viernes, 31 de octubre de 2014

Inteco pasa a llamarse Incibe

El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO) ha pasado a llamarse INCIBE (Instituto Nacional de Ciberseguridad), al centrar todas sus funciones en el ámbito de la seguridad.

El Inteco era un organismo español, con sede en León, con un gran número de funciones centradas en el mundo de las tecnologías de la información. Fundado en el 2005 con el objetivo de contribuir a la convergencia de España con Europa en el ámbito de la sociedad de la información, desarrollando proyectos innovadores en el ámbito de las TIC y promover el desarrollo regional en un proyecto con vocación global.

El ámbito de actuaciones de Inteco era muy amplio, seguridad tecnológica, accesibilidad, innovación TIC, tecnología y salud y en general todo lo relacionado con las tecnologías de la información y su promoción y expansión a todos los ámbitos de la sociedad. La seguridad en Internet solo era una de las muchas cosas de las que se encargaba Inteco.

Pero la necesidad apremia, y la seguridad tecnológica, la privacidad de los datos, etc. Son temas que cada vez son más demandados y necesarios por toda la sociedad. Por lo que tras un proceso de reestructuración Inteco ha pasado a dedicarse únicamente a la seguridad tecnológica o ciberseguridad. El resto de de sus competencias han sido trasferidas a otras instituciones. Este cambio también ha llevado a un cambio de nombre por lo que el nuevo Inteco centrado exclusivamente en la seguridad pasa a llamarse Incibe (Instituto Nacional de Ciberseguridad), a partir de ahora tendremos que acostumbrarnos a estas siglas.

La actividad de INCIBE se apoya en tres pilares fundamentales: la prestación de servicios, la investigación y la coordinación. INCIBE promueve servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. También cuenta con capacidad para abordar proyectos complejos de diversa naturaleza y con una fuerte componente innovadora. Y por último un factor imprescindible para la actividad del nuevo instituto es la coordinación y colaboración con otras entidades, tanto públicas como privadas, nacionales e internacionales, de todo el ámbito de la ciberseguridad.

Dejando aparte la coletilla de "ciber" que nunca nos ha terminado de convencer, tener una institución gubernamental dedicada y centrada únicamente en la seguridad es algo que esperamos ayude al necesario impulso y promoción de la seguridad informática y tecnológica. Lo que sin duda llevará a una sociedad más segura.

Más información:

INCIBE


Antonio Ropero

Twitter: @aropero

jueves, 30 de octubre de 2014

Nuevas características de seguridad en Android 5.0

Android 5.0, bautizado por Google como Lollipop, incluye nuevas e importantes características de seguridad. Se empiezan a conocer las características más relevantes de la nueva versión del sistema operativo más popular para dispositivos móviles.

En una entrada titulada "Una dulce piruleta con envoltorio de kevlar", Adrian Ludwig ingeniero jefe de seguridad de Google y responsable de la seguridad de Android describe las nuevas características de seguridad de Android 5.0. La mayor actualización para Android hasta la fecha en materia de seguridad que verá la luz dentro de poco.

Con la llegada de Android 5 se esperan nuevas características, mejores aplicaciones, más velocidad, más prestaciones y por supuesto más seguridad. Como no podía ser de otra forma, Google ha tomado buena nota de algunas de las carencias de versiones anteriores y espera mejorarlas en esta nueva versión.

Android 5.0, vendrá con nuevas características de seguridad entre las que Google ha querido destacar el cifrado por defecto, una pantalla de bloqueo y la capa de seguridad SELinux.

La pantalla de bloqueo

La capa de seguridad más visible para el usuario es la pantalla de bloqueo. Aunque todavía es un elemento que dista de ser empleado por todos los usuarios, es la forma más sencilla para mantener los datos a salvo y seguros en un dispositivo móvil. Desde aquí queremos recomendar a todos los usuarios que activen el bloqueo de la pantalla en sus dispositivos.

Google también quiere que cada vez un mayor número de personas hagan uso de esta medida de protección. Conscientes de que todavía una gran cantidad de usuarios de dispositivos móviles no usan un PIN o contraseña, debido a que lleva demasiado tiempo desbloquear el móvil múltiples veces al día y se convierte en algo tedioso.

Para ello, han implementado una pantalla de bloqueo más sencilla bajo el nombre de "Smart Lock", que permitirá evitar la pantalla de bloqueo del móvil si se encuentra emparejado con un dispositivo Bluetooth o NFC. De esta forma si llevamos un dispositivo "wearable" o tenemos el manos libre del coche no será necesario pasar por la pantalla de desbloqueo. Una opción que sin duda puede ser útil pero que también habrá que utilizar con cuidado.

También se ha mejorado el desbloqueo facial, que permite desbloquear el móvil empleando nuestra cara. Aunque esta funcionalidad ya existía desde Android 4.0, ahora se ha mejorado el reconocimiento que puede realizarse en menos de 1 segundo.

Cifrado desde el primer momento

En las versiones actuales de Android el cifrado del dispositivo es algo opcional, el usuario debe activarlo expresamente. Sin embargo Google ha decidido cambiar esto, el dispositivo completo se cifra desde que se produce el primer arranque, utilizando una clave única que nunca abandona el dispositivo.

De esta forma, con Android 5.0 el cifrado del dispositivo dejará de ser algo opcional a ser algo que estará presente en todos los dispositivos. Un factor de seguridad importante en cuenta en caso de pérdida o sustracción del móvil o tableta.

SELinux

Desde el principio Android ha tenido una sandbox de aplicaciones robusta, sin embargo no ha estado exenta de problemas. La integración de Security Enhanced Linux (SELinux) desde la versión 4.2 ha llevado el modelo de seguridad en Android hacia el núcleo del sistema operativo, esto hace que para el sistema sea más fácil de auditar y monitorizar las acciones lo que deja menos espacio para un ataque.

Security Enhanced Linux (SELinux) es un módulo de seguridad para el kernel Linux, integrado a la rama principal del núcleo Linux desde la versión 2.6 (en 2003), destinado a proporcionar un sistema de control de acceso obligatorio incorporado en el kernel. SELinux define los permisos de cada usuario, aplicación, proceso y archivo en el sistema y se encarga de controlar las interacciones entre todos ellos en base a una serie de políticas de seguridad específicas.

En Android, hasta la fecha, SELinux podía funcionar en tres modos distintos configurables por el usuario (o el operador o fabricante):
  • desactivado en donde no estaba cargada ninguna política de seguridad
  • permisivo ("permissive") donde el modelo de políticas estaba cargado si bien no se aplicaban. Una aplicación maliciosa podía acceder a recursos no permitidos. Aunque no se impedía el acceso la acción quedaba registrada. Algo solo útil a efectos de auditoría y depuración.
  • habilitado ("enforcing") donde el dispositivo cuenta con todas las políticas cargadas y activas.

En Android 5.0 todo esto cambia, y ahora es obligado el modo "enforcing" en todos los dispositivos.

También se incluyen otras características de seguridad en Android 5.0. Por ejemplo se podrá compartir el dispositivo de forma segura con el modo de usuario invitado. También se podrán crear múltiples cuentas de usuario lo que permitiría compartir el dispositivo de forma segura con cualquier amigo.


Por esto, una vez más jugando con el nombre de esta versión de Android, el responsable de seguridad de Android compara la seguridad de Lollipop con una piruleta. Adrian afirma que Android 5.0 es la actualización de Android más dulce hasta la fecha, en la que han puesto un rígido palo de seguridad para el núcleo de la piruleta y un envoltorio de kevlar para el exterior. Seguridad por dentro y por fuera.

"Lollipop is the sweetest update of Android to date, we also built in a rigid (security) Lollipop stick for the core and and kevlar wrapping on the outside."

Más información:

A sweet Lollipop, with a kevlar wrapping: New security features in Android 5.0.



Antonio Ropero
Twitter: @aropero



miércoles, 29 de octubre de 2014

Wget permite a atacantes remotos la creación de archivos y directorios

Se ha anunciado una vulnerabilidad en wget que podría permitir a un atacante remoto crear archivos arbitrarios, directorios y enlaces simbólicos en el sistema afectado.

GNU Wget es una herramienta libre para la descarga de contenidos desde servidores web de una forma simple, soporta descargas mediante los protocolos http, https y ftp. Entre las características más destacadas está la posibilidad de fácil descarga de mirrors complejos de forma recursiva (cualidad que permite la vulnerabilidad descubierta), conversión de enlaces para la visualización de contenidos HTML localmente, soporte para proxies, etc.

El problema, con CVE-2014-4877, reside en un ataque de enlace simbólico, de forma que un atacante remoto podría crear un directorio específicamente manipulado que al ser recuperado de forma recursiva a través de ftp, podría crear archivos arbitrarios, directorios o enlaces simbólicos y asignar sus permisos en el sistema.

Se ha publicado la versión 1.16 que soluciona el problema, disponible en:
también existe una corrección en forma de código fuente:

Más información:

index : wget.git

GNU wget 1.16 released



Antonio Ropero
Twitter: @aropero

martes, 28 de octubre de 2014

"Find my Mobile" de Samsung permite a un atacante bloquear el móvil

Se ha anunciado una vulnerabilidad en la función "Find my mobile" de Samsung que podría permitir a un atacante remoto activar sus funcionalidades, de forma que podría hacer que suene o bloquearlo (con un código arbitrario).
 
La función "Find my Mobile" implementada por Samsung en sus dispositivos es un servicio web que proporciona a los usuarios de dispositivos Samsung características para localizar un dispositivo perdido o robado. Esta utilidad incluida también por otros fabricantes (como Apple o Microsoft), permite hacer sonar el dispositivo remoto, borrar su contenido o bloquearlo de forma remota para que nadie más puede conseguir acceso al dispositivo perdido.

El problema, descubierto por Mohamed A. Baset (@SymbianSyMoh), reside en una vulnerabilidad de Básicamente, el atacante utilizará el ataque CSRF para engañar al usuario para acceder a un enlace o url que contiene peticiones maliciosas o no autorizadas. El atacante podrá llegar a bloquear el móvil del usuario con un código de su elección, lo que forzaría al usuario a realizar una recuperación del código de bloqueo a través de su cuenta Google.

El enlace malicioso tiene los mismos privilegios que el usuario autorizado para llevar a cabo una tarea no deseada en el nombre de la víctima. Las vulnerabilidades de Cross-site Request Forgery (CSRF) permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión  activa en esa web de otro usuario.

El investigador ha proporcionado pruebas de concepto en forma de vídeos que detallan como llevar a cabo el ataque y los efectos que puede tener. Se ha asociado el CVE-2014-8346 a esta vulnerabilidad. 




Más incormación:

Vulnerability Summary for CVE-2014-8346

Samsung FindMyMobile Service Vulnerabilities Demonstration

Samsung FindMyMobile Service Vulnerabilities Demonstration Live


Antonio Ropero
Twitter: @aropero

lunes, 27 de octubre de 2014

Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado una actualización del kernel para SuSE Linux Enterprise Server 11 SP3 (en todas sus versiones). Se han solucionado 13 vulnerabilidades e incluye 75 correcciones de funcionalidades no relacionadas con seguridad. 

Los problemas corregidos están relacionados con una elevación de privilegios en la característica PPPoL2TP en net/l2tp/l2tp_ppp.c, elevación de privilegios en la función futex_requeue en kernel/futex.c, obtención de información sensible en la función media_device_enum_entities en drivers/media/media-device.c y obtención de información sensible de la memoria ramdisk_mcp a través de la función rd_build_device_space en drivers/target/target_core_rd.c.

Otros problemas de denegación de servicio residen en una implementación inadecuada en mm/shmem.c, en arch/x86/kernel/entry_32.S, en la función sctp_association_free en net/sctp/associola.c, en la función sctp_assoc_update en net/sctp/associola.c, en la función parse_rock_ridge_inode_internal en fs/isofs/rock.c y por una condición de carrera en el subsistema mac80211.

Los CVE asignados son: CVE-2013-1979, CVE-2014-1739, CVE-2014-2706, CVE-2014-3153, CVE-2014-4027, CVE-2014-4171, CVE-2014-4508 CVE-2014-4667 CVE-2014-4943, CVE-2014-5077, CVE-2014-5471, CVE-2014-5472 y CVE-2014-6410.

Además se han corregido otros 75 problemas no relacionados directamente con fallos de seguridad.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST con el módulo "Online Update" o con la herramienta de línea de comando "zypper".

Más información:

SUSE-SU-2014:1319-1: important: Security update for Linux kernel



Antonio Ropero
Twitter: @aropero

domingo, 26 de octubre de 2014

Denegación de servicio en dispositivos Cisco IOS y Cisco IOS XE

Cisco ha anunciado la existencia de una vulnerabilidad de denegación de servicio en dispositivos con software Cisco IOS y Cisco IOS XE.

La vulnerabilidad, con CVE-2014-3409, reside en el Ethernet Connectivity Fault Management (CFM) debido a a un tratamiento incorrecto de paquetes CMF específicamente construidos. Un atacante remoto sin autenticar podrá explotar esta vulnerabilidad para provocar el reinicio del dispositivo. La repetición del ataque de forma continuada podrá provocar la condición de denegación de servicio.

Cisco no ofrece actualizaciones gratuitas para este problema. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.

Más información:

Cisco IOS and IOS XE Software Ethernet Connectivity Fault Management Vulnerability


Antonio Ropero

Twitter: @aropero

sábado, 25 de octubre de 2014

Actualización de seguridad para QuickTime

Apple ha publicado una actualización para QuickTime, que solventa cuatro vulnerabilidades de seguridad en su versión para Windows 7, Vista y XP SP2 o posteriores. 

Las vulnerabilidades están relacionadas con desbordamientos de búfer en el tratamiento de archivos MIDI (CVE-2014-4350) y de samples de audio (CVE-2014-4351). También existen corrupciones de memoria en el tratamiento de películas codificadas RLS (CVE-2014-1391) y de átomos "mvhd" (CVE-2014-4979). Todos los problemas podrían permitir la ejecución remota de código arbitrario.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática de Apple, o descargándolas directamente desde:

Más información:

About the security content of QuickTime 7.7.6



Antonio Ropero
Twitter: @aropero



viernes, 24 de octubre de 2014

Implementación incorrecta de protocolo NAT-PMP en múltiples dispositivos

Se ha descubierto que un gran número de dispositivos (de diferentes fabricantes) tienen una configuración incorrecta del protocolo NAT-PMP, que podrían permitir a un atacante interceptar tráfico privado y sensible de redes internas o externas.

Clientes como  µTorrent soportan NAT-PMP
NAT-PMP (Port Mapping Protocol) es un protocolo implementado en múltiples routers domésticos y otros dispositivos de red que permite a una computadora que está en una red privada (detrás de un router NAT) configurar automáticamente el router para permitir que sistemas externos puedan acceder a servicios TCP y UDP internos. Es empleado por servicios como "Volver a mi Mac" de Apple o sistemas de intercambio de archivos (Torrent).

Los investigadores de Rapid7 (conocidos por el producto Metasploit) han identificado aproximadamente 1,2 millones de dispositivos en Internet con una configuración NAT-PMP incorrecta por lo que quedan vulnerables a distintos ataques. Según Rapid7 han encontrado:
  • Aproximadamente 30.000 dispositivos que permiten interceptar el tráfico NAT interno (aproximadamente el 2,5% de los dispositivos afectados).
  • Aproximadamente 1,03 millones de dispositivos que permiten interceptar el tráfico NAT externo (aproximadamente el 86% de los dispositivos afectados).
  • Aproximadamente 1,06 millones de dispositivos que permiten el acceso a los servicios de los clientes NAT internos (aproximadamente el 88% de los dispositivos afectados).
  • Aproximadamente 1,06 millones de dispositivos que pueden verse afectados por denegaciones de servicio contra los servicios del host (aproximadamente el 88% de los dispositivos afectados).
  • Aproximadamente 1,2 millones de dispositivos de los que el atacante puede obtener información sobre el propio dispositivo (el 100% de los dispositivos afectados).


Según el análisis de países realizado por Rapid7 las IPs de los routers afectados pertenecen a los siguientes: Argentina, Rusia, China, Brasil, India, Malasia, Estados Unidos, México, Singapur y Portugal.

Rapid7 también indica que la causa más probable de las vulnerabilidades resida en configuraciones incorrectas de miniupnpd. Miniupnpd es un demonio UPnP ligero que también soporta NAT-PMP y está ampliamente disponible para todas las plataformas. Es posible que las interfaces de red interna y externa en miniupnpd estén configurados por los implementadores para que puedan intercambiarse, lo que puede explicar que algunos dispositivos sean vulnerables.

Desde la versión 1.8.20141022, miniupnpd descarta los paquetes NAT-PMP recibidos en la interfaz WAN. El archivo de configuración por defecto, "miniupnpd.conf", ahora contiene comentarios adicionales para permitir configuraciones más seguras.

Para el anuncio responsable a los fabricantes Rapid7 confirma que optó por que fuera el CERT/CC el responsable de esta tarea. Este organismo ha confirmado los siguientes fabricantes afectados: Grandstream, MikroTik, Netgear, Radinet, Speedifi, Technicolor, Tenda, Ubiquiti Networks, ZTE Corporation y ZyXEL. Aunque Apple también hace uso de este protocolo no se ve afectado. Los fabricantes que hacen uso de miniupnpd han publicado actualizaciones para incorporar una versión actualizada no vulnerable.

Los administradores que implementen NAT-PMP deberán asegurarse de que sus dispositivos estén configurados adecuadamente. Se recomienda implementar reglas en el firewall para bloquear que sistemas no confiables tengan acceso al puerto 5351/udp o bien desactivar NAT-PMP en caso de que no sea necesario.

Más información:

Incorrect implementation of NAT-PMP in multiple devices

R7-2014-17: NAT-PMP Implementation and Configuration Vulnerabilities

NAT Port Mapping Protocol (NAT-PMP)


Antonio Ropero

Twitter: @aropero

jueves, 23 de octubre de 2014

INTECO publica el "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles"

El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) de Red.es, junto con el Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), presentan la oleada del panel de hogares del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles".

Desde Hispasec hemos colaborado de forma activa en realización de este estudio, que presenta dos tipos de datos, obtenidos siguiendo diferentes metodologías:
  • Dato declarado: Obtenido de las encuestas online realizadas a los 3.074 hogares que han conformado la muestra del estudio.
  • Dato real: Para ello se utiliza el software iScan que analiza los sistemas y la presencia de malware en los equipos, recogiendo datos del sistema operativo, su estado de actualización y las herramientas de seguridad instaladas.


Algunos datos que se pueden encontrar en el informe son:

  • Las medidas activas más utilizadas son las contraseñas (57,5 %) y el borrado de archivos temporales y cookies (53,4 %) generados durante la navegación a través de la red Internet.
        
  • El 69,4 % de los usuarios declara que la frecuencia de actualización de las herramientas de seguridad se determina de manera automática por las propias herramientas.
         
  • La mayoría de usuarios –superior al 73 %– mantiene buenos hábitos de comportamiento referentes a los servicios de banca y comercio a través de Internet. Únicamente el uso de tarjetas prepago o monedero es secundado por un porcentaje menor de usuarios (41 %).
         
  • El troyano sigue siendo el tipo de malware más detectado en los ordenadores españoles, llegando a presentarse en el 35,8 % de los ordenadores escaneados durante marzo de 2014.


El estudio completo se puede descargar desde la página del ONTSI en el siguiente enlace:

Más información:

Estudio sobre la Ciberseguridad yConfianza en los hogares españoles


miércoles, 22 de octubre de 2014

Diversas vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Se ha solucionado una vulnerabilidad, con CVE-2014-3669, de desbordamiento de enteros en la función "unserialize()"que podría dar lugar a una denegación de servicio. Este problema solo afecta a instalaciones sobre 32 bits. Otra vulnerabilidad de corrupción de memoria, con CVE-2014-3670, en "exif_thumbnail()" que podría permitir la ejecución de código arbitrario si un usuario abre una imagen jpeg específicamente creada. Por último, un desbordamiento de búfer en la función "mkgmtime()" (CVE-2014-3668).

Se recomienda actualizar cuanto antes a las nuevas versiones 5.6.2, 5.5.18 y 5.4.34 desde http://www.php.net/downloads.php

Más información:

PHP 5 ChangeLog



Antonio Ropero
Twitter: @aropero

martes, 21 de octubre de 2014

Vulnerabilidad 0-day en Microsoft OLE

Microsoft ha alertado de la existencia de una vulnerabilidad 0-day en todas las versiones compatibles de Microsoft Windows (excepto Windows Server 2003). La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado que contenga un objeto OLE.

Según el aviso de Microsoft la vulnerabilidad, con CVE-2014-6352, está siendo explotada en ataques dirigidos a través de archivos PowerPoint. Aunque en general el problema reside en el tratamiento de archivos Office específicamente creados con objetos OLE.

Por otra parte, todo indica que en los ataques observados se muestra la solicitud de consentimiento del UAC (User Account Control). En función de los privilegios del usuario, se le pedirá consentimiento para realizar la acción o la petición de contraseña para elevar privilegios. El UAC está active por defecto en Vista y todas las nuevas versiones de Windows.

Hasta la publicación de la solución definitiva, que se distribuirá a través de su ciclo habitual de boletines mensuales o en un boletín fuera de ciclo, Microsoft ha publicado una corrección temporal en forma de "Fix it" que bloquea el ataque, bautizada como "OLE packager Shim Workaround". Este "Fix it" está disponible para Microsoft PowerPoint en sistemas Windows 32-bit y x64, a excepción de ediciones de PowerPoint 64-bit es sistemas Windows 8 y Windows 8.1 basados en x64. Hay que señalar que este parche no corrige la vulnerabilidad sino que bloquea los posibles ataques que se han encontrado activos.

Como otras contramedidas se incluyen evitar la ejecución de archivos PowerPoint provenientes de fuentes desconocidas. Microsoft recomienda la instalación de EMET 5.0 (Enhanced Mitigation Experience Toolkit) y activar "Attack Surface Reduction". Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de "exploiting" conocidos. EMET 5.0 tiene soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración. En el aviso de Microsoft se incluye un archivo de configuración adicional para EMET para la protección contra este ataque.

Más información:

Microsoft Security Advisory 3010060
Vulnerability in Microsoft OLE Could Allow Remote Code Execution

Microsoft security advisory: Vulnerability in Microsoft OLE could allow remote code execution

una-al-dia (01/08/2014) Microsoft publica EMET 5.0


Antonio Ropero
Twitter: @aropero



lunes, 20 de octubre de 2014

La actualización 8.1 de Apple iOS soluciona 5 vulnerabilidades

Apple ha liberado la versión 8.1 de su sistema operativo para móviles iOS. Esta versión, además de incluir nuevas funcionalidades y mejoras, contiene cinco correcciones a vulnerabilidades de diversa índole.

Tras los problemas iniciales con iOS y la publicación de las versiones 8.0.1 y 8.0.2 de iOS, dos meses después de la publicación de iOS 8 llega la versión 8.1. Con múltiples funciones nuevas, mejoras y correcciones. Además se han solucionado cinco vulnerabilidades.

Una vulnerabilidad podría permitir a un dispositivo de entrada Bluetooth malicioso establecer una conexión suplantando a un dispositivo legítimo (CVE-2014-4428). Otro problema, con CVE-2014-4448, residía en que archivos transferidos al dispositivo podían grabarse con insuficiente protección criptográfica.

Por otra parte, una vulnerabilidad en la validación de certificados TLS un atacante en una posición privilegiada en la red podría acceder a información sensible en el acceso de datos de clientes iCloud (CVE-2014-4449). Otra vulnerabilidad, con CVE-2014-4450, podría permitir a QuickType aprender las credenciales del usuario. Por último, también se incluye la corrección para la vulnerabilidad en SSL, anunciada recientemente y conocida como Poodle (CVE-2014-3566).

Esta nueva versión está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

About the security content of iOS 8.1

iOS 8.1

una-al-dia (28/09/2014) Apple publica iOS 8.0.2 para solucionar diversos problemas

una-al-dia (15/10/2014) SSL tocado y hundido


Antonio Ropero

Twitter: @aropero

domingo, 19 de octubre de 2014

Descubiertas vulnerabilidades en Panasonic Network Camera

Se han descubierto dos vulnerabilidades en Panasonic Network Camera View y Recorder, reportadas por Ariele Caltabiano (kimiya) y Andrea Micalizzi (rgod) respectivamente. Estas vulnerabilidades permitirían a atacantes remotos ejecutar código arbitrario en el sistema vulnerable.

Panasonic Network Camera View y Recorder permiten al usuario grabar y reproducir en su PC cualquier imagen con sonido a través de su cámara de red conectada con LAN o internet. Soporta formatos MPEG-4 y Motion JPEG, además de la norma H.264 que proporciona compresiones de vídeo de alta calidad.

La primera vulnerabilidad, con identificador CVE-2014-8755, se debe a un problema en la capacidad para anular una dirección arbitraria en la memoria en el método 'GetImageDataPrint' del control ActiveX WebVideoCam. Dicho error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web o un archivo, especialmente manipulados.

La segunda vulnerabilidad, con identificador CVE-2014-8756, se debe a que el método 'GetVOLHeader' puede ser usado para escribir bytes nulos en direcciones arbitrarias de memoria. Esto permite que un atacante remoto pueda ejecutar código arbitrario a través de una página web o bien un archivo, especialmente manipulados.

Las vulnerabilidades se han reportado en versiones Panasonic Network Camera View 3, 4 y Panasonic Network Camera Recorder anteriores a 4.04R03.
Se recomienda actualizar a versiones superiores.

Más información:

Panasonic Network Camera



Juan Sánchez

sábado, 18 de octubre de 2014

Oracle corrige 154 vulnerabilidades en su actualización de seguridad de octubre

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de octubre. Contiene parches para 154 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:

  • Oracle Database 11g Release 1, versión 11.1.0.7
  • Oracle Database 11g Release 2, versiones 11.2.0.3, 11.2.0.4
  • Oracle Database 12c Release 1, versiones 12.1.0.1, 12.1.0.2
  • Oracle Application Express, versiones anteriores a 4.2.6
  • Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.5, 11.1.1.7
  • Oracle Fusion Middleware 11g Release 2, versiones 11.1.2.1, 11.1.2.2, 11.1.2.4
  • Oracle Fusion Middleware 12c, versiones 12.1.1.0, 12.1.2.0, 12.1.3.0
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.8
  • Oracle Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Adaptive Access Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle Endeca Information Discovery Studio versiones 2.2.2, 2.3, 2.4, 3.0, 3.1
  • Oracle Enterprise Data Quality versiones 8.1.2, 9.0.11
  • Oracle Identity Manager, versiones 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
  • Oracle JDeveloper, versiones 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
  • Oracle OpenSSO version 3.0-04
  • Oracle WebLogic Server, versiones 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
  • Application Performance Management, versiones anteriores a 12.1.0.6.2
  • Enterprise Manager for  Oracle Database Releases 10g, 11g, 12c
  • Oracle E-Business Suite Release 11i version 11.5.10.2
  • Oracle E-Business Suite Release 12 versiones 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
  • Oracle Agile PLM, versiones 9.3.1.2, 9.3.3
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0 hasta 6.3.5
  • Oracle PeopleSoft Enterprise HRMS, version 9.2
  • Oracle PeopleSoft Enterprise PeopleTools, versiones 8.52, 8.53, 8.54
  • Oracle JD Edwards EnterpriseOne Tools, version 8.98
  • Oracle Communications MetaSolv Solution, versiones MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
  • Oracle Communications Session Border Controller, version SCX640m5
  • Oracle Retail Allocation, versiones 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
  • Oracle Retail Clearance Optimization Engine, versiones 13.3, 13.4, 14.0
  • Oracle Retail Invoice Matching, versiones 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
  • Oracle Retail Markdown Optimization, versiones 12.0, 13.0, 13.1, 13.2, 13.4
  • Oracle Health Sciences Empirica Inspections, versiones 1.0.1.0 y anteriores
  • Oracle Health Sciences Empirica Signal, versiones 7.3.3.3 y anteriores
  • Oracle Health Sciences Empirica Study, versiones 3.1.2.0 y anteriores
  • Oracle Primavera Contract Management, versiones 13.1, 14.0
  • Oracle Primavera P6 Enterprise Project Portfolio Management, versiones 7.0, 8.1, 8.2, 8.3
  • Oracle JavaFX, versión 2.2.65
  • Oracle Java SE, versiones 5.0u71, 6u81, 7u67, 8u20
  • Oracle Java SE Embedded, versión 7u60
  • Oracle JRockit, versiones R27.8.3, R28.3.3
  • Oracle Fujitsu server, versiones M10-1, M10-4, M10-4S
  • Oracle Solaris, versiones 10, 11
  • Oracle Secure Global Desktop, versiones 4.63, 4.71, 5.0, 5.1
  • Oracle VM VirtualBox, versiones anteriores a 4.1.34, 4.2.26, 4.3.14
  • Oracle MySQL Server, versiones 5.5.39 y anteriores, 5.6.20 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • 31 nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables de forma remota sin autenticación. Afecta a los componentes JPublisher, Java VM, SQLJ, Application Express, JDBC y Core RDBMS.
         
  • Otras 18 vulnerabilidades afectan a Oracle Fusion Middleware. 14 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Adaptive Access Manager, Oracle Enterprise Data Quality, Oracle Identity Manager, Oracle OpenSSO, Oracle Endeca, Information Discovery Studio, Oracle WebLogic Server, Oracle Access Manager y Oracle JDeveloper..
        
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control por vulnerabilidades no explotables de forma remota sin autenticación.
         
  • Dentro de Oracle Applications, 10 parches son para Oracle E-Business Suite, cinco parches son para Oracle Supply Chain Products Suite, cinco para productos Oracle PeopleSoft y uno para productos Oracle JD Edwards.
         
  • Igualmente dentro de Oracle Industry Applications se incluyen dos nuevos parches para Oracle Communications Applications, cuatro nuevos parches para Oracle Retail Applications y tres para Oracle Health Sciences Applications.
         
  • Dos nuevas actualizaciones de seguridad para Oracle Primavera Products Suite.
         
  • En lo referente a Oracle Java SE se incluyen 25 nuevos parches de seguridad. 22 de ellas podrían ser explotadas por un atacante remoto sin autenticar.
         
  • 15 de las vulnerabilidades afectan a a la Suite de Productos Sun, 14 de ellas a Solaris (todas afectan a la versión 11 y dos de ellas también afectan a la 10).
        
  • Siete nuevas actualizaciones afectan a Oracle Virtualization.
        
  • 24 nuevas vulnerabilidades afectan a MySQL Server, Nueve de ellas explotables de forma remota sin autenticación.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - October 2014

Más información:

Oracle Critical Patch Update Advisory - October 2014


Antonio Ropero
Twitter: @aropero

viernes, 17 de octubre de 2014

Android y su malware

Recientemente la empresa de seguridad AdaptiveMobile ha descubierto un nuevo malware que afecta a dispositivos Android (identificado como Selfmite.b por los antivirus). Este malware usa los SMS para propagarse e infectar otros dispositivos. 

En general malware es el término para englobar a todo el software diseñado para hacer algún tipo de daño en un sistema o dispositivo, pueden ser gusanos, troyanos, virus, bombas lógicas… o englobar características de varios de ellos. Puede usar vulnerabilidades del dispositivo de la víctima o simplemente ingeniería social para ejecutarse. En esta entrada, presentamos una selección de varios tipos de malware que afectan a Android en la actualidad y que emplean técnicas de propagación poco habituales.

Malware que se propaga por SMS

El Samsapo.a fue descubierto en abril 2014 por ESET. Para propagarse e infectar otros dispositivos, envía un SMS a los contactos con el mensaje "Это твои фото?" ("Es ésta tu foto?") y un enlace a un APK malicioso. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y ofrece al usuario instalarlo. Si el usuario acepta, el malware se instala en su dispositivo. Este malware puede robar datos personales como números de teléfonos de los contactos, SMS, bloquear llamadas, etc.

El Android/XShenqi.A fue descubierto en agosto de 2014 y llegó a afectar a más de 500. 000 móviles. Fue diseminado durante el día de Santa Valentina en China. Cuando se ejecuta, recoge la lista de contactos y envía un SMS con el mensage "看这个" ("Mira eso" en chino) y un enlace a un APK malicioso (http://.../down/4279193/XXshenqi.apk). Además de eso, el malware graba todos los SMS recibidos por el dispositivo y los reenvía al atacante.

El Selfmite.b es el malware que se propaga a través de SMS descubierto más recientemente. Se trata de una actualización de otro malware similar detectado en junio (Selfmite.a). Este tipo de malware usa los SMS para propagarse, con el mensaje "Look The Self-time" en la primera versión y "Hi buddy, try this, its amazing u know" ("Hola amigo, prueba esto, es increíble") para la segunda versión y acompañado de un enlace a un APK malicioso. Este malware anuncia aplicaciones Android para instalar. Cada vez que el usuario infectado instala alguna de esas aplicaciones el atacante es remunerado (pago por instalación). El atacante puede cambiar las aplicaciones a anunciar cambiando la configuración que se descarga el malware.


Malware que se propaga por Bluetooth

El Backdoor.AndroidOS.Obad.a es un malware que usa el Bluetooth para propagarse. Va a escanear todos los dispositivos en su entorno que tengan el Bluetooth activado y se envía. Si el usuario acepta recibir el archivo (el malware) e instalarlo, quedará infectado. El malware tiene la posibilidad de enviar SMS premium, recibir comandos del servidor del atacante para descargar archivos, enviar la lista de aplicaciones instaladas, enviar los contactos de la víctima, etc.

Malware que se propaga por Whatsapp

El priyanka fue descubierto en julio de 2013. Recoge la lista de contactos de Whatsapp y envía una aplicación (el propio malware) a los contactos. Si el contacto lo acepta y lo instala, vera que el nombre de sus contactos ha cambiado por la cadena "Priyanka".

Todavía, no hemos visto ningún malware que haga uso del Near Field Communication (NFC) para propagarse e infectar otros dispositivos. Aunque el correo electrónico se usa habitualmente para diseminar malware Android directamente por un atacante, en la actualidad no hemos visto ningún malware que haga uso del correo electrónico para infectar otros dispositivos Android.

El usuario puede protegerse desactivando la instalación de los APK que provengan de fuentes no oficiales. En efecto, la mayoría de las infecciones usan la ingeniería social para instalarse en un dispositivo. Por ejemplo, el atacante envía un SMS con un enlace que redireccione a un APK. Cuando el usuario hace un clic sobre el enlace, el dispositivo descarga el APK y propone al usuario de instalar ese mismo APK (es decir la aplicación maliciosa).

Más información:

Android malware worm catches unwary users

Selfmite.a
Selfmite: Attack using SMS worm to increase pay-per-install income

Selfmite.b
Take Two: Selfmite.b Hits the Road

Chinese Worm Infects Thousands of Android Phones

Bluetooth (Backdoor.AndroidOS.Obad.a)
The most sophisticated Android Trojan

Internet via Whatsapp. Priyanka.
WhatsApp users, ignore messages from 'Priyanka' - it's a worm

2014-03-06 - MALICIOUS ANDROID APP



Laurent Delosières

jueves, 16 de octubre de 2014

Actualización para Adobe Flash Player

Adobe ha publicado una actualización para Adobe Flash Player para evitar tres nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 15.0.0.167 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.244 (y 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.406 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB14-22, soluciona dos vulnerabilidades de corrupción de memoria (CVE-2014-0564 y CVE-2014-0558), y otra de desbordamiento de entero (CVE-2014-0569). En todos los casos estos problemas podrían permitir la ejecución remota de código arbitrario.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
* Flash Player Desktop Runtime 15.0.0.189
* Flash Player Extended Support Release 13.0.0.250
* Flash Player para Linux 11.2.202.411
Igualmente se ha publicado la versión 15.0.0.189 de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player




Antonio Ropero
Twitter: @aropero



miércoles, 15 de octubre de 2014

SSL tocado y hundido

Hoy despedimos a SSL. El último clavo necesario para la tapa de su ataúd fue amartillado por tres investigadores a nómina de Google. No tuvo una existencia fácil. Ya desde su nacimiento demostró una debilidad que le auguraba un porvenir lleno de complicaciones.

La primera versión ni siquiera vio la luz, se quedó en la morgue de Netscape. Sus creadores, que al poco presentaron la versión 2.0 al público, vieron como el escrutinio de la comunidad dejó en evidencia al protocolo con una lista de errores de seguridad que desmoronaba la confianza en su criatura. En 1996 se publicaba la versión definitiva de SSL, la tercera. A la tercera va la vencida. Y vencida fue.

En realidad, SSL ha sobrevivido a nuestros días como un reducto del pasado. En 1999 se publicaba la versión 1.0 de TLS. No era un protocolo que se diferenciase técnicamente de SSL. Si leemos el RFC correspondiente, vemos que incluso se refleja en su justificación "Las diferencias entre TLS 1.0 y SSL 3.0 no son dramáticas, pero lo suficientemente razonables para que no interoperen entre ellos". El mensaje era que TLS no iba a ser un SSL 4.0.

SSL ha ido soportando los distintos golpes en forma de BEAST, CRIME, etc. Pero con este último golpe, POODLE (¿GOOGLE?), ya no hay remedio posible, contramedida o unguentum armarium sobre el que prolongar la vida de SSL. Se acabaron las excusas.

POODLE ("Padding Oracle On Downgraded Legacy Encryption") basa su ataque sobre el modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un ataque variante de Padding Oracle. La alternativa a CBC es usar un cifrado por flujo, RC4, pero este último ya fue condenado al destierro. En marzo de 2013 se publicó un ataque que permitía recuperar componentes de un mensaje cifrado con RC4 si estos componentes se repetían con cierta frecuencia. Pensemos en una cookie de sesión dentro de un mensaje HTTP.

¿Entonces va a destruir Poodle a Internet?

No, al igual que Heartbleed, Shellshock u otros tampoco va suceder nada extraordinario. Simplemente se ha de deshabilitar, siempre que se pueda, SSL y si se usa TLS impedir que se efectúe una renegociación hacia SSL si ambas partes, cliente y servidor, soportan TLS.

A día de hoy, en realidad casi todas las conexiones a sitios "conocidos" o la gran mayoría de servidores y clientes se efectúan en TLS. Ahora depende de los actuales sistemas o software soportar una versión u otra de TLS. SSL, en porcentajes, no es un protocolo muy usado, pero está ahí, latente, soportado y preparado para actuar cuando ambas partes no se ponen de acuerdo con TLS. Y ese es el problema que los investigadores proponen como caso de uso de la vulnerabilidad.

En la práctica

Imaginemos una red local, una víctima, sus secretos más codiciados y un atacante. La víctima se conecta a su banco, el atacante efectúa un hombre en el medio, se mete en la conversación del cliente con el banco y decide "estorbar" lo suficiente como para que el navegador de la víctima y el servidor del banco se cansen de negociar que versión de TLS y con el lio terminen usando SSL.

Ahora que se está usando CBC como cifrado, debido entre otras cosas porque en una auditoría al banco le dijeron que se abstuviese de soportar RC4, el atacante solo tiene que capturar una buena cantidad de paquetes para que mediante un análisis comience a obtener "piezas" de esa conversación privada y haga trizas la privacidad.

¿Dejamos de soportar SSL ya?

Sin duda lo haremos. Pero va a ser una despedida agónica. No podemos cortar las amarras y dar la voz de avante a máquinas hoy mismo. Aun hay un número nada despreciable de servidores y clientes obsoletos que se arrastran por los oscuros callejones de Internet que no conocen otro protocolo que SSL.

Como medida, lo único que podemos hacer es evitar que TLS se manche las manos y permita verse degradado a un apestado SSL. Es decir, evitar el escenario que comentábamos anteriormente. Para ello disponemos de una opción que evita que innecesariamente, a clientes y servidores que soporten TLS, se use SSL en su lugar. De esta forma aunque un tercero esté interceptando las comunicaciones y metiendo ruido en el canal no se termine usando SSL.

La opción en cuestión se denomina TLS_FALLBACK_SCSV documentada aquí (https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00). En principio evitaría que en las negociaciones y renegociaciones de sesión segura se cambie de TLS a SSL. Eso para los servidores que tengamos funcionando, de los clientes ya se están encargando los fabricantes (se puede verificar en esta web si el navegador es vulnerable). Por ejemplo Chrome implementa esta opción desde febrero de este año. Al menos algo es algo.

¿Y tú TLS, como andas de clavos?

Más información:

This POODLE Bites: Exploiting The SSL3.0 Fallback

This POODLE bites: exploiting the SSL 3.0 fallback

POODLE Test


David García
Twitter: @dgn1729