Categoría : Vulnerabilidades

Inicio/Seguridad Informática/Archivo por Categoría Vulnerabilidades (Page 4)

Google publica Chrome 47 y corrige 41 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 47. Se publica la versión 47.0.2526.73 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 41 nuevas vulnerabilidades.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 41 nuevas vulnerabilidades, solo se facilita información de 23 de ellas (una crítica, 13 de gravedad alta, seis de importancia media y las tres restantes bajas). Entre los problemas corregidos cabe señalar que se ha solucionado la vulnerabilidad en el motor v8 de JavaScript anunciada durante el último pwn2own.

Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en v8, Skia y PDFium. También se solucionan vulnerabilidades por uso después de liberar memoria en AppCache, DOM, Infobars y Extensions. Salto de políticas de orígenes cruzados en el core y en DOM. Un desbordamiento de entero en Sfntly, una confusión de tipos en PDFium y falsificación de contenido en Omnibox. Por último otras vulnerabilidades en Android Crazy Linker, en CSP y en las páginas grabadas. Los CVE asignados van del CVE-2015-6764 al CVE-2015-6786.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-6787). Así como múltiples vulnerabilidades en el motor V8 en la rama de 4.7 (actualmente 4.7.80.23).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 105.837 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de “Información sobre Google Chrome” (chrome://chrome/).

Por otra parte, Google ha anunciado que en marzo del año que viene cesará el soporte para las versiones del navegador bajo Linux 32bits (esto no afecta a las versiones 64bits).

To provide the best experience for the most-used Linux versions, we will end support for Google Chrome on 32-bit Linux, Ubuntu Precise (12.04), and Debian 7 (wheezy) in early March, 2016.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2015/12/stable-channel-update.html

Updates to Google Chrome Linux support

https://groups.google.com/a/chromium.org/forum/#!topic/chromium-dev/FoE6sL-p6oU

Fuente: Hispasec

Linkedin corrige persistente vulnerabilidad XSS

Desarrolladores de LinkedIn corrigen una vulnerabilidad persistente de por parte de una Cross-site scripting (inseguridad informática) que estuvo persistente en la red social esta semana, estas podrían haberse aprovechado para difundir un gusano en foros de ayuda del servicio.

Fue una muy una respuesta rápida para la empresa de acuerdo con el investigador, quien dijo LinkedIn corrige el problema apenas tres horas después de que lo reportó.

De acuerdo con Rohit Dua, un investigador de seguridad con sede en la India, el problema existía en un portal en el sitio del Centro de Ayuda de LinkedIn. Para explotar el tema, el usuario habría tenido que iniciar sesión en LinkedIn, ido al Foro de ayuda del sitio y comenzar una discusión. Al participar en unas pocas líneas de código, Dua afirma que un atacante podría haber ejecutado un script (guión).

“Una vez que la problemática es expuesta, junto con la ejecución del script, se puede ver de inmediato en el foro de ayuda, sus debates o en la lista pública de preguntas” escribió Dua en su prueba de concepto, publicado el miércoles.

Si un atacante encontró una manera de explotar la vulnerabilidad, que podría haber sido fácilmente aprovechado para un gusano XSS afirma Dua.

Dua alertó a la compañía del error poco después de las 11 pm del lunes, y de acuerdo a su cronograma de divulgación, LinkedIn implementó una solución poco después de las 2 am del martes.

Al llegar el miércoles un portavoz de LinkedIn corroboró la vulnerabilidad y la solución correspondiente y aseguro a los usuarios que no hay datos comprometidos de ningún miembro.

“Este problema se da a conocer de manera responsable en nuestro centro de ayuda, no en el sitio principal, y ningún dato de nuestros miembros estuvo en riesgo. El investigador estuvo complacido de trabajar con las personas que ayudaron a solucionar el problema de una manera muy oportuna. No ha habido explotación o abuso de este tema en nuestro portal de ayuda. Nos gustaría dar las gracias al investigador por su gran relato y por ayudar a proteger a nuestros miembros “, dijo LinkedIn.

LinkedIn anunció el pasado verano que comenzó su propio programa de recompensas de errores privada, en octubre de 2014. Si bien la iniciativa sigue siendo privada, LinkedIn ha invitado Dua a unirse al programa.

Fuente: Thread Post

Agencia de Aviación Europea advierte sobre posible hacking a los sistemas de aeronaves.

El director de una agencia de aviación Europea advirtió éste jueves que los hackers podrían infiltrarse en los sistemas de un Avión desde tierra.

El Director de Seguridad Aérea Patrick Ky de la Agencia Europea, dijo que se podrían explotar vulnerabilidades en el ACARS (Aircraft Communications Addressing and Reporting System), sistema que se utiliza para transmitir los mensajes entre aviones y las estaciones terrestres.

Ky dijo en una conferencia de prensa que a un experto le llevó cinco minutos acabar con ACARS y un par de días para acceder al sistema de control de aeronaves en tierra.

“Por razones de seguridad, no voy a decirte cómo lo hizo, pero me permitirá juzgar si el riesgo es alto o bajo,” Ky fue citado en un artículo publicado por el francés Les Echos.

Algunos de estos temas fueron expuestos por el investigador de seguridad Teso durante una presentación de 2013 en Hack in the Box. Teso dirigio específicamente su tema contra ACARS y divulgo una serie de vulnerabilidades de los sistemas de a bordo. Teso dijo que encontró relativamente poca seguridad que protege la comunicación entre la aeronave y tierra.

“Punto débil del sistema es que no verifica los paquetes de comunicación en el camino desde el suelo hasta el avión”, dijo Andrey Nikishin, jefe de desarrollo de proyectos de las tecnologías del futuro de Kaspersky Lab. “Debido a esto, es posible suplantar el sistema mediante la inserción de un nuevo paquete en el camino.”

Nikishin dijo que un atacante podría enviar a los pilotos de los mensajes falsos que podrían afectar la toma de decisiones en el aire.

“En teoría, un usuario malintencionado puede influir en la decisión de un piloto para cambiar la ruta, si, a través del flujo de spoofing, envía a el avión un mensaje falso sobre una próxima tormenta”, dijo Nikishin. “El mismo esquema malintencionado podría aplicarse para suplantar el GPS, haciendo que el sistema cree que se encuentra en un lugar diferente de donde lo que realmente es.”

“ACARS utiliza un esquema de codificación / decodificación de propiedad que ha estado en uso desde 1978 – cuando el equipo de la aeronave no fue diseñado con la seguridad cibernética en mente, dijo Nikishin. “Esto hace que sea anticuado, y creemos que los fabricantes de aeronaves deben ya haber comenzado a desarrollar un nuevo sistema, con un nuevo enfoque.”

La revelación de Ky se produce un día antes de la introducción de un nuevo sistema de control del tráfico aéreo europeo llamado Sesar.

“Mañana, con la introducción de Sesar y la posibilidad para el control del tráfico aéreo a través de instrucciones al sistema de control de la aeronave, se multiplicará este riesgo”, dijo Ky. “Tenemos que empezar por poner en marcha una estructura para alertar a las compañías aéreas sobre los ataques cibernéticos.”

Esta no es la primera vez que la seguridad de las aeronaves se ha cuestionado. En mayo del presente año, el investigador Chris Roberts fue retirado de un vuelo de United Airlines después de Twittear acerca de hackeo realizado al vuelo ene l que se encontraba. Roberts fue detenido e interrogado por el FBI, que informó de que Roberts dijo que él había excavado a través de centro de entretenimiento a bordo de la aeronave para llegar a los sistemas críticos y ejecutar comandos para el avión.

Los fabricantes de aeronaves fueron entrevistados; Boeing, por ejemplo, dijo a CNN sus sistemas de entretenimiento y navegación no estaban conectados y que las afirmaciones de Roberts era imposible.

Fuente: ThreatPost

Vulnerabilidades de las centrales nucleares a los ataques informáticos

Cuando se habla de seguridad nuclear enseguida se piensa en medidas por garantizar la seguridad física de las centrales para evitar desastres como el de Fukushima, en 2011, o Chernobyl, en 1986.

Pero hay un aspecto importante que, al parecer, se ha dejado de lado: su vulnerabilidad ante posibles ataques de hackers.

Esa es al menos la opinión de 30 expertos que en algún momento han trabajado en alguna de estas centrales en el mundo y que han mostrado su preocupación en un informe internacional promovido por el Real Instituto de Asuntos Exteriores de Reino Unido.

El informe derriba el “mito omnipresente” que dice que las instalaciones nucleares no están conectadas a internet y que eso las hace inmunes a ciberataques.

Nada más lejos de la realidad, dicen los expertos, quienes alertan que en su investigación (que duró 18 meses) encontraron evidencias de redes virtuales y conexiones a internet dentro de las infraestructuras nucleares.

Y dejan un apunte inquietante: muchas de ellas se encontraban olvidadas, o su existencia era desconocida para los responsables de las plantas.

Además, explican, para sufrir un ciberataque ni siquiera es necesaria la conexión a la red: es suficiente con que alguien introduzca un pendrive con el código maligno, como ocurrió en una central iraní en 2010.

Y una vez desterrado el mito de la inmunidad, los expertos señalan que, de hecho,el riesgo de “un serio ciberataque” de “delincuentes, terroristas o hackers pagados por Estados” está muy “presente”.

Según los investigadores, la actividad criminal cibernética “es cada vez más fácil de llevar a cabo y más extendida” y que con “los motores de búsqueda [de internet] se pueden identificar fácilmente las instalaciones nucleares y otras infraestructuras críticas que están conectadas” a la red.

Sin preparación para afrontar ataques

Los expertos sugieren que las plantas nucleares no están preparadas para dar una respuesta adecuada para estas amenazas.

Un trabajador participa en una simulación de ataque cibernético en una central de Corea del Sur. El personal de las plantas no está preparado para ello, según el informe.
Un trabajador participa en una simulación de ataque cibernético en una central de Corea del Sur. El personal de las plantas no está preparado para ello, según el informe.

Por el lado del aspecto técnico, señalan que muchos de los sistemas de control de las centrales son “inseguros por definición”, ya que no fueron diseñados para afrontar esta serie de amenazas.

Y por otra parte advierten de una acuciante “falta de formación” en el personal y una comunicación ineficiente entre los ingenieros y el personal de seguridad.

“La calidad de la formación en seguridad cibernética es insuficiente”, apuntan. “Faltan simulaciones y el personal tiene un pobre entendimiento de los procedimientos claves”.

En definitiva, el informe duda seriamente de que las centrales nucleares estén preparadas para afrontar “una emergencia de seguridad cibernética a gran escala”.

Perder la guerra de la propaganda

El documento también remarca otro daño colateral que podría tener un ataque a una instalación nuclear, además de las obvias y catastróficas consecuencias: significaría perder la guerra de la propaganda.

En torno a la energía nuclear hay un enconado debate entre defensores de la misma y los detractores.

Hay un enconado debate social sobre la conveniencia o no de la energía nuclear.
                                           Hay un enconado debate social sobre la conveniencia o no de la energía nuclear.

Mientras unos piensan que es una fuente de energía abundante, eficiente y con pocos desechos, los activistas antinucleares creen que es muy peligrosa y potencialmente contaminante, ya que sus residuos radiactivos tardan cientos de años en desintegrarse.

A ese respecto, el informe dice: “Incluso un incidente a pequeña escala en una instalación nuclear tendría probablemente un desproporcionado efecto en la opinión pública y en el futuro de la industria nuclear”.

Numerosos ejemplos

Es ahora cuando los gobiernos comienzan a tomarse en serio este tipo, ya que antes de junio de este año la Agencia Internacional de Energía Atómica (AIEA) no había convocado nunca un gran congreso internacional sobre esta materia.

Los sistemas de protección de las plantas nucleares no fueron concebidos para este tipo de amenaza, alertan los  expertos.
                Los sistemas de protección de las plantas nucleares no fueron concebidos para este tipo de amenaza, alertan los expertos.

Sin embargo, ya se habían registrado ataques cibernéticos considerables, además del comentado en Irán.

El primer incidente de este cariz se registró en la central nuclear de Ignalina, Lituania, en 1992.

Un técnico introdujo un virus en el sistema de control industrial de la central.

No tenía un fin terrorista, pretendía poner el foco en la falta de seguridad ante estos ataques.

Pero eso no le libró de ser detenido, pero consiguió su objetivo.

Si la intención hubiera sido real, “podría haber ocurrido un desastre similar al de Chernobyl”, dijo tiempo después Valentin Sobolev, un alto representante del Consejo Ruso de Seguridad.

Y la central nuclear David-Besse, en Ohio, EE.UU., también fue protagonista de una situación problemática en 2003.

Esta planta estadounidense fue infectada por un virus que infectó la red de la compañía eléctrica que operaba en la planta.

Así, a distancia y durante cuatro horas, fue capaz de controlar los sensores de temperatura, los detectores de radiación y los de refrigeración.

Por fortuna, el reactor no estaba operativo en esos momentos.

Vulnerabilidades y amenazas

Otro caso es el de la planta de Browns Ferry, en Alabama, aunque esta no fue víctima de un ciberataque.

Pero lo que le ocurrió en 2006 muestra el riesgo de las redes Ethernet (redes internas que conectan los sistemas informáticos) de una planta nuclear.

Por un incidente cibernético, hubo que desconectar la planta de Alabama manualmente: había riesgo de fusión en el reactor.
    Por un incidente cibernético, hubo que desconectar la planta de Alabama manualmente: había riesgo de fusión en el reactor.

Una sobrecarga en el tráfico de datos de esa red hizo que fallaran una serie de dispositivos cruciales para el correcto funcionamiento del reactor.

La planta tuvo que ser desconectada manualmente para evitar la fatal fusión del mismo.

Un hacker podría atacar la planta simplemente reproduciendo esa situación y además de ataques contras plantas rusas y estadounidenses, el último registrado es el sufrido en 2004 por la red de Korea Hydro and Nuclear Power, una empresa que controla 23 centrales de Corea del Sur.

A través de emails robaron datos y documentos que incluían los manuales y planos de varias centrales y los cálculos de exposición a radiación de poblaciones cercanas a las mismas.

Los hackers pidieron a la compañía que parara tres centrales bajo una amenaza difundida en Twitter con una palabra: “Destrucción”.

El gobierno no detuvo las centrales. Finalmente no ocurrió nada.

Fuente: BBC

El Malware YiSpecter abusa de los certificados de iOS para incertar Adwares en Apple.

Los investigadores advirtieron que la salida del malware WireLurker  en noviembre cuyo blanco eran las plataformas de Apple podría llegar a ser un acertijo para los desarrolladores del malware en Mac e iOS. Mientras WireLurker fue rápidamente aplastado y resultó ser bastante benigno, sus autores demostraron cómo el abuso de los certificados de desarrolladores empresariales emitidos por Apple era un medio eficaz para obtener el código malicioso en iPhones con jailbreak e iPads.

Otra amenaza llamada YiSpecter aparentemente ha seguido el ejemplo de WireLurker y ha combinado el uso de certificados emitidos bajo el Programa de Empresa de Apple iOS Developer con el abuso de APIs privadas para mover el adware en dispositivos iOS jailbreak, principalmente en China y Taiwán.

Claud Xiao, investigador de Palo Alto Networks, publicó un informe sobre el malware, que al parecer ha estado en estado salvaje durante 10 meses y tiene tasas de detección pobres en los servicios de seguridad como VirusTotal.

De manera similar a WireLurker, YiSpecter abre una puerta trasera a un conjunto de servidores de comando y control y devuelve los datos del dispositivo teniendo la capacidad de instalar y poner en marcha nuevos troyanos a algunas aplicaciones que sobreviven eliminación secuestrando otras aplicaciones con el fin de mostrar anuncios, buscar el cambio por defecto de la configuración en Safari, cambiar los marcadores y las páginas abiertas en el navegador móvil. El trabajo es en gran medida difundir un adware pornográfico.

A diferencia WireLurker, que se extendió desde Macbooks infectados a los dispositivos iOS, YiSpecter se propaga en un puñado de maneras, beneficiado en gran medida de la legitimidad de los certificados, uno de los cuales ya ha sido revocado por Apple.

“Creemos que todos son legítimos”, dijo el director de Palo Alto del investigador Ryan Olson. Los certificados cuestan $ 299 y están disponibles únicamente para los negocios controlados y verificados que deseen desarrollar aplicaciones empresariales para iOS. “Estos están destinados para su distribución interna. La distribución de aplicaciones de esta manera no es lo que pretende Apple, y por qué los están revocando”.

La investigación académica se había hecho antes de que WireLurker demostrara el potencial de abuso en torno a estos certificados,  Olson dijo que esperaba ver algunos ataques que  traten de imitar este enfoque. El aumento de la atención en el tema, en particular, de la mano de WireLurker, causó la respuesta de Apple para los iOS 9 recientemente liberados  con una característica que obliga a los usuarios que deseen ejecutar una aplicación firmada pasar por un par de “aros” adicionales. El desarrollador, por ejemplo, debe dar  confianza a la aplicación en la configuración del dispositivo para poder correr la misma.

“Usted no sólo haga clic en Aceptar, usted tiene que cavar en la configuración si desea confiar en los desarrolladores. Este es el tipo de función que impide este tipo de ataque de tener éxito “, dijo Olson.

El uso de APIs privadas para instalar aplicaciones maliciosas también es preocupante, ya que puede ser utilizado para llevar a cabo una serie de operaciones sensibles, Xiao de Palo Alto escribió, que son ciegos al mecanismo de distribución de la empresa de Apple. YiSpecter se compone de cuatro componentes, todos los cuales están firmados.

Al abusar de APIs privadas, estos componentes “descargar e instalar” de un comando y servidor de control (C2), escribió Xiao. “Tres de los componentes maliciosos utilizan trucos para ocultar sus iconos de “salto en pantalla” de iOS, lo que impide al usuario encontrarlos y eliminarlos. Los componentes también utilizan el mismo nombre y logotipos de aplicaciones del sistema para engañar a los usuarios de energía iOS “.

YiSpecter no es una amenaza para App Store. Se mueve a través de una serie de canales distintos que presentan como una alternativa al reproductor multimedia QVOD muy  popular  y utilizado para intercambiar y ver pornografía en China. Una vez QVOD fue cerrada por la policía en abril, los atacantes detrás de YiSpecter se dirigieron a aquellos usuarios con el malware.

El más interesante método de propagación de YiSpecter es su abuso de la práctica llevada a cabo por los ISP locales que inyectan JavaScript y publicidad HTML en el tráfico.

“Los proveedores de Internet jugaron un papel en él, pero probablemente pensaron que sería sólo la publicación de anuncios”, dijo Olson.

YiSpecter también se extendió a través del gusano Lingdun, el malware que utiliza falsos certificados VeriSign y Symantec para eludir los sistemas de detección. Lingdun es una amenaza de Windows y se utiliza sobre todo para introducir software en PCs con Windows. Un número de sitios y mensajes a las redes sociales de distribución de aplicaciones subterráneas también fueron introducidos por  YiSpecter, dijo Palo Alto.

YiSpecter es el último de una notable racha de ataques contra las diversas plataformas de Apple, comenzando con XcodeGhost y la vulnerabilidad publicada la semana pasada de Gatekeeper en OS X.

Fuente: ThreatPost

Hackean Impresoras inalámbricas con el uso de un Celular y un Drone

Se podría pensar que nuestro trabajo esta protegido dentro de las oficinas ubicadas en una torre de más d 30 pisos de altura, por lo tanto nuestro Wi-Fi se encuentran fuera del alcance de los hackers que quisieran robar documentos confidenciales.

Pero los investigadores de Singapur han demostrado cómo los atacantes utilizando un avión no tripulado más un teléfono móvil podría interceptar fácilmente documentos enviados a una impresora aparentemente inaccesibles, lo que ocurre es que éstas tiene Wi-Fi abierta. El método que idearon pretende en realidad ayudar a las organizaciones a determinar de forma barata y fácil si tienen dispositivos Wi-Fi vulnerables que se puede acceder desde el “cielo”. Pero la misma técnica también podría ser utilizado por los espías corporativos cuya intención sea espionaje económico.

El Drone es simplemente el transporte utilizado para transportar a un teléfono móvil que contiene dos aplicaciones diferentes diseñadas por los investigadores. Uno, que ellos llaman Cybersecurity Patrol, detecta las impresoras Wi-Fi abiertas y se puede utilizar con fines defensivos para descubrir dispositivos vulnerables y notificar a las organizaciones que están abiertos a los ataques. La segunda aplicación realiza la misma actividad de detección, pero a los efectos de los ataques. Una vez que se detecta una impresora inalámbrica abierta, la aplicación utiliza el teléfono para establecer un punto de acceso falso que imita los documentos de la impresora e intercepta los documentos destinados al dispositivo real.

“En Singapur hay muchos rascacielos, y sería muy difícil llegar al piso 30 con su notebook si no existe el acceso físico”, dice Yuval Elovici, jefe de iTrust, un centro de investigación de seguridad cibernética en la Universidad de Tecnología y Diseño de Singapur. “Un avión no tripulado puede hacerlo fácilmente. Este es el punto principal de la investigación, el cierre de la brecha física con el drone con el fin de lanzar el ataque o escanear fácilmente los dispositivos vulnerables de toda la organización. Los estudiantes investigadores Jinghui Toh y Hatib Muhammad desarrollaron el método bajo la guía de Elovici como parte de un proyecto de defensa cibernética patrocinada por el gobierno. Se centraron en las impresoras inalámbricas como su objetivo porque dicen que estas son a menudo un punto débil pasado por alto en las oficinas. Muchas impresoras Wi-Fi vienen con la conexión Wi-Fi abierta por defecto, y las empresas se olvidan de que esto puede ser un método para robar datos desde afuera.

Para el demo utilizan un avión no tripulado estándar de la firma china DJI y un teléfono Samsung. Sus búsquedas de aplicaciones de teléfonos inteligentes para SSID de la impresora abiertas y SSID empresa. De los SSID, la aplicación puede identificar el nombre de la empresa que está escaneando, así como el modelo de la impresora. A continuación, se hace pasar por la impresora y obliga a todos los equipos cercanos a conectarse a él en lugar de la impresora real. Una vez que un documento es interceptado, lo cual toma sólo unos segundos, la aplicación puede enviarlo a la cuenta de Dropbox de un atacante mediante 3G o 4G de conexión del teléfono, y enviarlo a la impresora real por lo que una víctima no sabría el documento había sido interceptado .

La zona de ataque está limitada a 26 metros de radio. Pero con hardware dedicado, un atacante podría generar una señal de que es mucho más fuerte y ampliar esa gama más lejos, señala Elovici. Cualquier equipo dentro de la zona de ataque podrá optar por conectarse a la impresora falsa sobre la real, incluso si la impresora real está más cerca en la proximidad de la canalla.

Un Drone que se asoma fuera de un edificio de oficinas es probable que se pierda, por lo que el uso de este método para un ataque tiene desventajas obvias. Pero el objetivo de su investigación era demostrar principalmente que los adversarios mismos no necesitan ser colocados cerca de un dispositivo Wi-Fi para robar datos. Un hacker podría controlar un avión no tripulado de media milla de distancia o, en el caso de los aviones no tripulados autónomos, en ninguna parte cerca del edificio en absoluto.

En cuanto a lo que necesitaría la App para realizar una exploración inicial que detecte los dispositivos vulnerables en el edificio es que la impresora, o bien, la señal del Wi-Fi tenga un alcance por lo menos de unos 30 metros, señala Elovici.

En cuanto al teléfono móvil, crear una impresora falsa no era trivial, sin embargo, después de comprar una impresora HP6830, ellos utilizaron ingeniería inversa del protocolo de la impresora para comunicarse con los ordenadores que envían los documentos. Luego se arraigan un teléfono Samsung para instalar el sistema operativo. Para la aplicación, escribieron un código Python que simula la impresora HP.

Cualquier organización que están más interesados ​​en el descubrimiento de dispositivos vulnerables que atacarlos simplemente puede instalar la aplicación Cybersecurity Patrol en un teléfono y adjuntarlo a un avión no tripulado para analizar sus edificios para impresoras sin garantía y otros dispositivos inalámbricos. Un avión no tripulado no es esencial para esto, sin embargo, a medida que los investigadores muestran en su vídeo de demostración (arriba), un teléfono que contiene su aplicación se puede conectar a una aspiradora robot y establecerse dentro de una oficina para buscar los dispositivos vulnerables, ya que limpia los pisos de una compañía.

“El punto de la investigación principal era desarrollar un mecanismo para tratar de patrullar el perímetro de la organización y encontrar impresoras abiertas desde fuera de la organización”, dice Elovici.

Fuente: wired

WordPress ha parcheado Vulnerabilidades en el Plugin Jetpack

Después de algunos errores críticos que fueron descubiertos recientemente y parcheados en el núcleo del motor de WordPress , cosa que es rara en cuanto a la seguridad relacionada con WordPress, el orden aparentemente ha sido restaurado con el descubrimiento de una vulnerabilidad crítica en un plugin popular.

Plugins inseguros han estado en el corazón de numerosos ataques lanzados desde sitios comprometidos de WordPress. Uno de ellos fue parcheado esta semana en Jetpack, un plugin que se ha descargado más de un millón de veces. Jetpack permite a los administradores de sitios web añadir características de personalización, contenido móvil, tráfico y otras herramientas de seguimiento en cuanto a rendimiento.

Investigadores de Sucuri reportaron una grave cross-site scripting (inseguridad informática) almacenada en el plugin el 10 de septiembre, que fue parcheado el lunes. Ayer, la empresa de seguridad dio a conocer detalles sobre la falla, que afectó versiones Jetpack 3.7 y anteriores.

La vulnerabilidad estuvo presente en el módulo de contactos en forma de plugin, que está activada de forma predeterminada. Si se realizan con éxito  ataques contra la falla podrían exponer a los sitios utilizando el plugin para una serie de problemas que incluye una puerta trasera que permitiría a un hacker ir y venir a su antojo.

“Un atacante puede aprovechar este problema al proporcionar una dirección de correo electrónico malicioso especialmente diseñado en una de las páginas del formulario de contacto de la web,” Sucuri investigador Mac-Alexandre Montpas escribió en un aviso publicado ayer. “A medida que el correo electrónico no se verifica apropiadamente antes de que salga en el ‘Feedback’ sección administrativa, el atacante podría usar este error y un poco de hackeo en el navegador web para ejecutar un código JavaScript en el extremo del administrador, lo que les permite hacer lo que quiere con el sitio”.

A diferencia reflectantes vulnerabilidades cross-site scripting, fallas XSS almacenadas son explotadas cuando el atacante pasa un código al servidor web y espera a que el usuario inicie sesión, si se trata de un abonado, autor o administrador.

“El atacante sólo tiene que esperar a que el usuario “correcto” inicie sesión, sin introducir indicadores adicionales que podrían alertar al administrador (campaña de phishing)”, dijo Montpas. “A esto se suma la popularidad de un plugin como JetPack, desplegado por defecto en muchas instalaciones a través de sus anfitriones o los paquetes de instalación.”

Sucuri ha publicado detalles técnicos en su asesoramiento, pero en fin, sus investigadores encontraron una manera donde la “entrada” no fue verificada apropiadamente, dándoles la capacidad de atacar el sitio corriendo Jetpack.

Debido a la popularidad de Jetpack, los investigadores instan a los usuarios actualizar inmediatamente a una versión parcheada del plugin.

A principios de este año, un cross-site scripting diferente fue descubierto en el paquete de iconos Genericons que a veces se incluye con Jetpack y el tema TwentyFifteen WordPress.

Aunque la mayoría de los problemas de seguridad relacionados con WordPress y otros sistemas de gestión de contenidos están relacionados plugin, el mes pasado  WordPress lanzó la versión 4.3.1 en la que parcheo tres vulnerabilidades, la más grave de las cuales se encontraron en los códigos cortos cuentan etiquetas, HTML que permiten a los desarrolladores de sitios a incrustar macros en códigos.

Fuente: ThreatPost