CIBERCRIMEN. Lograron acceder con ataques invisibles a empresas de 40 países, entre ellos España

La compañía de seguridad Kaspersky Lab ha descubierto ataques "masivos" que afectaron a más de 140 redes empresariales de varios sectores, en un total de 40 países, entre los que se encuentra España. La investigación se inicio a finales del año 2016, cuando bancos de la Comunidad de Estados Independientes (CIS) contactaron con la empresa porque encontraron un software de pruebas de penetración, Meterpreter, en la memoria de sus servidores.

Kaspersky Lab descubrió que el código se había combinado con un número de 'scripts' y otras utilidades y se había transformado en código malicioso que recopilar las contraseñas de los administradores de sistemas de forma invisible. De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en remoto y conseguir su objetivo final: el acceso a los procesos financieros.

La compañía ha descubierto que los ataques eran masivos y que habían afectado a más de 140 redes empresariales, con la mayoría de las víctimas localizadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, las infecciones afectaron a empresas en más de cuarenta países, entre los que se encuentra España, aunque se desconoce quién puede estar detrás de los ataques.

El uso del código de explotación de fuente abierta, funcionalidades Windows habituales y dominios desconocidos, hace prácticamente imposible determinar el grupo responsable o si son varios los que comparten las mismas herramientas. Algunos grupos conocidos que utilizan una técnica similar son GCMAN y Carbanak.

"Esta tendencia que observamos en técnicas anti-forense y malware que se sitúan en la memoria responde al empeño de los ciberdelincuentes de ocultar su actividad y dificultar su detección. Por ello, el estudio forense de la memoria se está convirtiéndose en algo crítico para el análisis de malware", explica el analista principal de seguridad en Kaspersky Lab, Sergey Golovanov.

"En estos incidentes en concreto, se han utilizado todas las técnicas anti forense existentes. Es un ejemplo claro de que no se necesitan archivos de malware para lograr extraer datos de la red con éxito. El uso de utilidades open source y software legítimo hacen imposible localizar el origen", concluye.

Fuente:  El Economista.es

CIBERSEGURIDAD. ¿Se puede hackear un corazón humano?

   El sector de la Salud no es ajeno a la digitalización y a la hiperconectividad como tampoco lo es a los peligros a los que se enfrentan los nuevos sistemas y dispositivos conectados, que hacen cuestionarse si es posible 'hackear' un corazón humano.

   Sin embargo, como recuerdan desde G DATA, algunos de los sistemas empleados en estas tareas podrían no ser lo suficientemente seguros. Las brechas de seguridad en dispositivos médicos obligan a incorporar la 'security by design' (seguridad por diseño) en este tipo de equipos.

   G DATA comparte uno de los casos examinados sobre los riesgos que plantea la conectividad. Éste se conoció en agosto de 2016, cuando un grupo de investigadores de seguridad descubrió una vulnerabilidad en un marcapasos fabricado por uno de los principales proveedores del mundo de desfibriladores, marcapasos y otros equipos médicos.

Estos investigadores comprobaron que los transmisores utilizados en un determinado modelo sufrían una vulnerabilidad que permitía chequear el estado del marcapasos y su configuración de forma remota, con el único requisito de que el paciente se encontrara físicamente en el radio de acción de dicho transmisor, explican desde la compañía de seguridad.

   El fabricante del dispositivo lanzó una actualización de software para solucionar la mencionada brecha y la Administración americana de alimentos y medicamentos (FDA) publicó una nota para informar a los pacientes y los médicos de los pasos necesarios para actualizar el software.

Desde G DATA entienden que hay mucho en juego: la reputación de un fabricante puede sufrir daños importantes si se suceden estos fallos de seguridad en sus productos. Y ya se sabe que los intereses financieros van de la mano de esta reputación. Pero mucho más importante es la vida de los pacientes que confían en estos dispositivos para sobrevivir, en el sentido literal de la palabra.

   PREVENIR VULNERABILIDADES NO ES FÁCIL

• Aunque sería fácil señalar las deficiencias de cualquier fabricante, hay que tener en cuenta que cualquier nuevo hardware o software usado en el sector salud tiene que someterse a pruebas rigurosas y necesita ser certificado antes de ser comercializado. Los criterios serán además más estrictos en función del papel que desempeñen estos dispositivos en la supervivencia de un paciente.
• Este proceso de certificación puede llevar años y ser muy costoso para los fabricantes. Hardware y software médico tienen además opciones muy limitadas cuando hablamos actualizaciones. A menudo estas actualizaciones y parches de seguridad para los dispositivos médicos son escasos y poco regulares, en el supuesto de que los haya.
• Con la llegada de ransomware surge una posibilidad peligrosa: la amenaza real de que alguien sea capaz de extorsionar a los pacientes o a los centros de salud con la posibilidad de desactivar los sistemas vitales para los enfermos.
• Para hacer frente a este desafío, fabricantes e investigadores de seguridad no tienen más opción que mantener una estrecha colaboración y actuar de forma muy responsable cuando hablamos de revelar información, asegurando que ninguna vida se pone en riesgo como consecuencia de una vulnerabilidad en el software.
• Cada nuevo producto o dispositivo médico, por sencillo que sea, necesita de un cuidadoso proceso de evaluación capaz de establecer si sus utilidades son mayores que los riesgos de una conexión en línea. Además, los procesos de certificación deben acelerarse considerablemente pues la seguridad TI ha alcanzado la velocidad de crucero necesaria.
• Por tanto, es de importancia crítica para la seguridad del paciente que los dispositivos médicos se apunten a la seguridad 'by design', es decir, esa seguridad que forma parte de la esencia del dispositivo y que está presente desde el momento en que era solo un concepto, tan importante como la propia función que realiza y por la que ha sido diseñado.

Fuente: Europa Press

ALEMANIA. Impondrá penas de prisión y multas de hasta 50.000 euros a los 'biohackers'

   Alemania se convierte en el primer país europeo en penar a los 'biohackers', es decir, aquellas personas particulares que realizan cambios genéticos en organismos como 'hobby'. Las sanciones podrán llegar hasta los tres años de cárcel, con multas de hasta 50.000 euros, según ha informado la oficina del consumidor BVL.

   Esta medida afecta especialmente a los ingenieros genéticos 'amateur' que trabajan desde sus casas gracias a 'kits' biológicos que pueden adquirirse a través de la Red. En la actualidad, este tipo de aparatos se ha extendido gracias a su simplificación y a la facilidad de su uso, que permiten utilizarlos fuera de laboratorios.

   El comunicado hecho público por la BVL --siglas de la Oficina Federal para la protección del consumidor y la seguridad alimentaria-- recuerda que, "dependiendo del 'kit' biológico, pueden aplicarse las leyes de ingeniería genéticas". El límite de la legalidad se marca en los casos en que los aparatos "contienen organismos genéticamente modificados".

   La legislación de ingeniería genética a la que se refiere la oficina germana establece condenas de prisión de hasta tres años y multas de hasta 50.000 euros a quienes inclumplan la normativa. Según esta regulación, será necesario contar con un permiso específico del Estado, con supervisión de técnicos de seguridad y en un laboratorio homologado.

   La ley persigue evitar que se lleven a cabo modificaciones genéticas que puedan desembocar en una crisis alimentaria o sanitaria. La BVL se remite en su comunicado a la posibilidad de acceder a bacterias peligrosas como el E.Coli a través de los 'kits' biológicos.

   No obstante, la medida también podría tener un impacto negativo en la comunidad científica, ya que afectará a estudiantes y graduados que realizan experimentos de forma independiente. "Es una pena que tenga que hacer algo ilegal para poder investigar de forma independiente", ha expresado en 'biohacker' alemán Bruno Lederer en declaraciones a Gizmodo.

   Por el momento, el anuncio de Alemania contrasta con el estado de la cuestión en el resto de países europeos, que permanecen en un vacío legal con respecto a la ingeniería genética. Esta decisión ha sido bien recogida por parte de algunas empresas fabricantes de 'kits' biológicos --como Amino Labs--, que agradece a Alemania el estar "un paso adelante en términos de claridad", según declaraciones de Julie Legault a Gizmodo. "Esperamos que otros países sigan su ejemplo y aclaren sus normativas", ha añadido.

Fuente: Europa Press

WHATSAPP. Aumenta la seguridad de su servicio con el sistema de verificación en dos pasos

   La aplicación de mensajería WhatsApp ha actualizado este viernes sus ajustes de seguridad, permitiendo que todos los usuarios activen el sistema de verificación en dos pasos. La nueva función, que ya está disponible para Android, iOS y Windows Phone, tiene como objetivo evitar el robo de cuentas.

   La doble verificación puede habilitarse desde el menú de 'Ajustes' de la 'app', y después a través de 'Cuenta' y 'Verificación en dos pasos'. Una vez activada la función, WhatsApp pide al usuario que introduzca una clave de seis dígitos. Este código será requerido cada vez que se intente verificar el número de teléfono asociado a la cuenta, según se explica en la sección de preguntas frecuentes.

   Además de la contraseña numérica, la aplicación también solicita una dirección de correo electrónico que se utiliza para recuperar la clave en los casos en que el usuario la olvide. No obstante, no es obligatorio introducir un 'email' para utilizar la doble verificación.

WhatsApp ha anunciado, además, que solicitará la contraseña "periódicamente" para evitar que sea olvidada, una opción que no se puede desactivar sin desactivar la verificación en dos pasos.

   La aplicación de mensajería instantánea más popular del mundo ha lanzado este doble sistema de seguridad este viernes, después de haberlo probado en las versiones 'beta' de la 'app' en Android y Windows Phone desde el mes de noviembre.

   Esta función puede desactivarse en cualquier momento desde el menú de ajustes de la aplicación. Aunque supone una mejora, no implica la total seguridad del usuario, ya que al no requerir ninguna contraseña para desactivarse, no protege la cuenta en caso de que el móvil sea sustraído.

Fuente: Europa Press

VULNERABILIDAD. Inyección SQL ciega en McAfee ePolicy Orchestrator

Intel Security ha confirmado una vulnerabilidad en ePolicy Orchestrator que podría permitir la realización de ataques de inyección SQL ciega.

McAfee ePolicy Orchestrator, también conocido como ePO, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.

Detalle de la vulnerabilidad

• El problema, con CVE-2016-8027, puede permitir la realización de ataques de inyección SQL ciega mediante peticiones HTTP post específicamente manipuladas. El atacante podrá obtener información de la base de datos o la suplantación de un agente sin autenticación.

Recursos afectados

• Este problema afecta a versiones ePolicy Orchestrator 5.1.3 (y versiones anteriores) y a ePO 5.3.2 (y versiones anteriores).

Recomendación

McAfee ha publicado parches para las versiones ePO 5.1.3, 5.3.1 y 5.3.2 que solucionan el problema y se encuentran disponibles desde http://www.mcafee.com/us/downloads/downloads.aspx

• Para ePO 5.1.3: EPO513HF1167014.zip
• Para ePO 5.3.1: EPO531HF1179709.zip
• Para ePO 5.3.2: EPO532HF1167013.zip

Versiones anteriores deberán actualizarse a las indicadas.

Más información:

• McAfee Security Bulletin - ePO update fixes an XML Entity Injection and Metasploit Credential vulnerability https://kc.mcafee.com/corporate/index?page=content&id=SB10095v
• Inyección SQL Ciega https://www.owasp.org/index.php/Inyecci%C3%B3n_SQL_Ciega

Fuente: Hispasec

Vulnerabilidades en SendQuick Entera & Avera SMS Gateway

Se han reportado tres vulnerabilidades en SendQuick Entera & Avera SMS Gateway, consideradas de gravedad alta. Estas podrían permitir a un atacante no autenticado provocar condiciones de denegación de servicio, obtener información sensible del sistema o incluso ejecutar código arbitrario en los sistemas afectados.

SendQuick Entera & Avera SMS Gateway es un sistema activo de monitorización de redes que permite asegurar la operatividad y disponibilidad informando al personal asignado cuando se produzcan eventos de red de determinada criticidad y que requieran solución inmediata. Permite control remoto del servidor y manejo de servicios.

Detalle de la vulnerabilidad

• En el primer problema, con CVE-2017-5136, un atacante no autenticado podría provocar una denegación de servicio (apagar el sistema) a través de peticiones especialmente manipuladas. Este error es debido a una falta de comprobación en el control de acceso de determinadas peticiones.
• Una segunda vulnerabilidad, con CVE-2017-5137, en el que un atacante no autenticado podría obtener información sensible dentro del sistema (podría obtener información de cuentas a través de la descarga de determinados logs del sistema) a través de peticiones especialmente manipuladas. No ha sido especificado el error concreto que provoca esta vulnerabilidad, pero podría deberse también a un error de falta de comprobación.
• Por último, con CVE-2016-10098, un atacante no autenticado en el sistema podría ejecutar código arbitrario con los privilegios del usuario a través de comandos especialmente manipulados. Este error es debido a múltiples vulnerabilidades relacionadas con inyecciones de comandos.

Recursos afectados

• Afectan a versiones anteriores al firmware 2HF16. Se recomienda actualizar a versiones superiores.

Más información:

• Multiple Vulns in SendQuick Entera & Avera SMS Gateway Appliances https://niantech.io/blog/2017/02/05/vulns-multiple-vulns-in-sendquick-entera-avera-sms-gateway-appliances/
• sendQuick Avera http://www.sendquick.com.au/sqavera.html    http://www.talariax.com/web/avera.html

Fuente: Hispasec

CISCO Dispositivos pueden quedar inoperativos a los 18 meses de funcionamiento

Cisco ha confirmado la existencia de un problema en un componente incluido en diferentes dispositivos que puede hacer que estos dejen de funcionar tras 18 meses de operación.

Detalle de la vulnerabilidad

• El problema es tan grave como parece, un componente de señal de reloj se degrada con el tiempo. Según confirma la compañía los productos afectados están funcionando normalmente en la actualidad, sin embargo se esperan que los problemas aumenten con el paso del tiempo, comenzando después de que la unidad esté operando durante aproximadamente 18 meses. Y lo peor, una vez que el componente falla el sistema deja de funcionar, no arrancará y será irrecuperable.
• En su aviso Cisco no llega a confirmar el componente afectado, aunque todo hace indicar que se trata del Atom C2000. Un procesador Intel x86 basado en la arquitectura Silvermont, diseñado para un alto rendimiento con bajo consumo de energía. Este mismo chip también está incluido en equipos de otros fabricantes, como HP, Dell, Nec, Synology o Netgear. Aunque por el momento, ningún otro fabricante ha informado de problemas similares en sus productos.

Recursos afectados

Cisco ha confirmado que los productos afectados por el problema son:

• NCS1K-CNTLR (redes ópticas)
• NCS5500 Line Cards
• IR809/IR829 Industrial Integrated Services Routers
• Routers ISR4331, ISR4321, ISR4351 y UCS-E120
• Cisco ISA3000 Industrial Security Appliance
• Meraki MX84
• Meraki MS350
• ASA 5506, ASA 5506W, ASA 5506H, ASA 5508 y ASA 5516
• Nexus 9000 Series N9K-C9504-FM-E
• Nexus 9000 Series N9K-C9508-FM-E
• Nexus 9000 Series N9K-X9732C-EX

Recomendación

• Se recomienda consultar los avisos de Cisco para confirmar las versiones concretas afectadas, fechas, etc.
• Como no podía ser de otra forma, Cisco sustituirá de forma proactiva todos los productos bajo garantía o cubiertos por cualquier tipo de contrato de servicios válido fechado el 16 de noviembre de 2016, que tenga este componente. Dada la naturaleza del problema y la importancia del tiempo transcurrido, se está dando prioridad a los pedidos basándose en el tiempo en operación de los productos.

Más información:

• Clock Signal Component Issue http://www.cisco.com/c/en/us/support/web/clock-signal.html
• Intel's Atom C2000 chips are bricking products – and it's not just Cisco hit https://www.theregister.co.uk/2017/02/06/cisco_intel_decline_to_link_product_warning_to_faulty_chip/
• FN - 64230 - NCS1K-CNTLR Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64230.html
• FN - 64231 - NCS5500 Line Cards Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64231.html
• FN - 64252 - IR809/IR829 Industrial Integrated Services Routers Might Fail After 18 Months or Longer Due to Clock Signal Component Failure – Replacement Available for Items Under Warranty or Service Contract http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64252.html
• FN - 64253 - ISR4331, ISR4321, ISR4351 and UCS-E120 Might Fail After 18 Months or Longer Due to Clock Signal Component Failure – Replacement Available for Items Under Warranty or Service Contract http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64253.html
• FN - 64228 - ASA 5506, ASA 5506W, ASA 5506H, ASA 5508, and ASA 5516 Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64228.html
• FN - 64250 - Cisco ISA3000 Industrial Security Appliance Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64250.html
• Inconveniente con el componente de señal del reloj https://meraki.cisco.com/blog/inconveniente-con-el-componente-de-senal-del-reloj/
• FN - 64251 - Nexus 9000 Series N9K-C9504-FM-E/N9K-C9508-FM-E/N9K-X9732C-EX Might Fail After 18 Months or Longer Due to Clock Signal Component Failure – Replacement Available After July 1, 2017 http://www.cisco.com/c/en/us/support/docs/field-notices/642/fn64251.html

Fuente: Hispasec

GOOGLE. Solventa 58 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de febrero en el que corrige un total de 58 vulnerabilidades, 10 de ellas calificadas como críticas.

Detalle de la actualización

• Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-02-01 ("2017-02-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.
• En este bloque se solucionan 23 vulnerabilidades, dos de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de Surfaceflinger o de mediaserver. Otras 16 de ellas son de gravedad alta y otras cuatro de importancia moderada.
• Por otra parte en el nivel de parches de seguridad 2017-01-05 ("2017-01-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 35 fallos en subsistemas del kernel, controladores y componentes OEM. Siete de las vulnerabilidades están consideradas críticas, 23 de gravedad alta y cinco de riesgo medio. Cabe destacar que los componentes Qualcomm son los más afectados.
• Los problemas críticos podrían permitir la ejecución remota de código a través del controlador crypto de Qualcomm, o elevaciones de privilegios en el sistema de archivos del kernel, en el controlador GPU NVIDIA, en el subsistema de red del kernel o en el controlador Wi-Fi de Broadcom.

Recomendación

• A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. 
• Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. 
• Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.

Más información:

• Android Security Bulletin—February 2017 https://source.android.com/security/bulletin/2017-02-01.html

Fuente: Hispasec

BIND 9. Publicadas nuevas versiones

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar una vulnerabilidad considerada de gravedad alta que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

Detalle de vulnerabilidades

• La vulnerabilidad, con CVE-2017-3135, consiste en que bajo determinadas condiciones al usar DNS64 y RPZ para reescribir respuestas a consultas, el tratamiento de las consultas puede reanudarse en un estado inconsistente que conduce a un fallo de aserción o un intento de lectura a través de un puntero NULL. Afecta a versiones 9.9.3-S1 a 9.9.9-S7, 9.9.3 a 9.9.9-P5, 9.9.10b1, 9.10.0 a 9.10.4-P5, 9.10.5b1, 9.11.0 a 9.11.0-P2 y 9.11.1b1.

Recomendación

• Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P6, 9.10.4-P6, 9.11.0-P3 y 9.9.9-S8, disponibles en http://www.isc.org/downloads.

Más información:

• CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash https://kb.isc.org/article/AA-01453/0

Fuente: Hispasec

KasperskyOS. El sistema operativo seguro para el Internet de las Cosas

La empresa de seguridad informática Kaspersky Lab ha lanzado el sistema operativo Kaspersky OS. El sistema operativo KasperskyOS no ha sido diseñado para computadoras, tabletas o smartphones, sino para dispositivos integrados e Internet de las Cosas (IoT).

Con el fin de procurar que un programa no ejecute código no documentado, el sistema operativo utiliza sus propias políticas de seguridad, que son estrictamente aplicadas. La política puede ser adaptada en conformidad con el área de aplicación del dispositivo, y para cada uno de sus usos. El dispositivo sólo admitirá la ejecución de procedimientos documentados en la política del caso. Cabe señalar que este procedimiento  se aplica incluso para el sistema operativo.

Sistema operativo compacto y basado en módulos

• Aunque ya existen sistemas operativos que realizan procedimientos como los descritos por Kaspersky, estos son diseñados para usos específicos, en un surtido relativamente limitado de hardware, donde el software es ejecutado en el marco de escenarios operativos claramente definidos. Según la empresa, esta funcionalidad es difícil de conseguir en un sistema operativo de utilización general, ejecutado en todo tipo de hardware.
• “El problema puede ser solucionado utilizando un enfoque estructurado en torno a módulos basados en componentes pequeños y confiables, que utilicen interfaces estandarizados. La arquitectura de un sistema seguro, diseñado según este principio, hace posible llevar un volumen relativamente reducido de código de software a distintas plataformas de hardware y verificarlo, a la vez que se conservan los módulos en un nivel superior, con el fin de reutilizarlos. Esto hace que sea potencialmente posible ofrecer garantías de seguridad para cada área de aplicación del sistema operativo”, se indica en el blog de la empresa, donde además se describen algunos de los principios fundamentales del diseño de KasperskyOS.

Componentes fundamentales

• Un elemento clave es un micro-kernel propietario, vinculado de manera flexible o un motor de seguridad. En gran medida, el sistema es compatible con POSIX, aunque el comportamiento de las aplicaciones es asegurado mediante interfaces de programación específicos para el sistema.
• El sistema operativo de Kaspersky está seccionado en dominios de seguridad separados y grupos cerrados de aplicaciones, con influencia reducida entre sí, sin que se excluya la posibilidad de comunicación a través de los dominios.
• Aparte de las políticas de seguridad de las aplicaciones, todo el hardware disponible para el sistema operativo debe ser clasificado con atributos de seguridad procedentes.
• KasperskyOS ha sido desarrollado para tres sectores comerciales específicos: telecomunicaciones, tecnología automotriz/producción industrial, y utilización en infraestructuras críticas. El sistema operativo de KasperskyOS puede ser ejecutado en sistemas x86/x64 como asimismo en ARM

Más información

• SecureList.https://securelist.com/blog/security-policies/77469/features-of-secure-os-realization

Fuente : Kaspersky

NITRO PRO 10. Descubiertas varias vulnerabilidades.

Se han reportado tres vulnerabilidades en Nitro Pro 10, consideradas de gravedad alta, que podrían permitir a un atacante remoto ejecutar código arbitrario dentro del sistema y provocar condiciones de denegación de servicio.

Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.

Detalle de vulnerabilidades

• Las dos primeras vulnerabilidades (CVE-2016-8709 y CVE-2016-8713) se deben a un error en la librería 'npdf.dll' que podría causar una escritura en memoria fuera de límites o corrupción de memoria. Un atacante remoto podría valerse de archivos PDF especialmente manipulados para provocar una denegación de servicio dentro del sistema.
• En la vulnerabilidad con CVE-2016-8711 un atacante remoto podría también aprovechar un error en la misma librería para ejecutar código arbitrario a través también de archivos PDF especialmente manipulados. Las vulnerabilidades han sido reportadas por Piotr Bania de Cisco Talos.
• Afectan a la versión Nitro Pro 10.5.9.9 y posiblemente versiones anteriores. Se recomienda actualizar a versiones superiores.

Más información:

Nitro Pro PDF Handling Code Execution Vulnerability

1. http://www.talosintelligence.com/reports/TALOS-2016-0218
2. http://www.talosintelligence.com/reports/TALOS-2016-0224
3. http://www.talosintelligence.com/reports/TALOS-2016-0226

Nitro Pro http://gonitro.com

Fuente: Hispasec

FORTIMANAGER. Exposición de datos sensibles

Una inapropiada validación por parte del software del FortiManager de los certificados TLS puede conducir a que un atacante remoto acceda a claves secretas en el dispositivo afectado, catalogada de importancia 4 Alta

Recursos afectados:

• FortiManager 5.0.6 a 5.2.7 y 5.4.0 a 5.4.1.

Recomendación

• Actualizar a versiones de firmware 5.2.8 o 5.4.2 que corrigen esta vulnerabilidad en el portal de soporte del fabricante.

Detalle e Impacto de la vulnerabilidad

• Un usuario malintencionado podría aprovechar una incorrecta validación de los certificados TLS que se produce en el momento en que un FortiManager sondea en busca de dispositivos para ser gestionados. Una explotación exitosa de esta vulnerabilidad permitirá al atacante acceder a claves secretas contenidas en el FortiManager.

Más información

• FortiManager TLS certificate validation failure  http://fortiguard.com/advisory/FG-IR-16-055

Fuente: INCIBE

MALWARE.Reaparece el gusano SQL Slammer

   Detectado por primera vez en 2003, el malware vuelve a la carga intentando explotar una vulnerabilidad de buffer overflow en Microsoft SQL Server 2000 o MSDE 2000.

    SQL Slammer es un gusano de ordenador que se descubrió por primera vez en enero de 2003, y que provocó DDoS en decenas de miles de servidores alrededor del mundo. Según han podido analizar los expertos de Check Point, este malware explota una vulnerabilidad de buffer overflow en Microsoft SQL Server 2000 o MSDE 2000 enviando una solicitud formateada al puerto UDP 1434. Después de infectar el servidor, se propaga rápidamente enviando la misma carga a direcciones IP aleatorias, causando una denegación de servicio.

    Para su aparición inicial, SQL Slammer  infectó 75.000 servidores en menos de 10 minutos, lo que lo convirtió en el gusano más rápido de la historia. La  situación incluso llevó a una organización sudcoreana a demandar a Microsoft, ya que a su juicio esta no había estado a la altura de sus responsabilidades respecto de SQL Server, y que pudo haber prevenido el problema de seguridad explotado por el gusano SQL Slammer. Posteriormente quedaría demostrado que Slammer no sólo afectaba a Microsoft SQL, sino también más de 150 productos de distintos fabricantes de software, que incluían el motor SQL.

   Ahora, más de una década después, SQL Slammer ha vuelto a la acción. Durante un análisis rutinario de los datos globales recopilados por Check Point ThreatCloud, la multinacional de seguridad ha detectado un aumento masivo en el número de intentos de ataque entre el 28 de noviembre y el 4 de diciembre de 2016, convirtiendo el gusano en uno de los principales malware detectados durante el periodo.

   Los intentos de ataque detectados se dirigieron a un total de 172 países, con el 26% de las ofensivas hacia redes estadounidenses. Además, las direcciones IP que iniciaron el mayor número de asaltos relacionados con el SQL Slammer están registradas en China, Vietnam, México y Ucrania.

   Después de concluido su periodo de auge en 2003, el gusano ha estado prácticamente inactivo durante la última década, recuerda Check Point, agregando que es prematuro concluir si se trata de un retorno a gran escala de SQL Slammer.

Fuente: diarioti.com

CHIME. Aplicación de Amazon para videoconferencias en entornos corporativos.

   Amazon ha lanzado Chime, una nueva herramienta de videoconferencias que se dirige al ámbito de las empresas, y que permite organizar reuniones y realizar 'chats' a través de una sola aplicación, disponible en tres versiones, una de ellas gratuita.

   Con este servicio, disponible desde este martes en la sección de contenidos AWS, Amazon intenta competir con Skype proporcionando más claridad y más seguridad. Chime permite conectarse a las reuniones 'online' a través del ordenador y también del 'smartphone' gracias a una 'app' disponible tanto en Android como en iOS, al igual que en Windows y Mac.

   Amazon destaca el carácter sencillo y visual de Chime por encima de otras aplicaciones, ya que durante las reuniones muestra una lista con los participantes y quiénes están ausentes de la misma, permitiendo avisar en caso de retraso del trabajador.

   Otro de los aspectos que más puede interesar a las empresas es la seguridad del servicio. "Todas las comunicaciones están encriptadas, el historial de chats nunca se guarda en tus dispositivos y es posible restringir las reuniones para verificar quién participa", ha explicado Amazon en la página de Chime.

   Entre el resto de funciones incluidas en la 'app', destaca también la posibilidad de compartir la pantalla con otros usuarios, algo que por otra parte ya está presente en otras aplicaciones similares, como Skype.

   De las tres versiones de Amazon Chime, la primera de ellas podrá utilizarse de forma gratuita, guarda el historial de mensajes durante 30 días y permite dos miembros. La edición Plus, con un coste de 2,5 dólares al mes por usuario --hasta un máximo de dos--, añade funciones de configuración adicionales, mientras que la Pro --por 15 dólares al mes-- permite llevar a cabo reuniones de hasta 100 miembros.

Fuente: Europa Press

LINUX. Novedades más importantes del Kernel Linux 4.10

Aunque el Kernel Linux 4.10 estaba previsto que llegara esta misma semana, finalmente ha tenido que ser aplazado durante una semana más, por lo que los usuarios de este sistema operativo no podremos instalarlo en nuestros equipos hasta la semana que viene. Sin embargo, desde hace ya algún tiempo se conocen todas las novedades que vendrán incluidas en esta nueva versión de Linux, que no son pocas, debido a que el Kernel ya lleva algún tiempo en fase de depuración.

Esta nueva versión del sistema operativo libre llegará a todos los usuarios con un gran número de mejoras importantes y cambios de todo tipo, aunque, si tenemos que elegir las 10 novedades más importantes y relevantes para los usuarios que llegarán la semana que viene con Linux 4.10, estas son las que vamos a ver a continuación.

Principales novedades del Kernel Linux 4.10

• La primera de las novedades de esta nueva versión del Kernel es una mejora notable en los controladores Nouveau, los drivers OpenSource alternativos para gráficas Nvidia. Estos controladores, además de ofrecer un mejor rendimiento, ahora permiten modificar las frecuencias de las gráficas para mejorar su rendimiento.
• Los controladores de AMD también se han mejorado notablemente, siendo ahora totalmente compatibles con las gráficas AMD Zen/Ryzen.
• Los controladores de Intel también han recibido algunos pequeños cambios para mejorar su funcionamiento, especialmente en términos de virtualización, y, además, se ha implementado el soporte inicial para GVT.
• Siguiendo con Intel, esta nueva versión de Linux ahora es compatible con Turbo Boost Max 3.0, una tecnología presente en los procesadores Intel Broadwell y siguientes mediante la cual es posible aumentar la frecuencia de cada core individualmente.
• Los formatos de archivos EXT4 y XFS han recibido soporte para la tecnología IOMAP, un framework que permite realizar un mapeo mucho más eficiente de los bloques de los dispositivos.
• Otro cambio interesante es que el nuevo Kernel Linux 4.10 ahora tiene una mayor compatibilidad con las tablets Microsoft Surface 3 y 4.
• También se han añadido más controladores ARM, incluidos los del Snapdragon 808 y 810, así como para dispositivos como el Nexus 6P, Nexus 5X, Pine64, Droid 4, la Nvidia Tegra P1 y otros.
• Esta nueva versión del Kernel también mejora su funcionamiento con el Raspberry Pi 3, especialmente en el ámbito de los gráficos.
• Otra de las novedades del Kernel Linux 4.10 será el soporte definitivo para ATA Command Priority, una característica muy solicitada por la comunidad, pero que estará deshabilitada por defecto.
• Por último, algunas gráficas como las Radeon Southern Islands y Sea Islands han recibido mejoras en los controladores, especialmente en lo relacionado a PowerPlay y a la gestión del consumo. Pese a ello, GCN está aún deshabilitado para la mayoría de ellas.
• Mientras esperamos a que esta versión salte a la rama “estable” la semana que viene, podemos descargar e instalar, si no lo hemos hecho aún, el Kernel 4.9.9, la versión más reciente de este núcleo.

Fuente: Phoronix