domingo, 30 de noviembre de 2014

Nuevos contenidos en la Red Temática CriptoRed (noviembre de 2014)

Breve resumen de las novedades producidas durante el mes de noviembre de 2014 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

APARTADO 1. DOCUMENTOS PUBLICADOS EN LA RED TEMÁTICA EN EL MES DE NOVIEMBRE DE 2014
1.1. Lección 3 Introducción a Bitcoin en el MOOC Sistemas de Pago Electrónico de Crypt4you (María Magdalena Payeras, Andreu Pere Isern , Macià Mut, Grupo SeCOM UIB - España)
1.2. Presentación Ciber conflictos y ciber defensa. Conceptos y retos (Jeimy Cano, UNIANDES - Colombia)

APARTADO 2. PÍLDORAS THOTH PUBLICADAS EN EL MES DE NOVIEMBRE DE 2014
2.1. Vídeo píldora 9: ¿Por qué busca la criptografía la confusión y la difusión?
2.2. Guion píldora 9 en PDF: ¿Por qué busca la criptografía la confusión y la difusión?
(Jorge Ramió, UPM - España)
2.3. Podcast píldora 9 en MP3: ¿Por qué busca la criptografía la confusión y la difusión? (Locución Sandra Benito)
http://www.criptored.upm.es/thoth/material/audio/pildora009.mp3
2.4. Vídeo píldora 10: ¿Cómo se clasifican los sistemas de cifra clásica?
2.5. Guion píldora 10 en PDF: ¿Cómo se clasifican los sistemas de cifra clásica? (Jorge Ramió, UPM - España)
2.6. Podcast píldora 10 en MP3: ¿Cómo se clasifican los sistemas de cifra clásica? (Locución Sandra Benito)
Acceso a todas las píldoras y documentación del proyecto Thoth

APARTADO 3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE NOVIEMBRE DE 2014
3.1. Transformando la función de la seguridad de la información. Anticipando el futuro, entendiendo el presente, Blog IT-Insecurity (Jeimy Cano, UNIANDES - Colombia)
3.2. Vídeo de la conferencia Certificaciones Profesionales, Parte I: Exposición (Antonio Ramos, ISACA - España)
3.3. Vídeo de la conferencia Certificaciones Profesionales, Parte II: Preguntas y debate (Antonio Ramos, ISACA - España)
3.4. Libro Qué es la seguridad informática (Hugo Daniel Scolnik, UBA - Argentina)
3.5. Entrevista de Yago Jesús al Dr. Alfonso Muñoz de ElevenPaths en SecurityByDefault (Alfonso Muñoz, 11Paths -España)

APARTADO 4. VIII CONGRESO CIBSI Y III TALLER TIBETS (Quito - Ecuador)
La ciudad de Quito será la sede del CIBSI y TIBETS en noviembre de 2015, organizado por la Universidad de las Fuerzas Armadas ESPE
En las próximas semanas se hará pública la página web del congreso y se lanzará el primer Call For Papers

APARTADO 5. RELACION CRONOLOGICA DE CONGRESOS, SEMINARIOS Y CONFERENCIAS DESTACADAS
5.1. Diciembre 5 de 2014: II Seminario en Informática y su Impacto en la Sociedad: seguridad de la información (Iquique - Chile)
5.2. Diciembre 5 al 7 de 2014: CyberCamp 2014 (Madrid - España)
5.3. Diciembre 10 y 11 de 2014: VIII Jornadas STIC del Centro Criptológico Nacional CCN-CERT (Madrid - España)
5.4. Febrero 9 al 11 de 2015: 1st International Conference on Information Systems Security and Privacy ICISSP 2015 (Angers - Francia)
5.5. Marzo 1 al 6 de 2015: Circumvention Tech Festival (Valencia - España)
5.6. Marzo 5 al 7 de 2015: Sexta Rooted CON 2015 (Madrid - España)
5.7. Abril 14 de 2015: 1st Cyber-Physical System Security Workshop CPSS 2015 (Singapur)
5.8. Mayo 5 y 8 de 2015: 11st Information Security Practice and Experience Conference ISPEC 2015 (Beijing - China)
5.9. Junio 24 y 25 de 2015: XV Jornada Internacional de Seguridad Informática ACIS (Bogotá - Colombia)
Más información en:

APARTADO 6. TAMBIEN FUE NOTICIA EN LA RED TEMATICA EN EL MES DE NOVIEMBRE DE 2014
6.1. El viernes 7 de noviembre comienzan los retos online de ciberseguridad dentro del CyberCamp Madrid 2014 (España)
6.2. Vídeos de la conferencia de Antonio Ramos en Ciclo de Conferencias de Auditoría Informática de la ETSISI-UPM (España)
6.3. Criptored supera por primera vez 1 terabyte de tráfico cursado en menos de un año (España)
6.4. Celebración de las VIII Jornadas STIC del Centro Criptológico Nacional CCN-CERT en Madrid (España)
6.5. Programa del workshop de tesis doctorales en seguridad en Cybercamp 2014 (España)
6.6. II Seminario en Informática y su Impacto en la Sociedad: seguridad de la información, en UTA Iquique (Chile)
Acceso al contenido de estas noticias:

APARTADO 7. OTROS DATOS DE INTERES Y ESTADISTICAS DE LA RED TEMATICA EN EL MES DE NOVIEMBRE DE 2014
7.1. Número actual de miembros en la red:

7.2. Estadísticas Criptored:
  • 49.790 visitas, con 134.013 páginas solicitadas, 106,48 Gigabytes servidos en noviembre de 2014
  • Documentos zip y pdf descargados en el mes de noviembre: 38.854
  • Visitas al web acumuladas en el año 2014: 476.610 , con 1,07 Terabytes servidos
  • Redes sociales Criptored: 308 seguidores en facebook y 1.982 seguidores en twitter
    http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

7.3. Estadísticas Intypedia:

7.4. Estadísticas Thoth:

7.5. Estadísticas Crypt4you:



Jorge Ramió Aguirre
Director de Criptored

sábado, 29 de noviembre de 2014

Vulnerabilidades en ClamAV

Se han anunciado dos vulnerabilidades en el antivirus ClamAV para las versiones anteriores a la 0.98.5, que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado o provocar denegaciones de servicio. 

ClamAV es un antivirus multiplataforma de código abierto. Entre sus objetivos, además de ser un motor para identificar malware en equipos en los que se instale, también está destinado a trabajar en servidores de correo electrónico para combatir la propagación virus, troyanos y otras amenazas a través del servicio de mensajería electrónica.

La primera vulnerabilidad (con CVE-2013-6497) se produce al escanear un archivo específicamente creado con el comando 'clamscan -a' que podrá provocar condiciones de denegación de servicio. Por otra parte, con CVE-2014-9050, un desbordamiento de búfer al tratar archivos PE específicamente creados podría permitir la ejecución de código arbitrario.

Se ha publicado la versión ClamAV0.98.5 del antivirus, que corrige los fallos. Disponible desde:

Más información:

ClamAV 0.98.5 has been released!



Antonio Ropero
Twitter: @aropero

viernes, 28 de noviembre de 2014

Regin, el nuevo malware de características avanzadas

Tras algunos malware muy relevantes tanto por sus capacidades como por sus avanzadas características técnicas, como stuxnet, duqu, y otras APT de gran repercusión, aparece Regin. Una nueva muestra de malware (que afecta a sistemas Microsoft Windows NT, 2000, XP, Vista y 7) que por sus características parece uno de los malware más sofisticado hasta la fecha.

Symantec y Kaspersky han dado a conocer este malware y ambas compañías coinciden en su sofistificación y avanzadas capacidades que van mucho más lejos de todo lo conocido hasta ahora. 

Aunque Regin es un malware multipropósito, su principal intención es la recopilación de inteligencia y recogida de datos sobre diferentes objetivos que incluyen operadores de telecomunicaciones, instituciones gubernamentales, órganos políticos multinacionales, instituciones financieras, instituciones de investigación e incluso investigadores concretos especializados en criptografía y matemáticas avanzadas.

Arquitectura de Regin según Symantec
Aunque principalmente es un malware destinado al robo de información, tiene la capacidad de cargar funciones personalizadas en función de cada objetivo individual. Tiene la capacidad de instalar un gran número de payloads adicionales, que incluyen muchas características de troyanos de acceso remoto (como realizar capturas de pantalla o tomar el control del ratón). También es capaz de robar contraseñas, monitorizar el tráfico de red, y recuperar información sobre los procesos y utilización de la memoria. Puede buscar archivos eliminados del sistema y recuperar su contenido. También se han encontrado módulos muy específicos para objetivos muy concretos. Como módulos diseñados para monitorizar el tráfico de red de servidores IIS, o para recoger el tráfico de administración de controladores de estaciones base de telefonía móvil o para analizar el correo en bases de datos Exchange.

El nivel de sofisticación y complejidad de este malware hace pensar que el desarrollo de esta amenaza habría necesitado un buen equipo de de desarrolladores durante mucho tiempo (meses e incluso años) para su desarrollo y mantenimiento. Su funcionamiento va mucho más lejos de todo lo visto hasta el momento, no es un simple troyano para la captura de credenciales bancarias, no es una pieza de malware que busque obtener beneficios monetarios inmediatos. Todo ello que hace pensar que detrás de Regin se encuentra un estado o gobierno, y aunque no hay ninguna evidencia que demuestre esta suposición algunas fuentes indican un uso conjunto de Estados Unidos y Reino Unido.

Se desconoce cuándo se crearon y propagaron las primeras muestras de Regin, sin embargo Kaspersky identifica algunas muestras fechadas en 2003. Aunque parece ser que hay múltiples versiones de Regin, se dan dos versiones como principales. La 1.0 que estuvo en uso hasta 2011 y una nueva versión 2.0 que empezó a usarse el 2013.

El nombre de Regin es un giro sobre "In Reg", una forma acortada para decir en el  registro ("In registry"). Haciendo alusión a una forma que tiene el malware de almacenar sus módulos en el registro. Este nombre aparece por primera vez en marzo de 2011.

Algo que tampoco está muy claro y que no ha sido posible reproducir es el método exacto para el compromiso inicial, la forma en que se lleva a cabo la infección. Existen diversas teorías, que incluyen el uso de ataques hombre en el medio con exploits 0-day en el navegador o en alguna otra aplicación.

Arquitectura de Regin, según Kaspersky
Regin actúa en cinco etapas diferentes. La primera etapa actúa como lanzador, el archivo que provoca la infección y que no es posible determinar cómo llega al sistema de la víctima. Esta es la única parte de código que permanece visible en el sistema, a partir de este momento todas las etapas sucesivas y módulos se guardan en el disco duro como Atributos ampliados NTFS, como entradas de registro o en una forma de sistema de archivos virtual cifrado.

Una vez que se instala y ejecuta la primera etapa se encarga de descargar la segunda etapa. De esta forma cada etapa descarga e instala la siguiente etapa. Así el malware se va cargando poco a poco y permanece oculto. El comportamiento es diferente en sistemas 32 bits y 64 bits, con etapas y módulos diferentes en función de la plataforma.

Actualmente, Symantec y Kaspersky sitúan las víctimas en la las víctimas en los siguientes países: Argelia, Afganistán, Arabia Saudí, Austria, Bélgica, Brasil, Fiyi, Alemania, Irán, India, Indonesia, Irlanda, Kiribati, Malasia, México, Paquistán, Rusia y Siria.

Más información:

Regin: Top-tier espionage toolenables stealthy surveillance

The Regin platform
Nation-state ownage of GSM networks

Alert (TA14-329A)
Regin Malware



Antonio Ropero
Twitter: @aropero

jueves, 27 de noviembre de 2014

Una encuesta de Oracle revela la falta de seguridad en las bases de datos

Una encuesta realizada Unisphere Research y patrocinada por Oracle desvela la falta de medidas de seguridad en una gran mayoría de las empresas.

Irónicamente, Oracle una de las compañías más criticadas por la seguridad de sus productos y su modelo de seguridad, publica un informe relacionado con la seguridad en entornos corporativos. Por lo general, los datos publicados reflejan una preocupante falta de seguridad en las bases de datos corporativas.
 
Bajo el título "DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey" se presentan los resultados de una encuesta llevada a cabo entre un grupo de 353 usuarios independientes de Oracle. Un 44% de los encuestados son administradores de bases de datos, seguido por directores. Un tercio trabaja para grandes organizaciones, con más de 10.000 empleados. Por sectores industriales la mayoría de los encuestados son proveedores de servicios, gobierno, educación, servicios financieros y fabricación.

Las empresas reconocen que la mayoría de los riesgos provienen de dentro de la propia compañía, un 81% de los encuestados citan el error humano como mayor preocupación, seguido por un 65% de los posibles ataques internos. Los encuestados también señalan otros tipos de riesgos, por ejemplo, el 54% están preocupados por el abuso de los privilegios de acceso de su propio personal de IT. Un porcentaje similar, un 53%, creen que el código malicioso y los virus son una amenaza para sus sistemas.

Pero a pesar de tener la consciencia del riesgo por parte de los empleados, la mayoría de ellos reconocen tener pocas medidas de seguridad contra algún tipo de incidencia. Un 51% reconocen que no tienen garantías y un 21% desconocen seguro si tienen garantías para prevenir que un administrador o desarrollador puedan eliminar accidentalmente una tabla o que de forma inintencionada puedan provocar algún tipo de daño a las bases de datos críticas.

Respecto al cifrado de datos (tanto los datos internos, datos online o copias de seguridad), una cuarta parte de los encuestados indicó que cifran todos los datos mientras que solo un poco más de la mitad (un 56%) cifran al menos una parte de las copias de seguridad. Por otra parte, solo un 38% de los encuestados confirman realizar algún tipo de acción para la prevención de ataques de inyección SQL.

Respecto a la instalación de los parches de seguridad que Oracle publica trimestralmente, solo un 25% confirma que los aplica en torno a uno o tres meses después de su publicación, e incluso un 8% confirma que nunca ha instalado una actualización de seguridad.

La encuesta también confirma que todavía se realizan pocas auditorías de seguridad de datos, solo una sexta parte realiza una revisión de sus activos de datos al menos una vez mes. Incluso un 6% reconoce no haber realizado nunca una auditoría de seguridad.

Más información:

DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey


Antonio Ropero
Twitter: @aropero


miércoles, 26 de noviembre de 2014

Actualización fuera de ciclo para Adobe Flash Player

Adobe ha publicado una actualización fuera de ciclo para Adobe Flash Player para proporcionar protección adicional contra una vulnerabilidad ya corregida en el popular reproductor. 

Esta actualización, publicada bajo el boletín APSB14-26, proporciona protección adicional contra una vulnerabilidad en el tratamiento de un puntero dereferenciado que podría provocar la ejecución de código (CVE-2014-8439). Anteriormente Adobe ya había incluido protección contra este problema en un boletín anterior (APSB14-22) publicado el 14 de octubre 2014.

Curiosamente, comprobando las vulnerabilidades corregidas en octubre, esta vulnerabilidad no se encontraba listada (se corregían las vulnerabilidades CVE-2014-0558, CVE-2014-0564 y CVE-2014-0569). Realmente, la vulnerabilidad corregida (con CVE-2014-8439), está incluida en un kit de exploit para Flash llamado Anglerdescubierto días después de la publicación de octubre de Adobe y reportado por F-Secure. Pero según han confirmado, la actualización APSB14-22 simplemente impedía la ejecución del exploit sin llegar a corregir totalmente la vulnerabilidad, de ahí la nueva publicación de este boletín fuera de ciclo.

La vulnerabilidad afecta a las versiones de Adobe Flash Player 15.0.0.223 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.252 (y 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.418 (y anteriores) para Linux.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial: 
  • Flash Player Desktop Runtime 15.0.0.239
  • Flash Player Extended Support Release 13.0.0.258
  • Flash Player para Linux 11.2.202.424
Igualmente se ha publicado la versión 15.0.0.239 de Flash Player para Internet Explorer y Chrome (Windows). Y 15.0.0.242 de Flash Player para Chrome (Macintosh).

Más información:

Security updates available for Adobe Flash Player

Security updates available for Adobe Flash Player

una-al-dia (16/10/2014) Actualización para Adobe Flash Player

Out-of-Band Flash Player Update for CVE-2014-8439

CVE-2014-0569 (Flash Player) integrating Exploit Kit




Antonio Ropero
Twitter: @aropero

martes, 25 de noviembre de 2014

Sony Pictures podría haber sufrido una grave intrusión

En las últimas horas se ha conocido, a falta de confirmación oficial, que Sony Pictures, la división de cine de Sony, habría sufrido una intrusión en su red interna que habría obligado a sus empleados a desconectar los equipos e incluso detener la actividad laboral.

Parece ser que durante el lunes todos los empleados de la oficina de New York vieron como cambiaba su pantalla con una imagen poco tranquilizadora, con un mensaje que indicaba "hacked by #GOP". Poco después alguien confirmó que estos mismos síntomas se estaban reproduciendo en todas las oficinas de los Estados Unidos.


Tras ello, los empleados recibieron instrucciones para apagar los ordenadores, no acceder a las redes corporativas ni al correo electrónico, así como desactivar las redes Wi-Fi en todos los dispositivos móviles. A muchos de ellos les ordenaron que se fueran a casa. Los atacantes habrían tomado el control de algunas de las cuentas de Twitter de Sony Pictures, aunque ya habrían sido recuperadas por la compañía.

Según el aviso GOP o Guardians of Peace (Guardianes de la paz), como se autodenominan el grupo de atacantes detrás de la intrusión. Han dejado un archivo ZIP de más de 200 megas que incluyen dos listas con detalles del nombre de archivos que habrían sido borrados, dos archivos en formato texto de cerca de un Giga de tamaño entre los dos.

Las listas contienen los archivos supuestamente robados de los ordenadores de la red de Sony. Uno de los archivos contiene más de 18 millones de entradas y otro con más de 19 millones. Casi 38 millones de archivos en total, que incluyen hojas de cálculo, documentos (doc y pdf), archivos de texto, contraseñas, bases de datos, imágenes, claves privadas, etc…

Según el grupo estas listas contendrían todos los archivos sustraídos. La lista es real, puede ser descargada por cualquiera. Si se confirma, será mucho material robado, una cantidad masiva de datos y documentación sensible que perjudicaría seriamente a Sony. Hasta el momento no hay ninguna comunicación oficial por parte de la compañía. Por otra parte, tampoco han faltado voces que dudan sobre la realidad del ataque. Seguramente en los próximos días habrá más información sobre el transcurso de las investigaciones.

No es la primera vez que Sony sufre una intrusión grave, hace tres años Sony ya sufrió una grave intrusión enPlayStation Network (PSN) que dejó expuestos los datos de millones de usuarios de la consola PlayStation y una sequía de varias semanas en la que la red de jugadores permaneció completamente fuera de línea.

Más información:

I used to work for Sony Pictures. My friend still works there and sent me this. It's on every computer all over Sony Pictures nationwide

una-al-dia (26/04/2011) Sony reconoce una intrusión en PlayStation Network


Antonio Ropero
Twitter: @aropero



lunes, 24 de noviembre de 2014

Múltiples vulnerabilidades en Moodle

Moodle ha publicado 15 alertas de seguridad en las que se corrigen vulnerabilidades con diversos efectos, desde los habituales XSS hasta inyección de código. Se ven afectadas todas las ramas soportadas 2.7, 2.6, 2.5 y anteriores versiones ya fuera de soporte.

Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado 15 boletines de seguridad (del MSA-14-0035 al MSA-14-0049), entre ellos seis considerados como serios. Estos podían permitir ataques Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), revelar información y eludir restricciones de seguridad.

Los identificadores asignados comprenden del CVE-2014-7830 al CVE-2014-7838 y del CVE-2014-7845 al CVE-2014-7848, aunque un par de vulnerabilidades aun está pendientes de asignación.

Las versiones 2.8, 2.7.3, 2.6.6 y 2.5.9 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle.

Más información:

Moodle downloads

MSA-14-0035: Headers not added to some AJAX scripts

MSA-14-0036: XSS in mapcourse script in Feedback module

MSA-14-0037: Weak temporary password generation

MSA-14-0038: Hidden grade information exposed by web services

MSA-14-0039: Insufficient access check in LTI module

MSA-14-0040: Information leak in Database activity module

MSA-14-0041: Lack of capability check in tags list access

MSA-14-0042: Lack of access check in IP lookup functionality

MSA-14-0043: Lack of group check in web service for Forum

MSA-14-0044: Hardware path disclosed in the error message

MSA-14-0045: XSS file upload possible through web service

MSA-14-0046: CSRF in LTI module

MSA-14-0047: Possible data loss in Wiki activity

MSA-14-0048: CSRF in forum tracking toggle

MSA-14-0049: Possible to print arbitrary message to user by modifying URL


  
Juan Sánchez


domingo, 23 de noviembre de 2014

Vulnerabilidad en DLSw de Cisco IOS permite obtener información sensible

Se ha identificado una vulnerabilidad en la funcionalidad Data-link Switching (DLSw) en Cisco IOS que puede ser aprovechada por atacantes remotos sin autenticar para obtener información sensible de los paquetes procesados anteriormente.
  
La vulnerabilidad, con CVE-2014-7992, reside en una falta de inicialización de búfers de paquetes. Un atacante podría explotar esta vulnerabilidad mediante una conexión al puerto DLSw (TCP/2067) para obtener información sensible de los paquetes procesados previamente, incluyendo contraseñas en texto claro y cadenas de comunidad SNMP.

El problema está confirmado en Cisco IOS versión 15.4(2)T3 y anteriores. Cisco no ofrece actualizaciones gratuitas para este problema. Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas.

Más información:

Cisco IOS Software DLSw Information Disclosure Vulnerability



Antonio Ropero

Twitter: @aropero

sábado, 22 de noviembre de 2014

Boletines de seguridad para Asterisk

Asterisk ha publicado siete boletines de seguridad (AST-2014-012 al AST-2014-018) que solucionan otras tantas vulnerabilidades que podrían permitir a atacantes remotos permitir acceso no autorizado, ataques de denegación de servicio o de elevación de privilegios.

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los problemas (AST-2014-012) reside en el tratamiento de listas de control de acceso con múltiples direcciones IP mezcladas lo que podría permitir el tráfico no autorizado. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.28.

Por otra parte, en el boletín AST-2014-013, se trata una vulnerabilidad que podría el acceso no autorizado debido a que no se cargan debidamente las listas de control de acceso definidas en pjsip.conf. Este problema afecta a Asterisk Open Source 12.x y 12.x; así como a Certified Asterisk 11.6.

El boletín AST-2014-014 trata una vulnerabilidad en ConfBridge que podría provocar condiciones de denegación de servicio. Este problema afecta a Asterisk Open Source 11.x y a Certified Asterisk 11.6.

Dos de los problemas (AST-2014-015 y AST-2014-016) residen en el controlador del canal PJSIP y podrían permitir a un atacante remoto provocar condiciones de denegación de servicio. Afectan a las ramas 12 y 13 de Asterisk Open Source.

En el boletín AST-2014-017 se soluciona una vulnerabilidad de escala de privilegios a través de las funciones dialplan y actions. Este problema afecta a las ramas 11.x, 12.x y 13.x de Asterisk Open Source y a Certified Asterisk 11.6.

Por último, el boletín AST-2014-018, soluciona una vulnerabilidad de escalada de privilegios a través de la función DB del dialplan. Este problema afecta a Asterisk Open Source 1.8.x y las ramas 11.x, 12.x y 13.x; así como a Certified Asterisk 11.6 y 1.8.x.

Se han publicado las versiones Asterisk Open Source 1.8.32.1, 11.14.1, 12.7.1 y 13.0.1; y Certified Asterisk 1.8.28-cert3 y 11.6-cert8 que solucionan los problemas descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.

Más información:

Mixed IP address families in access control lists may permit unwanted traffic

PJSIP ACLs are not loaded on startup     

High call load may result in hung channels in ConfBridge

Remote Crash Vulnerability in PJSIP channel driver

Remote Crash Vulnerability in PJSIP channel driver

Permission escalation through ConfBridge actions/dialplan functions


Antonio Ropero

Twitter: @aropero

viernes, 21 de noviembre de 2014

Google publica Chrome 39 y corrige 42 vulnerabilidades

Google ya no sorprende con sus actualizaciones de Chrome, prácticamente todos los meses nos ofrecen una nueva versión. En octubre publicaba Chrome 38, y poco más de un mes después anuncia la nueva versión 39 del navegador. Se publica la versión 39.0.2171.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 42 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido el soporte para 64 bits en Mac, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 42 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 42 vulnerabilidades, solo se facilita información de 13 de ellas.

Una vulnerabilidad de falsificación de la barra de direcciones (CVE-2014-7899), un error que permite la navegación a los intentos que no tienen la categoría de navegable (CVE-2014-7905), una vulnerabilidad de doble liberación en Flash (CVE-2014-0574) y otro problema por memoria sin inicializar en Skia (CVE-2014-7909).

Otras vulnerabilidades están relacionadas con el uso después de liberar memoria en pdfium (CVE-2014-7900 y CVE-2014-7902), en plugins pepper (CVE-2014-7906) y en blink (CVE-2014-7907). Dos vulnerabilidades por desbordamiento de entero en pdfium (CVE-2014-7901) y en media (CVE-2014-7908). Y vulnerabilidades de desbordamiento de búfer en pdfium (CVE-2014-7903) y en Skia (CVE-2014-7904).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-7910). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 41.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

una-al-dia (08/10/2014) Google publica Chrome 38 y corrige 159 vulnerabilidades



Antonio Ropero
Twitter: @aropero

jueves, 20 de noviembre de 2014

La actualización 8.1.1 de Apple iOS soluciona 9 vulnerabilidades

Apple ha liberado la versión 8.1.1 de iOS, su sistema operativo para dispositivos móviles (iPAd, iPhone e iPod). Esta versión, además de proporcionar mayor estabilidad y mejorar el funcionamiento del sistema en el iPad 2 y el iPhone 4s, contiene nueve correcciones a vulnerabilidades de diversa índole.

Los problemas corregidos residen en CFNetwork (CVE-2014-4460) debido a que no se limpia totalmente la cache web tras una sesión de navegación privada, en Spotlight (CVE-2014-4453) debido a que se incluye información innecesaria como parte de la conexión inicial entre Spotlight o Safari y los servidores Spotlight Suggestions.

Una vulnerabilidad (CVE-2014-4455) en dyld podría permitir a un usuario local la ejecución de código sin firmar y un problema de validación en el kernel al tratar ciertos campos de metadatos podría permitir la ejecución de código con privilegios del sistema (CVE-2014-4461). Dos problemas en la pantalla de bloqueo podrían permitir a usuarios con acceso al dispositivo exceder el número de intentos fallidos de introducción de contraseña (CVE-2014-4451) o acceder a las fotos de la Librería (CVE-2014-4463).

Una vulnerabilidad en los perfiles de la Sandbox podría permitir a una aplicación maliciosa lanzar binarios arbitrarios (CVE-2014-4457). Por último, múltiples vulnerabilidades de corrupción de memoria en WebKit (CVE-2014-4452 y CVE-2014-4462), que podrían permitir la ejecución de código arbitrario al visitar una página web específicamente creada.

Esta nueva versión está disponible para los dispositivos Apple iPhone 4s y posteriores, iPad 2 y posteriores e iPod a partir de 5ª generación. La actualización está disponible a través de iTunes o del propio dispositivo (en Ajustes/General/Actualización de software).

Más información:

About the security content of iOS 8.1.1

iOS 8.1.1



Antonio Ropero
Twitter: @aropero

miércoles, 19 de noviembre de 2014

Actualizaciones de seguridad para Wireshark

Wireshark Foundation ha publicado cuatro boletines de seguridad que solucionan un total de cinco vulnerabilidades en las ramas 1.10 y 1.12.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Los errores de seguridad corregidos en los boletines podrían llegar a provocar una denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados.

Las vulnerabilidades son las siguientes: 
  • CVE-2014-8710: el disector 'SigComp' podría leer fuera de los límites de un buffer de memoria.
         
  • CVE-2014-8711: un error no especificado en el disector 'AMQP' que podría causar el cierre de la aplicación.
         
  • CVE-2014-8712 y CVE-2014-8713: múltiples errores en el disector 'NCP' que podrían causar el bloqueo de la aplicación.
          
  • CVE-2014-8714: error en el disector 'TN5250' que podría causar la entrada en un bucle infinito.

Las vulnerabilidades se han solucionado en las versiones 1.10.11 y 1.12.2 ya disponibles para su descarga desde la página oficial del proyecto.

Más información:

wnpa-sec-2014-20. SigComp UDVM buffer overflow

wnpa-sec-2014-21. AMQP dissector crash

wnpa-sec-2014-22. NCP dissector crashes

wnpa-sec-2014-23. TN5250 infinite loops



Juan José Ruiz

martes, 18 de noviembre de 2014

Microsoft publica el boletín MS14-068 fuera de ciclo y soluciona vulnerabilidad en Kerberos

Microsoft ha publicado el boletín de seguridad MS14-068 fuera de su ciclo habitual de actualizaciones para solucionar una vulnerabilidad en Kerberos. Este boletín, que según la propia clasificación de Microsoft presenta un nivel de gravedad "crítico", se corresponde a uno de los no publicados el pasado martes.

Este boletín resuelve una vulnerabilidad (con CVE-2014-6324) en Microsoft Windows Kerberos KDC que podría permitir a un atacante elevar sus privilegios de cuenta de usuario de dominio a los de la cuenta de su administrador de dominio. Un atacante podrá usar estos privilegios elevados para comprometer cualquier sistema del dominio, incluidos los controladores de dominio.

Microsoft reconoce que en el momento de la publicación del boletín, se conocen ataques dirigidos que intentan explotar esta vulnerabilidad. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.

Esta actualización puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más información:

Microsoft Security Bulletin MS14-068 - Critical

una-al-dia (11/11/2014) Microsoft publica 14 boletines de seguridad y retrasa la publicación de dos


Antonio Ropero
Twitter: @aropero


lunes, 17 de noviembre de 2014

Apple publica actualización de seguridad para OS X Yosemite

Apple ha publicado una actualización para su sistemas operativo OS X Yosemite 10.10, que soluciona cuatro problemas de seguridad, además de incluir otras mejoras y correcciones no relacionadas con la seguridad. 

Los problemas corregidos residen en CFNetwork (CVE-2014-4460) debido a que no se limpia totalmente la cache web tras una sesión de navegación privada, en Spotlight (CVE-2014-4453) debido a que se incluye información innecesaria como parte de la conexión inicial entre Spotlight o Safari y los servidores Spotlight Suggestions. En System Profiler About This Mac (CVE-2014-4458) se incluye cookies innecesarias como parte de la conexión a un sistema para determinar su modelo y usuarios directos. Por último, una vulnerabilidad de uso después de liberar memoria en WebKit (CVE-2014-4459), que podría permitir la ejecución de código arbitrario.

Esta actualización incluye otras mejoras de estabilidad y compatibilidad no relacionadas de forma directa con la seguridad. Entre otras se ha mejorado la fiabilidad Wi-Fi, la conexión a servidores Microsoft Exchange, y se han corregido problemas en la conexión a sistemas remotos con Back to My Mac, en la configuración de Notification Center, en la Mac App Store y en Time Machine.

Se puede emplear "Software Update" para comprobar las últimas actualizaciones disponibles empleando la "Mac App Store". O descargándola desde:

Más información:

OS X Yosemite 10.10.1 Update

About the security content of OS X Yosemite v10.10.1

About the OS X Yosemite v10.10.1 Update

Antonio Ropero
Twitter: @aropero

domingo, 16 de noviembre de 2014

Microsoft publica EMET 5.1

EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) es una gran utilidad para mitigar la explotación de vulnerabilidades mediante la inclusión de capas de protección adicionales. Microsoft ha anunciado la publicación de la nueva versión EMET 5.1 que soluciona varios problemas de compatibilidad y mejora determinadas mitigaciones.

En una-al-día hemos mencionado frecuentemente EMET como contramedida para gran parte de las vulnerabilidades que se anuncian, especialmente indicado y recomendado para las de 0-day. En agosto se publicó EMET 5.0, un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Básicamente, Enhanced Mitigation Experience Toolkit es un programa para forzar el uso de DEP y ASLR en todos los procesos y programas, pero además previene de las técnicas habitualmente empleadas por los exploits para eludir estas medidas.

Esta nueva versión resuelve varios problemas de compatibilidad de las aplicaciones con Internet Explorer, Adobe Reader, Adobe Flash y Mozilla Firefox y algunas de las migraciones de EMET. Entre las mejoras se incluye una configuración predeterminada de EAF+ para Google Chrome y Oracle Java 8. También se han mejorado y fortalecido ciertas migraciones para hacerlas más resistentes a ataques y desviaciones y se ha agregado la función "Telemetría local" que permite guardar localmente las descargas de memoria cuando se activa una migración. 

El uso de Internet Explorer 11 en un sistema con EMET 5.0
provoca un error que impide el uso del navegador tras la
actualización de seguridad de noviembre de IE
Si se usa EMET 5.0, es especialmente importante la actualización a la nueva versión si se utiliza Internet Explorer 11 (en Windows 7 o 8.1), ya que se han encontrado problemas de compatibilidad (que podrían impedir usar el navegador) con la actualización de seguridad de noviembre de Internet Explorer (MS14-065) y la mitigación de EAF+. Otra medida pasa por deshabilitar EAF+ temporalmente en EMET 5.0 para evitar los problemas. En la Guía del usuario se muestran detalles sobre cómo deshabilitar la mitigación EAF+. En general, se recomienda actualizar a la versión más reciente de EMET para beneficiarse de todas las mejoras.

EMET 5.1 está disponible para descarga desde:

Más información:

Hay una actualización disponible para el Kit de herramientas de Experiencia de mitigación mejorada 5.0: 10 de noviembre, 2014

Enhanced Mitigation Experience Toolkit 5.1

una-al-dia (01/08/2014) Microsoft publica EMET 5.0


Antonio Ropero

Twitter: @aropero

sábado, 15 de noviembre de 2014

Publicadas las píldoras formativas 9 y 10 del proyecto Thoth dedicadas a la difusión, la confusión y clasificación de la cifra clásica

Se han publicado las píldoras formativas 9 y 10 del proyecto Thoth de Criptored con títulos "¿Por qué busca la criptografía la confusión y la difusión?" y "¿Cómo se clasifican los sistemas de cifra clásica?".

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los tres minutos), muy didácticos y sobre temas muy específicos.

La píldora 9 lleva por título ¿Por qué busca la criptografía la confusión y la difusión?, y en ella se analizan las dos técnicas que usan los algoritmos de cifra, tanto clásica como moderna, para enmascarar el texto en claro y proteger el secreto de la información.

Acceso directo a la píldora 9:


Por su parte, la píldora 10 de título es ¿Cómo se clasifican los sistemas de cifra clásica?, presenta esta clasificación atendiendo al tipo de operación que se realizará al texto en claro durante la cifra para lograr bien la difusión mediante métodos de transposición, o bien la confusión mediante métodos de sustitución.

Acceso directo a la píldora 10:


Todos los vídeos del proyecto Thoth cuentan con archivo srt de subtítulos en YouTube para personas con limitaciones auditivas y archivo podcast mp3 de audio para personas con limitaciones visuales.

Puede acceder a los vídeos, documentación en pdf y podcast en mp3 de estas píldoras así como de todas las anteriores, desde la página web del proyecto Thoth:

La próxima entrega del proyecto Thoth en diciembre de 2014 contempla las píldoras 11 y 12:
Píldora 11: ¿Cifrando dentro de un cuerpo?
Píldora 12: ¿Qué son los inversos multiplicativos en un cuerpo?


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth