viernes, 24 de febrero de 2017

Apple publica actualización para Logic Pro X

La semana pasada Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Acaba de ofrecer una actualización para resolver ese mismo problema en Logic Pro X.

Logic Pro X es un completo estudio de grabación profesional para Mac que ofrece todo lo necesario para generar todo tipo de producciones musicales. Permite edición de audio, edición MIDI, mezclas, edición de partituras, plug-ins, etc.

La actualización está destinada a corregir la vulnerabilidad con CVE-2017-2374, la misma reportada por Tyler Bohan del equipo Cisco Talos, que reside en una escritura fuera de límites al tratar archivos de proyecto de Garage Band específicamente creados. El formato de archivos afectado es .band.

Sin duda al tratarse de un producto de similares características, con tratamiento de los archivos afectados, para el que se encontró la vulnerabilidad inicialmente, el equipo de seguridad de Apple siguió investigando y comprobó que también afectaba a este producto.

Apple ha publicado la versión de Logic Pro X 10.3.1 disponible para OS X El Capitan v10.11 (y posteriores)

Más información:

Logic Pro X

Logic Pro X 10.3.1

una-al-dia (15/02/2017) Apple publica una nueva actualización de seguridad para GarageBand

About the security content of GarageBand 10.1.6

TALOS-2017-0275
Apple GarageBand Out of Bounds Write Code Execution Vulnerability

TALOS-2017-0262
Apple GarageBand Out of Bounds Write Code Execution Vulnerability

Antonio Ropero

Twitter: @aropero

jueves, 23 de febrero de 2017

Vulnerabilidad en el kernel de Linux desde hace más de 11 años

Se ha anunciado la existencia de una vulnerabilidad en el kernel de Linux que podría permitir a usuarios locales obtener privilegios de root y que todo indica que existíadesde hace más de 11 años. Las principales distribuciones ya disponen de actualizaciones.

El fallo, al que se le ha asignado el CVE-2017-6074, reside en una doble liberación de memoria, fue descubierto por Andrey Konovalov, ingeniero de software de Google, mediante syzkaller, un fuzzer (un tipo de analizador) Linux de código abierto desarrollado por la propia firma.

Concretamente, la vulnerabilidad se encuentra en la implementación del protocolo DCCP (Datagram Congestion Control Protocol) desde la primera versión en soportarlo, la 2.6.14 (que data de octubre de 2005). Y que según describe el propio investigador podría aprovecharse para conseguir la ejecución de código kernel desde un proceso sin privilegios.

Para que un sistema sea vulnerable, el kernel debe estar compilado con la opción CONFIG_IP_DCCP. Actualmente, muchas de las distribuciones incluyen esta opción activa por defecto.

El problema se reportó a los desarrolladores del kernel el pasado 15 de febrero, dos días después ya existía un parche y se notificó a las distribuciones, la mayoría de las cuales ya disponen de actualizaciones.

Red Hat Enterprise Linux 6
Ubuntu Linux 12.04 LTS
Red Hat Enterprise Linux 7
Ubuntu Linux 16.10
Red Hat Enterprise Linux 7
Ubuntu Linux 14.04 LTS
Ubuntu Linux 16.04 LTS
Oracle Linux 6
Oracle Linux 6 y 7.

Más información:

Linux kernel: CVE-2017-6074: DCCP double-free vulnerability (local root)

syzkaller

dccp: fix freeing skb too early for IPV6_RECVPKTINFO

miércoles, 22 de febrero de 2017

Microsoft publica actualización, pero solo para Flash

Una semana después de informar que este mes no habría actualizaciones de seguridad, Microsoft ha publicado un boletín (el MS17-005) para solucionar únicamente las vulnerabilidades relativas a Flash Player.

Aunque Microsoft había anunciado que no publicaría más boletines en el formato habitual, una semana después de la fecha esperada ha sorprendido con el ya habitual boletín en el que se resuelven las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico.

Se trata de un boletín "crítico" que en esta ocasión soluciona 13 vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB17-04 de Adobe (y que se publicó y analizó hace una semana en una-al-día).

Resulta un poco extraño la publicación de este único boletín, aun más cuando existen dos vulnerabilidades públicamente conocidas y aún sin parchear. El fallo en el tratamiento de tráfico SMB que puede permitir provocar denegaciones de servicio y el reportado por Project Zero de Google, por una lectura fuera de límites en gdi32.dll (con CVE-2017-0038). Todo indica, que tendremos que seguir esperando hasta el próximo 14 de marzo (segundo martes del mes).

En cualquier caso, esta actualización puede descargarse a través de Windows Update o desde Microsoft Update Catalog donde se incluyen las direcciones de descarga directa de cada parche. También se instalará a través de las actualizaciones automáticas en caso de estar programadas.

Más información:

Microsoft Security Bulletin Summary for February 2017

Microsoft Security Bulletin MS17-005 - Critical
Security Update for Adobe Flash Player (4010250)

una-al-dia (14/02/2017) Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaign

una-al-dia (17/02/2017) Microsoft retrasa sus parches de febrero hasta el 14 de marzo


Antonio Ropero

Twitter: @aropero

martes, 21 de febrero de 2017

Más de 1.100 ransomwares en Android en el último mes

Todos nos hemos topado con la palabra ransomware alguna vez, ya que es algo que da que hablar constantemente. Para aquellos que no lo conocen, se trata de un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.

A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware.

Haciendo uso de una recolección de datos de seis meses, podemos observar como éste último muestra un aumento muy significativo. A pesar de fluctuar en los distintos meses, podemos apreciar un incremento en este tipo de malware en Android, e incluso como hemos podido llegar a ver este ha afectado a las versiones de Android TV, unos dispositivos muy particulares para los que se debe reorientar la programación del malware para aprovechar las características de este tipo de sistemas o adaptar los vectores de infección.



De entre todas las muestras recolectadas durante los últimos seis meses en Koodous, confirmadas como ransomware, se ha efectuado una clasificación mediante un algoritmo de agrupamiento. Así, se pueden observar cinco grandes grupos basados en la extracción de particularidades en su comportamiento. Estas muestras se nos pueden presentar de distintas formas, ya sea con diferentes iconos, nombres de paquete o nombres de aplicación, sin embargo, poseen un cuerpo de características comunes muy significativo.




Estamos por tanto frente a un auge de esta familia de malware en Android. Es de esperar un crecimiento tanto vertical en el número de detecciones e infecciones exitosas como de una ramificación grupal en base a su "modus operandi", debido a la evolución de este tipo de malware o a nuevos grupos de creadores de malware que progresivamente van adaptándose a la plataforma móvil Android.

¿Cómo evitamos este tipo de malware? Ya hemos advertido muchas veces desde Una-al-día que no existen balas de plata. Todo está expuesto y todos estamos expuestos al comportamiento dañino de un código que termina haciendo aquello que menos esperamos cuando aceptamos su instalación. De nuevo, las medidas son los principios básicos: sentido común como nuestra mejor defensa y una red de seguridad si nos falla nuestro ojo clínico, nuestra propuesta: Koodous, un antivirus ideado por y para la comunidad.



Fernando Díaz

lunes, 20 de febrero de 2017

Newsletter Criptored del mes de enero de 2017

Newsletter con las noticias y actividad del mes de enero de 2107 en Criptored. Estas noticias las podrá encontrar en el histórico de Criptored del mes de enero de 2107 en este enlace.

Actividad en el web de Criptored durante el mes de enero de 2017.
26/01/17: Primera edición del Máster Cybersecurity Manager de Tecnofor (España)
26/01/17: European Network for Cybersecurity PhD Winter School 2017 en Trento (Italia)
24/01/17: Abierto el registro para la RootedCON 2017 a celebrarse en Madrid del 2 al 4 de marzo de 2017 (España)
23/01/17: Vídeo de la conferencia Tecnologías Cuánticas del Dr. Juan Ignacio Cirac en I4S (España)
18/01/17: IV Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá CiberSeg17 (España)
16/01/17: CFP para el Workshop de la Red de Matemáticas en la Sociedad de la Información - MATSI 2017 (España)
16/01/17: Publicada la solución al quinto Criptoreto El alienígena (España)
11/01/17: Cuarta edición del curso on-line del COIT sobre cumplimiento normativo de SGSI (España)
10/01/17: Publicada la píldora formativa Thoth 42 ¿Cómo funciona el algoritmo de Elgamal? (España)
09/01/17: 201.415 reproducciones en el año 2016 del material multimedia generado por Criptored (España)
09/01/17: 13.866 accesos al MOOC Crypt4you en diciembre de 2016 (España)
09/01/17: 5.926 visualizaciones de las píldoras del proyecto Thoth durante el mes de diciembre de 2016 (España)
09/01/17: 5.537 visualizaciones de las lecciones de la enciclopedia Intypedia durante el mes de diciembre de 2016 (España)
09/01/17: 35.111 accesos a Criptored y 17.880 descargas de documentos pdf, zip y mp3 en el mes de diciembre de 2016 y resumen anual (España)
09/01/17: Newsletter de la actividad de Criptored en el mes de diciembre de 2016 (España)

También puede encontrar estas y otras noticias de la actividad de Criptored en la sección Debates del grupo en LinkedIn en el siguiente enlace:



Dr. Jorge Ramió, Dr. Alfonso Muñoz

domingo, 19 de febrero de 2017

Cross-Site scripting en IBM WebSphere Application Server

IBM ha publicado una actualización para corregir una vulnerabilidad en IBM WebSphere Application Server que podría permitir la realización ataques de Cross-Site Scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El problema (con CVE-2017-1121) podría permitir a un atacante remoto realizar ataques de cross-site scripting debido a una validación inadecuada de las entradas del usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador y permitir la obtención de credenciales.

Se ven afectadas las versiones de IBM WebSphere Application Server 7.0, 8.0, 8.5 y 8.5.5 y 9.0.

IBM ha publicado el Interim Fix PI73367 para solucionar esta vulnerabilidad.

Más información:

Security Bulletin: Potential Cross-site scripting vulnerability in WebSphere Application Server (CVE-2017-1121)




Antonio Ropero

Twitter: @aropero

sábado, 18 de febrero de 2017

Elevación de privilegios en la maquina anfitriona en Xen

Se ha anunciado un problema de seguridad en Xen que podría permitir a un administrador de un sistema huésped conseguir información sensible o privilegios elevados en la máquina anfitriona.

Xen es un proyecto colaborativo de la fundación Linux centrado en la virtualización de hardware. Las tecnologías creadas son Xen Hypervisor (el estándar de virtualización del mundo del código abierto), Xen Cloud Platform (plataforma de soluciones en la red basada en la tecnología anterior) y Xen ARM, destinada a dispositivos móviles.

El problema anunciado, con CVE-2017-2615, reside en un acceso a memoria fuera de límites en qemu en la emulación de tarjetas de vídeo Cirrus, que podría permitir a usuarios administradores en el sistema invitado obtener información sensible de la memoria o conseguir privilegios elevados en el sistema anfitrión.

Se ven afectados los sistemas Xen que se ejecutan en x86 con invitados HVM, con el proceso qemu ejecutándose en dom0. Sólo los invitados que dispongan de la tarjeta de video emulada "Cirrus" pueden aprovechar la vulnerabilidad. La tarjeta de vídeo emulada no predeterminada "stdvga" no es vulnerable. Los sistemas ARM no son vulnerable, así como los que solo usan invitados PV.

Se han publicado las siguientes actualizaciones:
Para mainline qemu, qemu-xen master,4.8

Para qemu-xen 4.4, 4.5, 4.6, 4.7

Para qemu-xen-traditional

Más información:

Xen Security Advisory CVE-2017-2615 / XSA-208
oob access in cirrus bitblt copy


Antonio Ropero

Twitter: @aropero

viernes, 17 de febrero de 2017

Denegación de servicio en OpenSSL

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL destinada a corregir una vulnerabilidad, calificada de gravedad alta, que podría permitir la realización de ataques de denegación de servicio.

OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).

La vulnerabilidad, con CVE-2017-3733, reside en que si durante una renegociación se encuentra la extensión Encrypt-Then-Mac pero esta no estaba en la negociación original (o viceversa) se puede provocar una denegación de servicio (dependiendo de la suite de cifrado). Se ven afectados tanto clientes como servidores.

OpenSSL ha publicado la versión 1.1.0e disponible desde
No afecta a versiones OpenSSL 1.0.2.

Se recuerda que las versiones OpenSSL 1.0.1 finalizaron su soporte a finales del año pasado.

Más información:

OpenSSL Security Advisory [16 Feb 2017]
Encrypt-Then-Mac renegotiation crash (CVE-2017-3733)



Antonio Ropero
Twitter: @aropero


jueves, 16 de febrero de 2017

Microsoft retrasa sus parches de febrero hasta el 14 de marzo

En una decisión sin precedentes, Microsoft ha anunciado que la publicación del paquete de actualizaciones planificadas para este pasado martes 14 de febrero se retrasa hasta el próximo 14 de marzo (segundo martes del mes). Problemas de última hora sin confirmar han obligado a la compañía a tomar esta drástica medida.

Se esperaban las actualizaciones de Microsoft de este segundo martes de mes con mayor inquietud que otros meses. Ya era conocido el cambio de modelo de anuncio y distribución de las actualizaciones lo que hacía que a la habitual curiosidad de todos los meses por saber los problemas corregidos se juntara la expectación por comprobar esos cambios de forma efectiva.

Sin actualizaciones en febrero
Pero con cierta sorpresa el pasado día 14, segundo martes de febrero, no se publicaba ninguna nueva actualización. Ya sabíamos que no habría boletines, pero la Security Update Guide, base de datos donde debían recogerse los nuevos parches, tampoco reflejaba ninguna novedad.

Posteriormente Microsoft publicaba un escueto comunicado en el informaba de que un problema de última hora podría afectar a algunos clientes y sin posibilidad de resolverlo a tiempo para ofrecer las actualizaciones planificadas. Por lo que tras considerar todas las opciones decidían retrasar los parches de este mes.

"After considering all options, we made the decision to delay this month’s updates. We apologize for any inconvenience caused by this change to the existing plan."

Pero ese "problema" del que no han ofrecido más detalles debe ser mucho más complicado de resolver de lo esperado inicialmente. Ya que finalmente en un añadido, aun más escueto, a la anterior información Microsoft comunicaba su decisión de retrasar todas las actualizaciones de febrero hasta el 14 de marzo.

"UPDATE: 2/15/17: We will deliver updates
as part of the planned March Update Tuesday,
March 14, 2017.
"

No está claro cuál es ese problema de última hora, pero muchos creen que tiene algo que ver con las actualizaciones acumulativas, esto es la inclusión de todos los parches publicados en uno solo. Anteriormente en el modelo de actualizaciones independientes en caso de un problema con uno de los parches éste podía ser excluido fácilmente de la publicación mensual sin afectar al resto de boletines. Recordamos muchos meses en los que "curiosamente" había un salto en la numeración de los boletines. Ahora se especula que el sacar uno de los parches de todo un paquete conjunto puede ser mucho más problemático que anteriormente.

En cualquier caso seguimos desconociendo las causas de este retraso y todo son especulaciones.

Problemas pendientes de resolver

Lo que sí es cierto que en esta ocasión además Microsoft ya tiene un problema conocido en el tratamiento de tráfico SMB y con exploit público, que puede permitir provocar denegaciones de servicio.

Además, Microsoft también deberá incluir la solución a una vulnerabilidad de gravedad media, anunciada por Mateusz Jurczyk de Project Zero de Google, y antiguo compañero de Hispasec, debido a una lectura fuera de límites en gdi32.dll. Este fallo, con CVE-2017-0038, fue reportado a Microsoft el pasado 16 de noviembre por lo que según la política de este grupo se darán a conocer todos los detalles el miércoles 15 de marzo, 90 días después de su anuncio y justo un día después de la ya esperada próxima publicación de parches de Microsoft.

Más información:

February 2017 security update release

Windows gdi32.dll heap-based out-of-bounds reads / memory disclosure in EMR_SETDIBITSTODEVICE and possibly other records

una-al-dia (11/11/2016) A partir de enero Microsoft no publicará más boletines de seguridad

Furthering our commitment to security updates

una-al-dia (03/02/2017) Vulnerabilidad 0-day en Windows

Microsoft Windows SMB Tree Connect Response memory corruption vulnerability

Prueba de concepto SMBv3 Tree Connect

Windows SMBv3 Denial of Service Proof of Concept (0 Day Exploit)


Antonio Ropero
Twitter: @aropero



miércoles, 15 de febrero de 2017

Apple publica una nueva actualización de seguridad para GarageBand

Hace menos de un mes Apple publicó una actualización de seguridad para GarageBand (su popular programa de composición musical) para OS X, destinada a solucionar un fallo que podía permitir la ejecución remota de código. Lamentablemente el problema no quedó totalmente solucionado, y se hace necesaria una nueva actualización.

GarageBand es un estudio de grabación que incluye una biblioteca de sonidos con instrumentos, baterías de estudio virtuales y preajustes para voz y guitarra. El diseño de la interfaz hace que tocar, aprender, grabar, componer y compartir música sea sencillo.

De nuevo es Tyler Bohan del equipo Cisco Talos el que reporta el problema, que reside en una escritura fuera de límites al tratar archivos de proyecto específicamente creados y que da lugar a condiciones explotables. También confirman que la vulnerabilidad es resultado de una corrección incompleta del fallo anterior.

"This vulnerability is the result
of an incomplete fix of bug id
TALOS-2016-0262 / CVE-2017-2372.
"

Afecta a GarageBand para OS X Yosemite v10.10 (y posteriores). Apple ha publicado GarageBand 10.1.6 para solucionar el problema descrito.

Como ya hemos mencionado en múltiples ocasiones, el vector de ataque, la vulnerabilidad empleada para atacar un sistema puede residir en el lugar más insospechado. Siempre se centra toda la importancia en el sistema operativo, e incluso en productos de uso habitual y sobre los que se centran y conocen múltiples vulnerabilidades, navegadores, visualizadores de pdfs, Flash, etc. Pero es fácil tender a descuidar otro tipo de software como, en este caso, un programa para componer música.

Más información:

About the security content of GarageBand 10.1.6

About the security content of GarageBand 10.1.5

una-al-dia (20/01/2017) Ejecución remota de código en Apple GarageBand

TALOS-2017-0275
Apple GarageBand Out of Bounds Write Code Execution Vulnerability

TALOS-2017-0262
Apple GarageBand Out of Bounds Write Code Execution Vulnerability



Antonio Ropero
Twitter: @aropero

martes, 14 de febrero de 2017

Actualizaciones de seguridad para Adobe Flash Player, Digital Editions y Campaign

Adobe ha publicado tres boletines de seguridad para anunciar las actualizaciones necesarias para solucionar 13 vulnerabilidades en Flash Player, nueve en Digital Editions y dos en Adobe Campaign.

Flash Player

El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB17-04 que soluciona 13 vulnerabilidades.

Los problemas incluyen cuatro vulnerabilidades de corrupción de memoria, tres desbordamientos de búfer, una vulnerabilidad de confusión de tipos, un desbordamiento de entero y cuatro por uso de memoria después de liberarla; todas ellas podrían permitir la ejecución de código. Los CVE asignados son CVE-2017-2982, CVE-2017-2984 al CVE-2017-2988 y CVE-2017-2990 al CVE-2017-2996.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  • Flash Player Desktop Runtime 24.0.0.221
  • Flash Player para Linux 24.0.0.221

Igualmente se ha publicado la versión 24.0.0.221 de Flash Player para navegadores Internet Explorer, Edge y Chrome.

Adobe recomienda a los usuarios de Adobe Flash Player Desktop Runtime para Windows y Macintosh actualizar a través del sistema de actualización del propio producto o desde
Para actualizar Adobe Flash Player para Linux:

Adobe Digital Editions

También se han solucionado nueve vulnerabilidades en Adobe Digital Editions (ADE), un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.

Se han solucionado nueve vulnerabilidades de de desbordamiento de búfer, aunque solo una de ellas podría permitir la ejecución remota de código. Los CVE asignados son CVE-2017-2973 al CVE-2017-2981.

Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.4 desde:
Para Windows y Macintosh:
Para Android:

Adobe Campaign

Por último, Adobe ha publicado una actualización para Adobe Campaign v6.11 para Windows y Linux. Está destinado a solucionar una vulnerabilidad de impacto moderado, que podría permitir a un usuario autenticado con acceso a la consola de cliente subir un archivo malicioso y ejecutarlo (CVE-2017-2968). También se resuelve otro problema de validación de entradas que podría emplearse para realizar ataques de cross-site scripting (CVE-2017-2969).

Se recomienda actualizar a 16.8 Build 8757 y versiones posteriores.

Más información:

Security updates available for Adobe Flash Player

Security update available for Adobe Digital Editions

Security update available for Adobe Campaign



Antonio Ropero
Twitter: @aropero


lunes, 13 de febrero de 2017

Vulnerabilidades en Nitro Pro 10

Se han reportado tres vulnerabilidades en Nitro Pro 10, consideradas de gravedad alta, que podrían permitir a un atacante remoto ejecutar código arbitrario dentro del sistema y provocar condiciones de denegación de servicio. 

Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.

Las dos primeras vulnerabilidades (CVE-2016-8709 y CVE-2016-8713) se deben a un error en la librería 'npdf.dll' que podría causar una escritura en memoria fuera de límites o corrupción de memoria. Un atacante remoto podría valerse de archivos PDF especialmente manipulados para provocar una denegación de servicio dentro del sistema.

En la vulnerabilidad con CVE-2016-8711 un atacante remoto podría también aprovechar un error en la misma librería para ejecutar código arbitrario a través también de archivos PDF especialmente manipulados. Las vulnerabilidades han sido reportadas por Piotr Bania de Cisco Talos.

Afectan a la versión Nitro Pro 10.5.9.9 y posiblemente versiones anteriores. Se recomienda actualizar a versiones superiores.

Más información:

Nitro Pro PDF Handling Code Execution Vulnerability

Nitro Pro



Juan Sánchez


domingo, 12 de febrero de 2017

Décimo informe anual de Ciber-seguridad de Cisco

Cisco ha publicado la décima edición de su Informe Anual de Ciber-seguridad, en el que destaca el incremento de vectores de ataque clásicos y la necesidad de reducir el tiempo de detección. 

El Informe Anual de Ciber-seguridad 2017 de Cisco revela a lo largo de sus más de 100 páginas una gran cantidad de datos, estadísticas y conclusiones interesantes.


El documento se divide en diversas secciones: comportamiento del atacante, comportamiento del defensor, Cisco 2017 Security Capabilities Benchmark Study, industria y conclusiones.

En el comportamiento del atacante se examina las formas en que los atacantes reconocen las vulnerabilidades y distribuyen el malware. Se explica cómo los atacantes convierten en armas algunas herramientas como el correo electrónico, aplicaciones cloud o el adware. Tras esto, en el comportamiento del defensor se ofrecen datos y estadísticas sobre las vulnerabilidades descubiertas y la necesidad de parchear los sistemas y todo tipo de aplicaciones.

Por otra parte el Cisco 2017 Security Capabilities Benchmark Study se basa en los resultados de entrevistas a cerca de 3.000 directores de Seguridad (CSOs, Chief Security Officers) y responsables de Operaciones de Seguridad de 13 países. Este apartado revela las percepciones de los profesionales de seguridad en sus organizaciones.

Por otra parte, se señala la importancia de la industria en la seguridad, la importancia de garantizar la seguridad de la cadena de valor. Así como la importancia de la actuación de los gobiernos sobre la seguridad, por ejemplo el posible daño que puede causar el guardar información sobre exploits día cero y vulnerabilidades en productos, sobre los que no siempre son transparentes sobre la información que poseen.

Por último, un apartado de conclusiones en el que se sugiere que los defensores deben adaptar sus prácticas de seguridad para poder enfrentarse a los típicos desafíos de seguridad a lo largo de la cadena de ataque y reducir el espacio operacional de los atacantes. Se ofrece orientación específica para establece un enfoque integrado y simplificado de la seguridad, que conecte el liderazgo ejecutivo, la política, los protocolos y las herramientas para prevenir, detectar y mitigar las amenazas.


Datos reseñables

Entre las principales barreras citadas por los CSOs para mejorar sus procesos de seguridad destacan los presupuestos limitados, la escasa compatibilidad de sistemas y el déficit de profesionales. Estos responsables también afirman que sus departamentos de seguridad son entornos cada vez más complejos. Un 65% de las organizaciones consultadas utilizan entre seis y más de 50 soluciones de seguridad, lo que les lleva a reducir potencialmente su efectividad y aumentar los posibles problemas de seguridad.

Es curioso el incremento del spam como modelo de ataque, con niveles no vistos desde 2010. El spam supone cerca de las dos terceras partes (el 65%) de todos los correos electrónicos, siendo maliciosos entre el 8 y el 10% de ellos. El volumen de spam está aumentando a escala global, a menudo propagado por grandes y crecientes botnets.



También se destaca el riesgo que representan las aplicaciones "cloud" de terceros introducidas por los empleados, hasta el 27% fueron consideradas como de alto riesgo y generaron preocupaciones de seguridad significativas. El clásico adware (software que descarga publicidad sin el permiso del usuario) ha mantenido su efectividad, infectando al 75 por ciento de las organizaciones investigadas.

Resultan preocupantes los datos sobre las alertas investigadas y remediadas, ya que se desvela que solo el 56% de las alertas de seguridad recibidas son investigadas. La mitad de ellas (28 por ciento) se consideran legítimas; pero menos de la mitad (46 por ciento) de las alertas legítimas son remediadas. Un dato que revela el trabajo tienen los administradores de operaciones de seguridad reside en que el 44 por ciento puede llegar a ver más de 5.000 alertas de seguridad diarias.

El coste de un ataque

Un apartado interesante revela el impacto que tienen los ataques para los negocios, desde pymes hasta grandes empresas. Para más de la mitad de las organizaciones que sufrieron un ataque el incidente se hizo público. Los procesos de operaciones (parada de sistemas de productividad críticos) y de finanzas fueron los más afectados, seguidos por reputación de marca y retención de clientes.

Para las organizaciones que sufrieron un ataque, las consecuencias fueron sustanciales:

  • El 22% de las organizaciones atacadas perdieron clientes (el 40% perdieron más del 20% de su base de clientes).
  • El 29% perdieron ingresos, y un 38% de ellos tuvieron pérdidas superiores al 20% de los ingresos.
  • El 23% de las organizaciones atacadas perdieron oportunidades de negocio (el 42% perdieron más del 20%).
Tras los ataques, el 90% de las organizaciones mejoran sus tecnologías y procesos de defensa frente a amenazas separando las funciones de seguridad y de TI (38%), mejorando la concienciación de los empleados mediante formación (38%) e implementando técnicas de mitigación del riesgo (37%).

El informe puede descargarse desde:
http://b2me.cisco.com/en-us-annual-cybersecurity-report-2017

Más información:

Cisco 2017 Annual Cybersecurity Report

Staying Ahead of the Evolving Threat – Announcing the Cisco 2017 Annual Cybersecurity Report


Antonio Ropero
Twitter: @aropero


sábado, 11 de febrero de 2017

Inyección SQL ciega en McAfee ePolicy Orchestrator

Intel Security ha confirmado una vulnerabilidad en ePolicy Orchestrator que podría permitir la realización de ataques de inyección SQL ciega.
 
McAfee ePolicy Orchestrator, también conocido como ePO, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.

El problema, con CVE-2016-8027, puede permitir la realización de ataques de inyección SQL ciega mediante peticiones HTTP post específicamente manipuladas. El atacante podrá obtener información de la base de datos o la suplantación de un agente sin autenticación.

Este problema afecta a versiones ePolicy Orchestrator 5.1.3 (y versiones anteriores) y a ePO 5.3.2 (y versiones anteriores).

McAfee ha publicado parches para las versiones ePO 5.1.3, 5.3.1 y 5.3.2 que solucionan el problema y se encuentran disponibles desde:
Para ePO 5.1.3: EPO513HF1167014.zip
Para ePO 5.3.1: EPO531HF1179709.zip
Para ePO 5.3.2: EPO532HF1167013.zip
Versiones anteriores deberán actualizarse a las indicadas.

Más información:

McAfee Security Bulletin - ePO update fixes an XML Entity Injection and Metasploit Credential vulnerability

Inyección SQL Ciega



Antonio Ropero
Twitter: @aropero


viernes, 10 de febrero de 2017

Nuevas versiones de BIND 9

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar una vulnerabilidad considerada de gravedad alta que podrían causar condiciones de denegación de servicio a través de consultas especialmente manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.

La vulnerabilidad, con CVE-2017-3135, consiste en que bajo determinadas condiciones al usar DNS64 y RPZ para reescribir respuestas a consultas, el tratamiento de las consultas puede reanudarse en un estado inconsistente que conduce a un fallo de aserción o un intento de lectura a través de un puntero NULL. Afecta a versiones 9.9.3-S1 a 9.9.9-S7, 9.9.3 a 9.9.9-P5, 9.9.10b1, 9.10.0 a 9.10.4-P5, 9.10.5b1, 9.11.0 a 9.11.0-P2 y 9.11.1b1.

Se recomienda actualizar a las versiones más recientes BIND 9.9.9-P6, 9.10.4-P6, 9.11.0-P3 y 9.9.9-S8, disponibles en:

Más información:


CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash




Antonio Ropero
Twitter: @aropero

jueves, 9 de febrero de 2017

Dispositivos Cisco pueden quedar inoperativos a los 18 meses de funcionamiento

Cisco ha confirmado la existencia de un problema en un componente incluido en diferentes dispositivos que puede hacer que estos dejen de funcionar tras 18 meses de operación.

El problema es tan grave como parece, un componente de señal de reloj se degrada con el tiempo. Según confirma la compañía los productos afectados están funcionando normalmente en la actualidad, sin embargo se esperan que los problemas aumenten con el paso del tiempo, comenzando después de que la unidad esté operando durante aproximadamente 18 meses. Y lo peor, una vez que el componente falla el sistema deja de funcionar, no arrancará y será irrecuperable.

En su aviso Cisco no llega a confirmar el componente afectado, aunque todo hace indicar que se trata del Atom C2000. Un procesador Intel x86 basado en la arquitectura Silvermont, diseñado para un alto rendimiento con bajo consumo de energía. Este mismo chip también está incluido en equipos de otros fabricantes, como HP, Dell, Nec, Synology o Netgear. Aunque por el momento, ningún otro fabricante ha informado de problemas similares en sus productos.

Cisco ha confirmado que los productos afectados por el problema son:
  • NCS1K-CNTLR (redes ópticas)
  • NCS5500 Line Cards
  • IR809/IR829 Industrial Integrated Services Routers
  • Routers ISR4331, ISR4321, ISR4351 y UCS-E120
  • Cisco ISA3000 Industrial Security Appliance
  • Meraki MX84
  • Meraki MS350
  • ASA 5506, ASA 5506W, ASA 5506H, ASA 5508 y ASA 5516
  • Nexus 9000 Series N9K-C9504-FM-E
  • Nexus 9000 Series N9K-C9508-FM-E
  • Nexus 9000 Series N9K-X9732C-EX 
Se recomienda consultar los avisos de Cisco para confirmar las versiones concretas afectadas, fechas, etc.

Como no podía ser de otra forma, Cisco sustituirá de forma proactiva todos los productos bajo garantía o cubiertos por cualquier tipo de contrato de servicios válido fechado el 16 de noviembre de 2016, que tenga este componente. Dada la naturaleza del problema y la importancia del tiempo transcurrido, se está dando prioridad a los pedidos basándose en el tiempo en operación de los productos.

Más información:

Clock Signal Component Issue

Intel's Atom C2000 chips are bricking products – and it's not just Cisco hit

FN - 64230 - NCS1K-CNTLR Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract

FN - 64231 - NCS5500 Line Cards Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract

FN - 64252 - IR809/IR829 Industrial Integrated Services Routers Might Fail After 18 Months or Longer Due to Clock Signal Component Failure – Replacement Available for Items Under Warranty or Service Contract

FN - 64253 - ISR4331, ISR4321, ISR4351 and UCS-E120 Might Fail After 18 Months or Longer Due to Clock Signal Component Failure – Replacement Available for Items Under Warranty or Service Contract

FN - 64228 - ASA 5506, ASA 5506W, ASA 5506H, ASA 5508, and ASA 5516 Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract

FN - 64250 - Cisco ISA3000 Industrial Security Appliance Might Fail After 18 Months or Longer Due to Clock Signal Component Failure–Replacement Available for Items Under Warranty or Service Contract

Inconveniente con el componente de señal del reloj

FN - 64251 - Nexus 9000 Series N9K-C9504-FM-E/N9K-C9508-FM-E/N9K-X9732C-EX Might Fail After 18 Months or Longer Due to Clock Signal Component Failure – Replacement Available After July 1, 2017




Antonio Ropero
Twitter: @aropero