sábado, 30 de abril de 2016

Vulnerabilidades en el protocolo NTP

Se han anunciado 11 vulnerabilidades en el protocolo Network Time Protocol (NTP), que podrían permitir modificar el reloj de los sistemas atacados o provocar condiciones de denegación de servicio.

NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.

La lista de problemas es amplia, calificados por ntp.org como de gravedad baja a media. Entre las vulnerabilidades más destacables podemos reseñar un fallo (con CVE-2016-1551) en el filtrado de paquetes del rango de red 192.0.0.0/8 podría permitir a un atacante que envíe paquetes falsificados modificar el reloj del sistema atacado.

A priori, no parece importante que se pueda modificar el reloj de un sistema. Sin embargo, tiene consecuencias indirectas sobre otras funcionalidades. Por ejemplo, cambiar la fecha a un año atrás haría al sistema aceptar certificados ya revocados con la clave privada comprometida, lo que permitiría realizar un ataque de suplantación de identidad. Además de afectar a servicios de autenticación como Kerberos y Active Directory, que dependen de un reloj en hora para su correcto funcionamiento.

Otro problema interesante, con CVE-2016-1550, resulta de la diferencia de tiempo al enviar un paquete de error cuando no se corresponde el resumen contenido en un paquete con el valor calculado por el cliente utilizando la clave secreta. Esto es, en comparación, desajustes en los primeros bytes generan paquetes crypto-NAK antes que los desajustes en los últimos bytes. Los atacantes pueden descubrir el valor de la clave compartida por un ataque de fuerza bruta al resumen MD5 y el examen del tiempo de los paquetes de crypto-NAK devueltos. Una vez conocida la clave el atacante podrá enviar paquetes NTP que serán autenticados como válidos.

Más problemas residen en que ntpd es vulnerable ante ataques Sybil (CVE-2016-1549), que pueden permitir la  creación de múltiples asociaciones peer-to-peer, y facilitar la falsificación del reloj del sistema. También (con CVE-2016-1548) la posibilidad de forzar a un cliente ntpd para cambiar del modo cliente-servidor básico a simétrico. Esto podría permitir al atacante cambiar el reloj o provocar denegaciones de servicio.

Se recomienda actualizar a la versión 4.2.8p7 disponible desde:

Más información:

April 2016 NTP-4.2.8p7 Security Vulnerability Announcement (Medium)

Vulnerability Spotlight: Further NTPD Vulnerabilities


Antonio Ropero

Twitter: @aropero

viernes, 29 de abril de 2016

Actualización de seguridad de Subversion

Apache ha publicado Subversion 1.8.16 y 1.9.4 destinadas a solucionar dos vulnerabilidades que podrían permitir provocar denegaciones de servicio o la posibilidad de autenticación con "realms" erróneos.

Subversion es un sistema de control de versiones Open Source, que en la actualidad pertenece a la Apache Software Foundation. Utiliza el concepto de revisión para guardar los cambios producidos en el repositorio, además de proporcionar un entorno eficiente y muy flexible.

El primer problema, con CVE-2016-2167, reside en que svnserve (el protocol de servidor svn://) puede utilizar de forma opcional la librería Cyrus SASL para autenticación, integridad y cifrado. Debido a un error de programación, la autenticación contra Cyrus SASLpodría permitir a un usuario remoto especificar una cadena realm que sea el prefijo de la cadena realm esperada. Esto podría permitir la autenticación en otros realms diferentes. P.ej. el usuario "prueba" en el realm "Texto", podría autenticarse con éxito en un repositorio cuyo realm sea "TextoNuevo". Solo afecta a repositorios servidor por svnserve usando SASL.

Por otra parte, con CVE-2016-2168, una vulnerabilidad de denegación de servicio en servidores httpd de Subversion en el módulo mod_authz_svn. El fallo se produce durante la comprobación de la autorización de peticiones COPY o MOVE con cabeceras específicamente manipuladas.

Apache ha publicado las versiones 1.8.16 y 1.9.4 que solucionan estos problemas, y otros fallos no relacionados con problemas de seguridad. Se encuentran disponibles desde:

Más Información:

svnserve/sasl may authenticate users using the wrong realm

Remotely triggerable DoS vulnerability in mod_authz_svn during COPY/MOVE authorization check.




Antonio Ropero

Twitter: @aropero

jueves, 28 de abril de 2016

Actualización para Adobe Analytics AppMeasurement para librería Flash

Tras las recientes actualizaciones de Adobe de los últimos días, la compañía ha publicado una actualización para Analytics AppMeasurement para librería Flash que podría permitir la construcción de ataques de cross-site scripting basado en DOM.

En el boletín de seguridad APSB16-13 de Adobe se recoge una actualización, calificada como importante, para Adobe Analytics AppMeasurement para librería Flash versión 4.0 (y anteriores). Los desarrolladores pueden añadir este componente a los proyectos para registrar cuanta gente usa la aplicación Flash y lo que hace.

El problema solo afecta a AppMeasurement para Flash cuando esté activa la opción "debugTracking" (en la configuración por defecto está desactivada).

La vulnerabilidad (con CVE-2016-1036), de la que no se han facilitado detalles, podría permitir a un atacante construir ataques de cross-site scripting basados en DOM. En los ataques XSS basados en DOM se modifica el entorno DOM en el navegador de la víctima. Esto es, la página en sí (la respuesta http) no cambia (como ocurre en los XSS tradicionales), pero el código contenido en la página en el lado del cliente se ejecuta de forma diferente debido a las modificaciones realizadas por el ataque en el entorno DOM.

El problema fue reportado por el investigador Randy Westergren (‎@RandyWestergren) que ha confirmado que en un par de semanas publicará los detalles técnicos.  

Adobe ha publicado Analytics AppMeasurement para librería Flash 4.0.1. El problema debe ser corregido por los desarrolladores, que deberán reconstruir los proyectos con la librería actualizada, disponible para descarga desde la consola Analytics.

Más información:


Security update available for the Adobe Analytics AppMeasurement for Flash Library

DOM Based XSS


Antonio Ropero
Twitter: @aropero

miércoles, 27 de abril de 2016

Mozilla publica Firefox 46 y corrige 14 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 46 de Firefox, junto con 10 boletines de seguridad destinados a solucionar 14 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.1.

Hace mes y medio que Mozilla publicó la versión 45 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras., como la mejora de la seguridad del compilador JavaScript en tiempo de ejecución.

Por otra parte, se han publicado 10 boletines de seguridad del año (del MSFA-2016-039 al MSFA-2016-048). Solo uno de ellos está considerado crítico, cuatro son de gravedad alta y los cinco restantes de nivel moderado. En total se corrigen 14 nuevas vulnerabilidades en Firefox.

Tres de los boletines publicados también afectan a  Firefox ESR 45.1 (versión de soporte extendido) especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.

Las vulnerabilidades críticas residen en cuatro problemas (CVE-2016-2804 al CVE-2016-2807) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. 

Las vulnerabilidades de gravedad alta residen en una escritura inválida por un desbordamiento a través del método JavaScript .watch() que podría permitir la ejecución arbitraria de código (CVE-2016-2808). Un desbordamiento de búfer en la libería libstagefright por el tratamiento de offsets CENC (CVE-2016-2814). Vulnerabilidades en Firefox para Android al usar datos de orientación y de los sensores de movimiento a través de JavaScript en el navegador del dispositivo, que podrían permitir comprometer la privacidad del usuario (incluso descubrir el código PIN y otras actividades del usuario) (CVE-2016-2813). Una vulnerabilidad de uso después de liberar por un objeto ServiceWorkerInfo (CVE-2016-2811) y un desbordamiento de búfer en ServiceWorkerManager (CVE-2016-2812).

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Más información:

Firefox Notes
Version 46.0

Mozilla Foundation Security Advisories

una-al-dia (10/03/2016) Mozilla publica Firefox 45 y corrige 40 nuevas vulnerabilidades



Antonio Ropero
Twitter: @aropero




martes, 26 de abril de 2016

Actualizaciones de seguridad para Wireshark

Wireshark Foundation ha publicado diez boletines de seguridad que solucionan otras tantas un total de siete vulnerabilidades en la rama 1.12.x y nueve en la 2.0.x.

Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

Los errores de seguridad corregidos en los boletines podrían llegar a provocar una denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados.

Las vulnerabilidades son debidas a los errores siguientes:

  • CVE-2016-4076: un fallo al no inicializar la memoria para los patrones de búsqueda en 'epan/dissectors/packet-ncp2222.inc' en el disector 'NCP'.
         
  • CVE-2016-4077: el incorrecto manejo de estructuras de datos 'Tvb' truncadas en 'epan/reassemble.c' en Tshark.
         
  • CVE-2016-4078: la falta de control en las listas de elementos en 'epan/dissectors/packet-capwap.c' y 'epan/dissectors/packet-ieee80211.c' en el disector 'IEEE 802.11' causaría un bucle recursivo.
         
  • CVE-2016-4079: una falta de verificación de identificadores BER en 'epan/dissectors/packet-pktc.c' en el disector 'PKTC'' causaría una escritura fuera de límites.
         
  • CVE-2016-4080: un error al analizar campos 'timestamp' en 'epan/dissectors/packet-pktc.c' en el disector 'PKTC'' podría causar una lectura fuera de límites.
         
  • CVE-2016-4081: un uso incorrecto del tipo de datos entero en 'epan/dissectors/packet-iax2.c' en el disector 'IAX2' podría causar una entrada en un bucle infinito.
         
  • CVE-2016-4082: el uso de la variable incorrecta para indexar un array en 'epan/dissectors/packet-gsm_cbch.c' en el disector 'GSM CBCH' causaría un acceso fuera de límites.
         
  • CVE-2016-4083: un error al no garantizar la disponibilidad de los datos antes de asignar el array en 'epan/dissectors/packet-mswsp.c' en el disector 'MS-WSP'.
         
  • CVE-2016-4084: un desbordamiento de enteros en 'epan/dissectors/packet-mswsp.c' en el disector 'MS-WSP'.
             
  • CVE-2016-4085: un error al procesar cadenas largas en 'epan/dissectors/packet-ncp2222.inc' en el disector 'NCP' podría causar un desbordamiento de memoria.


Las vulnerabilidades se han solucionado en las versiones 1.12.11 y 2.0.3 ya disponibles para su descarga desde la página oficial del proyecto.

Más información:

wnpa-sec-2016-19 · NCP dissector crash

wnpa-sec-2016-20 · TShark reassembly crash

wnpa-sec-2016-21 · IEEE 802.11 dissector crash

wnpa-sec-2016-22 · PKTC dissector crash

wnpa-sec-2016-23 · PKTC dissector crash

wnpa-sec-2016-24 · IAX2 infinite loop

wnpa-sec-2016-25 · Wireshark and TShark crash

wnpa-sec-2016-26 · GSM CBCH dissector crash

wnpa-sec-2016-27 · MS-WSP dissector crash

wnpa-sec-2016-28 · NCP dissector crash



Juan José Ruiz

lunes, 25 de abril de 2016

Publicada la píldora formativa Thoth 35 "¿Cómo funciona el algoritmo RC4?"

Se ha publicado la píldora formativa 35 del proyecto Thoth, cuarta y última píldora de la serie dedicada a la cifra en flujo. La píldora Thoth 35 lleva por título "¿Cómo funciona el algoritmo RC4?"

RC4, acrónimo de Ron's Code número 4, es un algoritmo de cifrado en flujo diseñado por Ronald Rivest en el año 1987 y guardado en secreto durante años. Sin embargo, en 1994 su código se hace público mediante un post anónimo enviado a la lista de correo de Cipherpunks. El algoritmo es muy simple. Consiste en cifrar un mensaje mediante una operación or exclusivo byte a byte entre éste y una secuencia de clave, cuyos bytes van cambiando dinámicamente durante la cifra. Para generar dicha secuencia cifrante, se cuenta con dos rutinas conocidas como KSA y PRGA.

"¿Cómo funciona el algoritmo RC4?"

https://www.youtube.com/watch?v=G3HajuqYH2U

El proyecto Thoth con casi dos años de vida y más de 75.000 reproducciones en YouTube publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Se puede acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de todas las anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda de vídeos mediante los siguientes filtros: Fundamentos de seguridad, Criptografía clásica, Historia de la criptografía, Matemáticas en criptografía, Criptografía moderna.

Recuerda que tus comentarios en YouTube son muy bien recibidos, importantes y además necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth en mayo de 2016 será la píldora 36 con el título "¿Qué es el código Base64?"

Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

domingo, 24 de abril de 2016

Cuatro nuevas vulnerabilidades en Squid

Se han publicado dos boletines de seguridad destinados a solucionar cuatro nuevas vulnerabilidades en SQUID versiones 2.x, 3x y 4.x que podrían permitir a atacantes remotos provocar condiciones de denegación de servicio, conseguir información sensible o ejecutar código arbitrario.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

Tres de las vulnerabilidades residen en desbordamientos de búfer y validación incorrecta de entradas en el tratamiento de respuestas ESI (Edge Side Includes) que podrían dar lugar a denegaciones de servicio de todo el sistema, obtención de información sensible o ejecución de código arbitrario. Afectan a Squid 3.x y Squid 4.x. Se han asignado los CVE-2016-4052, CVE-2016-4053 y CVE-2016-4054.

Por otra parte, con CVE-2016-4051, otra vulnerabilidad de desbordamiento de búfer en la herramienta cachemgr.cgi al tratar entradas remotas reenviadas desde Squid. Afecta a Squid 2.x, Squid 3.x y Squid 4.x

Los problemas están solucionados en las versiones Squid 3.5.17 y 4.0.9, o se puede también aplicar los parches disponibles desde:
Para Squid 3.2:
http://www.squid-cache.org/Versions/v3/3.2/changesets/squid-3.2-11841.patch
http://www.squid-cache.org/Versions/v3/3.2/changesets/SQUID-2016_5.patch
Para Squid 3.3:
http://www.squid-cache.org/Versions/v3/3.3/changesets/squid-3.3-12697.patch
http://www.squid-cache.org/Versions/v3/3.3/changesets/SQUID-2016_5.patch
Para Squid 3.4:
http://www.squid-cache.org/Versions/v3/3.4/changesets/squid-3.4-13235.patch
http://www.squid-cache.org/Versions/v3/3.4/changesets/SQUID-2016_5.patch
Para Squid 3.5:
http://www.squid-cache.org/Versions/v3/3.5/changesets/squid-3.5-14034.patch
http://www.squid-cache.org/Versions/v3/3.5/changesets/SQUID-2016_5.patch

Hace apenas 15 días, ya se publicaron actualizaciones para otras dos vulnerabilidades diferentes que podían permitir a atacantes remotos provocar condiciones de denegación de servicio o conseguir información sensible de la memoria.

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2016:5
Buffer overflow in cachemgr.cgi

Squid Proxy Cache Security Update Advisory SQUID-2016:6
Multiple issues in ESI processing.

una-al-dia (09/04/2016) Solucionadas dos vulnerabilidades en Squid



Antonio Ropero

Twitter: @aropero

sábado, 23 de abril de 2016

Actualizaciones para diversos dispositivos Cisco

Cisco ha anunciado un total de cinco vulnerabilidades en múltiples dispositivos que podrían permitir a un atacante provocar condiciones de denegación de servicio o ejecutar código arbitrario. Los problemas afectan a sistemas Cisco Wireless LAN Controller, Cisco ASA y a la librería libSRTP incluida en múltiples productos.

El primero de los problemas (con CVE-2016-1362) afecta a dispositivos con Cisco LC con Software Cisco AireOS con versiones 4.1 a 7.4.120.0, todas las versiones 8.5 y a la versión 7.6.100.0. Reside en una vulnerabilidad en la interfaz de administración web que podría permitir a un atacante remoto sin autenticar provocar el reinicio del sistema. Esto podría llevar a permitir condiciones de denegación de servicio.

Un segundo problema, con CVE-2016-1364, reside en un tratamiento inadecuado del tráfico del administrador de tareas Bonjour del software Cisco Wireless LAN Controller (WLC) que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio mediante el envío de tráfico Bonjour específicamente construido. Se ven afectados los dispositivos Cisco Wireless LAN Controller con versiones 7.4 anteriores a la 7.4.130.0(MD), todas las versiones 7.5, todas las versiones 7.6 y todas las versiones 8.0 anteriores a la 8.0.110.0(ED).

También en sistemas con software Cisco Wireless LAN Controller (WLC) una vulnerabilidad en la funcionalidad de redirección de URL HHTP que podría permitir a un atacante remoto sin autenticar provocar un desbordamiento de búfer en los dispositivos afectados que cause condiciones de denegación de servicio o incluso la ejecución de código arbitrario en el dispositivo. Se ven afectadas las siguientes versiones del Software Cisco WLC: todas las versiones 7.2, 7.3, 7.4 anteriores a 7.4.140.0(MD), 7.5, 7.6 y 8.0 anteriores a 8.0.115.0(ED).

Se ha anunciado otra vulnerabilidad, con CVE-2016-1367, en la característica de relay DHCPv6 del software de los Cisco Adaptive Security Appliance (ASA) 9.4.1 que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio. Afecta a sistemas Cisco ASA 5500-X Series Next-Generation Firewalls, Cisco ASA Services Module para Cisco Catalyst 6500 Series Switches y Cisco 7600 Series Routers y Cisco Adaptive Security Virtual Appliance (ASAv).

Por último, Cinco anuncia la publicación de la versión 1.5.3 de la librería libSRTP (Secure Real-Time Transport Protocol library), que corrige una vulnerabilidad de denegación de servicio en el subsistema de tratamiento de cifrado de esta librería por la validación inadecuada de ciertos campos de paquetes SRTP. Son múltiples los productos Cisco que incluyen una versión vulnerable de la librería libSRTP.
En este caso los productos afectados son:
  • Cisco WebEx Meetings Server versions 1.x
  • Cisco WebEx Meetings Server versions 2.x
  • Cisco Jabber
  • Cisco Adaptive Security Appliance (ASA) Software1
  • Cisco IOS XE Software2
  • Cisco IP Phone 88x1 Series
  • Cisco DX Series IP Phones
  • Cisco IP Phone 88x5 Series
  • Cisco Unified 7800 Series IP Phones
  • Cisco Unified 8831 Series IP Conference Phone
  • Cisco Unified 8961 IP Phone
  • Cisco Unified 9951 IP Phone
  • Cisco Unified 9971 IP Phone
  • Cisco Unified Communications Manager (UCM)
  • Cisco Unified Communications Manager Session Management Edition (SME)
  • Cisco Unified IP Phone 7900 Series
  • Cisco Unified IP Phone 8941 and 8945 (SIP)
  • Cisco Unified Wireless IP Phone
  • Cisco Unity Connection (UC)

Cisco ha publicado actualizaciones para todos los dispositivos afectados, en cualquier caso recomendamos revisar los avisos publicados para determinar la exposición y la versión a la que actualizar.

Más información:

Cisco Wireless LAN Controller Management Interface Denial of Service Vulnerability

Cisco Wireless LAN Controller Denial of Service Vulnerability

Cisco Wireless LAN Controller HTTP Parsing Denial of Service Vulnerability

Cisco Adaptive Security Appliance Software DHCPv6 Relay Denial of Service Vulnerability

Multiple Cisco Products libSRTP Denial of Service Vulnerability



Antonio Ropero
Twitter: @aropero


viernes, 22 de abril de 2016

Elevación de privilegios por vulnerabilidades en Symantec Messaging Gateway

Symantec ha publicado una actualización para solucionar dos vulnerabilidades en la consola de administración de Symantec Messaging Gateway Appliance 10.x que podrían permitir a un atacante local elevar sus privilegios en el sistema.

Symantec Messaging Gateway está destinado a proteger la infraestructura de correo electrónico y productividad con protección en tiempo real contra software malicioso, spam, y ataques dirigidos. Incluye protección contra ataques dirigidos, datos de reputación de URL ampliados y administración simplificada con autenticación LDAP.

El primer problema (con CVE-2016-2203) podría permitir a un usuario autorizado de la consola de administración SMG, con al menos acceso de lectura, conseguir descifrar la contraseña cifrada de Directorio Activo almacenada en la aplicación SMG. Recuperar esta contraseña podría permitir a un atacante conseguir acceso privilegiado a otros recursos de la red.

Por otra parte, con CVE-2016-2204, un administrador (o con nivel de soporte) de la consola de administración SMG podría elevar sus privilegios a root en el sistema manipulando las entradas de código en su ventana de terminal para escapar a un Shell con privilegios.

Se ven afectadas todas las versiones de Symantec Messaging Gateway Appliance anteriores a 10.6.0-7. Symantec recomienda actualizar a la versión 10.6.1, a través de la utilidad de actualización de software del propio producto.

Más información:

Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Multiple Security Issues

Symantec Messaging Gateway


Antonio Ropero
Twitter: @aropero

jueves, 21 de abril de 2016

Google publica informe sobre la seguridad en Android

Por segundo año consecutivo Google publica un interesante informe en el que viene a destacar el estado actual de la seguridad en dispositivos Android. Una mirada a la forma en que se protege todo el ecosistema Android, las nuevas medidas de seguridad introducidas durante el 2015 y el trabajo realizado con socios y la comunidad de investigación de seguridad en general.

El informe, de casi 50 páginas, se encuentra disponible desde:

Para proteger el ecosistema Android y sus usuarios, Google proporciona un conjunto de servicios de seguridad que se incluyen automáticamente como parte de los Google Mobile Services (GMS). Estos incluyen tanto los servicios basados en la nube como servicios integrados en el propio dispositivo como aplicaciones de Android.

Hay que señalar que el documento se basa en los adelantos y mejoras en relación a la seguridad en Android realizadas por Google durante el 2015. La compañía destaca que durante el pasado año se ha incrementado su comprensión del ecosistema utilizando sistemas automatizados que incorporan correlación de eventos a gran escala y ejecutando más de 400 millones de análisis de seguridad automáticos por día en los dispositivos con servicios de Google Mobile.

La mayor amenaza sigue siendo la instalación de aplicaciones maliciosas, lo que Google llama Aplicaciones Potencialmente Perjudiciales (Potentially Harmful Applications o PHA). Lo habitual en estos casos, aplicaciones que pueden dañar el dispositivo, dañar al usuario del dispositivo o hacer algo no autorizado con los datos del usuario.

Algunas de las cifras resultan espectaculares, como el escaneo en busca de malware de más de 6.000 millones de aplicaciones instaladas al día. Según Google, de media menos del 0,5% de los dispositivos tenía algún software de este tipo instalado durante 2015 y esa media desciende a menos del 0.15% en dispositivos que sólo instalan aplicaciones desde Google Play.

La firma de la gran G destaca el esfuerzo realizado en hacer más difícil la existencia de aplicaciones maliciosas en Google Play. Las mejoras realizadas durante el pasado año han reducido la probabilidad de instalar una aplicación potencialmente dañina desde la tienda de Google en un 40% en comparación con el 2014. Las aplicaciones recolectoras de datos han bajado en un 40%, el spyware en un 50% y los "downloaders" en un 50%.

El dato es evidente, es de sobra conocido, y de ello hemos hablado en múltiples ocasiones, el riesgo de instalar una aplicación desde un repositorio externo a Google Play es máximo. En esta ocasión la compañía llega a cifrar que el peligro de encontrar una aplicación maliciosa es hasta 10 veces mayor si la instalación se realiza desde fuera de Google Play.
Overall, the trend shows devices that allow installing apps
from outside Google Play are around 10 times more likely
to have PHAs than those that only install from Play


La protección se realiza a través de Verify Apps (que escanea buscando malware) y SafetyNet (que protege de riesgos en la red). Así como por acciones realizadas por el equipo de seguridad Android. Esto ha reducido la propagación de aplicaciones maliciosas en más de un 80%. También han publicado la API SafetyNet Attest para ayudar a los desarrolladores a comprobar la compatibilidad e integridad del dispositivo.

Protecciones de Google integradas en el dispositivo en 2015
Verify Apps: Protección contra aplicaciones potencialmente maliciosas
SafetyNet: Protección frente a la red y amenazas basadas en aplicaciones
Safebrowsing: Protección frente a sitios web inseguros
Developer API: Proporcionar a las aplicaciones una forma de utilizar los servicios de seguridad de Google
Android Device Manager: Protección a dispositivos perdidos o robados
Smart Lock: Mejorar la autenticación de usuario y protección física

También se destaca el lanzamiento de Android 6.0, conocida como Marshmallow, durante el 2015, y la mejora en la seguridad que el nuevo sistema ha significado. Con soporte para sensores de huellas dactilares, sandbox de aplicaciones, arranque verificado, mejora en la seguridad de usuario, cambios en el modelo de permisos, mayor control de los datos y capacidades que cada aplicación puede acceder. El cifrado obligatorio para todos los dispositivos que lo soporten, y se ha extendido para permitir el cifrado de datos en tarjetas SD.

Google no olvida la importancia de la ampliación del programa de recompensas por vulnerabilidades para estimular y recompensar a los investigadores que encuentran, corrigen y previenen fallos de seguridad en Android. Durante 2015, se recompensó con 210.161 dólares por los problemas descubiertos. Este total se desglosa en 30 vulnerabilidades críticas, 34 altas, 8 moderadas, y 33 casos de gravedad baja.

Más información:

Android Security 2015 Year In Review

Android Security 2015 Annual Report

una-al-dia (05/04/2015) Informe del estado de la seguridad en Android

una-al-dia (16/06/2015) Google recompensará por encontrar vulnerabilidades en Android

una-al-dia (04/06/2014) Análisis de un repositorio ruso de aplicaciones Android



Antonio Ropero
Twitter: @aropero


miércoles, 20 de abril de 2016

Oracle corrige 136 vulnerabilidades en su actualización de seguridad de abril

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de abril. Contiene parches para 136 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de los productos:
  • Oracle BI Publisher, versión 12.2.1.0.0
  • Oracle Database Server, versiones 11.2.0.4, 12.1.0.1 y 12.1.0.2
  • Oracle API Gateway, versiones 11.1.2.3.0 y 11.1.2.4.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Exalogic Infrastructure, versiones 1.0 y 2.0
  • Oracle GlassFish Server, versión 2.1.1
  • Oracle HTTP Server, versiones 12.1.2.0 y 12.1.3.0
  • Oracle iPlanet Web Proxy Server, versión 4.0
  • Oracle iPlanet Web Server, versión 7.0
  • Oracle OpenSSO, versiones 3.0-0.7
  • Oracle Outside In Technology, versiones 8.5.0, 8.5.1 y 8.5.2
  • Oracle Traffic Director, versiones 11.1.1.7.0 y 11.1.1.9.0
  • Oracle Tuxedo, versión 12.1.1.0
  • Oracle WebCenter Sites, versiones 11.1.1.8.0 y 12.2.1
  • Oracle WebLogic Server, versiones 10.3.6, 12.1.2, 12.1.3 y 12.2.1
  • Oracle Application Testing Suite, versiones 12.4.0.2 y 12.5.0.2
  • OSS Support Tools Oracle Explorer, versión 8.11.16.3.8
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.1.1, 9.3.1.2, 9.3.2 y 9.3.3
  • Oracle Complex Maintenance, Repair, and Overhaul, versiones 12.1.1, 12.1.2 y 12.1.3
  • Oracle Configurator, versiones 12.1 y 12.2
  • Oracle Transportation Management, versiones 6.1 y 6.2
  • PeopleSoft Enterprise HCM, versiones 9.1 y 9.2
  • PeopleSoft Enterprise HCM ePerformance, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8, 8.53, 8.54 y 8.55
  • PeopleSoft Enterprise SCM, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versiones 9.1 y 9.2
  • Siebel Applications, versiones 8.1.1 y 8.2.2
  • Oracle Communications User Data Repository, versión 10.0.1
  • Oracle Retail MICROS ARS POS, versión 1.5
  • Oracle Retail MICROS C2, versión 9.89.0.0
  • Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
  • Oracle Life Sciences Data Hub, versión 2.1
  • Oracle FLEXCUBE Direct Banking, versiones 12.0.2 y 12.0.3
  • Oracle Java SE, versiones 6u113, 7u99 y 8u77
  • Oracle Java SE Embedded, versión 8u77
  • Oracle JRockit, versión R28.3.9
  • Fujitsu M10-1, M10-4, M10-4S Servers, versiones anteriores a la XCP 2290
  • Oracle Ethernet Switch ES2-72, Oracle Ethernet Switch ES2-64, versiones anteriores a la 2.0.0.6
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versión 4.2
  • SPARC Enterprise M3000, M4000, M5000, M8000, M9000 Servers, versiones anteriores a la XCP 1121
  • Sun Storage Common Array Manager, versión 6.9.0
  • Oracle VM VirtualBox, versiones anteriores a la 4.3.36 y anteriores a la 5.0.18
  • Sun Ray Software, versión 11.1
  • MySQL Enterprise Monitor, versiones 3.0.25 y anteriores, 3.1.2 y anteriores
  • MySQL Server, versiones 5.5.48 y anteriores, 5.6.29 y anteriores y 5.7.11 y anteriores
  • Oracle Berkeley DB, versiones 11.2.5.0.32, 11.2.5.1.29, 11.2.5.2.42, 11.2.5.3.28, 12.1.6.0.35 y 12.1.6.1.26 

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Cinco nuevas vulnerabilidades corregidas en Oracle Database Server, dos de ellas explotables remotamente sin autenticación. Afectan a los componentes: Java VM, Oracle OLAP y RDBMS Security.
       
  • Otras 22 vulnerabilidades afectan a Oracle Fusion Middleware. 21 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle API Gateway, Oracle BI Publisher, Oracle Business Intelligence Enterprise Edition, Oracle Exalogic Infrastructure, Oracle GlassFish Server, Oracle HTTP Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle OpenSSO, Oracle Outside In Technology, Oracle Traffic Director, Oracle Tuxedo y Oracle WebCenter Sites.
        
  • Esta actualización contiene dos nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, solo una de ellas explotables remotamente sin autenticación. Afectan a Oracle Application Testing Suite y OSS Support Tools Oracle Explorer.    
  • Dentro de Oracle Applications, siete parches son para Oracle E-Business Suite, seis parches son para la suite de productos Oracle Supply Chain, 15 para productos Oracle PeopleSoft, uno para productos Oracle JD Edwards y dos para Oracle Siebel CRM.
        
     
  • De forma similar dentro de la gama de aplicaciones Oracle Industry, uno para aplicaciones Oracle Communications, tres para aplicaciones Oracle Retail y uno para aplicaciones Oracle Health Sciences.
        
  • También se incluyen cuatro nuevos parches de seguridad para software Oracle Financial Services. Tres de las vulnerabilidades podrían explotarse de forma remota sin autenticación.
         
  • En lo referente a Oracle Java SE se incluyen nueve nuevos parches de seguridad, todos ellos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 18 nuevas actualizaciones, nueve de ellas afectan a Solaris.
        
     
  • 31 nuevas vulnerabilidades afectan a MySQL Server (cuatro de ellas podrían ser explotada por un atacante remoto sin autenticar).
         
  • Esta actualización también contiene tres parches para Oracle Linux y Virtualización y cinco para Oracle Berkeley DB.


Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2016

Más información:

Oracle Critical Patch Update Advisory - April 2016



Antonio Ropero

Twitter: @aropero

martes, 19 de abril de 2016

Disponibles en YouTube los vídeos de las conferencias 3 y 4 de TASSI 2016

Se encuentran disponibles en el canal YouTube de la Universidad Politécnica de Madrid los vídeos de la tercera y cuarta conferencias del XII Ciclo UPM TASSI 2016, con títulos "Hardware Hacking aplicado a la Seguridad: Arduino y Routers" y "Técnicas de Evasión de Antimalware y Canales Encubiertos".

La tercera conferencia del XII Ciclo UPM TASSI 2016, Temas Avanzados en Seguridad y Sociedad de la Información, de título "Hardware Hacking aplicado a la Seguridad: Arduino y Routers", presentada el 25 de febrero de 2016 en el Campus Sur de la Universidad Politécnica de Madrid por D. David Meléndez.

David Meléndez es graduado en Informática por la Universidad de Gales; creador del robot Rover "Texas Ranger" y del dron "Átropos", con los que ha ganado varios premios de robótica en Campus Party España. Ha sido ponente en conferencias tanto a nivel nacional en RootedCON, NavajaNegra, NoConName, entre otras, como internacional, en 8.8 Chile, HKOSCON Hong Kong, Nuit du Hack París y Codemotion en Roma. Trabaja en Madrid como Ingeniero de I+D en software y sistemas embebidos en Albalá Ingenieros, S.A., empresa fabricante de hardware profesional para estudios de televisión.

El Hardware Hacking se encuentra en su apogeo, y en esta charla aprovecharemos la potencia que nos brinda la plataforma más famosa de la escena: Arduino. Qué es y qué no es Arduino, y cómo podemos usarlo de cara a usos en seguridad. Usando unos pocos componentes podremos replicar señales de radiofrecuencia emitida por dispositivos de lo más variado, desde luces ambientales, hasta puertas de garaje. Para ello, nos valdremos de sencillos y baratos emisores/receptores de 433 Mhz. Así mismo, veremos cómo podemos dotar a este sistema de conectividad Wireless, sensores, interfaz web, etc, haciendo uso de routers domésticos, manteniendo los costes muy ajustados. Puede descargar además la presentación en PDF usada por el ponente desde:
http://www.criptored.upm.es/multimedia/multimedia.html

Por otra parte, la cuarta conferencia de título "Técnicas de Evasión de Antimalware y Canales Encubiertos", fue presentada el 3 de marzo de 2016 por D. Pedro Sánchez en el Campus Sur de la Universidad Politécnica de Madrid.

Pedro Sánchez ha trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. Ha implantado normas ISO 27001, CMMI (nivel 5), PCI-DSS y diversas metodologías de seguridad, especialmente en el sector bancario durante más de diez años. También colabora sobre seguridad, peritaje y análisis forense informático con diversas organizaciones comerciales y con las fuerzas y empresas de seguridad del Estado, especialmente con el Grupo de Delitos Telemáticos de la Guardia Civil GDT, la Brigada de Investigación Tecnológica de la Policía Nacional BIT, INCIBE y Ministerio de Defensa. Ha participado en las jornadas JWID/CWID organizadas por el Ministerio de Defensa, en donde obtuvo la certificación OTAN SECRET. Actualmente es miembro de la Spanish Honeynet Project, fundador del blog Conexión Inversa y trabaja como responsable del servicio de "incident response & DDoS protection" en Deloitte. También es Perito Judicial Informático adscrito a la Asociación Nacional de Ciberseguridad y Pericia Tecnológica ANCITE.

Desde hace años los ataques desde Internet se han distinguido por utilizar medios no tradicionales con objeto de saltarse todos los mecanismos de seguridad de las empresas. Los antimalwares perimetrales y los antivirus en el EndPoint han declarado la guerra a los atacantes y aunque se ha mejorado mucho, todavía no son capaces de detectar ataques a medida con malware APT o utilizando canales encubiertos con el que poder entrar en las organizaciones. La conferencia mostrará a los asistentes el estado actual de la seguridad relacionado con el mundo de los antimalware y comprobaremos con demostraciones prácticas hasta qué punto los atacantes pueden tener el control. Puede descargar además la presentación en PDF usada por el ponente desde:
http://www.criptored.upm.es/multimedia/multimedia.html

Todas las conferencias TASSI 2016 y de años anteriores se encuentran en la sección multimedia del servidor de Criptored.


Dr. Jorge Ramió; Dr. Alfonso Muñoz
Conferencias TASSI 

lunes, 18 de abril de 2016

Análisis del ataque a la página web de LaNocheEnBlancoMalaga

Este fin de semana aparecía en los medios la noticia de que la página web oficial de "La Noche En Blanco" de Málaga había sido comprometida. Aunque la página web ya recobrado su funcionalidad habitual, vamos a tratar de analizar algunos detalles del ataque.

"La Noche En Blanco" es un acontecimiento cultural impulsado y coordinado por el Área de Cultura del Ayuntamiento de Málaga. De celebración anual, ofrece una serie de actividades y entretenimientos nocturnos tales como exposiciones, actuaciones, visitas a monumentos y/o lugares emblemáticos de la ciudad, etc. La convocatoria de este año, que presenta la octava edición, se celebrará el 14 de mayo desde las 20:00 hasta las 2:00 horas.

Un ciberdelincuente, que firma como 'R3escool', ha realizado un 'defacement' del sitio web y en lugar de la información habitual aparece un mensaje en inglés que pretende 'enseñar al mundo quien es el verdadero terrorista'. También se incluye un video del canal de Abderraman Njeeen en Youtube con el título 'The True terrorsist' el que se denuncian las actuaciones y campañas en oriente por parte de los Estados Unidos de America.

El atacante ha aprovechado unas vulnerabilidades de Wordpress y los plugins instalados para lograr el acceso al sitio web, dejando además varias puertas traseras alojadas en el servidor con el objetivo de poder acceder nuevamente si necesita reactivar su propaganda. Una vez dentro del servidor el ataque ha consistido en eliminar la página inicial (el 'index') del sitio web, suplantarla con el 'defacement' de publicidad antiamericana, y modificar el fichero .htaccess para que cualquier ruta interna redirigiese al nuevo 'index'.

Pero la historia va más allá. A pesar de que la noticia es reciente, el sitio web fue vulnerado con anterioridad, existiendo evidencias de accesos desde el 2 de abril de 2016 (y presumiblemente anteriores). Desde dicha fecha, el atacante o grupo de atacantes se han conectado en diversas ocasiones desde diferentes direcciones IP de Tunez, y han ido dejando diferentes herramientas (shells y mailers) de las cuales han hecho uso en repetidas ocasiones.

Además, el sistema gestor de contenidos Wordpress parece que fue actualizado a la última versión durante la mañana del 14 de abril, sin embargo el contenido malicioso no fue percibido y los atacantes continuaron teniendo acceso a la máquina. Por otra parte, la página propagandística colocada por el ciberdelincuente permaneció online desde la tarde del sábado 16 de abril y buena parte del fin de semana. 

Mantener un sitio web actualizado es muy importante de cara a evitar estos tipos de ataques. Si se buscan los textos incluidos en el 'defacement' en la Red es fácil encontrar otros muchos sitios web que han sufrido el mismo ataque por parte del mismo ciberdelincuente y otros (como por ejemplo 'Ahm2d TunisianoO', 'Gabesi TN & Ala Ghost', o 'Kalachnikov') que utilizan la misma plantilla cambiando únicamente el nombre. Esto evidencia que no se ha tratado pues de un ataque dirigido sino de un ataque múltiple. Los atacantes han aprovechado errores de seguridad para lograr acceso y modificar multitud de sitios web en los que han encontrado las vulnerabilidades conocidas.

Desde el Ayuntamiento de Málaga han señalado su preocupación por el ataque, así como que es una web que aun está en desarrollo y se está trabajando para evitar que se repitan hechos similares. Aunque también han destacado que la web atacada es externa y no depende directamente del consistorio malagueño, al estar administrada por la empresa encargada de la difusión del acto.

Más información:

La Noche en Blanco Málaga

Juan José Ruiz

domingo, 17 de abril de 2016

Quinta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

Se ha publicado la quinta y única lección del Tema III Fundamentos Básicos de Matemáticas Discretas en el MOOC Crypt4you, con el título "Fundamentos de matemáticas discretas para la criptografía".

Esta única lección de matemáticas en el MOOC, tiene como objetivo realizar una breve introducción a aquellos conceptos y principios de las matemáticas discretas, que nos serán necesarios para comprender el funcionamiento de la criptografía clásica y, posteriormente, ser utilizadas en las operaciones de cifrado, descifrado y criptoanálisis que realizaremos en el curso. No pretende en absoluto ser un tratado de matemáticas; es más, en muchos apartados y para hacer más sencillo el aprendizaje, se huirá de explicaciones canónicas, fórmulas y nomenclatura propias de las matemáticas. Por ello se presentan por adelantado las disculpas a los matemáticos que puedan leer esta lección del MOOC.

Básicamente nos centraremos en el concepto del módulo de cifra en el capítulo primero y en los inversos en el segundo, que es lo único que nos hace falta conocer de matemáticas discretas para trabajar con la cifra clásica. La lección tiene como elementos multimedia las píldoras formativas Thot número 11 "¿Cifrando dentro de un cuerpo?", número 23 "¿Qué son los inversos aditivos en un cuerpo?", número 12 "¿Qué son los inversos multiplicativos en un cuerpo?", número 24 "¿Por qué usamos el algoritmo de Euclides para calcular inversos?" y número 25 "¿Cómo calculamos inversos con el Algoritmo Extendido de Euclides?". Así mismo, se han publicado en las redes sociales de twitter y facebook del MOOC Crypt4you las soluciones al test de la lección 4, y en el caso de facebook las respuestas están además comentadas.


Las fechas probables de publicación de las siguientes lecciones son:
Lección 6: Sistemas de cifra clásica (Lunes 11 de abril de 2016)
Lección 7: Algoritmos de cifra clásica por sustitución monoalfabética (Lunes 25 de abril de 2016)
Lección 8: Algoritmos de cifra clásica por sustitución polialfabética (Lunes 9 de mayo de 2016)
Lección 9: Algoritmos de cifra clásica poligrámicos con matrices (Lunes 23 de mayo de 2016)
Examen teórico y práctico (Lunes 6 de junio de 2016).

Más información:

Introducción a la seguridad informática y criptografía clásica
Tema III: Fundamentos básicos de matemáticas discretas
Lección 5: Fundamentos de matemáticas discretas para la criptografía

Crypt4you

Estadísticas acumuladas de las lecciones del MOOC Crypt4you

una-al-dia (24/02/2016) Nuevo MOOC en Crypt4you sobre "seguridad informática y criptografía clásica"

una-al-dia (01/03/2016) Publicada la segunda lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (15/03/2016) Tercera lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (03/04/2016) Cuarta lección del MOOC Crypt4you "Introducción a la seguridad informática y criptografía clásica"

una-al-dia (09/12/2014) Publicadas las píldoras formativas 11 y 12 del proyecto Thoth dedicadas a los principios básicos de las matemáticas discretas en la criptografía

una-al-dia (10/05/2015) Publicadas las píldoras formativas Thoth 23, 24 y 25 dedicadas al cálculo de inversos dentro de un cuerpo


Dr. Jorge Ramió; Dr. Alfonso Muñoz
Directores del MOOC Crypt4you