sábado, 31 de diciembre de 2016

Resumen de seguridad de 2016 (III)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2016 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Julio 2016:

  • Llega la moda de Pokémon GO, el nuevo videojuego para IOS y Android de Nintendo. Pero también gracias a Koodous detectamos hasta 27 aplicaciones distintas en Koodous, mucha de ellas clasificadas como malware por la comunidad e incluso instaladas en varios dispositivos.
        
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 11 boletines de seguridad y soluciona 40 vulnerabilidades. Adobe publica tres boletines de seguridad que corrigen 83 vulnerabilidades en XMP Toolkit para Java, Flash Player y Adobe Reader y Acrobat. Por otra parte, Apple publica para OS X (OS X El Capitan 10.11.6) y Security Update 2016-004, iOS 9.3.3, Safari 9.1.2, tvOS 9.2.2, iTunes 12.4.2 y watchOS 2.2.2; en total se solucionan 79 nuevas vulnerabilidades. Oracle publica parches para 276 vulnerabilidades (la mayor cantidad hasta la fecha) diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL. Google publica Chrome 52 y corrige 48 vulnerabilidades.
         
  • Entre las vulnerabilidades corregidas por Microsoft en sus boletines se incluye una actualización para los componentes del servicio de cola de impresión de Windows, existente en todos los Windows desde hace más de 20 años y que puede permitir la propagación de malware en una red.
          
  • Se presenta la vulnerabilidad bautizada como httpoxy que afecta a varias implementaciones del protocolo GCI. 

Agosto 2016: 
  • Koodous se presenta en BlackHat USA Las Vegas 2016, el que posiblemente sea el evento de seguridad informática más importante del mundo, como herramienta de seguridad destacada en la sección Arsenal.
          
  • Investigadores de Check Point presentan un conjunto de cuatro nuevas vulnerabilidades, bautizadas como QuadRooter, que afectan a prácticamente todos los dispositivos del ecosistema Android. Hasta 900 millones de teléfonos y tabletas podrían verse afectados.
          
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica nueve boletines de seguridad, que solucionan 38 vulnerabilidades. La Fundación Mozilla anuncia la publicación de la versión 48 de Firefox que corrige 24 vulnerabilidades.
         
  • Sale a la luz material de exploits usado por Equation Group, grupo vinculado supuestamente a la NSA. Todo son especulaciones sobre el origen de la información filtrada y la que supuestamente queda por exponer. Lo que es cierto es que se incluyen varios 0days que afectan a dispositivos Cisco y Fortinet.
        
  • A finales de mes, un número no concreto de usuarios de Dropbox reciben una notificación obligando a un cambio de contraseña, noticia que hace pensar que el popular servicio de almacenamiento ha sido "hackeado".


Septiembre 2016: 
  • Investigadores de FireEye detectan una nueva muestra de malware para cajeros bancarios, que bajo el nombre de Ripper parece ser el culpable del robo de 12 millones de baths (algo más de 310.000 euros) de cajeros en Tailandia.
          
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 14 boletines de seguridad, que solucionan 50 vulnerabilidades. Google publica Chrome 53 y corrige 33 vulnerabilidades. Apple publica macOS Sierra 10.12, macOS Server 5.2 y Safari 10 que solucionan un total de 88 vulnerabilidades. Mozilla publica Firefox 49 y corrige 18 nuevas vulnerabilidades
          
  • Google ofrece detalles sobre las características de seguridad de la última versión de Android 7.0, también conocido como Nougat.
          
  • A finales de mes se celebrará en Albacete la sexta edición del congreso de seguridad informática Navaja Negra nuestro compañero Daniel Vaca presenta la conferencia con título "Encontrando malware en Android like a n00b".
           
  • Yahoo publica un comunicado en el que confirma que a finales del 2014 sufrió un robo de datos, que afectó al menos a 500 millones de cuentas de usuario. 

Más información:

una-al-dia (12/07/2016) No solo Nintendo se frota las manos con Pokémon GO

una-al-dia (13/07/2016) Microsoft publica 11 boletines de seguridad y soluciona 40 vulnerabilidades

una-al-dia (14/07/2016) Actualizaciones de seguridad para Adobe Reader, Acrobat, Flash Player y XMP Toolkit para Java

una-al-dia (15/07/2016) Una vulnerabilidad de más de 20 años en Windows

una-al-dia (19/07/2016) Apple publica actualizaciones para múltiples productos:  OS X El Capitan, Safari, iOS, watchOS, iTunes y tvOS 

una-al-dia (20/07/2016) Oracle corrige 276 vulnerabilidades en su actualización de seguridad de julio

una-al-dia (21/07/2016) ¿Colega, dónde está mi Proxy?

una-al-dia (24/07/2016) Google publica Chrome 52 y corrige 48 vulnerabilidades

una-al-dia (03/08/2016) Koodous presente en BlackHat USA Las Vegas 2016

una-al-dia (04/08/2016) Mozilla publica Firefox 48 y corrige 24 nuevas vulnerabilidades

una-al-dia (09/08/2016) Las vulnerabilidades QuadRooter afectan a más de 900 millones de dispositivos Android

una-al-dia (10/08/2016) Microsoft publica nueve boletines de seguridad y soluciona 38 vulnerabilidades

una-al-dia (19/08/2016) A la venta el arsenal del Equation Group

una-al-dia (20/08/2016) Dispositivos Cisco afectados por el arsenal de Equation Group

una-al-dia (22/08/2016) Antiguos dispositivos Fortinet afectados por un exploit de Equation

una-al-dia (31/08/2016) Dropbox ¿hackeado?

una-al-dia (01/09/2016) Ripper, un nuevo malware para cajeros y el robo de 12 millones de baths

una-al-dia (03/09/2016) Google publica Chrome 53 y corrige 33 vulnerabilidades

una-al-dia (12/09/2016) Google detalla características de seguridad de Android 7.0 Nougat

una-al-dia (13/09/2016) Microsoft publica 14 boletines de seguridad y soluciona 50 vulnerabilidades

una-al-dia (13/09/2016) Microsoft publica 14 boletines de seguridad y soluciona 50 vulnerabilidades

una-al-dia (21/09/2016) Koodous participará en la próxima Navaja Negra

una-al-dia (22/09/2016) Apple publica macOS Sierra 10.12, macOS Server 5.2 y Safari 10

una-al-dia (24/09/2016) Mozilla publica Firefox 49 y corrige 18 nuevas vulnerabilidades

una-al-dia (23/09/2016) Yahoo confirma el robo de 500 millones de cuentas de usuario



Antonio Ropero
Twitter: @aropero

viernes, 30 de diciembre de 2016

Resumen de seguridad de 2016 (II)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2016 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2016: 
  • A primeros de mes Adobe confirma la existencia de un 0-day en Flash Player que se está explotando en sistemas con Windows 10 (y anteriores), pocos días después lo soluciona junto con otras 23 vulnerabilidades que afectan al popular reproductor.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 13 boletines de seguridad, que solucionan 40 vulnerabilidades. Oracle en su actualización trimestral corrige 136 nuevas vulnerabilidades en productos como Oracle Database, Solaris, Java o MySQL. Mientras que Google publica Chrome 50 y corrige 20 vulnerabilidades. Mozilla publica Firefox 46 y corrige 14 nuevas vulnerabilidades
         
  • A través de un comunicado ZDI (Zero Day Initiative) y Trend Micro Apple confirma que deja de ofrecer soporte a la versión Windows de QuickTime incluso dejando graves vulnerabilidades sin corregir. Todo indica que ha llegado el momento de desinstalar QuickTime para Windows.


Mayo 2016:
  • El CCN-CERT publica un informe de "Ciberamenazas 2015 y Tendencias 2016" que hace balance de los principales ciberincidentes registrados el pasado año, que cifra en 18.232, las herramientas empleadas y las vulnerabilidades encontradas.
          
  • Una vez más, el software preinstalado vuelve a causar problemas en equipos Lenovo. En esta ocasión, la herramienta de soporte "Lenovo Solution Center", preinstalada y activa en millones de portátiles, equipos de escritorio y tabletas Lenovo, se ve afectada por una vulnerabilidad que podría permitir a un atacante local elevar sus privilegios en el sistema.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 16 boletines de seguridad, que solucionan 58 vulnerabilidades. Adobe publica tres boletines de seguridad para anunciar actualizaciones para solucionar un total de 120 vulnerabilidades (incluido un nuevo 0-day) en Flash Player, ColdFusion, Adobe Reader y Acrobat. Apple publica actualizaciones para OS X (OS X El Capitan 10.11.5), iOS 9.3.2, Safari 9.1.1, iOS 9.3.2, tvOS 9.2.1, iTunes 12.4 y watchOS 2.2.1: en total soluciona 77 nuevas vulnerabilidades. 

Junio 2016:
  • Otra vez más Lenovo sufre un problema con las aplicaciones preinstaladas. En esta ocasión el problema reside en "Lenovo Accelerator Application", una aplicación destinada a acelerar la ejecución de otras aplicaciones Lenovo preinstaladas en Windows 10. Que sufre una vulnerabilidad que podría permitir a atacantes remotos realizar ataques de hombre en el medio. No se publica actualización y Lenovo recomienda su desinstalación.
         
  • Mozilla publica Firefox 47 y corrige 14 nuevas vulnerabilidades. Dentro de su ciclo habitual de actualizaciones Microsoft publica 16 boletines de seguridad, que solucionan 36 vulnerabilidades. Adobe publica seis boletines de seguridad para anunciar actualizaciones que solucionan 43 vulnerabilidades en Flash (incluido un 0day), DNG Software Development Kit (SDK), Brackets, Creative Cloud Desktop Application, Cold Fusion y Adobe AIR.
         
  • El Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI) presenta una nueva edición del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles". Esta investigación analiza el estado de la ciberseguridad en los hogares digitales españoles. Hispasec colabora en realización de este estudio, mediante el desarrollo y utilización del software Pinkerton. Destinado a analizar y recoger datos de los sistemas.
         
  • Lenovo publica una nueva versión de su herramienta de soporte "Lenovo Solution Center", preinstalada y activa en millones de sus equipos, debido a que se ve afectada por dos vulnerabilidades que podrían permitir a atacantes locales ejecutar código arbitrario. 

Más información:

una-al-dia (06/04/2016) Nuevo 0-day en Adobe Flash Player

una-al-dia (08/04/2016) Adobe soluciona el 0-day y otras 23 vulnerabilidades en Flash Player

una-al-dia (12/04/2016) Microsoft publica 13 boletines de seguridad y soluciona 40 vulnerabilidades

una-al-dia (14/04/2016) Google publica Chrome 50 y corrige 20 vulnerabilidades

una-al-dia (15/04/2016) Si tienes QuickTime, llegó el momento de desinstalarlo

una-al-dia (20/04/2016) Oracle corrige 136 vulnerabilidades en su actualización de seguridad de abril

una-al-dia (27/04/2016) Mozilla publica Firefox 46 y corrige 14 nuevas vulnerabilidades

una-al-dia (02/05/2016) El CCN-CERT publica Informe de Ciberamenazas 2015 y Tendencias 2016

una-al-dia (08/05/2016) El software preinstalado vuelve a causar problemas en equipos Lenovo

una-al-dia (10/05/2016) Microsoft publica 16 boletines de seguridad y soluciona 58 vulnerabilidades

una-al-dia (12/05/2016) Actualizaciones de seguridad para Adobe Acrobat, Reader, Flash Player y ColdFusion

una-al-dia (17/05/2016) Apple publica actualizaciones para múltiples productos: OS X El Capitan, Safari, iOS, watchOS, iTunes y tvOS

una-al-dia (03/06/2016) Otra vez Lenovo y las aplicaciones preinstaladas

una-al-dia (07/06/2016) Mozilla publica Firefox 47 y corrige 14 nuevas vulnerabilidades

una-al-dia (14/06/2016) Microsoft publica 16 boletines de seguridad y soluciona 36 vulnerabilidades

una-al-dia (15/06/2016) ONTSI presenta una nueva edición del "Estudio sobre la Ciberseguridad y Confianza en los hogares españoles"

una-al-dia (16/06/2016) Actualizaciones de seguridad para múltiples productos Adobe

una-al-dia (24/06/2016) De nuevo Lenovo y su software preinstalado


Antonio Ropero
Twitter: @aropero


jueves, 29 de diciembre de 2016

Mozilla corrige vulnerabilidades en Thunderbird

Mozilla Foundation ha publicado la nueva versión de Thunderbird 45.6, su popular cliente de correo, en la que corrigen ocho vulnerabilidades (dos de nivel crítico y las seis restantes de gravedad alta).

Dado que Thunderbird 45 contiene código subyacente que se basa en el de Firefox 45 ESR (versión de soporte extendido), los problemas corregidos también fueron solucionados en Firefox 45.6 ESR (publicado a mediados de mes).

Los problemas críticos residen en un uso de memoria después de liberarla mientras se manipulan eventos DOM y elementos de audio (CVE-2016-9899) y múltiples problemas de corrupción de memoria en Thunderbird que igualmente podrían permitir la ejecución remota de código (CVE-2016-9893).

Las vulnerabilidades consideradas de gravedad alta consisten en un uso de memoria después de liberarla en el Editor mientras se manipulan subárboles DOM (CVE-2016-9898), imágenes SVG permiten la carga de recursos externos restringidos a través de URLs data: (CVE-2016-9900), una fuga de información en atoms compartidos (CVE-2016-9904), salto de CSP (Content Security Policy) usando la etiqueta marquee (CVE-2016-9895), una caída en EnumerateSubDocuments (CVE-2016-9905) y una corrupción de memoria en libGLES (CVE-2016-9897).

La nueva versión está disponible a través del sitio oficial de descargas de Thunderbird:
o desde la actualización del navegador en Ayuda/Acerca de Thunderbird.

Más información:

Thunderbird Notes
Version 45.6.0

Security vulnerabilities fixed in Thunderbird 45.6

una-al-dia (17/12/2016) Mozilla publica actualizaciones para Firefox y Firefox ESR
  


Antonio Ropero

Twitter: @aropero

miércoles, 28 de diciembre de 2016

Solucionadas dos vulnerabilidades en Squid

Se han solucionado dos vulnerabilidades en SQUID versiones 3x y 4.x que podrían permitir a atacantes remotos conseguir información sensible del sistema atacado.

Squid es uno de los servidores proxys más populares, en gran parte por ser de código abierto y multiplataforma (aunque sus comienzos fueron para sistemas Unix).

El primer problema, con CVE-2016-10003, se debe a una comparación incorrecta de las cabeceras de las peticiones, Squid puede devolver respuestas que contengan datos privados a clientes a los que no debería llegar. Por otra parte, con CVE-2016-10002, otra vulnerabilidad debida a la manipulación incorrecta de petición condicional HTTP, de forma similar Squid puede devolver respuestas que contengan datos privados a clientes.

Ambos problemas afectan a versiones Squid 3.5 a 3.5.22 y Squid 4.0 a 4.0.16. Los problemas están solucionados en las versiones Squid 3.5.23 y 4.0.17, o se puede también aplicar los parches disponibles desde las alertas publicadas.

Más información:

Squid Proxy Cache Security Update Advisory SQUID-2016:10
Information disclosure in Collapsed Forwarding

Squid Proxy Cache Security Update Advisory SQUID-2016:11
Information disclosure in HTTP Request processing


Antonio Ropero
Twitter: @aropero


martes, 27 de diciembre de 2016

Resumen de seguridad de 2016 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2016 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2016: 
  • Se conoce que el causante de un apagón que dejó a más de medio millón de ucranianos sin energía eléctrica durante unas horas fue un malware que afectó a varias centrales eléctricas del país.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica nueve boletines de seguridad, que solucionan 25 vulnerabilidades. Además finaliza el soporte de Internet Explorer 8, 9 y 10 y de Windows 8. Adobe publica una actualización que corrige 17 vulnerabilidades críticas en Adobe Reader y Acrobat. Apple publica actualizaciones para OS X, Safari e iOS que solucionan 28 nuevas vulnerabilidades.
         
  • Tras mucho tiempo de espera Oracle anuncia que el plugin de Java desaparecerá de la próxima versión del JDK y JRE (versión 9).
         
  • Mozilla publica Firefox 44 y corrige 17 nuevas vulnerabilidades, mientras que Oracle corrige un total de 248 vulnerabilidades diferentes en múltiples productos incluyendo Oracle Database hasta Solaris, Java o MySQL.


Febrero 2016: 
  • Microsoft anuncia la publicación de la nueva versión EMET 5.5, la utilidad para mitigar la explotación de vulnerabilidades mediante la inclusión de capas de protección adicionales, incluye soporte para Windows 10 y mejora algunas mitigaciones.
         
  • El CCN publica un informe de Medidas de seguridad contra el Ransomware en el que da a conocer determinadas pautas y recomendaciones de seguridad para ayudar a prevenir y tratar los incidentes ocasionados por este tipo de malware.
          
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 13 boletines de seguridad, que solucionan 67 vulnerabilidades. Adobe publica actualizaciones para Flash Player, Photoshop, Connect y Experience Manager, se solucionan 32 vulnerabilidades.
         
  • Hispasec participa en un reportaje de la cadena de televisión Cuatro sobre el "Espionaje en la Red" en el que se mostraban los peligros que supone el uso irresponsable, o al menos despreocupado, de la tecnología. Además desvelamos algunos detalles del "Cómo se hizo" en un plano técnico que permita darle una perspectiva más profunda.
         
  • Realizamos un interesante análisis sobre la forma en que el malware para Android trata de obtener rendimientos económicos.


Marzo 2016: 
  • Se anuncia la vulnerabilidad DROWN que podría permitir a un atacante descifrar comunicaciones seguras con relativa sencillez.
         
  • Dentro de su ciclo habitual de actualizaciones Microsoft publica 13 boletines de seguridad, que solucionan 44 vulnerabilidades. Google publica Chrome 49 y corrige 26 vulnerabilidades. Por otra parte Adobe publica actualizaciones para corregir tres vulnerabilidades críticas en Adobe Reader y Acrobat y otra vulnerabilidad, también crítica, en Digital Editions y 23 vulnerabilidades en Adobe Flash Player. Mozilla anuncia la publicación de la versión 45 de Firefox destinada a solucionar 40 nuevas vulnerabilidades.
          
  • Se celebra una nueva edición del Pwn2Own, el concurso donde los descubridores de vulnerabilidades para los principales navegadores en diferentes sistemas operativos y plugins se llevan importantes premios económicos. Como en ediciones anteriores en esta ocasión las víctimas han sido Apple Safari, Microsoft Edge, Adobe Flash y Google Chrome.
           
  • Se informa de un nuevo ransomware, que bajo el nombre de Petya impide el acceso al disco duro y pide un rescate de más de 300 euros. 

Más información:

una-al-dia (10/01/2016) Cientos de miles de ucranianos sin electricidad por culpa de un malware

una-al-dia (12/01/2016) Microsoft publica nueve boletines de seguridad y finaliza soporte de productos

una-al-dia (13/01/2016) Actualizaciones de seguridad para Adobe Acrobat y Reader

una-al-dia (20/01/2016) Apple publica actualizaciones para OS X El Capitan, Safari e iOS

una-al-dia (21/01/2016) Oracle corrige 248 vulnerabilidades en su actualización de seguridad de enero

una-al-dia (27/01/2016) Mozilla publica Firefox 44 y corrige 17 nuevas vulnerabilidades

una-al-dia (29/01/2016) Oracle anuncia el final del plugin de Java ¡Por fin!

una-al-dia (06/02/2016) Microsoft publica EMET 5.5

una-al-dia (07/02/2016) El CCN-CERT publica Informe de Medidas de Seguridad contra el Ransomware

una-al-dia (09/02/2016) Microsoft publica 13 boletines de seguridad

una-al-dia (10/02/2016) Actualización para productos Adobe: Flash Player, Photoshop, Connect y Experience Manager

una-al-dia (11/02/2016) El "Cómo se hizo" del reportaje de "Soy Noticia"

una-al-dia (16/02/2016) FakeApps: Cómo 'monetizar' malware de Android de la A a la Z

una-al-dia (02/03/2016) DROWN, un nuevo ataque que intenta ahogar la criptografía

una-al-dia (05/03/2016) Google publica Chrome 49 y corrige 26 vulnerabilidades

una-al-dia (08/03/2016) Microsoft publica 13 boletines de seguridad y soluciona 44 vulnerabilidades

una-al-dia (09/03/2016) Actualizaciones de seguridad para Adobe Acrobat, Reader y Digital Editions

una-al-dia (10/03/2016) Mozilla publica Firefox 45 y corrige 40 nuevas vulnerabilidades

una-al-dia (11/03/2016) Adobe soluciona 23 vulnerabilidades en Flash Player

una-al-dia (18/03/2016) Safari, Edge, Flash y Chrome caen en el Pwn2Own 2016

una-al-dia (30/03/2016) Petya, un nuevo ransomware que impide el acceso al disco duro


Antonio Ropero
Twitter: @aropero


lunes, 26 de diciembre de 2016

Publicada la píldora formativa Thoth 41 "¿Cómo podemos atacar al algoritmo RSA?"

Se ha publicado en el canal YouTube de la UPM la píldora formativa 41 del proyecto Thoth que lleva por título "¿Cómo podemos atacar al algoritmo RSA?"

A fecha de hoy, diciembre de 2016, RSA sigue siendo un algoritmo seguro, gracias al tamaño de sus claves. Factorizar un módulo RSA cercano a los mil bits, no es factible hoy en día con los ordenadores que conocemos. En cuanto al ataque por cifrado cíclico, éste no rompe la clave sino sólo el secreto, y además sólo es eficiente para claves muy pequeñas. Por último, aunque el ataque por la paradoja del cumpleaños sí permite optimizar el tiempo de cómputo con varios computadores en red atacando como clientes, aquí tampoco seremos capaces de romper claves de tamaños reales. Sin embargo, siempre habrá que estar atentos a nuevos desarrollos de ataques por canal lateral a RSA, si bien es menester indicar que éstos no rompen el algoritmo en sí, sino sus manifestaciones físicas, que no obstante pueden enmascararse.  

Enlace en YouTube a la píldora Thoth 41 "¿Cómo podemos atacar al algoritmo RSA?"
                              https://www.youtube.com/watch?v=0D8uAk5VFcc

El proyecto Thoth publica de manera periódica píldoras formativas en seguridad de la información. Pueden ser tratados como complementos formativos basados en el concepto de vídeos cortos (con una duración en torno a los cinco minutos), muy didácticos y sobre temas muy específicos.

Todos los vídeos del proyecto Thoth cuentan con un archivo srt original de subtítulos incluido en YouTube, importante para personas con limitaciones auditivas, así como un archivo podcast mp3 que puede descargarse desde el sitio web, válido en este caso tanto para personas con limitaciones visuales como para quienes deseen realizar solamente la audición de estas lecciones.

Puedes acceder a la documentación en pdf, el podcast en mp3 y también al vídeo de esta nueva píldora y de las 40 píldoras anteriores, desde la página web del Proyecto Thoth, que te permite además una búsqueda mediante los siguientes cinco filtros:
1) Fundamentos de seguridad
2) Criptografía clásica
3) Historia de la criptografía
4) Matemáticas en criptografía
5) Criptografía moderna

Como siempre, quedamos a la espera de tus comentarios en YouTube, muy importantes y necesarios para la supervivencia de este proyecto de formación y difusión masiva y gratuita.

La próxima entrega del proyecto Thoth será en enero de 2017, con la píldora número 42 de título "¿Cómo funciona el algoritmo de Elgamal?"


Jorge Ramió, Alfonso Muñoz
Directores Proyecto Thoth

domingo, 25 de diciembre de 2016

Cross-Site scripting en Novell GroupWise

Se ha anunciado una vulnerabilidad en Novell GroupWise 2014, que podría permitir a atacantes remotos construir ataques de cross-site scripting.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc. En la actualidad Novell forma parte de Micro Focus.

El problema (con CVE-2016-9169) reside en la consola web de GroupWise Document Viewer Agent que podría permtir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Para resolver esta vulnerabilidad se recomienda aplicar GroupWise 2014 R2 Support Pack 1 Hot Patch 2 (o posterior).

Más información:

Security Vulnerability - Reflected Cross-site scripting (XSS) vulnerability in GroupWise Document Viewer Agent (DVA)



Antonio Ropero
Twitter: @aropero


sábado, 24 de diciembre de 2016

Vulnerabilidad crítica en Cisco CloudCenter Orchestrator

Cisco ha confirmado una vulnerabilidad en la configuración Docker Engine de Cisco CloudCenter Orchestrator (CCO; anteriormente conocido como CliQr) que podría permitir a un atacante remoto sin autenticar conseguir privilegios de root en los sistemas afectados.

El problema, con CVE-2016-9223, se debe a una configuración incorrecta que provoca que el puerto de administración del Docker Engine quede accesible fuera del sistema CloudCenter Orchestrator. Un atacante podría explotar esta vulnerabilidad instalando contenedores de Docker en el sistema afectado con privilegios arbitrarios. Como impacto secundario, esto podría permitir al atacante obtener privilegios de root en el CloudCenter Orchestrator afectado.

El problema afecta a todas las versiones de Cisco CloudCenter Orchestrator (CCO) con el puerto 2375 del motor Docker Engine abierto en el sistema y enlazado a la dirección local 0.0.0.0 (cualquier interfaz), configuración por defecto.

Se ha solucionado en la versión de Cisco CloudCenter Orchestrator 4.6.2

Más información:

Cisco CloudCenter Orchestrator Docker Engine Privilege Escalation Vulnerability



Antonio Ropero
Twitter: @aropero

viernes, 23 de diciembre de 2016

Desbordamiento de búfer en la librería libcurl

Se ha publicado un boletín de seguridad del proyecto cURL para alertar de una vulnerabilidad en la librería libcurl, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

cURL es una librería y herramienta para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.

La vulnerabilidad, con CVE-2016-9586, reside en un desbordamiento de búfer en la implementación de las funciones printf() de la libería libcurl cuando se produce una salida de un punto flotante de gran tamaño. El fallo se produce con salidas de conversión de más de 255 bytes.El fallo se debe a que en las conversiones de punto flotante se usan funciones de sistema sin las adecuadas comprobaciones.

La vulnerabilidad afecta desde la versión 7.1 hasta la 7.51.0 incluida, únicamente en la librería. Esto es la utilidad cURL no se ve afectada. Se deben tener en cuenta las aplicaciones de terceros que incluyen en su implementación la librería de forma interna.

Se ha publicado la versión 7.52.0 que soluciona totalmente la vulnerabilidad.
También existe un parche específico:

Más información:

printf floating point buffer overflow



Antonio Ropero

Twitter: @aropero

jueves, 22 de diciembre de 2016

Cross-site scripting en VMware vSphere Hypervisor (ESXi)

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware vSphere Hypervisor (ESXi) que podrían permitir a un atacante construir ataques de cross-site scripting.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.

El problema, con CVE-2016-7463, reside en que un atacante con permisos para administrar máquinas virtuales a través de Cliente Host ESXi, o engañando al administrador de vSphere para importar una máquina virtual específicamente manipulada, podría realizar ataques de cross-site scripting (XSS) almacenados en el Cliente Host ESXi. El problema se puede provocar en el sistema desde donde el Cliente Host ESXi se utiliza para administrar la máquina virtual especialmente diseñada.

Afecta a versiones VMware vSphere Hypervisor (ESXi) 6.0 y 5.0.
VMware ha publicado las siguientes actualizaciones:
ESXi 6.0: ESXi600-201611102-SG
ESXi 5.5: ESXi550-201612102-SG
Disponibles desde:

Más información:

VMSA-2016-0023
VMware ESXi updates address a cross-site scripting issue



Antonio Ropero

Twitter: @aropero

miércoles, 21 de diciembre de 2016

Nueva versión de OpenSSH soluciona diversas vulnerabilidades

Se ha publicado una nueva versión de OpenSSH destinada a corregir seis vulnerabilidades que podrían permitir la ejecución de código, elevar privilegios, obtener llaves privadas, escribir archivos o provocar condiciones de denegación de servicio.

OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.

Un usuario remoto autenticado con control de un servicio sshd podría devolver una petición al ssh-agent para cargar un módulo PKCS#11 manipulado y ejecutar código o escribir archivos en el sistema que ejecuta ssh-agent (CVE-2016-10009).

Por otra parte, con CVE-2016-10010, un usuario podría conseguir privilegios de root a través del reenvío de sockets Unix-domain en sistemas con separación de privilegios desactivada. Un usuario local con privilegios podría conseguir llaves privadas del host (CVE-2016-10011).

Con CVE-2016-10012, una vulnerabilidad de elevación de privilegios por un fallo en la comprobación de límites en el administrador de memoria compartida. Una condición de denegación de servicio debido a que un atacante que envíe múltiples mensajes KEXINIT puede llegar a consumir hasta 128MB por conexión.

Por último, un atacante remoto podría evitar los controles de acceso basados en direcciones si la directiva AllowUser está configurada con rangos de direcciones CIDR no válidos.

OpenSSH ha publicado la versión OpenSSH 7.4 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.

Más información:

OpenSSH 7.4 has just been released




Antonio Ropero

Twitter: @aropero

martes, 20 de diciembre de 2016

Nuevas versiones de Samba

Se han publicado nuevas versiones de Samba, destinadas a solucionar tres vulnerabilidades que podrían permitir a un atacante ejecutar código de forma remota o elevar privilegios en los sistemas afectados.

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

El primero de los problemas (con CVE-2016-2123) reside en un desbordamiento de búfer en ndr_pull_dnsp_name al tratar objetos Samba NDR (Network Data Representation). Por otra parte, con CVE-2016-2125, una elevación de privilegios en servidores Kerberos en sitios de confianza. Y por último, con CVE-2016-2126, fallos en la validación PAC de Kerberos que podrían permitir elevar privilegios a usuarios locales.

Se han publicado las versiones Samba 4.5.3, 4.4.8 y 4.3.13 que corrigen los problemas.
Adicionalmente, se han publicado parches para solucionar estas vulnerabilidades:
Para Samba 4.5.2:
Para Samba 4.4.7:
Para Samba 4.3.12:

Más información:

Samba 4.5.3, 4.4.8 and 4.3.13 Security Releases Available for Download

Samba NDR Parsing ndr_pull_dnsp_name Heap-based Buffer Overflow Remote Code Execution Vulnerability

Unconditional privilege delegation to Kerberos servers in trusted realms

Samba 4.5.3 Available for Download

Samba 4.4.8 Available for Download

Samba 4.3.13 Available for Download


Antonio Ropero
Twitter: @aropero


lunes, 19 de diciembre de 2016

Vulnerabilidad crítica en múltiples routers Netgear

Se ha confirmado una vulnerabilidad de inyección de comandos en múltiples modelos de routers Netgear. El problema es especialmente grave dada la facilidad con que se puede reproducir.

Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos:
  • R6250
  • R6400
  • R6700
  • R6900
  • R7000
  • R7100LG
  • R7300DST
  • R7900
  • R8000
  • D6220
  • D6400
La vulnerabilidad puede permitir a un atacante remoto ejecutar comandos arbitrarios en los dispositivos afectados. Basta con tener acceso a la interfaz de administración web del router (aunque no se esté autenticado). Para conseguir su objetivo el atacante puede convencer o engañar al usuario para que visite un sitio web específicamente creado.

El ataque se reduce a:
http://<router_IP>/cgi-bin/;COMANDO

Un atacante puede abrir un Telnet remoto en el puerto 45, con una petición como:
http://RouterIP/;telnetd$IFS-p$IFS'45'

Como contramedida se puede desactivar la interfaz de administración web, mediante el siguiente comando:
http://<router_IP>/cgi-bin/;killall$IFS'httpd'

"NETGEAR is working on a production firmware version that fixes this command injection vulnerability and will release it as quickly as possible." ("NETGEAR está trabajando en una versión de firmware de producción que corrija esta vulnerabilidad de inyección de comandos y la publicará lo más rápido posible")

En la actualidad existen versiones beta del firmware que solucionan el problema para los siguientes modelos:

Más información:

Netgear R7000 - Command Injection

Multiple Netgear routers are vulnerable to arbitrary command injection

Security Advisory for VU 582384


Antonio Ropero
Twitter: @aropero