Últimas noticias de Seguridad a nivel mundial: boletín nº 102
Vulnerabilidad en sistemas de Amadeus expone registros de viajes de millones de personas Este error podría haber permitido modificar múltiples detalles de viajes. Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que, debido a una vulnerabilidad recientemente descubierta en el sistema de reservaciones Amadeus, un atacante o atacantes pudieron acceder y cambiar las reservas usando sólo un número de reservación. El bug, presente en el sistema de reservas que ostenta el 44% del mercado de reservaciones internacionales, fue descubierto por el experto en seguridad en redes Noam Rotem, que intentó reservar un vuelo en la aerolínea israelí ELAL. Rotem, en colaboración con un grupo de especialistas en seguridad en redes, reportó su hallazgo a través de un blog: “descubrimos que, simplemente cambiando la RULE_SOURCE:1ID, podíamos ver cualquier PNR y acceder al nombre del cliente y los detalles del vuelo asociados”. Los investigadores entonces pudieron iniciar sesión en el portal de clientes de ELAL “y hacer múltiples cambios, canjear millas de viajero frecuente, modificar los lugares asignados en un vuelo y modificar el perfil de los usuarios para cancelar o cambiar una reserva en un vuelo”. Los expertos explican que la aerolínea ELAL envía los códigos vía email no cifrado, haciendo hincapié en que algunos usuarios descuidados incluso llegan a compartir estos mensajes en redes sociales. “Aunque esta es sólo la punta del iceberg”, afirma el blog. “Después de ejecutar una sencilla secuencia de comandos para comprobar si existían medidas de protección contra fuerza bruta, pudimos encontrar el PNR de miles de clientes al azar, incluyendo información personal”, concluye el blog. Los investigadores desarrollaron un script para solucionar el problema, contactaron a ELAL para notificarles sobre la vulnerabilidad, y emitieron algunas sugerencias a la aerolínea, como la implementación de CAPTCHA, contraseñas y otras medidas de seguridad contra bots. Más información en https://noticiasseguridad.com Encuentran Malware instalado en teléfonos de Alcatel La aplicación realizaba transacciones en línea ejecutadas en segundo plano. Un equipo de expertos en seguridad en redes detectó un número sospechosamente alto de intentos de transacciones en línea provenientes de smartphones de la marca Alcatel con sistema operativo Android, por lo que decidieron indagar a profundidad en el tema. Durante la investigación, los expertos descubrieron que una aplicación preinstalada dedicada al pronóstico del clima extrae gran cantidad de datos de los usuarios y es la responsable de tales intentos de transacciones. La APK lleva el nombre de com.tct.weather y fue firmada por TLC Corporation, empresa china de tecnología, fabricante de los dispositivos Alcatel y Blackberry. Acorde a los expertos en seguridad en redes, esta aplicación recopila y transmite a un servidor en China datos como ubicación, dirección email o clave IMEI, además de contar con una serie de permisos demasiado invasivos. La aplicación también se encuentra en Google Play, cuenta con más de 10 millones de descargas y una puntuación de 4/5. De no haber sido bloqueada, la actividad maliciosa de esta app seguramente habría afectado a los usuarios de equipos Alcatel en países como Brasil, Malasia o Nigeria, cargándoles costos por alrededor de 1 millón 500 mil dólares. Los expertos reportan que las transacciones se realizaban en segundo plano, por lo que los usuarios no eran capaces de detectar algún comportamiento anómalo en la app. Más información en https://noticiasseguridad.com Vulnerabilidades con más de 30 años de antigüedad en SCP Estas fallas podrían conducir a ejecución de comandos remotos en los sistemas comprometidos. Acorde a expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, ha sido descubierto un conjunto de vulnerabilidades de 36 años de antigüedad en la implementación del Protocolo de Copia Segura (SCP) de múltiples aplicaciones de clientes; las vulnerabilidades podrían ser explotadas por usuarios maliciosos para sobrescribir archivos de forma arbitraria en el directorio de destino del cliente de SCP sin autorización. El SCP (también conocido como Protocolo de Control de Sesión) es un protocolo de red que permite a los usuarios transferir archivos de forma segura entre un host local y uno remoto mediante el Protocolo de Copia Remota (RCP) y el protocolo SSH. Dicho de otro modo, el protocolo SCP, creado en 1983, es una versión segura de RCP que requiere de la autenticación y el cifrado del protocolo SSH para transferir archivos entre el servidor y el cliente, mencionan expertos en seguridad en redes. Las vulnerabilidades, descubiertas por el experto en ciberseguridad Harry Sintonen, existen debido a las deficientes validaciones realizadas por los clientes de SCP, que podrían ser explotadas por servidores maliciosos o utilizando alguna variante del ataque Man-in-the-Middle (MiTM) para eliminar o sobrescribir archivos arbitrarios en el sistema de los clientes. “Muchos clientes SCP no verifican si los objetos devueltos por el servidor SCP coinciden con las solicitudes. Este problema se remonta al año 1983 y al protocolo RCP, en el que está basado SCP”, mencionó el experto. Un servidor controlado por un atacante podría colocar un archivo .bash_aliases en el directorio de inicio de la víctima, engañando al sistema para que ejecute comandos maliciosos tan pronto como el usuario de Linux inicie un nuevo shell. Más información en https://noticiasseguridad.com/. Dos hackers acusados de piratear el sistema SEC en un esquema de negociación de acciones Las autoridades estadounidenses han acusado a dos piratas informáticos ucranianos por piratear el sistema de archivo EDGAR de la Comisión de Bolsa y Valores y robar informes confidenciales de empresas antes de su lanzamiento público. EDGAR, o recopilación, análisis y recuperación de datos electrónicos, es un sistema de archivo en línea en el que las empresas envían sus documentos financieros. El sistema procesa alrededor de 1.7 millones de solicitudes electrónicas por año. EDGAR enumera millones de presentaciones sobre revelaciones corporativas, que van desde informes de ganancias anuales y trimestrales hasta información confidencial y confidencial sobre fusiones y adquisiciones, que podría utilizarse para el abuso de información privilegiada o incluso para manipular los mercados de valores de EE. UU. Los dos piratas informáticos ucranianos, Artem Radchenko y Oleksandr Ieremenko (27 años), piratearon el sistema EDGAR para extraer informes confidenciales no públicos de empresas que cotizan en bolsa y vendieron esa información a diferentes grupos de comerciantes. Más información en https://thehackernews.com/. Investigadores invitados a hackear un Tesla en Pwn2Own 2019 Los investigadores pueden ganar hasta $300,000 y un automóvil si logran piratear un Tesla Model 3 en la competencia Pwn2Own de este año, anunció el lunes la Zero Day Initiative (ZDI) de Trend Micro. Pwn2Own 2019, programado para realizarse del 20 al 22 de marzo junto con la conferencia CanSecWest en Vancouver, Canadá, introduce una categoría automotriz para la cual se instalará un Modelo 3 de Tesla. Los hackers de White Hat pueden ganar entre $ 50,000 y $ 250,000 por demostrar una vulnerabilidad contra un módem o sintonizador de Tesla, componentes de Wi-Fi o Bluetooth, sistema de información, entretenimiento, puerta de enlace, piloto automático, sistema de seguridad y llavero (incluido el teléfono que se usa como una tecla). "Junto con el premio en efectivo, el ganador de la primera ronda en esta categoría ganará un vehículo de tracción trasera de gama media Tesla Modelo 3", dijo ZDI. Premios a la piratería de Tesla. En la categoría de navegadores web, los hackers pueden ganar decenas e incluso cientos de miles de dólares por escapes de sandbox, escalaciones de privilegios del kernel de Windows y escapes de VM. Los objetivos son Chrome, Edge, Safari y Firefox. La categoría empresarial incluye Adobe Reader, Microsoft Office 365 y Microsoft Outlook. Finalmente, el único objetivo de la categoría del lado del servidor es Windows RDP, para el cual los hackers pueden ganar $ 150,000. Más información en https://www.securityweek.com/. Los viejos protocolos RF exponen las grúas a los ataques remotos de hackers Un equipo de investigadores de la firma de ciberseguridad con sede en Japón, Trend Micro, analizó los mecanismos de comunicación utilizados por las grúas y otras máquinas industriales y descubrió serias vulnerabilidades que pueden facilitar a los actores malintencionados lanzar ataques remotos. Las grúas, montacargas, taladros y otras máquinas pesadas utilizadas en los sectores de fabricación, construcción, transporte y minería a menudo dependen de los controladores de radiofrecuencia (RF). Estos sistemas incluyen un transmisor que envía comandos a través de ondas de radio y un receptor que interpreta esos comandos. Los investigadores han probado productos de varios proveedores, incluidos Saga, Juuko, Telecrane, Hetronic, Circuit Design, Autec y Elca, y se encontró que todos eran vulnerables. Sus pruebas se han realizado en 14 lugares diferentes del mundo real y también se encontró que todos estaban afectados. Trend Micro ha notificado a los proveedores afectados las vulnerabilidades y algunas de ellas ya han comenzado a tomar medidas. ICS-CERT ha publicado dos avisos para fallas descubiertas por los investigadores en productos de Telecrane y Hetronic . Obtenga más información sobre las fallas del controlador en la Conferencia sobre seguridad cibernética ICS 2019 de SecurityWeek. El principal problema encontrado por los expertos es que los proveedores no han protegido las comunicaciones entre el transmisor y el receptor, lo que permite a los atacantes capturar el tráfico y los comandos de suplantación de identidad. Los investigadores han detallado cinco tipos de ataques. Uno de ellos, que es fácil de llevar a cabo, involucra ataques de repetición. En estos ataques, el pirata informático captura una transmisión válida y la reproduce con fines maliciosos. Más información en https://www.securityweek.com/. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 88 Noticias Seguridad en Comunidad Movistar Empresas
Si recibes un correo con tu contraseña en el asunto… Una nueva forma de extorsión empezó a circular en los últimos meses a través de los correos electrónicos. Se trata de un mensaje que en el "Asunto" del mismo señala que conoce alguna de las contraseñas de las cuentas de usuarios del destinatario, que en su mayoría, asustados, abrieron el correo y se encontraron con un mensaje. Fuente: https://www.welivesecurity.com/la-es/ Estados Unidos inculpa a norcoreano detrás de WannaCry y el hackeo a Sony El Departamento de Justicia de los Estados Unidos ha anunciado este jueves los cargos y las sanciones contra el pirata informático norcoreano detrás de la creación de WannaCry, el ataque de ransomware más dañino de la historia y que tuvo alcances globales en el 2017, el robo de 81 millones al Banco Central de Bangladesh en el 2016 y el hackeo a Sony Pictures en el 2014, entre otros numerosos ataques o intrusiones en las industrias del entretenimiento, los servicios financieros, la defensa, la tecnología y las divisas virtuales, la academia y los servicios eléctricos. Park Jin Hyok es inculpado de conspirar para cometer fraude electrónico e informático. Se trata de Park Jin Hyok, quien forma parte del grupo de hackers conocido como Lazarus, que ha sido vinculado con el Gobierno de Corea del Norte. Fuente: https://hipertextual.com/ Veeam expuso una base de datos con millones de correos Veeam, la compañía de respaldo y recuperación de datos, que se promociona como un gigante que entre otras cosas "puede anticiparse a las necesidades, satisfacer la demanda, y moverse de manera segura a través de múltiples infraestructuras de nubes", se cree que extravió su propia base de datos de registros de clientes. Después de que TechCrunch informara a la compañía de la exposición, el servidor se desconectó durante tres horas. El investigador de seguridad Bob Diachenko encontró una base de datos expuesta que contiene más de 200 GB de registros de clientes, en su mayoría nombres, direcciones de correo electrónico y, en algunos casos, direcciones IP. Puede que no parezca mucho, pero esos datos serían una mina de oro para los spammers y delincuentes que realizan ataques de phishing. Diachenko, dijo en su blog que la base de datos no tenía contraseñas y que nadie podía acceder a ella para saber dónde buscarla. La base de datos de 200 GB incluía dos colecciones que tenían 199,1 y 244,4 millones de direcciones de correo electrónico y registros respectivamente durante un período de cuatro años entre 2013 y 2017. Sin descargar en todo el conjunto de datos, no se sabe cuántos registros están duplicados.Fuente: ttps://techcrunch.com/ Cold Boot, el método que permite sustraer información de discos cifrados Una investigación de la firma de seguridad informática F-Secure ha revelado que una gran parte de los ordenadores modernos tienen un error que permite a los hackers robar claves de cifrado, entre otros datos confidenciales. En su informe, F-Secure asegura que logró revivir un ataque llamado Cold Boot, que apareció por primera vez hace una década y que implica el robo de datos de usuarios mientras se ejecuta el proceso de reinicio del ordenador. En este sentido, los expertos advierten que la mayoría de los ordenadores modernos y actuales son vulnerables a este fallo. Cold Boot Attack es un exploit conocido por los hackers desde el año 2008, y su activación consiste en reiniciar un ordenador sin aplicar un adecuado proceso de apagado del equipo, y posteriormente ejecutar un análisis de los datos residuales que están alojados en la RAM del ordenador. A pesar de que casi todas las portátiles de la actualidad fueron diseñadas para realizar el proceso de sobreescritura de estos datos de manera predeterminada, F-Secure afirma que ha logrado deshabilitar dicha función. Fuente: https://www.tekcrispy.com/ Tus metadatos hablan de ti más de lo que imaginas "Nos espían, nos escuchan...", como usuarios que utilizamos Internet a diario cada vez somos más conscientes del rastro que dejamos cuando navegamos y como nuestros movimientos generan información muy relevante para trazar un perfil impersonal de nuestros gustos y necesidades. Nuestras horas de conexión, búsquedas, número de perfiles en redes sociales, número de seguidores, retuits y un sinfín de parámetros más, son utilizados para encasillarnos en grupos y bases de datos que posteriormente tendrán (en muchos de sus casos), un uso comercial. Esta información, se obtiene de diferentes fuentes de las que el usuario medio no suele ser plenamente consciente, y los metadatos es una de las más utilizadas. En este blog, ya hemos analizado anteriormente su importancia y como su uso sin control puede constituir un riesgo para la seguridad de una organización. Al fin y al cabo, son datos que se asocian de forma automática a casi cualquier tipo de documento y que, sin el control y tratamiento adecuado, pueden acabar derivando en incidentes de seguridad cuando salen de su ámbito interno y afectar por igual a usuarios y organizaciones públicas y privadas. Fuente: https://blog.elevenpaths.com/ El sistema de acceso y arranque sin llave de Tesla y McLaren, hackeado Hallan un fallo de seguridad los sistemas de acceso y arranque sin llave de ambas marcas. McLaren enviará a sus clientes una bolsa de bloqueo de señal para la llave de los vehículos. Tesla ya ha lanzado una actualización para añadir una clave extra y reforzar la seguridad. En un mundo cada vez más informatizado, cada vez más elementos de nuestra vida cotidiana son susceptibles de ser hackeados. El vehículo no es una excepción y por ello los fabricantes cada vez invierten más en seguridad cibernética e incluso contratan hackers para de alguna forma tejer una red que proteja a sus coches. Sin embargo, no siempre funciona y así ha quedado patente gracias a un equipo de investigadores que han puesto en entredicho el sistema de acceso y arranque sin llave de Tesla y McLaren. Un equipo de investigadores de la Universidad de Lovaina, Bélgica, han desarrollado dentro de su programa de trabajo un pequeño aparato capaz de desencriptar los códigos que dan vida al sistema de acceso y arranque sin llave de los vehículos de Tesla y McLaren, clonando sus 'llaves' y consiguiendo así poder abrir casi todos varios modelos de ambas marcas. Aunque no han difundido detalles de su investigación, este equipo de expertos en seguridad informática y criptografía industrial han publicado un vídeo demostrando la teórica vulnerabilidad de estos sistemas. Fuente: https://soymotor.com Vulnerabilidades en VPNs permiten ejecución de código Un grupo de investigadores de Cisco Talos ha encontrado vulnerabilidades en algunas de las VPN más populares del mercado. Se trata de ProtonVPN y de NordVPN. Estos fallos podrían permitir la ejecución de código de forma arbitraria por parte de atacantes. Estos fallos de seguridad fueron nombrados como CVE-2018-3952 (NordVPN) y CVE-2018-4010 (ProntonVPN). Hay que mencionar que estas vulnerabilidades no son recientes y las compañías ya lanzaron parches de seguridad para mitigar el problema. Sin embargo los investigadores ahora indican que esos parches no lograron corregir por completo las vulnerabilidades. Es posible ejecutar código como administrador en el sistema, según informan. La vulnerabilidad es causada por problemas de diseño similares en ambos clientes. La interfaz para NordVPN y ProtonVPN ejecuta binarios con el permiso de un usuario conectado. Esto incluye la selección de una opción de configuración de VPN, como la ubicación de un servidor VPN elegido. Cuando le damos a conectar, esa información se envía a un servidor a través de un archivo de configuración de OpenVPN. Pero los investigadores pudieron crear un archivo OpenVPN elaborado que podría enviarse al servicio, cargarse y ejecutarse. La vulnerabilidad permite que un atacante pueda controlar la línea de comando OpenVPN. El contenido malicioso del archivo OpenVPN puede provocar la alteración del servicio VPN, la divulgación de información y el secuestro a través de comandos arbitrarios. Fuente: https://www.zdnet.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!
