Boletín nº 89 Noticias Seguridad en Comunidad Movistar Empresas
Vulnerabilidad en todos los routers WiFi permite robar y falsificar contenido WPA2 fue hackeado el año pasado, y en el mes de agosto fue descubierta una nueva vulnerabilidad en el protocolo que se basaba en el método anterior, y lo hacía bastante más fácil. Cuando parecía que esas dos iban a ser las únicas vulnerabilidades del WiFi y que iban a ser solucionadas con WPA3, han descubierto una nueva vulnerabilidad presente en todos los routers WiFi. Esta vulnerabilidad presente en el protocolo TCP permite a un atacante realizar un envenenamiento de cache para robar contraseñas o cualquier otro dato privado. Y desgraciadamente, el fallo no se puede arreglar. Al afectar al TCP, están afectados todos los routers que usen TCP y Wi-Fi. El protocolo TCP divide los datos en partes más pequeñas y fáciles de transportar, llamados segmentos. Estos segmentos empiezan con números aleatorios, pero los siguientes pueden ser adivinables por un atacante, lo cual puede hacer que intercepten comunicaciones entre el dispositivo emisor y el receptor. Por ejemplo, si haces click en una foto para verla, tu PC está solicitando al servidor o PC remoto que te envíe la información de esa foto. El PC remoto la "divide" en segmentos numerados y la envía por la vía más rápida. El receptor los asigna en el orden correcto para mostrarte la imagen en pantalla. Aunque hay 4.000 millones de secuencias, un atacante puede adivinar qué rango de números generan una respuesta en el receptor, y enviar contenido malicioso sustituyendo el tráfico original sin que el receptor se entere. Cuando se vuelven a ensamblar los datos de los segmentos, estarás viendo lo que el atacante quiere que veas. En estos vídeos se muestra cómo funciona. Actualmente no existe solución a esta vulnerabilidad. Esto no se puede hacer con HTTPS, ya que el tráfico va cifrado. Sin embargo, si va en texto plano, el atacante puede hacer lo que quiera. Por ejemplo, el atacante puede crear un Javascript que cree una conexión TCP a la web de un banco, para lo cual es necesario que la persona esté en esa web durante un minuto para adivinar la secuencia de segmentos. Fuente: https://news.ucr.edu/ NSS Labs demanda a desarrolladores de antivirus La empresa asegura que los desarrolladores conspiran para eludir pruebas de rendimiento. NSS Labs ha encendido la polémica en el siempre problemático y oscuro mundo de las pruebas de productos de seguridad, como antivirus, pues la empresa ha decidido demandar a varios proveedores de estos servicios y a una organización de estándares de la industria, informan especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética. La demanda fue presentada ante la corte de California en el transcurso de esta semana. En la demanda contra CrowdStrike, Symantec, ESET y la Anti-Malware Testing Organization (AMTSO), NSS Labs acusa una conspiración fraguada por estas organizaciones para cubrir las serias deficiencias en las herramientas de seguridad que desarrollan. NSS Lab acusa a dichas organizaciones de forjar un pacto para boicotear colectivamente a NSS, un laboratorio de pruebas independiente, pues si todos los fabricantes se niegan a ser analizados, no hay mucho que los laboratorios independientes puedan hacer. “Estas empresas saben de los errores en sus códigos y no actúan al respecto, además conspiran activamente para evitar que análisis de expertos en hacking ético independientes revelen las deficiencias de sus productos”, afirma un comunicado de NSS Labs. Fuente: http://noticiasseguridad.com/ Spyware Pegasus utilizado para espionaje en 45 países Egasus es un spyware desarrollado por la empresa israelí NSO Group que va contra Android e iOS, y que, según denunció en su momento Amnistía Internacional, está siendo utilizado por diversos países contra activistas en favor de los Derechos Humanos, entre los que se encuentran México, Kazajistán y Arabia Saudí. En una declaración dirigida a Amnistía Internacional, NSO Group ha afirmado que su producto "está concebido para ser utilizado exclusivamente para la investigación y prevención de la delincuencia y el terrorismo" y que cualquier otro uso infringe sus políticas y contratos. Pegasus fue un malware que generó fuertes críticas debido a los fines tremendamente maliciosos para los que fue concebido, pero esto no parece haber detenido su expansión, ya que según el laboratorio de investigación de origen canadiense Citizen Lab, al menos 10 operadores del spyware "parecen estar activamente involucrados en la vigilancia transfronteriza", apuntando a posibles realidades geopolíticas alrededor del espionaje estatal, operando en la actualidad en 45 países distintos. Citizen Lab cuenta que NSO Group no está en todos los países mencionados en el informe, sino que son las fuerzas del orden de los países las que están comprando y utilizando el spyware creado por la empresa israelí para llevar a cabo investigaciones y prevenir el crimen y el terrorismo a través de las agencias de inteligencia. La preocupación en torno a las herramientas de NSO Group y su vinculación (aunque sean solo negocios) con los programas de vigilancia de los países aumentó en agosto de 2016, cuando el activista en favor de los Derechos Humanos Ahmed Mansoor, de Emiratos Árabes Unidos, descubrió un spyware que quería atacar su iPhone tras recibir un presunto enlace de sobre torturas que en realidad llevaban a Pegasus, el cual explotaba tres vulnerabilidades en iOS que luego fueron parcheadas por Apple. Fuente: https://www.cyberscoop.com/ 34 apps móviles para gestionar SCADA tienen 147 vulnerabilidades Investigadores de IOActive y Embedi han realizado un análisis de un grupo de aplicaciones móviles que se utilizan para gestionar sistemas SCADA, y han detectado vulnerabilidades en la mayoría de ellas. "Hace dos años evaluamos 20 aplicaciones móviles que funcionaban con software y hardware de ICS. En ese momento, las tecnologías móviles estaban muy extendidas, pero la manía por el Internet of Things (IoT) estaba en sus inicios. Nuestra investigación concluyó que la combinación de sistemas SCADA y aplicaciones móviles tenía el potencial de ser un cóctel muy peligroso y vulnerable". Así arranca un documento publicado por los investigadores Alexander Bolshev, Security Consultant de IOActive y Ivan Yushkevich, Information Security Auditor de Embedi. Dos años después la situación, lejos de mejorar, parece haber empeorado. Dos años después una nueva investigación ha detectado 147 vulnerabilidades en 34 aplicaciones móviles utilizadas con sistemas SCADA (Supervisory Control and Data Acquisition). Vulnerabilidades que podrían permitirle a un atacante comprometer la infraestructura de red industrial al permitirle la interrupción de un proceso industrial, o hacer que un operador SCADA realice involuntariamente una acción dañina en el sistema. Los expertos, por cierto, han seleccionado las aplicaciones de manera aleatoria en Google Play, y en muchos de los casos, no son las mismas que se analizaron en 2015. El objetivo de la investigación, aseguran, es "comprender cómo ha evolucionado el panorama y evaluar la postura de seguridad de los sistemas SCADA y las aplicaciones móviles en esta nueva era del IoT". Explican en su documento que las aplicaciones locales están instaladas en las tabletas que utilizan los ingenieros y se conectan directamente a los dispositivos industriales a través de Bluetooth, WiFi o una conexión en serie. Estos programas se pueden usar para controlar dispositivos como PLC, RTU y pasarelas industriales, y por lo general solo se usan dentro del perímetro de la planta, un espacio que se considera seguro. Pero las aplicaciones remotas permiten conectarse a través de Internet y redes privadas, y aunque en la mayoría de los casos sólo están diseñadas para monitorizar procesos, algunas permiten un mayor control. Algo peligroso cuando existen vulnerabilidad de seguridad. Fuente: https://www.itdigitalsecurity.es/ Vulnerabilidad afecta video surveillance manager de cisco La empresa ha corregido una vulnerabilidad crítica en Cisco Video Surveillance Manager que podría ser explotada para obtener acceso raíz. Reportes de especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética afirman que Cisco ha solucionado una vulnerabilidad crítica en el software de Cisco Video Surveillance Manager que se ejecuta en algunas plataformas del Sistema de Computación Unificada de Seguridad y Protección (UCS). Esta falla podría dar a un atacante remoto no autenticado la capacidad de ejecutar comandos arbitrarios como raíz en sistemas específicos. El software que se ejecuta en ciertos sistemas incluye credenciales predeterminadas y estáticas para la cuenta raíz que podrían permitir a los atacantes obtener el acceso mencionado. Las credenciales para la cuenta no están documentadas. Fuente: http://noticiasseguridad.com/ Vulnerabilidad día cero permite acceso a cámaras de circuito cerrado Firmware utilizado en hasta 800 mil cámaras es vulnerable a ataques gracias a una vulnerabilidad de desbordamiento de búfer. Entre 180 mil y 800 mil cámaras de televisión de circuito cerrado basadas en IP (CCTV) son vulnerables a un bug de día cero que permitiría a los atacantes acceder a las cámaras de vigilancia, espiar y manipular transmisiones de video o instalar malware, reportan especialistas en hacking ético. De acuerdo con un reporte de seguridad emitido el lunes, la vulnerabilidad ha sido calificada como crítica y está vinculada al firmware utilizado posiblemente en una de cada 100 cámaras diferentes que ejecutan el software afectado. Se espera que NUUO, la empresa con sede en Taiwán que fabrica el firmware, emita un parche de actualización para el error en las próximas horas. La compañía trabaja con más de 100 socios diferentes, incluidos Sony, Cisco Systems, D-Link y Panasonic. Las vulnerabilidades (CVE-2018-1149–CVE-2018-1150), denominadas Peekaboo por los expertos en hacking ético encargados de la investigación, están vinculadas al software del servidor web de los dispositivos NUUO NVRMini2. Acorde a los investigadores, “Una vez que se explota, Peekaboo les daría acceso a los ciberdelincuentes al sistema de gestión de control, exponiendo las credenciales de todas las cámaras de vigilancia conectadas. Usando el acceso raíz en el dispositivo NVRMini2, los ciberdelincuentes podrían desconectar las transmisiones en vivo y alterar las grabaciones de seguridad”. Fuente: http://noticiasseguridad.com/ Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 62 Noticias Seguridad en Comunidad Movistar Empresas
Criptojacking: el resultado de “la fiebre de Criptomonedas” Strava permite a los usuarios guardar la ruta del ejercicio realizado mediante el GPS. En muchos casos mostrar públicamente los datos puede ser útil para ayudar a encontrar nuevas rutas u organizar competiciones, habiéndose registrado hasta ahora más de mil millones de actividades en el mencionado servicio. La revisión de la compañía de 2017 abrió la puerta a mostrar las rutas que fueron tomadas por los usuarios en todo el mundo. Como consecuencia de esa característica, hace poco un estudiante australiano llamado Nathan Ruser descubrió trayectos realizados con Strava que podrían delatar la ubicación de bases militares estadounidenses y de otros países. Gracias a su procesamiento agregado y colectivo 'no datos individuales de cada usuario' se ha podido interpretar la ubicación secreta y clandestina de los ejércitos en estos territorios sitiados o sumidos en conflictos bélicos. Más información en welivesecurity. Nuevo software malicioso de Android Cryptocurrency-Mining Los investigadores de Kaspersky detectaron aplicaciones falsas de antivirus y pornografía de Android infectadas con malware que minan la criptomoneda Monero, lanzan ataques DDoS y realizan varias otras tareas maliciosas, lo que hace que la batería del teléfono se salga de su cobertura. Ahora, los investigadores de seguridad de la empresa china de seguridad informática Qihoo 360 Netlab descubrieron una nueva herramienta de malware Android, denominado ADB.Miner, que escanea una amplia gama de direcciones IP para encontrar dispositivos vulnerables e infectarlos con la criptomoneda digital. Según los investigadores, ADB.Miner es el primer gusano de Android que reutiliza el código de escaneo programado en Mirai, el infame malware IoT botnet que dejó sin conexión a las principales compañías de Internet el año pasado al lanzar ataques masivos de DDoS. Dyndns.es una herramienta rápida y fácil de usar para: analizar en busca de codigo malicioso, realizar ingeniería inversa y extraer imágenes de firmware. Más información en The Hacker News. Cyber Espionage Group apunta a países asiáticos con malware de minería Bitcoin Los investigadores de seguridad descubrieron un malware creado por encargo que está causando estragos en Asia durante los últimos meses y es capaz de realizar tareas desagradables, como robar contraseñas, minería de bitcoin y proporcionar a los hackers acceso remoto completo a sistemas comprometidos. Denominada Operación PZChao, la campaña de ataque descubierta por los investigadores de seguridad en Bitdefender se ha centrado en organizaciones del gobierno, la tecnología, la educación y las telecomunicaciones en Asia y los Estados Unidos. Los investigadores creen que la naturaleza, la infraestructura y las cargas útiles, incluidas las variantes del troyano Gh0stRAT, utilizadas en los ataques de PZChao, recuerdan al famoso grupo de piratas informáticos chinos, Iron Tiger. Más información en The Hacker News. Credenciales del fortune 500 Alrededor del 10 por ciento de las credenciales de correo electrónico de todos los empleados en las compañías Fortune 500 se han filtrado en la deep web, según un nuevo estudio del Instituto Internacional de Seguridad Cibernética. El reporte de VeriCloud incluye, información de un periodo de 3 años, que analizó a 27 millones de empleados de Fortune 500 y encontró aproximadamente 2,7 millones de credenciales entre los ocho mil millones de credenciales robadas que se encuentran en la Deep Web. Si eso no es lo suficientemente malo, VeriCloud encontró que la información robada fue encontrada en múltiples sitios, eso incremento la posibilidad de que los agentes malintencionados los compraran y los utilizaran. La buena noticia es que el número representa un descenso del 7,5 por ciento con respecto a 2016. Más información en este artículo. El ransomware shurl0ckr apunta a aplicaciones en la nube, evade la detección por antivirus Una nueva variedad de Godjue ransomware, apodado ShurL0ckr, elude la protección contra malware incorporada a las plataformas en la nube, como, Google Drive y Microsoft Office 365, según descubrieron investigadores de seguridad informática. De acuerdo con el Instituto Internacional de Seguridad Cibernética, en las pruebas realizadas, el malware fue detectado en solo el siete por ciento de los motores AV. ShurL0ckr, es un ransomware que opera de la misma manera que el Satan ransomware, con hackers pagando un porcentaje al autor del ransomware después de una carga útil que encripta archivos en el disco, los genera y distribuye. Explicaron expertos en seguridad informática. Más información en esta noticia. Encuentran malware que se oculta como tráfico DNS para afectar a los sistemas PoS Se ha encontrado una nueva variedad de malware de punto de venta conocida como PoS, por sus siglas en ingles, expertos del Instituto Internacional de Seguridad Cibernética, comentaron que este malware se disfraza como un paquete de servicio de LogMeIn para ocultar el robo de datos de clientes. La semana pasada, los investigadores en seguridad informática, Robert Neumann y Luke Somerville dijeron en una publicación que una nueva familia de malware, denominada UDPoS, intenta disfrazarse como servicios legítimos para evitar la detección al transferir datos robados. El malware PoS acecha en los sistemas de seguridad informática donde la información de la tarjeta de crédito se procesa y se almacena potencialmente, como en tiendas y restaurantes. Si un sistema de punto de venta está infectado, malware como DEXTER o BlackPOS robará los datos de la tarjeta contenidos en la banda magnética de la tarjeta de crédito, antes de enviar esta información a su operador a través de un servidor de comando y control (C & C).Más información en este artículo. Las autoridades cierran el troyano de acceso remoto luminosity Conocido como LuminosityLink, se trataba de un software de hacking muy utilizado y bastante popular. Sin embargo, las autoridades han asestado un golpe letal a esta aplicación y su infraestructura. Después de una operación a gran escala, los propietarios del RAT Luminosity se han quedado sin acceso a la herramienta. Un problema menos para los usuarios. En la operación han participado agencias de seguridad de diferentes países. Entre sus funciones más importantes, destacar la posibilidad de desactivar las herramientas de seguridad en funcionamiento en el equipo infectado, recopilar toda la actividad del usuario y la posibilidad de interactuar con el hardware del equipo. Más información en RedesZone. Descubierto grave fallo de seguridad en routers Sercomm H500-S de Vodafone y Ono Acabamos de descubrir que los router Serconmm H500-S, que actualmente esta montando Vodafone y Ono, tienen un gran fallo de seguridad que deja expuestos a sus usuarios y los recursos de su red. Este router es suministrado por vodafone en España desde enero de 2017. El fallo de seguridad ha sido verificado en los modelos con el último firmware disponible (v3.4.04), estando presente en todos los modelos que se ha estudiado. El fallo se hace presente con la simple activación de la programación de la interface WIFI para que este activa a unas horas determinadas desde el propio panel de control del router, con lo que es muy factible que muchos usuarios tengan sus redes expuestas, sin saberlo y solo por utilizar esta característica del router. Si configuramos unas reglas de activación (solo de activación en la desactivacion no se produce el fallo de seguirdad) de la red wifi del router, este creara automáticamente una nueva red wifi emitiendo en el mismo canal que nuestra red de la banda de 5Ghz, con SSID "Quantena" y MAC idéntica salvo el primer par. Esta nueva red wifi esta completamente desprotegida, sin cifrado, ni clave de acceso y no es configurable desde el panel de control de router, ya que se activa por un error del firmware en la gestión del chip 5Ghz y simplemente no debería existir. La red Fantasma creada por el router, es 100% funcional y conectándonos a ella (sin ningún tipo de contraseña de acceso) tendremos acceso a todos los recursos compartidos de la red, con lo que un usuario que tenga activado la programación de su red wifi, estará totalmente expuesto, por mucho que tenga una clave de acceso robusta en su red de 2,4Ghz y 5Ghz y desactivado el protocolo de autentificación WPS. Mientras tanto asegúrate de que no tienes activada esta función en el router. Puedes hacerlo entrando en tu panel de control a través de la dirección 192.168.0.1, te diriges al apartado wifi y luego programación, 'DESACTIVA ESTA OPCIÓN'. Si cuentas con un dispositivo con wifi 5Ghz, un móvil, o tablet haz una búsqueda de redes y si aparece una con el nombre Quantenna, sabrás que o tu o algún vecino estáis expuesto a este fallo de seguridad. Más información en Seguridad Wireless. Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
