Vulnerabilidad en sistemas de Amadeus expone registros de viajes de millones de personas
Este error podría haber permitido modificar múltiples detalles de viajes. Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que, debido a una vulnerabilidad recientemente descubierta en el sistema de reservaciones Amadeus, un atacante o atacantes pudieron acceder y cambiar las reservas usando sólo un número de reservación. El bug, presente en el sistema de reservas que ostenta el 44% del mercado de reservaciones internacionales, fue descubierto por el experto en seguridad en redes Noam Rotem, que intentó reservar un vuelo en la aerolínea israelí ELAL. Rotem, en colaboración con un grupo de especialistas en seguridad en redes, reportó su hallazgo a través de un blog: “descubrimos que, simplemente cambiando la RULE_SOURCE:1ID, podíamos ver cualquier PNR y acceder al nombre del cliente y los detalles del vuelo asociados”. Los investigadores entonces pudieron iniciar sesión en el portal de clientes de ELAL “y hacer múltiples cambios, canjear millas de viajero frecuente, modificar los lugares asignados en un vuelo y modificar el perfil de los usuarios para cancelar o cambiar una reserva en un vuelo”.
Los expertos explican que la aerolínea ELAL envía los códigos vía email no cifrado, haciendo hincapié en que algunos usuarios descuidados incluso llegan a compartir estos mensajes en redes sociales. “Aunque esta es sólo la punta del iceberg”, afirma el blog. “Después de ejecutar una sencilla secuencia de comandos para comprobar si existían medidas de protección contra fuerza bruta, pudimos encontrar el PNR de miles de clientes al azar, incluyendo información personal”, concluye el blog. Los investigadores desarrollaron un script para solucionar el problema, contactaron a ELAL para notificarles sobre la vulnerabilidad, y emitieron algunas sugerencias a la aerolínea, como la implementación de CAPTCHA, contraseñas y otras medidas de seguridad contra bots. Más información en https://noticiasseguridad.com
Encuentran Malware instalado en teléfonos de Alcatel
La aplicación realizaba transacciones en línea ejecutadas en segundo plano. Un equipo de expertos en seguridad en redes detectó un número sospechosamente alto de intentos de transacciones en línea provenientes de smartphones de la marca Alcatel con sistema operativo Android, por lo que decidieron indagar a profundidad en el tema. Durante la investigación, los expertos descubrieron que una aplicación preinstalada dedicada al pronóstico del clima extrae gran cantidad de datos de los usuarios y es la responsable de tales intentos de transacciones. La APK lleva el nombre de com.tct.weather y fue firmada por TLC Corporation, empresa china de tecnología, fabricante de los dispositivos Alcatel y Blackberry. Acorde a los expertos en seguridad en redes, esta aplicación recopila y transmite a un servidor en China datos como ubicación, dirección email o clave IMEI, además de contar con una serie de permisos demasiado invasivos. La aplicación también se encuentra en Google Play, cuenta con más de 10 millones de descargas y una puntuación de 4/5. De no haber sido bloqueada, la actividad maliciosa de esta app seguramente habría afectado a los usuarios de equipos Alcatel en países como Brasil, Malasia o Nigeria, cargándoles costos por alrededor de 1 millón 500 mil dólares. Los expertos reportan que las transacciones se realizaban en segundo plano, por lo que los usuarios no eran capaces de detectar algún comportamiento anómalo en la app. Más información en https://noticiasseguridad.com
Vulnerabilidades con más de 30 años de antigüedad en SCP
Estas fallas podrían conducir a ejecución de comandos remotos en los sistemas comprometidos. Acorde a expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética, ha sido descubierto un conjunto de vulnerabilidades de 36 años de antigüedad en la implementación del Protocolo de Copia Segura (SCP) de múltiples aplicaciones de clientes; las vulnerabilidades podrían ser explotadas por usuarios maliciosos para sobrescribir archivos de forma arbitraria en el directorio de destino del cliente de SCP sin autorización. El SCP (también conocido como Protocolo de Control de Sesión) es un protocolo de red que permite a los usuarios transferir archivos de forma segura entre un host local y uno remoto mediante el Protocolo de Copia Remota (RCP) y el protocolo SSH. Dicho de otro modo, el protocolo SCP, creado en 1983, es una versión segura de RCP que requiere de la autenticación y el cifrado del protocolo SSH para transferir archivos entre el servidor y el cliente, mencionan expertos en seguridad en redes.
Las vulnerabilidades, descubiertas por el experto en ciberseguridad Harry Sintonen, existen debido a las deficientes validaciones realizadas por los clientes de SCP, que podrían ser explotadas por servidores maliciosos o utilizando alguna variante del ataque Man-in-the-Middle (MiTM) para eliminar o sobrescribir archivos arbitrarios en el sistema de los clientes. “Muchos clientes SCP no verifican si los objetos devueltos por el servidor SCP coinciden con las solicitudes. Este problema se remonta al año 1983 y al protocolo RCP, en el que está basado SCP”, mencionó el experto.
Un servidor controlado por un atacante podría colocar un archivo .bash_aliases en el directorio de inicio de la víctima, engañando al sistema para que ejecute comandos maliciosos tan pronto como el usuario de Linux inicie un nuevo shell. Más información en https://noticiasseguridad.com/.
Dos hackers acusados de piratear el sistema SEC en un esquema de negociación de acciones
Las autoridades estadounidenses han acusado a dos piratas informáticos ucranianos por piratear el sistema de archivo EDGAR de la Comisión de Bolsa y Valores y robar informes confidenciales de empresas antes de su lanzamiento público. EDGAR, o recopilación, análisis y recuperación de datos electrónicos, es un sistema de archivo en línea en el que las empresas envían sus documentos financieros. El sistema procesa alrededor de 1.7 millones de solicitudes electrónicas por año. EDGAR enumera millones de presentaciones sobre revelaciones corporativas, que van desde informes de ganancias anuales y trimestrales hasta información confidencial y confidencial sobre fusiones y adquisiciones, que podría utilizarse para el abuso de información privilegiada o incluso para manipular los mercados de valores de EE. UU.
Los dos piratas informáticos ucranianos, Artem Radchenko y Oleksandr Ieremenko (27 años), piratearon el sistema EDGAR para extraer informes confidenciales no públicos de empresas que cotizan en bolsa y vendieron esa información a diferentes grupos de comerciantes. Más información en https://thehackernews.com/.
Investigadores invitados a hackear un Tesla en Pwn2Own 2019
Los investigadores pueden ganar hasta $300,000 y un automóvil si logran piratear un Tesla Model 3 en la competencia Pwn2Own de este año, anunció el lunes la Zero Day Initiative (ZDI) de Trend Micro.
Pwn2Own 2019, programado para realizarse del 20 al 22 de marzo junto con la conferencia CanSecWest en Vancouver, Canadá, introduce una categoría automotriz para la cual se instalará un Modelo 3 de Tesla.
Los hackers de White Hat pueden ganar entre $ 50,000 y $ 250,000 por demostrar una vulnerabilidad contra un módem o sintonizador de Tesla, componentes de Wi-Fi o Bluetooth, sistema de información, entretenimiento, puerta de enlace, piloto automático, sistema de seguridad y llavero (incluido el teléfono que se usa como una tecla). "Junto con el premio en efectivo, el ganador de la primera ronda en esta categoría ganará un vehículo de tracción trasera de gama media Tesla Modelo 3", dijo ZDI.
Premios a la piratería de Tesla.
En la categoría de navegadores web, los hackers pueden ganar decenas e incluso cientos de miles de dólares por escapes de sandbox, escalaciones de privilegios del kernel de Windows y escapes de VM. Los objetivos son Chrome, Edge, Safari y Firefox.
La categoría empresarial incluye Adobe Reader, Microsoft Office 365 y Microsoft Outlook. Finalmente, el único objetivo de la categoría del lado del servidor es Windows RDP, para el cual los hackers pueden ganar $ 150,000. Más información en https://www.securityweek.com/.
Los viejos protocolos RF exponen las grúas a los ataques remotos de hackers
Un equipo de investigadores de la firma de ciberseguridad con sede en Japón, Trend Micro, analizó los mecanismos de comunicación utilizados por las grúas y otras máquinas industriales y descubrió serias vulnerabilidades que pueden facilitar a los actores malintencionados lanzar ataques remotos. Las grúas, montacargas, taladros y otras máquinas pesadas utilizadas en los sectores de fabricación, construcción, transporte y minería a menudo dependen de los controladores de radiofrecuencia (RF). Estos sistemas incluyen un transmisor que envía comandos a través de ondas de radio y un receptor que interpreta esos comandos. Los investigadores han probado productos de varios proveedores, incluidos Saga, Juuko, Telecrane, Hetronic, Circuit Design, Autec y Elca, y se encontró que todos eran vulnerables. Sus pruebas se han realizado en 14 lugares diferentes del mundo real y también se encontró que todos estaban afectados.
Trend Micro ha notificado a los proveedores afectados las vulnerabilidades y algunas de ellas ya han comenzado a tomar medidas. ICS-CERT ha publicado dos avisos para fallas descubiertas por los investigadores en productos de Telecrane y Hetronic . Obtenga más información sobre las fallas del controlador en la Conferencia sobre seguridad cibernética ICS 2019 de SecurityWeek.
El principal problema encontrado por los expertos es que los proveedores no han protegido las comunicaciones entre el transmisor y el receptor, lo que permite a los atacantes capturar el tráfico y los comandos de suplantación de identidad. Los investigadores han detallado cinco tipos de ataques. Uno de ellos, que es fácil de llevar a cabo, involucra ataques de repetición. En estos ataques, el pirata informático captura una transmisión válida y la reproduce con fines maliciosos. Más información en https://www.securityweek.com/.
Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.
¡Hasta la próxima semana!
