viernes, 28 de febrero de 2014

Microsoft publica actualización para DirectAccess e IPsec

Microsoft ha anunciado la publicación de una actualización para todas las versiones de Windows para solucionar una vulnerabilidad en DirectAccess o tuneles IPsec de sitio a sitio, que podría permitir la falsificación de sitios DirectAccess.

El problema, con CVE-2013-3876, puede permitir a un atacante crear un servidor DirectAccess falso capaz de suplantar a un servidor legítimo. El sistema controlado por el atacante podría conseguir que el cliente se conecte al servidor falso de forma automática, interceptando todo el tráfico de red y obteniendo credenciales de acceso y otro tipo de información.

Aunque no se han ofrecido detalles del problema todo parece indicar que existe un problema en la comprobación de los certificados digitales de los servidores DirectAccess.

Microsoft no tiene previsto publicar boletines de seguridad ni actualizaciones adicionales a esta. Aunque, como indica, la actualización por sí misma no es suficiente para proteger por completo de la vulnerabilidad; por lo que tras la instalación del parche se requieren pasos administrativos adicionales, tal y como se indica en el artículo 2862152 de la Microsoft Knowledge Base.

Más información:

Documento informativo sobre seguridad de Microsoft (2862152)
Una vulnerabilidad en DirectAccess e IPsec podría permitir la omisión de característica de seguridad

Aviso de seguridad de Microsoft: Una vulnerabilidad en DirectAccess e IPsec podría permitir la omisión de la característica de seguridad





Antonio Ropero
Twitter: @aropero

jueves, 27 de febrero de 2014

Hispasec participa en el segundo curso online de Especialización en Seguridad Informática y Ciberdefensa en Criptored


Del 10 de marzo al 14 de abril de 2014 se impartirá la segunda edición del curso online vía WebEx de "Especialización en Seguridad Informática y Ciberdefensa", dentro de la sección Criptored Especialización y en proyecto conjunto con la empresa Eventos Creativos. En esta edición Javier Rascón, de Hispasec, participará como profesor en uno de los módulos.

Con una duración de 42 horas, a razón de dos horas diarias de lunes a jueves, en horario de 16:00 a 18:00 horas, el temario es el siguiente:

Módulo 1: Incidentes de ciberguerra, ciberespionaje y operaciones militares (2 horas)
Módulo 2: Ciberarmas: Malware dirigido, 0 days y RATs (2 horas)
Módulo 3: OSINT y ataques dirigidos APTS (16 horas)
Módulo 4: Gestión de claves. Ataques y recomendaciones (4 horas)
Módulo 5: Data Leak Prevention. Detección y protección (10 horas)
Módulo 6: Protección de comunicaciones en redes móviles. WIFI, Bluetooth, GSM, GPRS, 3G (4 horas)
Módulo 7: Riesgos de seguridad con dispositivos móviles. IOS, Android y BlackBerry (4 horas)

El curso cuenta con la participación de los siguientes expertos por orden alfabético:
Chema Alonso (11Paths, Telefónica Digital)
David Barroso (11Paths, Telefónica Digital)
Sergio de los Santos (11Paths, Telefónica Digital)
Pablo González (11Paths, Telefónica Digital, Flu-project)
Antonio Guzmán (11Paths, Telefónica Digital)
Lorenzo Martínez (Securizame, SecurityByDefault)
Alfonso Muñoz (Criptored), David Pérez (Layakk)
José Picó (Layakk)
Jorge Ramió (Criptored)
Román Ramírez (Ferrovial, Rooted CON)
Alejandro Ramos (SecurityByDefault)
Javier Rascón (Hispasec Sistemas)
Pedro Sánchez (Conexión Inversa)
Raúl Siles (Dinosec)
José Luis Verdeguer (ZoonSuite)

Se entregará por parte de Criptored un certificado de 42 CPE Continuing Professional Education. Mayor información en la página web de Criptored Especialización o bien consultando al correo de Eventos Creativos info@eventos-creativos.es.

Programa:

Web:



Jorge Ramió Aguirre

miércoles, 26 de febrero de 2014

Nuevos problemas en productos de Apple

Continúan los problemas, avisos y actualizaciones en torno a productos de Apple. Tras la última actualización importante para iOS, se acaban de publicar nuevas actualizaciones para Safari, OS X y QuickTime. Con todo aun hay un anuncio de un nuevo problema aun pendiente de solucionar.

Lsu navegador Safari (versión 6.1.2 y 7.0.2) que solventa cuatro vulnerabilidades de corrupción de memoria en WebKit, que podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario. Afecta a las versiones para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks v10.9.1. Los CVE asociados son CVE-2013-6635, CVE-2014-1268, CVE-2014-1269 y CVE-2014-1270.
a primera de las actualizaciones de seguridad publicadas es para

Se recomienda actualizar a las versiones 6.1.1 o 7.0.1 de Safari para Mac OS X disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:

Por otra parte, Apple publica la actualización "OS X Mavericks 10.9.2 y Security Update 2014-001" destinada a corregir un total de 33 vulnerabilidades en su familia de sistemas operativos OS X (Lion, Mountain Lion y Mavericks). Entre los problemas corregidos se incluye la que analizamos en la "una-al-día" de ayer, en relación con el soporte SSL/TLS.

Se han solucionado vulnerabilidades en Apache, App Sandbox, ATS, Certificate Trust Policy, CFNetwork Cookies, CoreAnimation, CoreText, curl, Data Security, Date and Time, File Bookmark, Finder, ImageIO, IOSerialFamily, LaunchServices, NVIDIA Drivers, PHP, QuickLook, QuickTime y Secure Transport. También se ha actualizado la lista de certificados raíz, que puede visualizarse a través de la aplicación "Keychain Access".

La actualización está disponible a través de "Actualización de Software" en "Preferencias del Sistema" o desde el sitio web de descargas de Apple:

La última de las actualizaciones publicadas afecta a QuickTime, que se actualiza a la versión 7.7.5 para solucionar 10 problemas de seguridad en su versión para Windows 7, Vista y XP. Las vulnerabilidades están relacionadas con el tratamiento de imágenes o películas específicamente creadas y podrían permitir la ejecución remota de código arbitrario.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática de Apple, o descargándolas directamente desde:

¿Un "keylogger" para iPhone?

Además de estas actualizaciones, Apple aun tiene trabajo pendiente ya que se ha anunciado un nuevo problema pendiente de corrección.

Este fallo, reportado por técnicos de FireEye, afectaría a dispositivos iOS 7 y podría permitir la grabación de todas las presiones/toques del usuario, incluyendo toques de pantalla, del botón de inicio, de los botones de volumen y hasta del TouchID. Un "keylogger" en toda regla. Destacan la creación de una app capaz de "monitorizar" en segundo plano estos eventos en dispositivos iPhone 5s con la última versión de iOS 7 sin jailbreak y enviarlos a un servidor remoto. Además también afecta a versiones anteriores de iOS.

iOS 7 proporciona ajustes para "Actualización en segundo plano", desactivar el refresco innecesario de aplicaciones puede prevenir una potencial monitorización en segundo plano. Aunque también podría evitarse, por ejemplo una aplicación puede reproducir música en segundo plano sin necesidad de activar dicha opción. Por lo que un atacante podría crear una aplicación maliciosa disfrazada como aplicación musical para efectuar el registro de las pulsaciones. Por lo que la única forma de evitar este problema es mediante el cierre de las aplicaciones que se ejecutan en segundo plano.

FireEye ha confirmado que está colaborando con Apple para la corrección de este problema, por lo que podemos esperar otra actualización para iOS dentro de poco.

Más información:

Actualización de Apple para iOS 6 y 7

About the security content of Safari 6.1.2 and Safari 7.0.2

About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001

About the security content of OS X Mavericks v10.9.2 and Security Update 2014-001

Background Monitoring on Non-Jailbroken iOS 7 Devices — and a Mitigation


Antonio Ropero
Twitter: @aropero


martes, 25 de febrero de 2014

Actualización de Apple para iOS 6 y 7

Apple ha publicado actualizaciones de seguridad para iOS 6, 7 y Apple TV 6 por una vulnerabilidad en el soporte SSL/TLS que podría permitir a un atacante interceptar comunicaciones seguras. El problema también afecta a OS X 10.9.x.

El problema reside en la función SSLVerifySignedServerKeyExchange en libsecurity_ssl/lib/sslKeyExchange.c en la característica Secure Transport en el componente Data Security de Apple iOS 6.x (anteriores a 6.1.6) y 7.x (anteriores a 7.0.6), Apple TV 6.x (anteriores a 6.0.2) y Apple OS X 10.9.x (anteriores a.9.2). El problema reside en que no se comprueba la firma en un mensaje TLS Server Key Exchange, que podría permitir ataques de hombre en el medio para falsificar servidores SSL mediante el uso de una llave privada arbitraria para el paso de firmado (o incluso llegar a omitirlo).
 
Apple ha publicado las versiones 7.0.6 y 6.1.6 de iOS y la versión 6.0.2 de Apple TV para corregir este problema. Se ha confirmado que la vulnerabilidad también está presente en OS X 10.9.1 y quedará corregido en la versión 10.9.2 (actualmente en beta), que será publicada en breve. De esta forma, se ven afectados los Apple TV de segunda generación, los iPhone 3GS, 4 (y posteriores), los iPod touch (de cuarta y quinta generación) y los iPad 2 (y posteriores).

Un análisis del código permite revelar la causa del problema

static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, 
                                 SSLBuffer signedParamsuint8_t *signature, 
                                 UInt16 signatureLen)
{
        OSStatus        err;
        ...

        if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
               goto fail;
        if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
               goto fail;
               goto fail;
        if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
               goto fail;
        ...

fail:
        SSLFreeBuffer(&signedHashes);
        SSLFreeBuffer(&hashCtx);
        return err;
}

El problema, con CVE-2014-1266, reside en las dos líneas goto fail seguidas. El primero está enlazado correctamente a la sentencia if pero la segunda línea no está condicionado. De esta forma el código siempre saltará al final desde ese segundo goto, err siempre tendrá un valor exitoso porque la de actualización SHA1 fue exitosa y de esta forma la verificación nunca fallará.

De esta forma, no se llega a efectuar correctamente la verificación de firma en un mensaje ServerKeyExchange. Da igual la clave privada del servidor: si es la correcta, una falsa ¡o incluso si no existe!; dado que no se efectúa la verificación de dicha clave.

Existe una prueba en https://www.imperialviolet.org:1266/ (el número de puerto corresponde con el número de CVE), si al visitar este sitio aparece un mensaje seguramente el sistema estará afectado.

Dada la importancia que puede tener este problema, se recomienda actualizar los dispositivos afectados a la mayor brevedad posible. Para ello, en iOS en Ajustes/General ir a Actualización de software.

Más información:

About the security content of iOS 7.0.6

About the security content of iOS 6.1.6

About the security content of Apple TV 6.0.2

Apple's SSL/TLS bug (22 Feb 2014)

Apple Fixes Dangerous SSL Authentication Flaw In iOS



Antonio Ropero
Twitter: @aropero

lunes, 24 de febrero de 2014

Vulnerabilidades en AutoCAD

Se han reportado dos vulnerabilidades en AutoCAD en las que un atacante malicioso podria causar ejecuciones de código arbitrario.
  
AutoCAD es una herramienta de diseño asistido por ordenador para dibujo en 2D y 3D desarrollada por Autodesk. Es un software reconocido a nivel internacional muy valorado por Arquitectos, Ingenieros y diseñadores industriales.

La primera de las vulnerabilidades, con identificador CVE-2014-0818, se debe a un error en la forma que AutoCAD gestiona las rutas de búsqueda de archivos 'FAS' específicos. Un atacante remoto sin autenticación podría valerse de esta vulnerabilidad para ejecutar código VBScript arbitrario con privilegios de la aplicación en ejecución a través de rutas de búsqueda de archivos 'FAS' especialmente modificadas.

La siguiente vulnerabilidad, con identificador CVE-2014-0819, se debe a un error en la gestión de AutoCAD de las rutas de búsqueda DLL, esto podría ser utilizado por un atacante remoto sin autenticación para elevar privilegios y potencialmente ejecutar código arbitrario a través de librerías dinámicas especialmente modificadas.

Afecta a las versiones de AutoCAD 2013 y anteriores, por lo que se recomienda actualizar a AutoCAD 2014.

Más información:

JVN#43254599
AutoCAD may insecurely load dynamic libraries

JVN#33382534
AutoCAD vulnerable to arbitrary VBScript execution



Juan Sánchez


domingo, 23 de febrero de 2014

Vulnerabilidades en CISCO ASA 5500 series

Se han reportado dos vulnerabilidades en dispositivos Cisco Adaptive Security Appliances (ASA) 5500 series por las que la integridad del sistema podría verse afectada.

Los routers Cisco ASA 5500 series pertenecen a la
línea de dispositivos de seguridad de la red que fueron introducidos por primera vez en mayo de 2005.

La primera de las vulnerabilidades, con identificador CVE-2014-0738 (código interno de Cisco CSCuj66770), se basa en un error debido a una autenticación insuficiente para el archivo CTL (Certificate Trust List) que podría permitir modificar las entidades de confianza de un teléfono IP. Un atacante remoto sin autenticar podría aprovechar esta vulnerabilidad para afectar a la integridad del sistema mediante archivos CTL especialmente manipulados para ese propósito.

La otra vulnerabilidad, con identificador CVE-2014-0739 (código interno de Cisco CSCuj66766), también presenta el mismo impacto; pero en este caso, se debe a un error en la obtención de un archivo de configuración a través de TFTP, lo cual podría permitir tráfico de un teléfono no autorizado. Al igual que la vulnerabilidad anterior, un atacante también remoto y sin atuenticar podría aprovecharse de esta vulnerabilidad mediante el uso de peticiones TFTP especialmente manipuladas.

Afectan a las siguientes versiones:
Cisco Adaptive Security Appliance (ASA) Software -> 9.1 .1, .1.4, .2, .2.8, .3

Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas, ya que Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media.

Más información:

Cisco Adaptive Security Appliance Phone Proxy CTL Authentication Vulnerability

Cisco Adaptive Security Appliance Phone Proxy sec_db Race Condition Vulnerability



Juan Sánchez

sábado, 22 de febrero de 2014

Vulnerabilidad en productos BlackBerry

BlackBerry ha publicado el boletín de seguridad BSRT-2014-002 que corrige una vulnerabilidad importante en sus productos BlackBerry Enterprise Service, Universal Device Service y BlackBerry Enterprise Server. El problema podría permitir a atacantes revelar información sensible del sistema.

Estos productos BlackBerry están, en general, enfocados al mundo empresarial; se pueden utilizar para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos sus dispositivos, móviles y tabletas.

La vulnerabilidad, con CVE-2012-4447, consiste en un error en la implementación del sistema de logs a la hora de gestionar las excepciones producidas durante una sesión de usuario. Lo que podría ser aprovechado por un atacante local o en red adyacente para revelar información sensible y recabar credenciales de usuario.

Afecta a las siguientes versiones:
BlackBerry® Enterprise Service 10, Universal Device Service 6 y BlackBerry® Enterprise Server 5.0.4

Se recomienda actualizar a las últimas versiones de BlackBerry Enterprise Service 10 y BlackBerry Enterprise Server 5.0.4 disponibles en
respectivamente.

Nota: Para instalaciones de Universal Device Service 6 se recomienda actualizar a BlackBerry Enterprise Service 10.

Más información:

BSRT-2014-002 Information disclosure vulnerability affects BlackBerry
Enterprise Service 10, Universal Device Service 6 and BlackBerry
Enterprise Server 5.0.4





Juan Sánchez

viernes, 21 de febrero de 2014

Nuevo ataque 0-day obliga a publicar actualización para Flash

Un nuevo ataque 0-day sale a la luz, en esta ocasión a través de Flash Player. Adobe se ha visto obligado a publicar una actualización para corregir esta vulnerabilidad (junto con otras dos).

El ataque 0-day ha sidoidentificado por FireEye (al igual que el que analizamos ayer a través de Internet Explorer). En esta ocasión la vulnerabilidad (identificada con CVE-2014-0502) afecta a la última versión de Flash Player (12.0.0.4 y 11.7.700.261) y se explotaba a través de la página web de tres organizaciones sin ánimo de lucro (www.piie.com, www.arce.org y www.srf.org), desde donde a través de un iframe oculto se redireccionaba al usuario a un servidor que alojaba y lanzaba el exploit propiamente dicho.

El exploit emplea técnicas para evitar la protección ASLR (Address Space Layout Randomization) en sistemas Windows XP, Windows 7 con Java 1.6 y Windows 7 versiones no actualizadas de Microsoft Office 2007 o 2010. La vulnerabilidad podría permitir a un atacante sobrescribir el puntero "vftable" de un objeto Flash para provocar la ejecución de código arbitrario.

Para corregir esta vulnerabilidad Adobe ha publicado una actualización para Flash Player, que además soluciona otros dos problemas. Las vulnerabilidades afectan a las versiones de Adobe Flash Player 12.0.0.44 (y anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.336 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB14-07, resuelve la vulnerabilidad detectada por FireEye con CVE-2014-0502, un desbordamiento de búfer que podría permitir la ejecución de código arbitrario (CVE-2014-0498) y una fuga de memoria que podría permitir evitar la protección ASLR (CVE-2014-0499).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Adobe Flash Player 12.0.0.70 para Windows y Macintosh.
  • Adobe Flash Player 11.2.202.337 para Linux.
Igualmente se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player

Operation GreedyWonk: Multiple Economic and Foreign Policy Sites Compromised, Serving Up Flash Zero-Day Exploit

Documento informativo sobre seguridad de Microsoft (2755801)
Actualización para las vulnerabilidades en Adobe Flash Player en Internet Explorer



Antonio Ropero
Twitter: @aropero

jueves, 20 de febrero de 2014

Microsoft publica un aviso sobre un 0-day en Internet Explorer

En los últimos días se ha identificado un exploit 0-day que afecta a Internet Explorer 9 y 10. Microsoft ha confirmado el problema y ha publicado un aviso con un parche temporal (en forma de Fix-It) hasta la publicación de la actualización definitiva. El desarrollo del ataque y el análisis de la vulnerabilidad dejan muchos puntos de interés.

Las compañías FireEye y Symantec han colaborado en la investigación del ataque, detectado el pasado 11 de febrero por compañía FireEye al identificar un exploit 0-day que estaba siendo aprovechado desde el sitio de veteranos de guerras extranjeras de los Estados Unidos (vfw.org, Veterans of Foreign Wars).

Mientras el ataque estaba activo, los visitantes de vtw.org cargaban el iframe insertado por los atacantes que mostraba por detrás una segunda página comprometida (alojada en aliststatus.com) El iframe img.html descargaba un archivo Flash malicioso ("tope.swf") que explotaba la vulnerabilidad del navegador. Symantec detecta el Iframe malicioso como Trojan.Malscript y el swf como Trojan.Swifi.

El Flash al explotar la vulnerabilidad, provocaba otra descarga desde el dominio aliststatus.com para iniciar los pasos finales del ataque. Primeramente descargaba el archivo gráfico "erido.jpg" (en formato .png) que contenía diversos binarios embebidos que eran extraídos por código shell ejecutado por el SWF. Los binarios incluidos eran "sqlrenew.txt" (que realmente ocultaba una dll) y "stream.exe" (detectado como Backdoor.Winnti.C o Backdoor.ZXShell).

Por último, el swf entonces se encargaba de cargar la dll maliciosa, la cual por su parte lanzaba el proceso "stream.exe" con la carga maliciosa final.

Según las investigaciones de Symantec se sugiere una conexión entre este ataque y otros realizados por el grupo conocido como Hidden Lynx. Los datos indican el uso de la misma infraestructura empleada por dicho grupo para otros ataques. Según FireEye, el ataque residía en una estrategia orientada al compromiso del personal militar estadounidense

Microsoft ha confirmado la vulnerabilidad, con CVE-2014-0322, que afecta a las versiones 9 y 10 del navegador  Internet Explorer. La firma de Redmond ha publicado un aviso, en el que ofrece contramedidas e información para por lo menos de forma temporal prevenir ser afectados por este problema.

Se ha bautizado al parche, en forma de Fix It, como "MSHTML Shim Workaround" que se encuentra disponible desde

Como medidas adicionales se recomienda la instalación de la versión 11 del navegador (o usar otro navegador), que no se ve afectado por el problema, así como el uso de la tecnología EMET (Enhanced Mitigation Experience Toolkit).

Más información:

Microsoft Security Advisory (2934088)
Vulnerability in Internet Explorer Could Allow Remote Code Execution

Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website

Emerging Threat: MS IE 10 Zero-Day (CVE-2014-0322) Use-After-Free Remote Code Execution Vulnerability

Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322




Antonio Ropero
Twitter: @aropero

miércoles, 19 de febrero de 2014

Android, a vueltas con el problema de los parches que nunca llegan

Hace unos días, Metasploit añadió un módulo para aprovechar una vulnerabilidad en elsistema operativo para móviles Android. El exploit, desarrollado por los investigadores Joe Vennix (@joevennixy Josh Drake (@jduck), permite obtener el control del sistema con tan solo visitar una página web manipulada especialmente.

La vulnerabilidad afectaría en principio a las versiones anteriores a la 4.2 (Jelly Bean), publicada a finales de octubre de 2012. No obstante, para observar el comportamiento de la vulnerabilidad sobre la miríada de versiones parcheadas por los fabricantes dejaron colgada una prueba de concepto abierta a todo aquel que quisiera (y se fiara) comprobar si su sistema era o no vulnerable.

Descubrieron que, en consonancia con las estadísticas de despliegue de Android, el 70% de los sistemas era vulnerable aun. Esto no debería ser una sorpresa ya que la fragmentación del mercado de versiones de Android es un hecho al que tanto usuarios, y en mayor medida, desarrolladores se enfrentan desde hace tiempo. Hay que tener en cuenta que la última versión, la 4.4 (KitKat), tan solo tiene un índice de adopción del 1,8% y fue publicada el 31 de octubre del pasado año. El mercado tarda mucho tiempo en encajar una nueva versión del sistema y por otro lado existe un parque de versiones obsoletas tremendo. Si sumamos el porcentaje de versiones anteriores a la 4: 2.2 (Froyo) 1,3%, 2.3.3-7 (Gingerbread) 20,0% y 3.2 (Honeycomb) 0,1%, tenemos un 21,4% de mercado corriendo versiones desfasadas, al menos desde el punto de vista de la seguridad.

Para el caso concreto de esta vulnerabilidad, con un exploit que solo necesita de unas pulsaciones de teclado para ejecutarse, tenemos que sumar el porcentaje de las versiones 4.0.x y 4.1, el 16,1% y 35,5% respectivamente. Casi tres cuartas partes del mercado Android.

Pero no es este el punto de vista donde debemos quedarnos. Esa cifra en realidad no debe sorprendernos. Si mañana se descubriese un 0-day que afectase a las últimas versiones de cualquier navegador podríamos llegar a tasas del 90%. Lo realmente inquietante es ver como hay una vulnerabilidad crítica que lleva casi 100 días sin que los fabricantes hayan dispuesto un parche que la subsane. Ese es el verdadero problema, fabricantes que tardan una eternidad en liberar nuevas versiones de sus propias modificaciones de Android y que permanecen impasibles ante semejante exposición de sus clientes. Solo la versión matriz de Google tiene parche publicado.


La vulnerabilidad fue anunciada por un grupo chino en wooyun.org (en inglés http://en.wooyun.org/ ) y afecta a WebView, un componente del API de programación de Android que permite incrustar una vista web en cualquier aplicación. Dicho componente expone un método que permite hacer un puente entre código Javascript (ejecutado desde la página web) hacia Java. En principio no todas las aplicaciones exponen dicho método, pero es común y son numerosas las que si lo hacen. El resultado es que se pueden exponer objetos Java para usarlos desde Javascript y a través de ellos ejecutar código arbitrario en el sistema. Existe un detallado análisis técnico disponible.

Ahora pensemos donde podemos tener componentes WebView: El navegador de Android, navegadores de terceros, aplicaciones que hagan uso de vistas web, adhesivos QRCode, y otro canal importante: los anuncios. Algunos canales de anuncios usan la vista web para ir rotando a los anunciantes en ese banner que vemos en ese juego gratuito que acabamos de instalar. Unamos más piezas: ¿Cuanto me costaría contratar publicidad para que mi exploit, previamente camuflado de anuncio, apareciese en dicho juego?

Otro vector interesante y más dirigido usado por atacantes profesionales. ¿Queremos controlar el teléfono de un objetivo interesante? Vamos a tomar café al mismo bar que frecuente, configuramosuna piña o el propio Metasploit para Android y solo tenemos que terminarnos el café, para cuando estemos pagando es posible que el rootkit ya este enviando copia de los correos a nuestro servidor en la República de Chula.

Al sistema Android le está creando problemas la cantidad de sistemas obsoletos aun en funcionamiento y sobre todo, en versiones más actuales, el interminable sendero desde la aparición de un agujero hasta que el fabricante libera el parche adecuado para taparlo. Es inadmisible y aunque el grueso de usuarios no perciba la situación, similar al ciclo instalar-infectar-reinstalar de tiempo pasados, esto terminará por crear un grave problema de imagen para Android a medio plazo.

Más información:

Android WebView Exploit, 70% Devices Vulnerable

Android 4.x now on 78.6% of active devices, KitKat still under 2%


Alert: Android WebView addJavascriptInterface Code execution Vulnerability



David García
Twitter: @dgn1729

Denegación de servicio en productos SCADA de Schneider Electric

Se ha confirmado una vulnerabilidad en diversos productos SCADA de Schneider Electric, que podrían permitir a un atacante la realización de ataques de denegación de servicio.

Los sistemas SCADA son sistemas de "adquisición de datos y control de supervisión", muy utilizados en infraestructuras críticas, industrias, laboratorios y almacenes. Son especialmente relevantes porque, un problema de seguridad en su software, implica un problema traducido a sistemas físicos críticos de control de funciones. Pueden usarse para controlar desde la temperatura de neveras industriales, hasta el suministro eléctrico de una central nuclear.

La vulnerabilidad se debe a un error al tratar determinados paquetes y podría provocar una excepción no controlada mediante el envío de un paquete específicamente creado a cualquiera de los procesos del servidor.

La vulnerabilidad se ha reportado en los siguientes productos y versiones:
  • StruxureWare SCADA Expert Vijeo Citect versión 7.40
  • Vijeo Citect versiones 7.20 a 7.30SP1
  • CitectSCADA versiones 7.20 a 7.30SP1
  • StruxureWare PowerSCADA Expert versiones 7.30 a 7.30SR1
  • PowerLogic SCADA versiones 7.20 a 7.20SR1

Dada la relevancia que pueden tener este tipo de sistemas en diferentes instalaciones, este problema está considerado como de gravedad importante.

Schneider Electric ha publicado parches acumulativos para corregir el problema.

Más información:

Important security notification – Cumulative update for SCADA Expert Vijeo Citect / CitectSCADA / PowerSCADA Expert



Antonio Ropero

Twitter: @aropero

lunes, 17 de febrero de 2014

Vulnerabilidades en Symantec Endpoint Protection

Symantec ha publicado el boletín de seguridad SYM14-004 que corrige dos vulnerabilidades importantes en su producto Endpoint Protection. Estas podrían permitir a atacantes remotos evadir restricciones de seguridad.

Endpoint Protection es una suite de seguridad que engloba protección antivirus y cortafuegos corporativo. Ofrece seguridad tanto para servidores como estaciones de trabajo. Es un producto multiplataforma que cuenta con una consola para su administración de forma remota.

A continuación una breve descripción de las vulnerabilidades:

  • CVE-2013-5014, en la que un error en la consola de gestión a la hora de cargar entidades externas XML (XXE), podría ser utilizado por un atacante remoto para evadir restricciones de seguridad y tener acceso a ficheros del sistema, a través de declaraciones XML especialmente manipuladas.
       
  • CVE-2013-5015, en la que un error en la consola de gestión a la hora de filtrar el acceso de sentencias SQL, podría ser utilizado por un atacante remoto para evadir restricciones de seguridad y comprometer el sistema, a través de peticiones SQL especialmente manipuladas.


Afecta a versiones 11.x y 12.x. Se recomienda actualizar a la última versión 12.1 RU4a (12.1.4023.4080) disponible desde

Más información:

Symantec Endpoint Protection Manager Vulnerabilities
SYM14-004


Juan Sánchez

domingo, 16 de febrero de 2014

Múltiples vulnerabilidades en SAP NetWeaver

George Nosenko, Alexander Polyakov,Evgeny Neyolov y Dmitry Chastukhin han descubierto varias vulnerabilidades en SAP NetWeaver que podrían permitir a atacantes remotos realizar ataques cross-site scripting, denegación de servicio e incluso revelaciónes de información sensible.

NetWeaver es una plataforma compuesta por todas las aplicaciones SAP con objeto de lograr una mejor integración entre dichas aplicaciones, utilizar estándares para asegurar la interoperabilidad, aportar una gran flexibilidad, y reducir los costos. SAP NetWeaver es ampliamente utilizado en el mundo empresarial.

A continuación una breve descripción de los fallos:

  • La primera de las vulnerabilidades, con CVE-2014-1963, en la que un error al no validar correctamente los datos de entrada, podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de vectores no especificados.
    https://service.sap.com/sap/support/notes/1773912
         
  • La segunda de las vulnerabilidades, con CVE-2014-1961, en la que un error no especificado en el módulo 'Portal WebDynPro', podría ser aprovechado por un atacante remoto para revelar información sensible del sistema.
    https://service.sap.com/sap/support/notes/1852146
         
  • Al igual que la anterior, esta vulnerabilidad, con CVE-2014-1960, podría ser aprovechada para revelar información sensible, en este caso debido a un error de falta de comprobación de autorización.
    https://service.sap.com/sap/support/notes/1828885
         
  • La cuarta de las vulnerabilidades, con CVE-2014-1964, en la que un error de validación de datos de entrada en 'SAP NetWeaver Integration Repository', podría ser aprovechado por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado.
    https://service.sap.com/sap/support/notes/1788080
       
  • Por último, y al igual que la anterior, esta vulnerabilidad, con CVE-2014-1965, podría ser también aprovechada por un atacante remoto para afectar parcialmente a la integridad del sistema a través de un enlace especialmente manipulado. En este caso debido a un error de validación de datos de entrada en 'SAP NetWeaver Integration Repository'.
    https://service.sap.com/sap/support/notes/1442517


Se recomienda aplicar los parches indicados.

Más información:

ERPSCAN-14-001

ERPSCAN-14-002

ERPSCAN-14-004

ERPSCAN-14-005

ERPSCAN-14-006


Juan Sánchez