Autenticación sin credenciales en libssh

La vulnerabilidad se encuentra en todas las versiones desde la 0.6, requiriendo para su explotación sólo alterar el orden del proceso de autenticación

Ha sido encontrado un fallo en el flujo que sigue libssh durante el proceso de autenticación, que permite autenticarse correctamente sin necesidad de entregar ninguna credencial. Para ello, al establecer la conexión, en vez de enviar el estado‘SSH2_MSG_USERAUTH_REQUEST‘ como esperaría el servidor, tan sólo hay que enviar el estado final SSH2_MSG_USERAUTH_SUCCESS’.

Este error, que ha sido descubierto por Peter Winter-Smith de NCC Group y tiene por identificador CVE-2018-10933, ya ha sido parcheado en la versión 0.8.4 y 0.7.6. Algunos de los productos que pueden haber sido afectados son X2Go, Csync o Remmina. En el caso de Github, aunque utiliza libssh, no está afectado al emplear una versión modificada de la biblioteca. La vulnerabilidad sólo afecta a la parte del servidor, por lo que en principio proyectos como KDE, que utiliza la parte de cliente, no están afectados.

No debe confundirse libssh con OpenSSH, siendo ambos proyectos independientes. No existe riesgo para la mayoría de servidores SSH instalados en máquinas tipo Unix, al emplear estos por defecto una implementación de OpenSSH. Si se utiliza un producto que haga uso de esta biblioteca en el lado del servidor, se urge a actualizar de inmediato debido a la gravedad de la vulnerabilidad.

Más información:


Vulnerabilidad conocida en Mikrotik WinBox, más crítica de lo esperado.

Este nuevo ataque desarrollado por Teenable Research, podría permitir a usuarios maliciosos hacerse con el control de los routersMikrotik para desplegar malware en la red, minar criptomonedas, o evitar las restricciones configuradas en estos dispositivos.

La vulnerabilidad (CVE-2018-14847), publicada en Abril de este mismo año, fue calificada con severidad media. Sin embargo, investigadores de Teenable Research han liberado una nueva prueba de concepto basada en dicha vulnerabildad, utilizando una nueva técnica que permite evadir la autenticación de RouterOS y permitir la ejecución remota de código arbitrario.
Este fallo usa WinBox (pequeña utilidad gráfica para administrar RouterOS) como vector de ataque, aunque la vulnerabilidad es en sí misma, de RouterOS.

El funcionamiento de esta nueva prueba de concepto es simple; en primer lugar se obtienen las credenciales del usuario administrator del dispositivo para después escribir un fichero en el router (con ayuda de las credenciales extraidas) con el que finalmente el atacante puede conseguir acceso con los máximos privilegios (root).

Las versiones afectadas por esta vulnerabilidad son:
bugfix release: desde 6.30.1 hasta 6.40.7
current release: desde 6.29 hasta 6.42
RC release (Release Candidate): desde 6.29rc1 hasta 6.43rc3

Ya hablamos en anteriores entradas de las vulnerabilidades que continuamente amenazan a estos dispositivos, por lo que como siempre, se recomienda actualizar el sistema operativo de los routers afectados a la última versión disponible y adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox.

Más información:

Reporte de Vulnerabilidad Mikrotik:
https://blog.mikrotik.com/security/winbox-vulnerability.html

Prueba de concepto de Teenable Research:
https://github.com/tenable/routeros/tree/master/poc/bytheway

Código CVE asociado a esta vulnerabilidad:
https://www.cvedetails.com/cve/CVE-2018-14847/

Microsoft parchea 12 vulnerabilidades críticas en su actualización de octubre

La nueva actualización de seguridad parchea 49 vulnerabilidades, entre las que se encuentran 12 críticas y 35 catalogadas como importantes

Microsoft ha lanzado un nuevo boletín de actualizaciones de seguridad para este mes de octubre, parcheando los siguientes productos:

Entre las vulnerabilidades más críticas se encuentra una que afecta a Microsoft XML Core Services (MSXML), con identificador CVE-2018-8494. Un mensaje XML manipulado permitiría la ejecución remota de código (RCE). El fallo afecta a todas las versiones de Windows soportadas, incluyendo versiones de servidor.

A parte, una de las vulnerabilidades más importantes es la registrada con el CVE-2018-8453. Según Microsoft, esta vulnerabilidad habría sido aprovechada por atacantes. El fallo se encuentra en Win32K, y permitiría a una aplicación ejecutar código arbitrario con permisos del kernel.

En esta actualización se ha incluido también un parche para la vulnerabilidad CVE-2018-8423, la cual se hizo pública el día 20 de septiembre por haber superado los 120 días desde su reporte sin que se parchease, y afecta a Microsoft JET Database Engine. El fallo fue descubierto por Zero Day Initiative, y permitiría la ejecución remota de código. No se tiene constancia de que esta vulnerabilidad haya sido aprovechada.

El conjunto de actualizaciones de octubre se vio afectado por la noticia del borrado de ficheros tras actualizar, situación que parece haber sido controlada, y por la que se ha reanudado la distribución de la actualización afectada. Aunque la actualización no parece ser la misma a la que incluye estos parches, algunos usuarios pueden haber ignorado las actualizaciones por la alarma generada, y sus equipos se encontrarían expuestos por las vulnerabilidades anteriores. Dichos usuarios, deben actualizar lo antes posible para evitar verse afectados.

Más información:


ADV180026:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180026

CVE-2010-3190:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2010-3190
CVE-2018-8292:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8292

CVE-2018-8330:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8330

CVE-2018-8427:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8427

CVE-2018-8432:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8432

CVE-2018-8472:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8472

CVE-2018-8481:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8481

CVE-2018-8482:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8482

CVE-2018-8486:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8486

CVE-2018-8493:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8493

CVE-2018-8501:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8501

CVE-2018-8503:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8503

CVE-2018-8504:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8504

CVE-2018-8506:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8506

CVE-2018-8530:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8530

CVE-2018-8532:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8532

CVE-2018-8533:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8533

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8494

A Remote Code Execution Vulnerability in the Microsoft Windows Jet Database Engine:
https://www.zerodayinitiative.com/blog/2018/9/20/zdi-can-6135-a-remote-code-execution-vulnerability-in-the-microsoft-windows-jet-database-engine

Descubierta vulnerabilidad para eludir la pantalla de bloqueo de iOS 12

El investigador español José Rodríguez ha descubierto unavulnerabilidad en iOS 12 que permite eludir la pantalla de bloqueo y acceder al contenido del dispositivo

José Rodríguez ha encontrado un nuevo fallo de seguridad en iOS que permite acceder a la información que contiene el dispositivo.

La vulnerabilidad se encuentra en la característica ‘VoiceOver’, que dicta la información mostrada en pantalla. Gracias a esta característica y a un error que muestra una ventana aparentemente vacía, es posible saber lo que realmente contine dicha ventana y navegar a través de ella para acceder a diferentes funcionalidades a las que no se debería tener acceso estando el dispositivo bloqueado.

El investigador ha publicado dos videos con dos formas diferentes de vulnerar el sistema. En el primer video podemos observar que es necesario recibir unallamada de teléfono y a continuación un mensaje para que se muestre la pantalla en blanco aparentemente vacía. Pero, como podemos ver, en realidad no esta vacía y haciendo uso de ‘VoiceOver’ se puede navegar por ella.

En la segundo video, se hace uso de la creación de notas a través de Siri para acabar visualizando una pantalla en blanco para compartir la nota, pero usando ‘VoiceOver’ podemos darnos cuenta de que realmente la pantalla no está vacía y podemos navegar por ella para compartir la nota por diferentes redes sociales, e incluso obtener información de conversaciones de WhatsApp si se intenta compartir a través de este.

Apple ha lanzado la versión 12.0.1 que resuelve este fallo de seguridad. Si aún no has actualizado, te recomendamos que lo hagas lo antes posible.

Más información:
 

Actualizaciones para múltiples productos de Adobe

Adobe ha publicado cinco boletines de seguridad en los que se han corregido, al menos, 16 vulnerabilidades en sus productos Flash Player, Digital Editions, Experience Manager, Framemaker y Technical Communications Suite.

A continuación se exponen los boletines publicados para cada producto.

Adobe Digital Editions (APSB18-27): boletín que soluciona tres vulnerabilidades relacionadas con un desbordamiento de memoria que podría permitir la ejecución remota de código (CVE-2018-12813, CVE-2018-12814 y CVE-2018-12815), cinco debidas a errores de lecturas fuera de límites que permitirían revelar información (CVE-2018-12816, y CVE-2018-12818 a CVE-2018-12821), y otro fallo que también permitiría la ejecución de código debido a un error de acceso a memoria previamente liberada (CVE-2018-12822).

Adobe Flash Player (APSB18-35): actualmente no se detallan las vulnerabilidades corregidas en este boletín.

Adobe Experience Manager (APSB18-36): cinco problemas de seguridad que podrían permitir la revelación de información sensible a través de ataques Cross-Site Scripting permanentes (CVE-2018-15969, CVE-2018-15972 y CVE-2018-15973) y reflejados (CVE-2018-15970 y CVE-2018-15971) se solucionan en este boletín.

Adobe Framemaker (APSB18-37) y Adobe Technical Communications Suite (APSB18-38): estos dos últimos boletines corrigen sendos fallos de seguridad relacionados con la carga de librerías de manera insegura que permitiría la elevación de privilegios (CVE-2018-15974 y CVE-2018-15976 respectivamente).

Se encuentran afectadas las siguientes versiones de los producto Adobe (y anteriores):

  • Adobe Digital Editions 4.5.8 y anteriores para las plataformas Windows, Macintosh e iOS.
  • Adobe Flash Player 31.0.0.108 para los sistemas operativos Windows, macOS, Linux y ChromeOS, así como los navegadores Google Chrome, Microsoft Edge and Internet Explorer 11.
  • Adobe Experience Manager 6.x para todas las plataformas.
  • Adobe Framemaker 1.0.5.1 y anteriores para Microsoft Windows.
  • Adobe Technical Communications Suite 1.0.5.1 y anteriores para Microsoft Windows.
Más información:
 
APSB18-27 – Security Updates Available for Adobe Digital Editions:
https://helpx.adobe.com/security/products/Digital-Editions/apsb18-27.html

APSB18-35 – Security updates available for Adobe Flash Player:
https://helpx.adobe.com/security/products/flash-player/apsb18-35.html

APSB18-36 – Security updates available for Adobe Experience Manager:

El FBI investiga ataque al servicio de aguas y alcantarillado de North Carolina

Funcionarios federales están trabajando conjuntamente con una empresa local encargada del servicio de aguas de North Caroline, después de que se hayan detectado intrusiones en sus sistemas.

El jefe de aguas y alcantarillados de Onslow (en Carolina del Norte) expuso en un comunicado que habían sido objeto de un “sofisticado ataque de ransomware“.

El relato de los hechos, según el CEO de la compañía (Jeffrey Hudson) de aguas y alcantarillado, comienza a las 3:00AM del día 4 de octubre, cuando un empleado del departamento IT se percató del ataque y reaccionó desconectando los sistemas de internet.
Sin embargo, para ese entonces, el virus ya se había propagado rápidamente por la red local y logró cifrar varios sistemas importantes del servicio de aguas (bases de datos, según el CEO).
Tanto el CEO del servicio de aguas y alcantarillado de North Carolina como el jefe de IT, estuvieron de acuerdo en no ceder a las amenazas de rescate de los atacantes.

Jeffrey Hudson declara que, la información de sus clientes no ha sido comprometidatras el ataque, pero sí han tenido que restaurar varias bases de datos que poseían para volver a la normalidad.

De acuerdo con centro de quejas de delitos por internet del FBI, los ataques de tipo ransom (cifrar el disco completo y pedir a continuación un rescate por la clave) no son tan comunes si los comparamos con otros como el phishing, aunque si son costosos para las organizaciones/particulares que las sufren.

El virus usado utilizado por los atacantes es Emotet, un troyano bancario cuya función principal es descargar y lanzar otros malwares. En este caso, el malware lanzado esRyuk, un malware de tipo ransom.

Emotet es un malware troyano polimórfico. Anteriormente este malware se consideraba del tipo bancario, hoy en día es un troyano bancario cuya función principal es descargar y lanzar otros ejecutables. También tiene la capacidad de descargar módulos adicionales de su servidor, entre los que encontramos:

  • Módulo de spam
  • Módulo de gusano de red.
  • Módulo para visualizar la contraseña del correo electrónico.
  • Módulo para visualizar las contraseñas del navegador web.
Se propaga por medio de una botnet de spam, adjuntando documentos o enlaces maliciosos en correos electrónicos, también mediante fuerza bruta con diccionario.
Una vez que Emotet ha infectado un dispositivo, tiene la capacidad de interceptar, registrar y guardar todo el tráfico saliente del navegador web.
Ryuk es descargado y lanzado por Emotet. Ryuk es usado en ataques dirigidos hechos a medida (al contrario que Emotet, que mayormente usa botnets de spam).
La primera muestra de Ryuk de la que se tiene constancia es del día 18 de agosto de 2018
Infecta todos los archivos del sistema excepto los ficheros de la lista blanca de directorios. Estos serían “Windows”, “Mozilla”, “Chrome”, “RecycleBin”, “Ahnlab”
documentos de MS Office, OpenOffice, PDFs, archivos de texto, bases de datos, fotos, música, vídeos, archivos de imágenes, archivos, etc
Más información:

Fallo de seguridad en WhatsApp permite comprometer tu cuenta con solo responder una videollamada

Investigadores de seguridad de Google Project Zero encuentra una vulnerabilidad en WhatsApp que permitiría comprometer tu cuenta con solo responder a una videollamada de WhatsApp

La investigadora de seguridad de Google Project Zero, Natalie Silvanovich encontró la vulnerabilidad y la reportó a WhatsApp en agosto de este año. La vulnerabilidad es un ‘memory heap overflow‘ que se produce al recibir un paquete RTP de petición de videollamada especialmente diseñado.

La vulnerabilidad se encuentra en la implementación de RTP de WhatsApp, por lo que el fallo afecta tanto a las versiones de Android como de iOS; pero no a WhatsApp Web, ya que este usa WebRTC para la realización de videollamadas.

Silvanovich ha publicado la prueba de concepto con la información acerca del fallo de seguridad. Aunque esta prueba de concepto solamente provoca que se desencadene la corrupción de memoria haciendo que WhatsApp se cierre, Tavis Ormandy, también investigador de Project Zero, ha afirmado que se puede comprometer completamente WhatsApp con solo responder a una videollamada.

WhatsApp lanzó una actualización que resuelve el fallo el 28 de septiembre para la versión de Android y el 3 de octubre para la versión de iOS. Por lo que, si aún eres de los que usa WhatsApp y no has actualizado a la última versión, es aconsejable que lo hagas lo antes posible.

Más información:
 
Reporte del fallo:

Múltiples vulnerabilidades en Foxit Reader y PhantomPDF

Foxit ha corregido un total de 18 vulnerabilidades que afectan a Foxit Reader y Foxit PhantomPDF. Estas vulnerabilidades podrían permitir a un atacante provocar denegaciones de servicio, obtener información sensible o la ejecución de código arbitrario.

Foxit es un lector de PDF de la compañía Foxit Software, gratuito en su versión Reader y con versión de pago que permite modificar PDF. Se encuentra disponible para sistemas operativos Windows y GNU/Linux, y en forma de plugin para navegadores web. Supone una alternativa más ligera y apriori menos atacada que al popular lector de PDFs Adobe Reader.

Las vulnerabilidades afectan a las versiones 9.1.0.9292 y anteriores de los productos Reader y PhantomPDF.

El equipo de investigadores de Cisco Talos ha encontrado 18 vulnerabilidades en Fox Reader. Una de las más críticas, afecta al motor JavaScript de la aplicación para crear formularios dinámicos y documentos interactivos.

Esta última vulnerabilidad tiene lugar cuando se lanza código JavaScript embebido en el PDF. Cuando el documento se cierra, liberan numerosos objectos usados, pero en este caso, el código JavaScript embebido continúa ejecutándose, potencialmente provocando que se use memoria que ya fue liberada (‘use-after-free’) en el motor JavaScript de Foxit, lo que potencialmente puede permitir la ejecución remota de código arbitrario.

Más información:

Boletín oficial Foxit:
https://www.foxitsoftware.com/support/security-bulletins.php

Reporte vulnerabilidades Cisco Talos:
https://blog.talosintelligence.com/2018/10/foxit-pdf-reader-multiple-vulnerabilities.html#more

GhostDNS entra en tu router, te cambia la configuración DNS y te roba las credenciales.

DNSchanger no es nada nuevo, pero este caso en particular ha llamado la atención a los investigadores de Netlab, que han descubierto GhostDNS, una botnet basada en el conocido malware y que ha conseguido infectar a más de 100.000 router y afectar a más de 70 firmware diferentes.

the hackers way

 

Los servidores de nombres o DNS se encargan de traducir el dominio que utilizamos para acceder a una página web en la dirección IP del servidor donde se aloja. Generalmente se utilizan servidores DNS de entidades conocidas, como es el caso de Google, OpenDNS o CloudFlare por ejemplo. Si un atacante cambiara el servidor DNS utilizado por uno controlado por él, podría redireccionar un dominio a cualquier IP, de esta manera, si es capaz de duplicar el contenido del sitio web al que accede, podría realizar un ataque de phishing complicado de detectar por el usuario, ya que la URL que utiliza es la de la página real.


El módulo principal de GhostDNS es DNSChanger, que se encarga de cambiar la configuración de los DNS en los router. Cuenta con más de 100 scripts cuya finalidad es la explotación de los routers vulnerables para ejecutarse y cambiar su configuración.


De los demás módulos no tenemos mucha información aún. Sabemos que uno es un panel de administración, seguramente utilizado como servidor de C&C por el atacante, y otro es Rogue DNS, que resuelve el dominio utilizado por la víctima y cambia la IP por la del servidor controlado por el atacante.


Para proteger nuestro router es importante cambiar la contraseña que viene por defecto por una segura, descargar e instalar la última versión de firmware desde la página oficial del fabricante y por último revisar la configuración DNS.
Más información:

D-Link soluciona varias vulnerabilidades presentes en Central WifiManage

D-Link ha publicado actualizaciones para solucionar varias vulnerabilidades presentes en “Central WifiManager”, una herramienta que permite administrar y monitorizar puntos de acceso dentro de una red.

 

La primera vulnerabilidad, etiquetada con CVE-2018-17440, permitiría la subida de un fichero sin restricciones y la ejecución de código arbitrario.

La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.

Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros ‘sitename’ y ‘username’. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.

XSS en el parámetro ‘sitename’
XSS en el parámetro ‘username’

Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.

Más información: