Categoría : Noticias de Seguridad

Inicio/Archivo por Categoría Noticias de Seguridad (Page 4)

Vulnerabilidades críticas en Samba

Se han descubierto una serie de vulnerabilidades críticas en el popular servicio Samba que la mayoría de sistemas operativos basados en Linux utilizan. Estas vulnerabilidades ya han sido corregidas por los desarrolladores del servicio, por lo que es crucial que los administradores de sistemas actualicen todos los equipos para no ser vulnerables a este tipo de ataques.

¿Qué fallos de seguridad se han detectado?

Algunos de los fallos de seguridad que se han detectado permitirían realizar una denegación de servicio. El primer fallo de seguridad afecta a los clientes Samba, y es que podría causar que el servidor LDAP no respondiera, impidiendo dar servicio al resto de la red cuando se realice cualquier otra petición, el identificador de esta vulnerabilidad es la CVE-2015-3223.

Otro fallo relacionado con el cliente Samba y LDAP permitiría que un cliente envíe paquetes de tal forma que el servidor LDAP consumiera memoria ilimitada y por tanto, provocar la parada completa del servicio, el identificador de este fallo de seguridad es el CVE-2015-7540.

La tercera denegación de servicio se podría dar en las versiones desplegadas en Active Directory en el mismo dominio que Windows DC, de esta manera se podría anular la protección contra una vulnerabilidad solucionada anteriormente (CVE-2015-2535), este fallo de seguridad que permite explotar la otra vulnerabilidad tiene como identificador CVE-2015-8467.

Active_Directory_Windows_Server_main

Otro fallo de seguridad relacionado con el cliente Samba es que podrían enviar paquetes de modo que el servidor LDAP devuelva memoria asignada del heap más allá de lo solicitado, por lo que podríamos ver datos a los que no deberíamos tener acceso. Este fallo de seguridad tiene como identificador CVE-2015-5330.

Otros fallos de seguridad que se han encontrado es por ejemplo en la verificación de los enlaces simbólicos a ficheros o directorios, si se comparte un directorio que comparte prefijo de ruta con otro, el servicio de Samba podría permitir al cliente seguir el enlace simbólico a un fichero o directorio en ese segundo directorio, incluso si el parámetro de Samba “wide link” no está activado. El identificador de esta vulnerabilidad es el CVE-2015-5252.

Los últimos dos fallos de seguridad que se han encontrado en Samba es que por ejemplo en un ataque MITM se podría degradar la conexión y conectarse al atacante usando las credenciales de la víctima en la conexión que no va firmada ni cifrada, asimismo también hay un fallo en la verificación de acceso en el módulo vfs_shadow_copy2. Los identificadores de estos dos fallos son el CVE-2015-5296 y CVE-2015-5299 respectivamente.

Versiones de Samba afectadas por estos fallos

Hay algunas versiones de Samba que no están afectadas por algunos de estos fallos que os hemos comentado anteriormente, aunque la mayoría de ellos sí afectan a las versiones desde la 4.0.0 hasta la 4.3.2 inclusive. A continuación os dejamos las versiones afectadas:

  • CVE-2015-3223: desde 4.0.0 a 4.3.2
  • CVE-2015-5252: desde 3.0.0 a 4.3.2
  • CVE-2015-5296: desde 3.2.0 a 4.3.2
  • CVE-2015-5299: desde 3.2.0 a 4.3.2
  • CVE-2015-5330: desde 4.0.0 a 4.3.2
  • CVE-2015-7540: desde 4.0.0 a 4.1.21
  • CVE-2015-8467: desde 4.0.0 a 4.3.2

Las nuevas versiones de Samba ya están disponibles

Samba ha publicado las nuevas versiones 4.3.3, 4.2.7 y también 4.1.22 que corrigen estos fallos de seguridad críticos, dependiendo de la versión que tengamos instalada podremos actualizar a una versión u otra.

Recomendamos visitar el sitio web oficial de Samba donde encontraréis el aviso de seguridad con un enlace a todos los parches para nuestras versiones.

Fuente: redes zone

Actualización de Seguridad para Apple iTunes

Apple ha publicado la nueva versión de iTunes 12.3.2, destinada a corregir 12 vulnerabilidades que un atacante remoto podría aprovechar para ejecutar código arbitrario o descubrir el historial de navegación del usuario.

iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.

Todos los problemas corregidos están relacionados con WebKit, el motor de navegador de código abierto, que también forma la base de Safari. Once de los problemas podrían permitir la ejecución de código al visitar una página web específicamente creada (CVE-2015-7048 y CVE-2015-7095 al CVE-2015-7104.)

Por otra parte, una última vulnerabilidad podría revelar el historial de navegación del usuario al visitar una página web específicamente construida (CVE-2015-7050).

Apple ha publicado la versión 12.3.2 de iTunes que corrige estos problemas, disponible desde:

https://www.apple.com/itunes/download/

Más información:

About the security content of iTunes 12.3.2

https://support.apple.com/en-us/HT205636

Fuente: Hispasec

Diversas vulnerabilidades en IBM WebSphere Portal

Se han anunciado cuatro vulnerabilidades en IBM WebSphere Portal que podrían permitir a un atacante remoto construir ataques de cross-site scripting o de denegación de servicio en los sistemas afectados.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de “mashup” empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

Tres de las vulnerabilidades, con CVE-2015-4993, CVE-2015-4998 y CVE-2015-7413, residen en un error de validación de entradas. De forma que podrían permitir a un atacante remoto crear URLs, que al ser cargadas por el usuario permitan la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Por otra parte, con CVE-2015-5001, también por una insuficiente validación de entradas se confirma una vulnerabilidad de denegación de servicio. Mediante el envío de un documento específicamente creado un atacante podría conseguir el consumo de todos los recursos de memoria.

Se ven afectadas las versiones de WebSphere Portal 8.5, 8.0, 7 y 6. IBM ha publicado diferentes correcciones para evitar estos problemas. Dada la diversidad de versiones afectadas y parches se recomienda consultar el aviso

http://www-304.ibm.com/support/docview.wss?uid=swg21970176

Más información:

Security Bulletin: Fix Available for Security Vulnerabilities in IBM WebSphere Portal (CVE-2015-4993, CVE-2015-4998, CVE-2015-5001, CVE-2015-7413)

http://www-304.ibm.com/support/docview.wss?uid=swg21970176

Fuente: Hispasec

Detalles de Carta de Seguridad Nacional del FBI

Mientras  los documentos de Snowden han desmitificado las habilidades de la comunidad hackers de inteligencia, pocos detalles se conocen sobre las Cartas de Seguridad Nacional, el más poderoso instrumento de aplicación de la ley para obligar a las telecomunicaciones y los proveedores de servicios de Internet a entregar un amplio alcance de los datos de los usuario, y que lleva consigo una orden mordaza.

Ayer, todo eso cambió cuando Nicholas Merrill, propietario de la ahora extinta ISP Cáliz, estaba legalmente autorizado a revelar públicamente un archivo adjunto de NSL que recibió en 2004 buscando información sobre uno de sus clientes.

En agosto, el Juez de Distrito de Estados Unidos Victor Marrero falló a favor de Merrill, debido a que el FBI no había demostrado que la divulgación de los datos adjuntos NSA sería un  “riesgo de un daño considerado”. Merrill dio al gobierno tres meses para apelar antes de revelarlo.

“El FBI ha interpretado su autoridad NSL para contener los sitios web que leemos, las búsquedas en la web que realizamos, las personas que contactamos, y los lugares a los que vamos. Este tipo de datos revela los detalles más íntimos de nuestras vidas, incluyendo nuestras actividades políticas, afiliaciones religiosas, las relaciones privadas, e incluso nuestros pensamientos privados y creencias “, dijo Merrill en un comunicado difundido por sus abogados en la Escuela de Derecho de Yale.

El archivo adjunto sin editar contiene una larga lista de información que el FBI considera que bajo el “paraguas” de un término jurídico indeterminado “Registro de comunicación electrónica transaccional” En el caso específico de Merrill, el FBI no sólo solicitó información detallada personal, sino también el historial del navegador, dirección  IP del conectado , direcciones de correo electrónico, nombres de usuario y alias en línea asociadas a la cuenta, además de seis meses del valor de las compras en línea. El FBI también buscó un registro radio, que incluye seguimiento de información  por torres base.

NSL que están escritas y ejecutadas sin orden judicial, en los casos que afectan a la seguridad nacional, se han debatido prominentemente desde que se iniciaron las revelaciones de Snowden en junio de 2013. Las empresas de tecnología han argumentado y presentado una demanda en algunos casos, que NSL violan la Primera y Cuarta Enmienda derechos. Empresas como Twitter, Google y otros gigantes dicen que el secreto de sumario NSL mantiene las empresas de tecnología de revelar el alcance de su cooperación con el gobierno y abre la puerta a la especulación de que la NSA, FBI y otras fuerzas del orden podrían tener acceso directo a los datos del cliente.

“El amplio alcance de la autoridad NSL reclamado por el FBI es profundamente problemático porque el gobierno puede emitir NSL sin ninguna supervisión judicial”, dijo Lulu Pantin, un pasante estudiante de derecho que representó a Merrill. “La experiencia de Merrill demuestra que el FBI silencia indefinidamente Proveedores de Servicios de Internet, mientras que los obliga a des-anonimizar sus usuarios y difundir una amplia gama de información acerca de la actividad en línea de ciudadanos respetuosos de la ley o simplemente mediante la emisión de una carta”.

El FBI comenzó a emitir NSL en 2001, poco después del 11 de septiembre los ataques terroristas en los EE.UU. en virtud de los poderes ampliados que ofrece la Ley Patriota. Con la aprobación de la Ley LIBERTAD EE.UU., los poderes que ofrece la aplicación de ley por una Ley de Seguridad Nacional se han refrenado, dijo Andrew Crocker, el abogado personal de la Electronic Frontier Foundation.

“Por un lado, se trata de un negocio muy grande. Este es el primer archivo adjunto NSL que ha sido desprecintado y el FBI emitió 300.000 desde 2001. Eso es un montón que se publicará sin siquiera mostrar simpatía “, dijo Crocker. “Tenemos la oportunidad de ver el alcance de lo que el FBI podría conseguir con una Ley de Seguridad Nacional desde el año 2004. Ha sido desde entonces que tiró  las riendas, y el alcance es un poco estrecho. Pero es algo muy importante ver la amplitud de lo que se pensaba que podían obtener en ese entonces”.

El siguiente paso, dijo Crocker, es continuar desafiando las NSL (que permanecen en uso por una suma de aproximadamente de 10.000 emisiones anualmente) con el argumento de que es una violación a la Primera Enmienda.

“Está claro el alcance que tenían era muy amplio”, dijo Crocker, que apunta a la naturaleza abierta de lo que se considera un registro de comunicaciones electrónicas transaccionales, que en el caso de Merrill se utilizó para obtener la ubicación física del  celular y seguir blancos a través de su celular.

Crocker cree que mientras el FBI siga utilizando NSL en las investigaciones, más desafíos saldrán a la superficie, a pesar del número relativamente pequeño desde 2001. La FEP, dijo que  tiene actualmente dos de estos desafíos en la corte.

“La razón más obvia del porque no hemos visto muchos desafíos es que cuando llegue una carta del FBI que dice; danos la información y no se lo digas a nadie, que es un poco intimidante y la gente no se atreve a enfrentarlos. Hay una intimidación inherente”, dijo Crocker. “Además, cuando van a un ISP con una NSL, es posible que no se preocupen por dar información sobre sus clientes; no es su información. Hemos visto una larga historia de cooperación con la vigilancia de la NSA. Algunos pueden pensar que es su deber patriótico a cooperar. Pero hemos visto que el cambio desde Snowden, los clientes se preocupan por la privacidad y las empresas están tomando diferentes posiciones sobre la privacidad, donde es posible que no hayan pensado mucho al respecto con anterioridad”.

“Es un poco decepcionante que ha tomado tanto tiempo para llegar a este punto”, dijo Crocker, quien agregó que los abogados han llegado a acuerdos en el pasado para conseguir otras partes de NSL sin sellar y sin editar. “Han emitido 300.000 NSL desde 2001 y no sólo han pasado un puñado de desafíos. Esto demuestra el desequilibrio de poderes de vigilancia y lo difícil que es estar a la altura”.

Fuente: Threat Post

Hackers rusos roban cantidades millonarias utilizando técnica llamada “Reverse ATM Attack”

Hackers rusos han descubierto una nueva técnica para estafar millones de dólares de los bancos y cajeros automáticos.

Los criminales Rusos utilizaron una técnica llamada Reverse ATM Attack, y robaron 252 millones de rublos (US $ 3,8 millones) de por lo menos cinco bancos diferentes, de acuerdo a la información obtenida por la empresa rusa Grupo-IB.

¿Qué es Reverse ATM Attack,?

De acuerdo con Grupo-IB, el atacante tendría depositar sumas de 5.000, 10.000 y 30.000 rublos en cuentas bancarias legítimas utilizando los cajeros automáticos, e inmediatamente retirar las mismas cantidades con un recibo impreso de la transacción de pago

Los detalles incluidos en el recibo, que contiene un número de referencia de pago y el monto retirado, se transfieren a un compañero en otro país. Este socio utilizaría estos detalles para realizar una “operación inversa” en otro terminal, lo que llevaría a creer que los retiros se cancelaron, de esta manera engañarían a miles de (POS) estadounidenses y checos en el punto de venta, explicó Forbes

Mientras tanto, aparece en el banco como si el intento de retirar dinero en efectivo fuese cancelado, por ejemplo: cuando el cliente no tiene fondos suficientes.

Ahora, los hackers solo tendrían que repetir estos pasos, siempre y cuando el cajero automático dirigido no termine expidiendo efectivo.

El Grupo-IB dijo que la firma había visto al menos cinco incidentes de este tipo en cinco bancos rusos diferentes, la actividad criminal comenzó a partir del verano de 2014 y terminando en el primer trimestre de 2015.

Los hackers aprovecharon las debilidades en las etapas de retiro, traslado y verificación de las transacciones de tarjetas de crédito utilizadas en Rusia y lograron eludir los controles de seguridad recomendados por VISA y MasterCard.

Grupo IB está trabajando con las autoridades federales para investigar más a fondo en todo el esquema de lavado de dinero

 Fuente: The Hacker News

Linkedin corrige persistente vulnerabilidad XSS

Desarrolladores de LinkedIn corrigen una vulnerabilidad persistente de por parte de una Cross-site scripting (inseguridad informática) que estuvo persistente en la red social esta semana, estas podrían haberse aprovechado para difundir un gusano en foros de ayuda del servicio.

Fue una muy una respuesta rápida para la empresa de acuerdo con el investigador, quien dijo LinkedIn corrige el problema apenas tres horas después de que lo reportó.

De acuerdo con Rohit Dua, un investigador de seguridad con sede en la India, el problema existía en un portal en el sitio del Centro de Ayuda de LinkedIn. Para explotar el tema, el usuario habría tenido que iniciar sesión en LinkedIn, ido al Foro de ayuda del sitio y comenzar una discusión. Al participar en unas pocas líneas de código, Dua afirma que un atacante podría haber ejecutado un script (guión).

“Una vez que la problemática es expuesta, junto con la ejecución del script, se puede ver de inmediato en el foro de ayuda, sus debates o en la lista pública de preguntas” escribió Dua en su prueba de concepto, publicado el miércoles.

Si un atacante encontró una manera de explotar la vulnerabilidad, que podría haber sido fácilmente aprovechado para un gusano XSS afirma Dua.

Dua alertó a la compañía del error poco después de las 11 pm del lunes, y de acuerdo a su cronograma de divulgación, LinkedIn implementó una solución poco después de las 2 am del martes.

Al llegar el miércoles un portavoz de LinkedIn corroboró la vulnerabilidad y la solución correspondiente y aseguro a los usuarios que no hay datos comprometidos de ningún miembro.

“Este problema se da a conocer de manera responsable en nuestro centro de ayuda, no en el sitio principal, y ningún dato de nuestros miembros estuvo en riesgo. El investigador estuvo complacido de trabajar con las personas que ayudaron a solucionar el problema de una manera muy oportuna. No ha habido explotación o abuso de este tema en nuestro portal de ayuda. Nos gustaría dar las gracias al investigador por su gran relato y por ayudar a proteger a nuestros miembros “, dijo LinkedIn.

LinkedIn anunció el pasado verano que comenzó su propio programa de recompensas de errores privada, en octubre de 2014. Si bien la iniciativa sigue siendo privada, LinkedIn ha invitado Dua a unirse al programa.

Fuente: Thread Post

Agencia de Aviación Europea advierte sobre posible hacking a los sistemas de aeronaves.

El director de una agencia de aviación Europea advirtió éste jueves que los hackers podrían infiltrarse en los sistemas de un Avión desde tierra.

El Director de Seguridad Aérea Patrick Ky de la Agencia Europea, dijo que se podrían explotar vulnerabilidades en el ACARS (Aircraft Communications Addressing and Reporting System), sistema que se utiliza para transmitir los mensajes entre aviones y las estaciones terrestres.

Ky dijo en una conferencia de prensa que a un experto le llevó cinco minutos acabar con ACARS y un par de días para acceder al sistema de control de aeronaves en tierra.

“Por razones de seguridad, no voy a decirte cómo lo hizo, pero me permitirá juzgar si el riesgo es alto o bajo,” Ky fue citado en un artículo publicado por el francés Les Echos.

Algunos de estos temas fueron expuestos por el investigador de seguridad Teso durante una presentación de 2013 en Hack in the Box. Teso dirigio específicamente su tema contra ACARS y divulgo una serie de vulnerabilidades de los sistemas de a bordo. Teso dijo que encontró relativamente poca seguridad que protege la comunicación entre la aeronave y tierra.

“Punto débil del sistema es que no verifica los paquetes de comunicación en el camino desde el suelo hasta el avión”, dijo Andrey Nikishin, jefe de desarrollo de proyectos de las tecnologías del futuro de Kaspersky Lab. “Debido a esto, es posible suplantar el sistema mediante la inserción de un nuevo paquete en el camino.”

Nikishin dijo que un atacante podría enviar a los pilotos de los mensajes falsos que podrían afectar la toma de decisiones en el aire.

“En teoría, un usuario malintencionado puede influir en la decisión de un piloto para cambiar la ruta, si, a través del flujo de spoofing, envía a el avión un mensaje falso sobre una próxima tormenta”, dijo Nikishin. “El mismo esquema malintencionado podría aplicarse para suplantar el GPS, haciendo que el sistema cree que se encuentra en un lugar diferente de donde lo que realmente es.”

“ACARS utiliza un esquema de codificación / decodificación de propiedad que ha estado en uso desde 1978 – cuando el equipo de la aeronave no fue diseñado con la seguridad cibernética en mente, dijo Nikishin. “Esto hace que sea anticuado, y creemos que los fabricantes de aeronaves deben ya haber comenzado a desarrollar un nuevo sistema, con un nuevo enfoque.”

La revelación de Ky se produce un día antes de la introducción de un nuevo sistema de control del tráfico aéreo europeo llamado Sesar.

“Mañana, con la introducción de Sesar y la posibilidad para el control del tráfico aéreo a través de instrucciones al sistema de control de la aeronave, se multiplicará este riesgo”, dijo Ky. “Tenemos que empezar por poner en marcha una estructura para alertar a las compañías aéreas sobre los ataques cibernéticos.”

Esta no es la primera vez que la seguridad de las aeronaves se ha cuestionado. En mayo del presente año, el investigador Chris Roberts fue retirado de un vuelo de United Airlines después de Twittear acerca de hackeo realizado al vuelo ene l que se encontraba. Roberts fue detenido e interrogado por el FBI, que informó de que Roberts dijo que él había excavado a través de centro de entretenimiento a bordo de la aeronave para llegar a los sistemas críticos y ejecutar comandos para el avión.

Los fabricantes de aeronaves fueron entrevistados; Boeing, por ejemplo, dijo a CNN sus sistemas de entretenimiento y navegación no estaban conectados y que las afirmaciones de Roberts era imposible.

Fuente: ThreatPost