23 de febrero de 2017

ANTIVIRUS. Podrían hacer las conexiones HTTPS inseguras

Las conexiones HTTPS se caracterizan principalmente por viajar cifradas de extremo a extremo y con la certeza de que estas conexiones no son interferidas ni monitorizadas por piratas informáticos en el trayecto. Actualmente, más de la mitad de Internet ya utiliza conexiones HTTPS para garantizar la seguridad de las conexiones de sus usuarios, sin embargo, últimamente, los antivirus pueden estar poniendo en peligro estas conexiones sin que nosotros nos demos cuenta.
Desde hace algún tiempo, muchos de los antivirus comerciales están utilizando técnicas MITM para poder analizar el tráfico HTTPS y poder proteger a los usuarios de posibles amenazas que nos lleguen a través de la red. Sin embargo, las técnicas utilizadas por estas aplicaciones, en realidad, suponen un peligro mucho mayor para la seguridad y privacidad del que suponen proteger.
Las aplicaciones de seguridad suelen interceptar estas conexiones mientras se realiza la negociación “TLS handshake“, tomando el control de las conexiones y descifrando el tráfico para poder analizarlo. Aunque después el antivirus suele utilizar otros algoritmos para cifrarlas, un estudio ha demostrado que estos algoritmos son débiles, inseguros, y suponen un gran peligro para los usuarios.
Entre otros datos interesantes, este estudio ha demostrado que, por culpa de esta agresiva técnica de los antivirus modernos, el 97% de las conexiones realizadas desde el navegador Mozilla Firefox, el 32% de las compras online y el 54% de las conexiones realizadas a través del CDN Cloudflare se hicieron menos seguras y pudieron poner en peligro a los usuarios.
Fuente: Redes Zone.net



EEUU. Donald Trump y sus 3.000 webs

   El presidente ha comprado dominios en internet para proteger su nombre y evitar ataques de detractores y "ciberocupas"
   De 'TrumpEmpire.com' a 'TrumpFraud.org', pasando por 'DonaldJTrump.com', el presidente de Estados Unidos, Donald Trump, es propietario de 3.643 dominios en internet, según un análisis de la cadena de televisión CNN.
   A Trump no sólo le gusta poner su nombre en letras doradas en la entrada de sus edificios y en los productos más variados -desde el vino Trump a la fracasada universidad Trump, pasando por los filetes Trump-, sino también en internet.
   El presidente ha comprado más de 3.000 dominios de internet no sólo para proteger su marca, sino también para evitar que sus detractores "ciberocupen" dominios para atacarle.
   Su hija, Ivanka Trump, ha seguido el ejemplo de su padre y ha adquirido más de 300 dominios. "Desafortunadamente, la ciberocupación ('cyber squatting', en inglés), la publicación de contenido falso y el uso de nombres 'negativos' de domino es un asunto serio al que se enfrentan todas las compañías grandes en todo el mundo", explicó a través de un comunicado Amanda Miller, portavoz de Trump Organization, la compañía familiar cuyo control Trump ha dejado en manos de sus hijos, Eric y Donald Jr., al llegar a la Casa Blanca.
   Según la portavoz de Trump Organization, la compañía se toma "muy en serio" la protección de su identidad corporativa y propiedad intelectual. De ahí, que haya decido comprar tanto los dominios positivos como los negativos que lleven el nombre de Trump.
   Si es necesario la compañía toma "acciones legales firmes" para proteger la marca, explicó la portavoz.Trump es propietario de dominios positivos como 'TrumpOrganization.com' o 'DonaldJTrump.com', pero también de dominios negativos como 'TrumpScam.com', 'IamBeingSuedByTheDonald.com', 'DonaldTrumpPyramidScheme.com' o 'TrumpFraud.org'.
   Antes de lanzarse a la carrera a la Casa Blanca, compró los dominios 'VoteAgainstTrump.com', 'NoMoreTrump.com', 'TrumpMustGo.com', 'ThrowOutTrump.com', 'TrumpisFired.com', 'InTrumpWeTrust.com' y 'MakeAmericaGreatAgain.us'.
   El lema de su campaña electoral fue precisamente "Hacer a Estados Unidos grande otra vez". El multimillonario amplió su colección de dominios de internet con la compra de 93 nuevos dominios después de lanzar su candidatura presidencial en junio de 2015.
   Aunque Trump sea propietario de todos estos dominios, muchos no los utiliza. La mayoría son 'websites' vacías y otras redirigen al público a otras páginas web del imperio Trump.
   Según CNN, solo 50 de los más de 3.000 dominios del presidente son sitios webs únicos relacionados con los negocios de Trump.
Fuente: El Mundo.es

ACCENTURE. Las organizaciones tienen que 'reiniciar' sus modelos de ciberseguridad

Las políticas actuales de ciberseguridad de muchas compañías son ineficaces. La consultora Accenture aporta recomendaciones para reducir los riesgos y adoptar una "confianza justificada".
Claves para mantener su empresa a salvo de los cibercriminales
·        Defina el éxito en ciberseguridad. Adapte las estrategias de seguridad a las necesidades de la empresa y mejore su capacidad de detectar y evitar ataques cada vez más sofisticados.
·        Ponga a prueba sus defensas. Recurra a 'sombreros blancos' ('hackers' éiticos) externos para simular ataques y tener una evaluación realista de sus capacidades internas.
·        Proteja desde el interior. Dé prioridad a proteger los activos clave de la organización y concéntrese en evitar ataques internos que tienen un mayor impacto potencial.
·    Siga innovando. Invierta en programas avanzados que le permitan anticiparse a sus adversarios, en lugar de invertir más en programas que ya existen.
·        Implique a todos. Muchos ataques no son detectados por el equipo de seguridad, sino por otros empleados. Dé prioridad a la formación de todos los empleados.
·        Logre el apoyo de la dirección. Los CISO deben estar en contacto con los líderes de sus empresas y convencerles de que la ciberseguridad es prioritaria para salvaguardar el valor de la empresa.
La consultora tecnológica ha realizado una encuesta global a más de 2.000 ejecutivos de ciberseguridad, con conclusiones como las siguientes: el 79% asegura que la ciberseguridad es parte de la cultura de su organización y, sin embargo, sólo el 40% invertiría en mitigar pérdidas financieras. En España, una organización recibe una media de 94 ataques dirigidos al año, de los que una tercera parte alcanza su objetivo, lo que equivale a dos o tres ataques con éxito al mes. Y, sin embargo, sólo el 30% invertiría en formación sobre ciberseguridad.
"La posición de España muestra una preocupante desconexión entre las inversiones realizadas y la confianza real en que las compañías van a poder responder adecuadamente ante ataques dirigidos", advierte David Pérez Lázaro, managing director de Accenture Security España.
El problema es aún más grave por el tiempo que se tarda en detectar estos ataques. Según este estudio, el 59% (51% a nivel global) de los encuestados reconoce que tarda "meses" en identificar un ataque, mientras que otro 5% (17%) necesita "un año" o más para detectarlo.
Ahora bien, el 57% confiesa no confiar en la capacidad de los controles internos de su organización para detectar posibles ataques.
La consultora recomienda invertir en los siguientes siete dominios de ciberseguridad para mejorar sus defensas y adquirir resiliencia:
  1. Exposición al riesgo. Sólo el 23% de las empresas puede identificar activos y procesos de negocio de alto valor. "Analice distintos incidentes de ciberseguridad que pueden afectar a la empresa, identifique factores comunes, puntos de decisión y obstáculos al desarrollo de la estrategia", dice Accenture.
  2. Gobierno y liderazgo. Sólo el 15% de las empresas tiene una cadena de mando clara para ciberseguridad. "Establezca responsabilidades, fomente una cultura de seguridad y defina una cadena de mando clara para ciberseguridad".
  3. Contexto estratégico. Sólo el 25% de las empresas es competente en la monitorización de amenazas. "Adapte el programa de seguridad a la estrategia de negocio, analizando riesgos competitivos y geopolíticos, estudiando lo que hace la competencia e identificando otras amenazas".
  4. Resiliencia. Sólo el 19% de las empresas cuenta con sistemas y procesos diseñados conforme a requisitos de resiliencia. "Estudie las posibles amenazas, defina modelos de protección de activos y use técnicas de diseño resiliente para limitar las consecuencias de un ciberataque".
  5. Capacidad de respuesta. Sólo el 31% de las empresas tiene vías eficaces de escalado de incidentes. "Defina un sólido plan de respuesta, un buen sistema de notificación de incidentes, planes probados de protección y recuperación de activos clave, y vías eficaces de escalado de incidentes".
  6. Ecosistema extendido. Sólo el 19% de las empresas gestiona de forma eficaz la ciberseguridad de terceros, y sólo el 15% es competente en el cumplimiento de normativas sobre ciberseguridad. "Prepárese para colaborar en la gestión de una crisis, defina cláusulas y acuerdos de ciberseguridad de terceros, y garantice el cumplimiento de normativas sobre ciberseguridad".
  7. Inversión eficiente. Sólo el 19% de las inversiones en ciberseguridad protege activos clave. "Justifique las inversiones en ciberseguridad comparándolas con referencias industriales, objetivos de negocio y tendencias de ciberseguridad".
En definitiva, se trata de justificar la confianza en la organización de seguridad. "La ciberseguridad debe estar embebida en cualquier proceso de negocio y formar parte inseparable de cualquier iniciativa de transformación digital.
Más información
Fuente: Expansion.com

MICROSOFT. Actualización solo para Flash

Una semana después de informar que este mes no habría actualizaciones de seguridad, Microsoft ha publicado un boletín (el MS17-005) para solucionar únicamente las vulnerabilidades relativas a Flash Player.
Aunque Microsoft había anunciado que no publicaría más boletines en el formato habitual, una semana después de la fecha esperada ha sorprendido con el ya habitual boletín en el que se resuelven las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico.
Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-04 de Adobe .
Resulta un poco extraño la publicación de este único boletín, aun más cuando existen dos vulnerabilidades públicamente conocidas y aun sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado por Project Zero de Google, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038). Todo indica, que tendremos que seguir esperando hasta el próximo 14 de marzo (segundo martes del mes).
En cualquier caso, esta actualización puede descargarse a través de Windows Update o desde Microsoft Update Catalog donde se incluyen las direcciones de descarga directa de cada parche. También se instalará a través de las actualizaciones automáticas en caso de estar programadas.
Más información:
Fuente: Hispasec

ANDROID. El mes de Enero más de 1.100 ransomwares

El ransomware es un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.
A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware.
Haciendo uso de una recolección de datos de seis meses, podemos observar como éste último muestra un aumento muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar un incremento en este tipo de malware en Android, e incluso como hemos podido llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos muy particulares para los que se debe reorientar la programación del malware para aprovechar las características de este tipo de sistemas o adaptar los vectores de infección.
De entre todas las muestras recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware, se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así, se pueden observar cinco grandes grupos basados en la extracción de particularidades en su comportamiento. Estas muestras se nos pueden presentar de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres de aplicación, sin embargo, poseen un cuerpo de características comunes muy significativo.
Estamos por tanto frente a un auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical en el número de detecciones e infecciones exitosas como de una ramificación grupal en base a su "modus operandi", debido a la evolución de este tipo de malware o a nuevos grupos de creadores de malware que progresivamente van adaptándose a la plataforma móvil Android.
¿Cómo evitamos este tipo de malware? 
  • No existen la solución definitiva. Todo está expuesto y todos estamos expuestos al comportamiento dañino de un código que termina haciendo aquello que menos esperamos cuando aceptamos su instalación. 
  • De nuevo, las medidas son los principios básicos: sentido común como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la comunidad.
Fuente: Hispasec

IBM. Corrige una vulnerabilidad en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Application Server que podría permitir la realización ataques de Cross-Site Scripting.
IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.
El problema (con CVE-2017-1121) podría permitir a un atacante remoto realizar ataques de cross-site scripting debido a una validación inadecuada de las entradas del usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador y permitir la obtención de credenciales.
Recursos afectados
  • Se ven afectadas las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5 y 9.0.
Recomendación
Más información:
Fuente: Hispasec

VULNERABILIDAD. Elevación de privilegios en la maquina anfitriona en Xen

Se ha anunciado un problema de seguridad en Xen que podría permitir a un administrador de un sistema huésped conseguir información sensible o privilegios elevados en la máquina anfitriona.
Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.
Detalle de la vulnerabilidad
·        El problema anunciado, con CVE-2017-2615, reside en un acceso a memoria fuera de límites en qemu en la emulación de tarjetas de vídeo Cirrus, que podría permitir a usuarios administradores en el sistema invitado obtener información sensible de la memoria o conseguir privilegios elevados en el sistema anfitrión.
Recursos afectados
·        Se ven afectados los sistemas Xen que se ejecutan en x86 con invitados HVM, con el proceso qemu ejecutándose en dom0. Sólo los invitados que dispongan de la tarjeta de video emulada "Cirrus" pueden aprovechar la vulnerabilidad. La tarjeta de vídeo emulada no predeterminada "stdvga" no es vulnerable. Los sistemas ARM no son vulnerable, así como los que solo usan invitados PV.
Recomendación
Se han publicado las siguientes actualizaciones:
  1. Para mainline qemu, qemu-xen master,4.8 http://xenbits.xen.org/xsa/xsa208-qemuu.patch
  2. Para qemu-xen 4.4, 4.5, 4.6, 4.7 http://xenbits.xen.org/xsa/xsa208-qemuu-4.7.patch
  3. Para qemu-xen-traditional http://xenbits.xen.org/xsa/xsa208-qemut.patch 
Más información:
Fuente: Hispasec

OPENSSL. Denegación de servicio

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL destinada a corregir una vulnerabilidad, calificada de gravedad alta, que podría permitir la realización de ataques de denegación de servicio.
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).
Detalle de la vulnerabilidad
  • La vulnerabilidad, con CVE-2017-3733, reside en que si durante una renegociación se encuentra la extensión Encrypt-Then-Mac pero esta no estaba en la negociación original (o viceversa) se puede provocar una denegación de servicio (dependiendo de la suite de cifrado). Se ven afectados tanto clientes como servidores.
Recomendación
OpenSSL ha publicado la versión 1.1.0e disponible desde http://openssl.org/source/
  • No afecta a versiones OpenSSL 1.0.2.
  • Se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.
Más información:
Fuente: Hispasec

MICROSOFT. Retrasa sus parches de febrero hasta el 14 de marzo

Microsoft ha anunciado que la publicación del paquete de actualizaciones planificadas para este pasado martes 14 de febrero se retrasa hasta el próximo 14 de marzo (segundo martes del mes). Problemas de última hora sin confirmar han obligado a la compañía a tomar esta drástica medida.
Se esperaban las actualizaciones de Microsoft de este segundo martes de mes con mayor inquietud que otros meses. Ya era conocido el cambio de modelo de anuncio y distribución de las actualizaciones lo que hacía que a la habitual curiosidad de todos los meses por saber los problemas corregidos se juntara la expectación por comprobar esos cambios de forma efectiva.
Sin actualizaciones en febrero
Pero con cierta sorpresa el pasado día 14, segundo martes de febrero, no se publicaba ninguna nueva actualización. Ya sabíamos que no habría boletines, pero la Security Update Guide, base de datos donde debían recogerse los nuevos parches, tampoco reflejaba ninguna novedad.
Posteriormente Microsoft publicaba un escueto comunicado en el informaba de que un problema de última hora podría afectar a algunos clientes y sin posibilidad de resolverlo a tiempo para ofrecer las actualizaciones planificadas. Por lo que tras considerar todas las opciones decidían retrasar los parches de este mes.
"After considering all options, we made the decision to delay this month’s updates. We apologize for any inconvenience caused by this change to the existing plan."
Pero ese "problema" del que no han ofrecido más detalles debe ser mucho más complicado de resolver de lo esperado inicialmente. Ya que finalmente en un añadido, aun más escueto, a la anterior información Microsoft comunicaba su decisión de retrasar todas las actualizaciones de febrero hasta el 14 de marzo.
"UPDATE: 2/15/17: We will deliver updates
as part of the planned March Update Tuesday,
March 14, 2017."
No está claro cuál es ese problema de última hora, pero muchos creen que tiene algo que ver con las actualizaciones acumulativas, esto es la inclusión de todos los parches publicados en uno solo. Anteriormente en el modelo de actualizaciones independientes en caso de un problema con uno de los parches éste podía ser excluido fácilmente de la publicación mensual sin afectar al resto de boletines. Recordamos muchos meses en los que "curiosamente" había un salto en la numeración de los boletines. Ahora se especula que el sacar uno de los parches de todo un paquete conjunto puede ser mucho más problemático que anteriormente.
En cualquier caso seguimos desconociendo las causas de este retraso y todo son especulaciones.
Fuente: Hispasec

APPLE. Publica una nueva actualización de seguridad para GarageBand

Hace menos de un mes Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Lamentablemente el problema no quedó totalmente solucionado, y se hace necesaria una nueva actualización.
GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.
De nuevo es Tyler Bohan del equipo Cisco Talos el que reporta el problema, que reside en una escritura fuera de límites al tratar archivos de proyecto específicamente creados y que da lugar a condiciones explotables. También confirman que la vulnerabilidad es resultado de una corrección incompleta del fallo anterior.
"This vulnerability is the result
of an incomplete fix of bug id
TALOS-2016-0262 / CVE-2017-2372."
Afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.6 para solucionar el problema descrito.
Como ya hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.
Más información:
Fuente: Hispasec

ADOBE. Actualizaciones de seguridad para Flash Player, Digital Editions y Campaign

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 13 vulnerabilidades en Flash Player, nueve en Digital Editions y dos en Adobe Campaign.
Flash Player
El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-04 que soluciona 13 vulnerabilidades.
Los problemas incluyen cuatro vulnerabilidades de corrupción de memoria, tres desbordamientos de búfer, una vulnerabilidad de confusión de tipos, un desbordamiento de entero y cuatro por uso de memoria después de liberarla; todas ellas podrían permitir la ejecución de código. Los CVE asignados son CVE-2017-2982, CVE-2017-2984 al CVE-2017-2988 y CVE-2017-2990 al CVE-2017-2996.
Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 24.0.0.221
  2. Flash Player para Linux 24.0.0.221
  3. Igualmente se ha publicado la versión 24.0.0.221 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
Recomendación
Adobe Digital Editions
También se han solucionado nueve vulnerabilidades en Adobe Digital Editions (ADE), un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.
Se han solucionado nueve vulnerabilidades de de desbordamiento de búfer, aunque solo una de ellas podría permitir la ejecución remota de código. Los CVE asignados son CVE-2017-2973 al CVE-2017-2981.
Recomendación
Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.4 desde:
Adobe Campaign
Por último, Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad de impacto moderado, que podría permitir a un usuario autenticado con acceso a la consola de cliente subir un archivo malicioso y ejecutarlo (CVE-2017-2968). También se resuelve otro problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2017-2969).
Recomendación
Más información:
Fuente: Hispasec

FORTIMANAGER. Exposición de datos sensibles.

Una inapropiada validación por parte del software del FortiManager de los certificados TLS puede conducir a que un atacante remoto acceda a claves secretas en el dispositivo afectado, catalogada de  Importancia 4 Alta
Detalle e impacto de la vulenerabilidad
  • Un usuario malintencionado podría aprovechar una incorrecta validación de los certificados TLS que se produce en el momento en que un FortiManager sondea en busca de dispositivos para ser gestionados. Una explotación exitosa de esta vulnerabilidad permitirá al atacante acceder a claves secretas contenidas en el FortiManager.
Recursos afectados:
  • FortiManager 5.0.6 a 5.2.7 y 5.4.0 a 5.4.1.
Recomendación
Más información
Fuente: INCIBE

Cisco UCS. Escalado de privilegios.

Se ha detectado una vulnerabilidad que permite a un usuario local autenticado la ejecución de flujos de trabajo arbitrario unicamente con un perfil de usuario final, catalogada de Importancia: 5 - Crítica
Recursos afectados:
  • Versiones 6.0.0.0 y 6.0.0.1 del Cisco UCS
Detalle e impacto de la vulnerabilidad:
  • La gestión inadecuada del acceso basado en roles una vez que se habilita el menú de desarrollador podría permitir a un atacante habilitar, a través de su usuario, dicho menú. Con esto el usuario puede  añadir nuevos catálogos con items de flujo de trabajo arbitrario arbitrarios a su perfil, lo que le permitiría generar flujos con acciones que afecten otros usuarios.
Recomendación
  • Cisco ha publicado una la versión de UCS Director 6.0.1.0, que corrige esta vulnerabilidad.
Más información
Fuente: Hispasec

SAP. Actualización de seguridad de febrero de 2017

SAP ha corregido vulnerabilidades de seguridad en diferentes productos, catalogada de Importancia: 4. Alta
Recursos afectados:
  1. NWAs 710: SP16 a SP21
  2. NWAs 711: SP12 a SP16
  3. NWAs 730: SP12 a SP16
  4. SUPDOE Add-On 731: SP01 a SP04
  5. SAP Web IDE for SAP HANA
  6. AP 3D Visual Enterprise Author, Generator and Viewer
  7. DOE Administration Portal
  8. Componente BC-SRV-KPR-DMS
Otros: consultar el enlace proporcionado en la sección "Más información"
Recomendación
  • Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
Detalle e Impacto de la vulnerabiloidad:
En la actualización mensual, SAP ha publicado 15 nuevas notas de seguridad de las que detallamos las más críticas:
  • Vulnerabilidad en el motor SAP Netweaver Data Orchestration (Alta): vulnerabilidad debido a que no se chequea correctamente la autorización.
  • Vulnerabilidad en interfaz web de SAP HANA (Alta): vulnerabilidad en SAP HANA que podría permitir la manipulación remota de datos así como denegación de servicio.
  • Configuración de Trusted RFC en GRC Access Control EAM (Alta): podría aprovecharse un problema existente en el modo en que se realiza el control de acceso a la cuenta Fire Fighter ID.
  • Corrupción de memoria en SAP 3D Visual Enterprise Author, Generator and Viewer: un bug podría permitir que un atacante consiguiera acceso al servidor SAP.
  • Elevación de proivilegios (Alta): vulnerabilidad que permite que un usuario pueda crear y ejecutar su propia transacción si se ha realizado previamente una autorización de perfil incorrecta.
Más información
Fuente: INCIBE

14 de febrero de 2017

CIBERCRIMEN. Lograron acceder con ataques invisibles a empresas de 40 países, entre ellos España

La compañía de seguridad Kaspersky Lab ha descubierto ataques "masivos" que afectaron a más de 140 redes empresariales de varios sectores, en un total de 40 países, entre los que se encuentra España. La investigación se inicio a finales del año 2016, cuando bancos de la Comunidad de Estados Independientes (CIS) contactaron con la empresa porque encontraron un software de pruebas de penetración, Meterpreter, en la memoria de sus servidores.
Kaspersky Lab descubrió que el código se había combinado con un número de 'scripts' y otras utilidades y se había transformado en código malicioso que recopilar las contraseñas de los administradores de sistemas de forma invisible. De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en remoto y conseguir su objetivo final: el acceso a los procesos financieros.
La compañía ha descubierto que los ataques eran masivos y que habían afectado a más de 140 redes empresariales, con la mayoría de las víctimas localizadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, las infecciones afectaron a empresas en más de cuarenta países, entre los que se encuentra España, aunque se desconoce quién puede estar detrás de los ataques.
El uso del código de explotación de fuente abierta, funcionalidades Windows habituales y dominios desconocidos, hace prácticamente imposible determinar el grupo responsable o si son varios los que comparten las mismas herramientas. Algunos grupos conocidos que utilizan una técnica similar son GCMAN y Carbanak.
"Esta tendencia que observamos en técnicas anti-forense y malware que se sitúan en la memoria responde al empeño de los ciberdelincuentes de ocultar su actividad y dificultar su detección. Por ello, el estudio forense de la memoria se está convirtiéndose en algo crítico para el análisis de malware", explica el analista principal de seguridad en Kaspersky Lab, Sergey Golovanov.
"En estos incidentes en concreto, se han utilizado todas las técnicas anti forense existentes. Es un ejemplo claro de que no se necesitan archivos de malware para lograr extraer datos de la red con éxito. El uso de utilidades open source y software legítimo hacen imposible localizar el origen", concluye.
Fuente:  El Economista.es

CIBERSEGURIDAD. ¿Se puede hackear un corazón humano?

   El sector de la Salud no es ajeno a la digitalización y a la hiperconectividad como tampoco lo es a los peligros a los que se enfrentan los nuevos sistemas y dispositivos conectados, que hacen cuestionarse si es posible 'hackear' un corazón humano.
   Sin embargo, como recuerdan desde G DATA, algunos de los sistemas empleados en estas tareas podrían no ser lo suficientemente seguros. Las brechas de seguridad en dispositivos médicos obligan a incorporar la 'security by design' (seguridad por diseño) en este tipo de equipos.
   G DATA comparte uno de los casos examinados sobre los riesgos que plantea la conectividad. Éste se conoció en agosto de 2016, cuando un grupo de investigadores de seguridad descubrió una vulnerabilidad en un marcapasos fabricado por uno de los principales proveedores del mundo de desfibriladores, marcapasos y otros equipos médicos.
Estos investigadores comprobaron que los transmisores utilizados en un determinado modelo sufrían una vulnerabilidad que permitía chequear el estado del marcapasos y su configuración de forma remota, con el único requisito de que el paciente se encontrara físicamente en el radio de acción de dicho transmisor, explican desde la compañía de seguridad.
   El fabricante del dispositivo lanzó una actualización de software para solucionar la mencionada brecha y la Administración americana de alimentos y medicamentos (FDA) publicó una nota para informar a los pacientes y los médicos de los pasos necesarios para actualizar el software.
Desde G DATA entienden que hay mucho en juego: la reputación de un fabricante puede sufrir daños importantes si se suceden estos fallos de seguridad en sus productos. Y ya se sabe que los intereses financieros van de la mano de esta reputación. Pero mucho más importante es la vida de los pacientes que confían en estos dispositivos para sobrevivir, en el sentido literal de la palabra.
   PREVENIR VULNERABILIDADES NO ES FÁCIL
  • Aunque sería fácil señalar las deficiencias de cualquier fabricante, hay que tener en cuenta que cualquier nuevo hardware o software usado en el sector salud tiene que someterse a pruebas rigurosas y necesita ser certificado antes de ser comercializado. Los criterios serán además más estrictos en función del papel que desempeñen estos dispositivos en la supervivencia de un paciente.
  • Este proceso de certificación puede llevar años y ser muy costoso para los fabricantes. Hardware y software médico tienen además opciones muy limitadas cuando hablamos actualizaciones. A menudo estas actualizaciones y parches de seguridad para los dispositivos médicos son escasos y poco regulares, en el supuesto de que los haya.
  • Con la llegada de ransomware surge una posibilidad peligrosa: la amenaza real de que alguien sea capaz de extorsionar a los pacientes o a los centros de salud con la posibilidad de desactivar los sistemas vitales para los enfermos.
  • Para hacer frente a este desafío, fabricantes e investigadores de seguridad no tienen más opción que mantener una estrecha colaboración y actuar de forma muy responsable cuando hablamos de revelar información, asegurando que ninguna vida se pone en riesgo como consecuencia de una vulnerabilidad en el software.
  • Cada nuevo producto o dispositivo médico, por sencillo que sea, necesita de un cuidadoso proceso de evaluación capaz de establecer si sus utilidades son mayores que los riesgos de una conexión en línea. Además, los procesos de certificación deben acelerarse considerablemente pues la seguridad TI ha alcanzado la velocidad de crucero necesaria.
  • Por tanto, es de importancia crítica para la seguridad del paciente que los dispositivos médicos se apunten a la seguridad 'by design', es decir, esa seguridad que forma parte de la esencia del dispositivo y que está presente desde el momento en que era solo un concepto, tan importante como la propia función que realiza y por la que ha sido diseñado.
Fuente: Europa Press

ALEMANIA. Impondrá penas de prisión y multas de hasta 50.000 euros a los 'biohackers'

   Alemania se convierte en el primer país europeo en penar a los 'biohackers', es decir, aquellas personas particulares que realizan cambios genéticos en organismos como 'hobby'. Las sanciones podrán llegar hasta los tres años de cárcel, con multas de hasta 50.000 euros, según ha informado la oficina del consumidor BVL.
   Esta medida afecta especialmente a los ingenieros genéticos 'amateur' que trabajan desde sus casas gracias a 'kits' biológicos que pueden adquirirse a través de la Red. En la actualidad, este tipo de aparatos se ha extendido gracias a su simplificación y a la facilidad de su uso, que permiten utilizarlos fuera de laboratorios.
   El comunicado hecho público por la BVL --siglas de la Oficina Federal para la protección del consumidor y la seguridad alimentaria-- recuerda que, "dependiendo del 'kit' biológico, pueden aplicarse las leyes de ingeniería genéticas". El límite de la legalidad se marca en los casos en que los aparatos "contienen organismos genéticamente modificados".
   La legislación de ingeniería genética a la que se refiere la oficina germana establece condenas de prisión de hasta tres años y multas de hasta 50.000 euros a quienes inclumplan la normativa. Según esta regulación, será necesario contar con un permiso específico del Estado, con supervisión de técnicos de seguridad y en un laboratorio homologado.
   La ley persigue evitar que se lleven a cabo modificaciones genéticas que puedan desembocar en una crisis alimentaria o sanitaria. La BVL se remite en su comunicado a la posibilidad de acceder a bacterias peligrosas como el E.Coli a través de los 'kits' biológicos.
   No obstante, la medida también podría tener un impacto negativo en la comunidad científica, ya que afectará a estudiantes y graduados que realizan experimentos de forma independiente. "Es una pena que tenga que hacer algo ilegal para poder investigar de forma independiente", ha expresado en 'biohacker' alemán Bruno Lederer en declaraciones a Gizmodo.
   Por el momento, el anuncio de Alemania contrasta con el estado de la cuestión en el resto de países europeos, que permanecen en un vacío legal con respecto a la ingeniería genética. Esta decisión ha sido bien recogida por parte de algunas empresas fabricantes de 'kits' biológicos --como Amino Labs--, que agradece a Alemania el estar "un paso adelante en términos de claridad", según declaraciones de Julie Legault a Gizmodo. "Esperamos que otros países sigan su ejemplo y aclaren sus normativas", ha añadido.
Fuente: Europa Press

WHATSAPP. Aumenta la seguridad de su servicio con el sistema de verificación en dos pasos

   La aplicación de mensajería WhatsApp ha actualizado este viernes sus ajustes de seguridad, permitiendo que todos los usuarios activen el sistema de verificación en dos pasos. La nueva función, que ya está disponible para Android, iOS y Windows Phone, tiene como objetivo evitar el robo de cuentas.
   La doble verificación puede habilitarse desde el menú de 'Ajustes' de la 'app', y después a través de 'Cuenta' y 'Verificación en dos pasos'. Una vez activada la función, WhatsApp pide al usuario que introduzca una clave de seis dígitos. Este código será requerido cada vez que se intente verificar el número de teléfono asociado a la cuenta, según se explica en la sección de preguntas frecuentes.
   Además de la contraseña numérica, la aplicación también solicita una dirección de correo electrónico que se utiliza para recuperar la clave en los casos en que el usuario la olvide. No obstante, no es obligatorio introducir un 'email' para utilizar la doble verificación.
WhatsApp ha anunciado, además, que solicitará la contraseña "periódicamente" para evitar que sea olvidada, una opción que no se puede desactivar sin desactivar la verificación en dos pasos.
   La aplicación de mensajería instantánea más popular del mundo ha lanzado este doble sistema de seguridad este viernes, después de haberlo probado en las versiones 'beta' de la 'app' en Android y Windows Phone desde el mes de noviembre.
   Esta función puede desactivarse en cualquier momento desde el menú de ajustes de la aplicación. Aunque supone una mejora, no implica la total seguridad del usuario, ya que al no requerir ninguna contraseña para desactivarse, no protege la cuenta en caso de que el móvil sea sustraído.
Fuente: Europa Press

VULNERABILIDAD. Inyección SQL ciega en McAfee ePolicy Orchestrator

Intel Security ha confirmado una vulnerabilidad en ePolicy Orchestrator que podría permitir la realización de ataques de inyección SQL ciega.
McAfee ePolicy Orchestrator, también conocido como ePO, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.
Detalle de la vulnerabilidad
  • El problema, con CVE-2016-8027, puede permitir la realización de ataques de inyección SQL ciega mediante peticiones HTTP post específicamente manipuladas. El atacante podrá obtener información de la base de datos o la suplantación de un agente sin autenticación.
Recursos afectados
  • Este problema afecta a versiones ePolicy Orchestrator 5.1.3 (y versiones anteriores) y a ePO 5.3.2 (y versiones anteriores).
Recomendación
McAfee ha publicado parches para las versiones ePO 5.1.3, 5.3.1 y 5.3.2 que solucionan el problema y se encuentran disponibles desde http://www.mcafee.com/us/downloads/downloads.aspx
  • Para ePO 5.1.3: EPO513HF1167014.zip
  • Para ePO 5.3.1: EPO531HF1179709.zip
  • Para ePO 5.3.2: EPO532HF1167013.zip
Versiones anteriores deberán actualizarse a las indicadas.
Más información:
Fuente: Hispasec