viernes, 30 de septiembre de 2016

Acceso a archivos por vulnerabilidad en Symantec Messaging Gateway

Symantec ha publicado una actualización para solucionar una vulnerabilidad en Symantec Messaging Gateway Appliance 10.x que podrían permitir a un usuario acceder a cualquier archivo del sistema.

Symantec Messaging Gateway está destinado a proteger la infraestructura de correo electrónico y productividad con protección en tiempo real contra software malicioso, spam, y ataques dirigidos. Incluye protección contra ataques dirigidos, datos de reputación de URL ampliados y administración simplificada con autenticación LDAP.

El problema (con CVE-2016-5312) reside en un componente de generación de gráficas en el centro de control de Symantec Messaging Gateway debido a que no filtra adecuadamente las entradas del usuario enviadas en peticiones de realización de gráficas. Un usuario autorizado pero con permisos restringidos podría conseguir acceso a rutas fuera del directorio autorizado a través de un ataque de escalada de directorios (o directorio transversal). De esta forma el atacante podría conseguir acceso de lectura sobre directorios y archivos del servidor.

Se ven afectadas todas las versiones de Symantec Messaging Gateway Appliance anteriores a 10.6.2. Symantec recomienda actualizar a la versión 10.6.2, a través de la utilidad de actualización de software del propio producto.

Más información:

Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Security Update

Symantec Messaging Gateway



Antonio Ropero

Twitter: @aropero

jueves, 29 de septiembre de 2016

Cisco soluciona vulnerabilidades en IOS e IOS-XE

Cisco ha publicado su paquete bianual de alertas de seguridad para el software Cisco IOS e IOS XE. En esta ocasión la firma distribuye 10 avisos que solucionan un total de 11 vulnerabilidades, todas de gravedad alta, en sus routers y switches.

Al igual que otros fabricantes Cisco realiza publicaciones conjuntas de las actualizaciones de sus productos Cisco IOS e IOS XE de forma periódica. Estas se realizan dos veces al año, el cuarto miércoles de los meses de abril y septiembre de cada año.

Esta última distribución incluye diez avisos de vulnerabilidades en las siguientes tecnologías:
  • Autenticacion, Autorizacion y cuentas de usuario
  • Common Industrial Protocol (CIP)
  • DNS forwarder
  • H.323
  • Internet Key Exchange Version 1 (IKEv1)
  • IP Detail Record (IPDR)
  • IP Fragment Reassembly
  • Multicast
  • Network Address Translation (NAT)
  • Smart Install
Siete de los avisos se refieren a vulnerabilidades que afectan tanto a Cisco IOS como a IOS XE. Solo uno describe una vulnerabilidad que afecta únicamente a Cisco IOS, mientras que son dos los que afectan únicamente a Cisco IOS XE. Todos los problemas podrían dar lugar a condiciones de denegación de servicio o una fuga de memoria.

Cisco ha publicado actualizaciones gratuitas para corregir todas las vulnerabilidades.

Vulnerabilidades corregidas

El primer problema corregido, con CVE-2016-6391, reside en la característica Common Industrial Protocol (CIP) de Cisco IOS debido a un fallo al procesar un conjunto de peticiones inusual aunque válido. Un atacante remoto sin autenticar podría provocar una condición de denegación de servicio.

Un error en los mensajes de registro cuando una conexión SSH remota al dispositivo falla en la autenticación AAA (Authentication, Authorization y Accounting) en el software Cisco IOS e IOS XE podría permitir a un atacante remoto sin autenticar provocar el reinicio del dispositivo (CVE-2016-6393).

Una vulnerabilidad, con CVE-2016-6380, en la funcionalidad DNS Forwarder de los Cisco IOS e IOS XE por un fallo en el tratamiento de mensajes de respuesta DNS modificadas. Un atacante remoto sin autenticar podría provocar el reinicio del dispositivo, corromper la información de la cache DNS local o leer parte de los procesos en memoria.

Un fallo al validar adecuadamente determinados campos de un mensaje del conjunto de protocolos H.323 de Cisco IOS e IOS XE podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio (CVE-2016-6384).

Una vulnerabilidad, con CVE-2016-6381, en el tratamiento de paquetes IKEv1 (Internet Key Exchange versión 1) fragmentados específicamente construidos en Cisco IOS e IOS XE. Un atacante remoto sin autenticar podría provocar un consumo de toda la memoria disponible o el reinicio del dispositivo.

Una vulnerabilidad en el tratamiento inadecuado de paquetes IPDR (IP Detail Record) de Cisco IOS e IOS XE podría permitir a un atacante remoto sin autenticar provocar el reinicio del sistema (CVE-2016-6379).

Otras dos vulnerabilidades (CVE-2016-6382 y CVE-2016-6392) afectan al subsistema multicast de Cisco IOS e IOS XE que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio. Los problemas residen en IPv4 Multicast Source Discovery Protocol (MSDP) e IPv6 Protocol Independent Multicast (PIM).

Una vulnerabilidad (CVE-2016-6385) en la característica Smart Install de Cisco IOS e IOS XE por un tratamiento incorrecto de paquetes Smart Install enviados al puerto TCP 4786. Un atacante remoto sin autenticar podría provocar una fuga de memoria y eventualmente condiciones de denegación de servicio.

Una vulnerabilidad debido a la corrupción de una estructura de datos interna cuando el software Cisco IOS XE reensambla un paquete IPv4 podría permitir a un atacante remoto sin autenticar provocar el reinicio del dispositivo (CVE-2016-6386).

Por último, una vulnerabilidad en la implementación de la funcionalidad Network Address Translation (NAT) del software Cisco IOS XE, debido al tratamiento inadecuado de paquetes ICMP mal construidos. Un atacante remoto sin autenticar podría provocar el reinicio del dispositivo, con la consiguiente condición de denegación de servicio (CVE-2016-6378).

Más información:

Cisco Event Response: September 2016 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication

September 2016 Cisco IOS & IOS XE Software Bundled Publication

Cisco IOS Software Common Industrial Protocol Request Denial of Service Vulnerability

Cisco IOS and IOS XE Software AAA Login Denial of Service Vulnerability

Cisco IOS and IOS XE Software DNS Forwarder Denial of Service Vulnerability

Cisco IOS and IOS XE Software H.323 Message Validation Denial of Service Vulnerability

Cisco IOS and IOS XE Software Internet Key Exchange Version 1 Fragmentation Denial of Service Vulnerability

Cisco IOS and IOS XE Software IP Detail Record Denial of Service Vulnerability

Cisco IOS and IOS XE Software Multicast Routing Denial of Service Vulnerabilities

Cisco IOS and IOS XE Software Smart Install Memory Leak Vulnerability

Cisco IOS XE Software IP Fragment Reassembly Denial of Service Vulnerability

Cisco IOS XE Software NAT Denial of Service Vulnerability



Antonio Ropero
Twitter: @aropero

miércoles, 28 de septiembre de 2016

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar una vulnerabilidad considerada crítica que podría causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La vulnerabilidad, con CVE-2016-2776, se puede producir cuando un servidor de nombres construye una respuesta. Un error en la construcción de mensajes en paquetes puede provocar la caída de named por un fallo de aserción en buffer.c mientras se construye una respuesta a una consulta que cumple determinados criterios.

La situación de aserción se puede provocar incluso si la dirección de origen no tiene permitido realizar consultas (es decir, no cumple 'allow-query').

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P3, 9.10.4-P3 y 9.11.0rc3, disponibles en:

Más información:

CVE-2016-2776: Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request

BIND 9.9.9-P3 Release Notes

BIND 9.10.4-P3 Release Notes

BIND 9.11.0rc3 Release Notes



Antonio Ropero
Twitter: @aropero

martes, 27 de septiembre de 2016

OpenSSL soluciona múltiples vulnerabilidades

El pasado día 22 de septiembre el proyecto OpenSSL anunció  la publicación de nuevas versiones de OpenSSL destinadas a corregir un total de 14 vulnerabilidades, una calificada de impacto alto, otra moderada y las 12 restantes de importancia baja. Sin embargo, el 26 de septiembre publica otro aviso en el que reconoce que estas actualizaciones introducían una nueva vulnerabilidad crítica y vuelve a publicar nuevas versiones.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

El problema más grave de los anunciados el pasado día 22, con CVE-2016-6304, reside en que a un cliente malicioso puede solicita la renegociación de forma continua mediante el envío de una extensión OCSP Status Request excesivamente larga de manera progresiva. Esto provocará un crecimiento de la memoria del servidor fuera de límites, con la consiguiente denegación de servicio por consumo excesivo de memoria. Se ven afectados los servidores con una configuración por defecto incluso si no soportan OCSP. Servidores OpenSSL con versiones anteriores a la 1.0.1g no son vulnerables en la configuración por defecto, solo si la aplicación habilita explícitamente el soporte OCSP.

Otra vulnerabilidad de gravedad media, con CVE-2016-6305, afecta a OpenSSL 1.1.0 debido a que SSL/TLS podrá colgarse durante una llamada a SSL_peek() si el interlocutor envía un registro vacío. Un usuario malicioso podría provocar condiciones de denegación de servicio.

Otras 12 vulnerabilidades corregidas están consideradas de gravedad baja. Los CVEs asignados a todos los problemas son CVE-2016-2177 al CVE-2016-2183 y CVE-2016-6302 al CVE-2016-6308.

Sin embargo, tan solo cuatro días después (26 de septiembre) reconoce que los parches publicados el día 22 introducían una vulnerabilidad crítica. Dada la gravedad del problema decide publicar un nuevo aviso de forma inmediata para evitar actualizaciones a las versiones afectadas. 
"This security update addresses issues that were caused by patches included in our previous security update, released on 22nd September 2016.  Given the Critical severity of one of these flaws we have chosen to release this advisory immediately to prevent upgrades to the affected version, rather than delaying in order to provide our usual public pre-notification."
El problema crítico (CVE-2016-6309) detectado por un investigador de Google, reside en el parche para corregir la vulnerabilidad con CVE-2016-6307. Debido a que da lugar a un problema por el que si se recibe un mensaje de aproximadamente 16k, se reasigna y mueve el búfer para almacenar el mensaje entrante. Desafortunadamente se deja una referencia colgante a la antigua localización lo que resulta en un intento de escritura en la localización anteriormente liberada. Esto puede provocar la caída del proceso (denegación de servicio) y potencialmente ejecutar código arbitrario. Este problema solo afecta a OpenSSL 1.1.0a.

Otra vulnerabilidad de gravedad media, con CVE-2016-7052, se debe a la introducción de controles de filtrado en CRLs ("Certificate Revocation List", Lista de Revocación de Certificados) en OpenSSL 1.1.0, pero se omitieron en OpenSSL 1.0.2i. Esto permite que cualquier intento de usar CRLs en OpenSSL 1.0.2i provocará una caída por una excepción de puntero nulo. Este problema solo afecta a OpenSSL 1.0.2i.

OpenSSL ha publicado las versiones 1.1.0b, 1.0.2j y 1.0.1u disponibles desde

También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.

Más información:

OpenSSL Security Advisory [22 Sep 2016]

OpenSSL Security Advisory [26 Sep 2016]



Antonio Ropero
Twitter: @aropero


lunes, 26 de septiembre de 2016

Publicada la píldora formativa Thoth 38 "¿Qué es el intercambio de clave de Diffie y Hellman?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 38 del proyecto Thoth que lleva por título "¿Qué es el intercambio de clave de Diffie y Hellman?"

Desde tiempos inmemoriales, el ser humano ha estado buscando la forma de transmitir un secreto de una manera segura a través de un canal inseguro, por ejemplo intercambiar una clave secreta entre dos interlocutores que se encuentran físicamente distantes. Pero no es hasta noviembre de 1976 cuando dos investigadores de la Universidad de Harvard, Whitfield Diffie y Martin Hellman, proponen un algoritmo para intercambiar una clave secreta de manera computacionalmente segura, usando para ello funciones matemáticas de un solo sentido o unidireccionales.

"¿Qué es el intercambio de clave de Diffie y Hellman?"

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de todas las anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda de vídeos mediante los siguientes cinco filtros: Fundamentos de seguridad, Criptografía clásica, Historia de la criptografía, Matemáticas en criptografía y Criptografía moderna.

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será en octubre de 2016 con la píldora 39 de título "¿Cómo funciona el algoritmo RSA?"


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

domingo, 25 de septiembre de 2016

Corregidas vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se solucionan tres vulnerabilidades.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.  

Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.

Se ven afectadas las versiones 8.x anteriores a 8.1.10. Se recomienda la actualización a la versión Drupal 8.1.10.

Más información:

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004



Antonio Ropero
Twitter: @aropero

sábado, 24 de septiembre de 2016

Mozilla publica Firefox 49 y corrige 18 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 49 de Firefox, que además de incluir mejoras y novedades soluciona 18 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 45.4.

Hace mes y medio que Mozilla publicó la versión 48 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Se ha actualizado el administrador de credenciales para permitir a las páginas https usar las credenciales guardadas.

Por otra parte, se ha cambiado el modo de publicación de información sobre las vulnerabilidades corregidas. Si anteriormente publicaban un boletín por cada problema corregido (a veces abarcando varios CVEs), en la actualidad solo han publicado un boletín (MSFA-2016-085) englobando todas las vulnerabilidades corregidas. Por tanto, se ha reducido la cantidad y calidad de la información aportada. Un cambio a peor.

Según la propia clasificación de Mozilla, cuatro de ellas están consideradas críticas, 10 son de gravedad alta, dos de moderada y las dos restantes de nivel bajo. En total se corrigen 18 nuevas vulnerabilidades en Firefox.

Las vulnerabilidades críticas residen en un desbordamiento de búfer al trabajar con filtros vacios durante la generación de gráficos canvas (CVE-2016-5275), otro desbordamiento de búfer mientras se decodifican frames de imágenes a imágenes (CVE-2016-5278), así como problemas (CVE-2016-5256 y CVE-2016-5257) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.

Las vulnerabilidades de gravedad alta residen en un desbordamiento de búfer en la conversión de texto con caracteres Unicode (CVE-2016-5270), una caída por casting incorrecto al tratar diseños con elementos input (CVE-2016-5272), diversos problemas por uso de memoria después de liberarla (CVE-2016-5276, CVE-2016-5274, CVE-2016-527, CVE-2016-5280 y CVE-2016-5281), revelación de datos privados a través de <iframe src> (CVE-2016-5283), una vulnerabilidad debido a un error en el pinning de las actualizaciones de complementos (CVE-2016-5284).

También se ha publicado Firefox ESR 45.4  (MSFA-2016-086); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Está actualización incluye la corrección de 12 vulnerabilidades.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox:
o desde la actualización del navegador en "Ayuda/Acerca de Firefox".

Firefox ESR está disponible desde:


Más información:

Firefox Notes
Version 49.0

Security vulnerabilities fixed in Firefox 49

una-al-dia (04/08/2016) Mozilla publica Firefox 48 y corrige 24 nuevas vulnerabilidades

Security vulnerabilities fixed in Firefox ESR 45.4


Antonio Ropero

Twitter: @aropero

viernes, 23 de septiembre de 2016

Yahoo confirma el robo de 500 millones de cuentas de usuario

Yahoo ha publicado un comunicado en el que confirma que a finales del 2014 sufrió un robo de datos, que afectó al menos a 500 millones de cuentas de usuario.

En lo que ya se cataloga como el mayor robo de cuentas de usuario de la historia, la información substraída también es de gran alcance, al incluir nombres, dirección de e-mail, números de teléfono, fechas de nacimiento, el hash de las contraseñas (la mayoría con bcrypt) y en algunos casos las preguntas de seguridad y sus respuestas cifradas o sin cifrar. ¿Aun seguimos usando preguntas de seguridad?

Y aunque la investigación todavía está en curso, la propia firma cree que detrás del ataque se encuentra un Estado. Aunque tampoco aporta ninguna información sobre cómo llega a esa conclusión. También se señala que la información robada no incluía las contraseñas sin cifrar (¡solo faltaba!), datos de tarjetas de pago o información de cuentas bancarias.

Como es costumbre en estos casos, Yahoo dice lo habitual: que está notificando a los potenciales usuarios afectados, pidiendo a los usuarios que hayan podido verse afectados que cambien rápidamente sus contraseñas y adopten medios alternativos de verificación de la cuenta, está invalidado las preguntas de seguridad sin cifrar y las respuestas para que no se pueden usar para acceder a una cuenta, recomienda a todos los usuarios que no hayan cambiado sus contraseñas desde 2014 que lo hagan, que están mejorando sus sistemas para detectar y evitar accesos no autorizados a las cuentas y por supuesto están trabajando con las autoridades en esta materia.


Yahoo recomienda a los usuarios utilizar la herramienta Yahoo Account Key, una utilidad de autenticación que evita el uso de contraseñas mediante el uso del móvil.

La noticia no resulta extraña, los ataques de este tipo siempre han rondado a Yahoo, el mismo 2014 (cuando datan este robo) ya confirmó un intento de intrusión y el reinicio de las contraseñas de cuenta atacadas.  

Después de todo esto, quedan muchas cuestiones en el aire. ¿Cuándo supo Yahoo realmente el robo de los datos? ¿Desde 2014 no se ha dado cuenta del robo? ¿Qué datos tiene para afirmar que hay un Estado detrás del ataque? ¿Se filtrarán o se publicarán de alguna forma los datos? ¿Dejaremos de usar las preguntas de seguridad?

Más información:

una-al-dia (02/02/2016) Los sitios web que no amaban a las contraseñas

An Important Message About Yahoo User Security

Account Security Issue FAQs

una-al-dia (31/01/2014) Si usas Yahoo Mail cambia tu contraseña

una-al-dia (27/04/2012) Grave fallo de seguridad en Hotmail permitía el robo de cuentas


Antonio Ropero
Twitter: @aropero

jueves, 22 de septiembre de 2016

Apple publica macOS Sierra 10.12, macOS Server 5.2 y Safari 10

Apple ha publicado nuevas versiones de varios de sus productos más destacados. Destaca la publicación de nuevas versiones del software para Mac, macOS Sierra (10.12) y macOS Server 5.2, junto con una nueva versión del navegador Safari 10. Estas nuevas versiones solucionan un total de 88 vulnerabilidades.

Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.

Se ha publicado macOS (anteriormente OS X) Sierra 10.12, la última y esperada actualización para sistemas Mac, que como suele ser habitual incluye interesantes novedades, así como mejoras de rendimiento y estabilidad del sistema. Entre las novedades destacan la posibilidad de desbloquear el Mac automáticamente con el Apple Watch, la integración de Siri en Mac, el portapapeles compartido entre dispositivos iOS y Mac, Apple Pay en Safari, nuevo Apple Music o pestañas en las aplicaciones. Además incluye la corrección de hasta 65 nuevas vulnerabilidades.

Las vulnerabilidades corregidas afectan a múltiples componentes: Apache, apache_mod_php, Apple HSSPI Support, AppleEFIRuntime, AppleMobileFileIntegrity, AppleUUC, Application Firewall, ATS, Audio, Bluetooth, cd9660, CFNetwork, CommonCrypto, CoreCrypto, CoreDisplay, curl (que se actualiza a la version 7.49.1), Date & Time Pref Pane, DiskArbitration, File Bookmark, FontParser, IDS – Connectivity, Intel Graphics Driver, IOAcceleratorFamily, IOAcceleratorFamily, IOThunderboltFamily, Kerberos v5 PAM module, Kernel, libarchive, libxml2, libxslt, mDNSResponder, NSSecureTextField, Perl, S2 Camera, Security, Terminal y WindowServer.

Por otra parte, Apple ha publicado macOS Server 5.2 (igualmente también anteriormente conocido como OS X Server), una nueva actualización para servidores Mac. Ofrece soporte para macOS 10.12 Sierra y para migrar datos desde El Capitan 10.11.6 y OS X Server 5.1.7 o Yosemite 10.10.5 y OS X Server 5.0.15. Esta versión añade integración con Apple School Manager, permite evitar el panel de Asistente de Configuración de Siri en Sierra, mejora la seguridad al exigir que las conexiones SMB estén firmadas por defecto y añade soporte para el sistema de archivos Xsan 5. También se ha solucionado una vulnerabilidad en Apache y otra en el servidor ServerDocs.

Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 10 para OS X Yosemite v10.10.5, OS X El Capitan v10.11.6 y macOS Sierra 10.12. Se solucionan 21 vulnerabilidades, la mayoría relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.

Más información:

About the security content of macOS Sierra 10.12

About the security content of macOS Server 5.2

About the security content of Safari 10



Antonio Ropero
Twitter: @aropero

miércoles, 21 de septiembre de 2016

Koodous participará en la próxima Navaja Negra

Los próximos dias 29, 30 de septiembre y 1 de octubre (de jueves a sábado) se celebrará en Albacete la sexta edición del congreso de seguridad informática Navaja Negra que incluye ponencias, talleres, demostraciones y más actividades relacionadas con el mundo de la seguridad y la tecnología. Nuestro compañero Daniel Vaca presentará la conferencia con título "Encontrando malware en Android like a n00b".

La Navaja Negra Conference es un congreso de seguridad informática que reúne hasta 600 participantes en la ciudad de Albacete. Con el tiempo este congreso se ha hecho un nombre relevante dentro del panorama de las "Cons" españolas. La calidad de los ponentes, charlas y talleres hacen de ella una cita imprescindible.

La conferencia de nuestro compañero tendrá lugar el viernes 29 a las 12:00 en el Salón de actos Vicerrectorado UCLM (Universidad de Castilla La Mancha). Durante una hora Daniel explicará todos los detalles del repositorio de muestras de malware para Android Koodous.com, el cual es gratuito e incluso no necesita cuenta para algunas de las operaciones (como búsqueda de apks, por ejemplo).

La charla se dividirá en cuatro partes:

1.- Breve introducción. Koodous: Qué es lo que hace, de qué se compone y cómo funciona.

2.- Buscando los apks que nos interesan. Uso del sistema de búsqueda con parámetros relacionados con los atributos de un apk para encontrar muestras maliciosas de distintos tipos (adware, troyanos, droppers, etc).

3.- Yara. Introducción a esta herramienta usada para la identificación de familias de malware basada en la coincidencia textual o binaria de patrones así como su integración con androguard.

4.- Qué hacer desde aquí (o cómo empezar a ser un pr0). Explicación de técnicas avanzadas para todo aquel que esté interesado en meterse de lleno en el mundillo del análisis de malware especializado en Android.

Además de la conferencia de Daniel el congreso cuenta con muchas más conferencias, ponencias y talleres, e importantes y reconocidos nombres del mundo de la seguridad, como Jordi Ubach, Eduardo Arriols, Nicholas Barbovitch, Rubén Ródenas Cebrián, Jorge Reyes Castro, Ricardo J. Rodríguez, Pablo González Pérez, Rafael Sánchez Gómez, Miguel Martín Pérez, Ruth Sala Ordóñez, Selva María Orejón Lozano, Eva Suarez Alba, Manuel García Cárdenas, José Miguel Cañete Aguado, Alejandro Ramos, Raul Siles, Jose Luis Verdeguer Navarro, Luis Jurado Cano, Ernesto Sánchez, Elías Grande, Daniel Medianero, Alfonso García Alguacil, David Melendez Cano, Eduardo Sánchez, Pedro Caamaño Pérez, Rafael Otal Simal, Carmen Torrano Giménez, Pablo González Pérez y Martina Matarí.

El congreso tendrá lugar en el Edificio José Prat del Campus Universitario de Albacete, en el Salón de actos del Paraninfo. 

Más información:

Navaja negra


Antonio Ropero
Twitter: @aropero


martes, 20 de septiembre de 2016

Elevación de privilegios en IBM DB2

Se ha confirmado una vulnerabilidad en IBM DB2 (el popular gestor de base de datos de IBM) versiones 9.7, 10.1, 10.5 y 11.1 sobre sistemas Linux, HP, AIX y Windows; que podrían permitir a un atacante elevar sus privilegios en los sistemas afectados.

El problema, con CVE-2016-5995, está relacionado con la carga de librerías desde localizaciones inseguras. Un usuario local podría situar una librería en una localización, de forma que un binario con el bit SETGID o SETUID podría ejecutarlo y conseguir acceso root.

Los problemas afectan a los siguientes productos:
IBM DB2 Express Edition
IBM DB2 Workgroup Server Edition
IBM DB2 Enterprise Server Edition
IBM DB2 Connect Application Server Edition
IBM DB2 Connect Application Server Advanced Edition
IBM DB2 Connect Enterprise Edition
IBM DB2 Connect Unlimited Edition for System i
IBM DB2 Connect Unlimited Edition for System z
IBM DB2 Connect Unlimited Advanced Edition for System z
IBM DB2 10.5 Advanced Enterprise Server Edition
IBM DB2 10.5 Advanced Workgroup Server Edition
IBM DB2 10.5 Developer Edition for Linux, Unix and Windows

IBM ha publicado las actualizaciones necesarias para corregir estos problemas en DB2 y DB2 Connect disponibles desde Fix Central.

Más información:

Security Bulletin: Local escalation of privilege vulnerability in IBM® DB2® (CVE-2016-5995).


Antonio Ropero
Twitter: @aropero


lunes, 19 de septiembre de 2016

Múltiples vulnerabilidades en Aver EH6108H+ hybrid DVR

Se han reportado tres vulnerabilidades en dispositivos Aver EH6108H+ hybrid DVR, un sistema de gestión de cámaras de seguridad IP y streaming de video. Las vulnerabilidades están consideradas de gravedad alta y podrían permitir a un atacante remoto saltar restricciones de seguridad o incluso revelar información sensible.

El dispositivo Aver EH6108H+ es un DVR (grabador de video digital) híbrido de 8 canales que proporciona facilidad de uso, alto rendimiento y calidad de imagen. Este DVR cuenta con transmisión inteligente secuencial, notificaciones avanzadas de alarma, soporte de doble Gigabit LAN, cuenta con integración POS, integración de software a distancia y mucho más. Son dispositivos ampliamente usados en el sector de seguridad industrial, comercial y bancario.

En el primer problema, con CVE-2016-6535, el dispositivo contiene dos cuentas de credenciales con privilegios de root incluidas en el propio código del sistema. Estas dos cuentas podrían ser usadas por un atacante remoto para ganar privilegios dentro del sistema a través de sesiones de telnet ejecutadas por defecto.

El siguiente problema, con CVE-2016-6536, debido a la facilidad para averiguar determinados parámetros de identificación del interface web (/setup), un atacante remoto no autenticado podría ser capaz de acceder a páginas restringidas y/o modificar las configuraciones del DVR e incluso modificar las cuentas de usuario.

Por último, con CVE-2016-6537, el problema radica en la forma poco segura de manejar y almacenar las credenciales de usuario (almacenadas en cadenas codificadas en base64). Esto podría ser aprovechado por un atacante remoto no autenticado que podría obtener información sensible del sistema con bastante facilidad.

Las tres vulnerabilidades han sido reportadas por Travis Lee y afectan a dispositivos con firmware X9.03.24.00.07l.

En la página web del fabricante este producto figura como discontinuado, desconocemos si se van a tomar medidas para paliar estas fallas de seguridad. Desde el laboratorio técnico de Hispasec recomendamos tomar las siguientes medidas de seguridad: 
  • Reducir la exposición a la red de los dispositivos, asegurándose de que no sean accesibles a través de Internet.
  • Usar cortafuegos, y aislar la red local de posibles accesos no autorizados.
  • Cuando se requiera el acceso remoto, usar métodos seguros tales como redes privadas virtuales (VPNs).
Más información:

Aver EH6108H+ hybrid DVR

Vulnerability Note VU#667480
AVer Information EH6108H+ hybrid DVR contains multiple vulnerabilities



Juan Sánchez


domingo, 18 de septiembre de 2016

Actualización de seguridad para Google Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 53.0.2785.113) para todas las plataformas (Windows, Mac y Linux) para corregir seis nuevas vulnerabilidades.

Como es habitual, Google no facilita información de todos los problemas corregidos. En esta ocasión, confirma la corrección de seis vulnerabilidades. Se han solucionado dos problemas por uso de memoria después de liberarla en Blink, una lectura arbitra de memoria en v8, un acceso a recursos de extensiones y una ventana emergente que no se elimina correctamente.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Los CVE asociados a las vulnerabilidades van del CVE-2016-5170 al CVE-2016-5175.

Según la política de la compañía dos de las vulnerabilidades anunciadas han supuesto un total de 4.000 dólares en recompensas a los descubridores de los problemas, aunque la cifra puede crecer debido a que aun hay tres vulnerabilidades en las que la cuantía del premio aun está por determinar.

Después de haber publicado esta versión, Google ha publicado la actualización 53.0.2785.116, sin cambios relevantes en materia de seguridad. 

La última actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update



Antonio Ropero
Twitter: @aropero




sábado, 17 de septiembre de 2016

Actualización para productos VMware

VMware ha publicado actualizaciones de seguridad para corregir ocho vulnerabilidades en VMware ESXi, Workstation, Fusion y Tools, que podrían permitir a un atacante ejecutar código arbitrario o elevar sus privilegios.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Se han corregido vulnerabilidades (con CVE-2016-7081) de desbordamiento de búfer en VMware Workstation a través de Cortado ThinPrint. También en VMware Workstation a través de Cortado Thinprint diversas vulnerabilidades de corrupción de memoria, en el tratamiento de archivos EMF (CVE-2016-7082), fuentes TrueType incrustadas en EMFSPOOL (CVE-2016-7083) y de imágenes JPEG2000 (CVE-2016-7084) en tpview.dll.

Estos problemas podrían permitir la ejecución de código arbitrario en VMware Workstation en Windows desde una máquina virtual Windows. Los ataques solo son posibles si está activa la impresión virtual, opción desactivada por defecto. Se ven afectadas las versiones VMware Workstation Pro y Player 12.x.

Por otra parte, un tratamiento inadecuado de las funciones de aceleración gráfica empleadas en VMware Tools para OSX provoca dos referencias a puntero nulo que podrían permitir la elevación de privilegios local en máquinas virtuales con OSX (CVE-2016-7079 y CVE-2016-7080).

Los problemas pueden evitarse mediante la instalación de VMware Tools 10.0.9 en las máquinas virtuales OSX afectadas. De forma alternativa, la versión actualizada de Tools puede instalarse a través de ESXi o Fusion después de actualizar primero a una versión  de ESXi o Fusion que incluya VMware Tools parcheado.

El instalador de VMware carga algunas dlls de forma incorrecta lo que puede permitir el secuestro de dll. Este problema podría permitir a un atacante cargar una dll arbitraria que ejecute código arbitrario (CVE-2016-7085). También en el instalador un problema en la carga del ejecutable puede permitir a un atacante ejecutar un archivo exe situado en el mismo directorio del instalador con el nombre "setup64.exe". Igualmente podría permitir la ejecución de código arbitrario (CVE-2016-7086).

VMware ha publicado las siguientes actualizaciones:
VMware ESXi 6.0
ESXi 6.0 patch ESXi600-201608403-BG
Documentación:

VMware ESXi 5.5
ESXi 5.5 patch ESXi550-201608102-SG
Documentación:

VMware Workstation Pro 12.5.0

VMware Workstation Player 12.5.0

VMware Fusion 8.5.0

VMware Tools 10.0.9

Más información:

VMSA-2016-0014
VMware ESXi, Workstation, Fusion, and Tools updates address multiple security issues



Antonio Ropero
Twitter: @aropero

viernes, 16 de septiembre de 2016

Actualizaciones para múltiples dispositivos Cisco

Cisco ha publicado nueve boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario o acceder al dispositivo sin autorización.

Los productos afectados son Cisco Web Security Appliance, Cisco WebEx Meetings Server, Cisco Unified Computing System, Cisco Fog Director for IOx, Cisco IOS XR para NCS6000 Series, Cisco IOS and IOS XE y Cisco Carrier Routing System.


Cisco WebEx Meetings Server

Los problemas más graves afectan a Cisco WebEx Meetings Server. Por una parte una vulnerabilidad crítica, con CVE-2016-1482, por un filtrado inadecuado de los datos suministrados por el usuario que podría permitir a un atacante remoto sin autenticar evitar las restricciones de seguridad de un dispositivo en una DMZ e inyectar comandos en el sistema afectado. El atacante podría ejecutar comandos arbitrarios en el dispositivo con privilegios elevados.

Por otra parte, un segundo problema reside en una validación inadecuada de las cuentas de usuario por determinados servicios que podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio.

Ambas vulnerabilidades se han solucionado en Cisco WebEx Meetings Server versión 2.7.

Cisco IOS e IOS XE

Otras dos vulnerabilidades afectan al software Cisco IOS e IOS XE. Un problema, con CVE-2016-6403, en la aplicación Data in Motion (DMo) del software Cisco IOS e IOS XE con la función IOx activa podría permitir a un atacante remoto sin autenticar provocar condiciones de denegación de servicio en el proceso DMo.

Por otra parte, una validación inadecuada de algunos parámetros pasados al servidor web podría permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting (XSS) contra usuarios de la interfaz web de los sistemas afectados.

Cisco ha publicado actualizaciones para evitar estos problemas.


Cisco Fog Director para IOx

Una vulnerabilidad debido a una validación insuficiente de las entradas del usuario en Cisco Fog Director para IOx podría permitir a un atacante remoto sin autenticar escribir o sobrescribir archivos arbitrarios en los sistemas afectados.

Cisco ha publicado actualizaciones para evitar este problema.

Cisco IOS XR para Cisco Network Convergence System (NCS) 6000

Una vulnerabilidad en el tratamiento de OSPFv3 del software Cisco IOS XR en dispositivos Cisco Network Convergence System (NCS) 6000 Series podría permitir a un atacante remoto sin autenticar provocar un reinicio del proceso OSPFv3 que resultaría en condiciones de denegación de servicio en los dispositivos afectados.

Cisco ha publicado actualizaciones para evitar este problema.


Cisco Unified Computing System

Una vulnerabilidad en la interfaz de línea de comandos del administrador de Cisco Unified Computing System (UCS) y de UCS 6200 Series Fabric Interconnects podría permitir a un atacante local autenticado acceder al sistema operativo de los dispositivos con privilegios de usuario root.

Cisco no ofrece actualizaciones para esta vulnerabilidad.


Cisco Carrier Routing System (CRS)

Una vulnerabilidad en el tratamiento de paquetes IPv6 sobre MLPS de Cisco IOS XR en plataformas Cisco Carrier Routing System (CRS) podría permitir a un atacante sin autenticar cercano al sistema provocar el reinicio de la tarjeta de la línea afectada.

Cisco no ofrece actualizaciones para esta vulnerabilidad.


Cisco Web Security Appliance

Una vulnerabilidad en la petición de reenvío http con Cisco AsyncOS en los Cisco Web Security Appliance (WSA) podría permitir a un atacante remote sin autenticar provocar condiciones de denegación de servicio por una saturación de enlaces. Un atacante podría aprovechar el problema mediante el envío de múltiples peticiones http específicamente construidas al dispositivo afectado.

Cisco no ofrece actualizaciones para esta vulnerabilidad.


Más información:

Cisco WebEx Meetings Server Remote Command Execution Vulnerability

Cisco WebEx Meetings Server Denial of Service Vulnerability

Cisco Web Security Appliance HTTP Load Denial of Service Vulnerability

Cisco IOS and IOS XE Software Data in Motion Denial of Service Vulnerability

Cisco IOS and IOS XE Software IOx Local Manager Cross-Site Scripting Vulnerability

Cisco Unified Computing System Command Line Interface Privilege Escalation Vulnerability
Cisco Fog Director for IOx Arbitrary File Write Vulnerability

Cisco Carrier Routing System IPv6 Denial of Service Vulnerability

Cisco IOS XR Software for NCS 6000 Series Devices OSPF Packet Processing Denial of Service Vulnerability



Antonio Ropero

Twitter: @aropero