:
1.   Oracle Database Server
2.   Oracle Communications Applications
3.   Oracle Construction and Engineering Suite
4.   Oracle E-Business Suite
5.   Oracle Enterprise Manager Products Suite
6.   Oracle Financial Services Applications
7.   Oracle Food and Beverage Applications
8.   Oracle Fusion Middleware
9.   Oracle Health Sciences Applications
10.Oracle Hospitality Applications
11.Oracle Hyperion
12.Oracle Insurance Applications
13.Oracle Java SE
14.Oracle JD Edwards Products
15.Oracle MySQL
16.Oracle PeopleSoft Products
17.Oracle Retail Applications
18.Oracle Siebel CRM
19.Oracle Sun Systems Products Suite
20.Oracle Supply Chain Products Suite
21.Oracle Support Tools
22.Oracle Utilities Applications
23.Oracle Virtualization
Detalle de vulnerabilidades
·        Tres nuevas vulnerabilidades corregidas en Oracle Database Server, ninguna es explotable de forma remota sin autenticación.
·        33 nuevas vulnerabilidades afectan a Oracle Communications (29 de ellas podrían ser explotadas por un atacante remoto sin autenticar).
·        4 nuevos parches para la suite Oracle Construction and Engineering, todas explotables remotamente sin autenticación.
·        Otras 16 vulnerabilidades explotables de forma remota y sin autenticación en la suite de Oracle E-Business.
·        11 nuevas vulnerabilidades en Oracle Enterprise Manager (9 de ellas explotables remotamente por un usuario sin autenticar).
·        Otros 9 parches que solucionan vulnerabilidades explotables remotamente y sin autenticación en Oracle Financial Services.
·        6 nuevos parches para las aplicaciones de Oracle Food and Beverage (3 de ellos solucionan vulnerabilidades explotables por un usuario remoto no autenticado).
·        62 parches para Oracle Fusion Middleware (57 de estos arreglan fallos que pueden ser explotables de forma remota sin autenticación).
·        6 vulnerabilidades en Oracle Health Sciences, de las cuales, 2 podrían ser explotadas por un atacante remoto sin autenticar.
·        5 nuevas vulnerabilidades en Oracle Hospitality Applications (ninguna de ellas es explotable remotamente sin autenticación).
·        Una vulnerabilidad en Oracle Hyperion, no explotable de forma remota.
·        Referente a Oracle Insurance Applications, se han publicado 5 nuevos parches, tres de los cuales son explotables de forma remota sin autenticación.
·        En cuanto a Oracle Java SE, se han corregido 5 nuevas vulnerabilidades que pueden ser explotadas por un atacante remoto sin autenticar.
·        La actualización para Oracle JD Edwards corrige 2 vulnerabilidades explotables remotamente sin autentcación.
·        Otras 30 actualizaciones de seguridad para Oracle MySQL (3 de ellas corrigen vulnerabilidades explotables de forma remota sin autenticación).
·        Una actualización en Oracle People Soft soluciona 20 problemas de seguridad, 15 de ellos pueden ser explotados por un atacante remoto sin autenticar.
·        También se solucionan 16 nuevas vulnerabilidades en Oracle Retail Applications (15 de ellas son explotables de forma remota sin autenticación).
·        Un nuevo parche para Oracle Siebel CRM que corrige una vulnerabilidad explotable remotamente.
·        11 nuevas vulnerabilidades para Oracle Sun Systems (5 de ellas podrían ser explotadas por un atacante remoto sin autenticación).
·        Otras 5 actualizaciones de seguridad para Oracle Supply Chain, 4 de estas podrían ser explotadas de forma remota sin autenticación.
·        Una vulnerabilidad en Oracle Support Tools, que podría ser explotada remotamente.
·        Adicionalmente se solucionan 2 nuevas vulnerabilidades en Oracle Utilities Applications, ambas serían explotables por un atacante remoto sin autenticar.
·        Por último, también se ha publicado una actualización que soluciona 30 fallos de seguridad en Oracle Virtualization (4 de estos fallos podría ser explotados por un atacante remoto sin autenticación).
Mas información
Se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponibles desde la notificación oficial en:
·         Oracle Critical Patch Update Advisory – January 2019 https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
Fuente: Hispasec

Vulnerabilidad en Android ES File Explorer permite filtración información del dispositivo en redes.

El investigador de seguridad Elliot Alderson ha descubierto una vulnerabilidad en el software de administración de archivos de Android ES File Explorer con más de 100 millones de descargas.
With more than 100,000,000 downloads ES File Explorer is one of the most famous #Android file manager.
The surprise is: if you opened the app at least once, anyone connected to the same local network can remotely get a file from your phone https://t.co/Uv2ttQpUcN
— Elliot Alderson (@fs0c131y) January 16, 2019
La vulnerabilidad ha sido confirmada en versiones de Android igual o inferiores a 4.1.9.7.4 y permite a través de peticiones HTTP al puerto 59777 ejecutar aplicaciones y leer archivos remotamente en red local. Este puerto TCP se abre una vez la aplicación es iniciada y permanece abierto aunque la aplicación se cierre.
Elliot Alderson ha publicado a través de su GitHub un ‘script’ como prueba de concepto con las siguientes capacidades:
-       listFiles: List all the files
-       listPics: List all the pictures
-       listVideos: List all the videos
-       listAudios: List all the audio files
-       listApps: List all the apps installed
-       listAppsSystem: List all the system apps
-       listAppsPhone: List all the phone apps
-       listAppsSdcard: List all the apk files in the sdcard
-       listAppsAll: List all the apps installed (system apps included)
-       getDeviceInfo: Get device info. Package name parameter is needed
-       appPull: Pull an app from the device
-       appLaunch: Launch an app. Package name parameter is needed
-       getAppThumbnail: Get the icon of an app. Package name parameter is needed
Por otro lado, el mitre le ha asignado el CVE CVE-2019-6447 y permanece a la espera de recibir una actualización por parte del fabricante.
Fuente: Hispasec

Vulnerabilidades en SCP permiten escritura de ficheros arbitrarios en el cliente

La vulnerabilidad principal, que data de hace 35 años, afecta a OpenSSH SCP, PuTTY PSCP y WinSCP. El fallo permite al servidor escribir ficheros en el cliente sin que se dé cuenta.
SCP es una herramienta para transferir ficheros a través de SSH empleada por administradores de todo el mundo, y que cuenta con múltiples implementaciones para diferentes sistemas, como OpenSSH, PuTTY o WinSCP. El fallo descubierto, permitiría a un servidor malicioso copiar ficheros no solicitados en el equipo del cliente sin informarse de ello.
Un posible caso de explotación, tal y como detalla sintonen.fi, sería un ataque MitM (Man in the Middle) entre un administrador y un servidor que administre, para que al utilizar scp se copie a su máquina un fichero ‘.bash_aliases’ en su directorio de usuario que permita al atacante ejecutar cualquier comando en la máquina del sysadmin. Este tipo de ataque requiere que la víctima acepte el cambio de fingerprint en el servidor.
El problema principal, que se encuentra desde 1983 (hace 35 años), tiene como origen el protocolo RCP del proyecto BSD, que es en el que se basa SCP. Debido al error la mayoría de clientes SCP no validan correctamente que los ficheros devueltos por el servidor son aquellos que se solicitó. Las vulnerabilidades en concreto son:
CWE-20 (CVE-2018-20685):  validación incorrecta del nombre de directorio. El servidor puede cambiar permisos de la carpeta utilizando un nombre de carpeta vacío (“D0777 0 \n”) o con punto (“D0777 0 .\n”).
CWE-20 (CVE-2019-6111 y CVE-2018-20684 en WinSCP): debido al estándar derivado de rcp de 1983, es el servidor el que establece los ficheros que se copian al cliente sin que se valide. Si se utiliza el parámetro “-r”, también pueden copiarse carpetas sin validación.
CWE-451 (CVE-2019-6109): spoofing en el cliente utilizando el nombre del objeto. Mediante dicho nombre, pueden escribirse caracteres ANSI que modifiquen la salida, para por ejemplo ocultar archivos transferidos.
CWE-451 (CVE-2019-6110): spoofing en el cliente utilizando stderr. Similar al anterior, pero aprovechando que el servidor puede escribir una salida de error en el cliente.
Algunos de los clientes afectados son OpenSSH scp (versiones anteriores a 7.9), PuTTY PSCP (todavía sin parche), y WinSCP scp (hasta la versión 5.13). Una posible solución si el cliente lo permite (como OpenSSH) es cambiar el protocolo a SFTP, aunque los servidores utilizados deben de soportar dicho protocolo. Otros clientes o programas que empleen SCP pueden encontrarse afectados.
Más información
Fuente: Hispasec