Actualización de seguridad en Drupal

El equipo de seguridad de Drupal ha publicado una actualización de seguridad considerada crítica para solucionar siete vulnerabilidades.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

A continuación un breve resumen de los fallos corregidos:

El primer fallo tiene asignado el CVE-2017-6926 y podría permitir a un atacante remoto los permisos adecuados para la publicación de respuesta en un post, acceder a información para la que no tenga privilegios e incluso comentar en él.

La segunda vulnerabilidad, CVE-2017-6927, se debe a un fallo en el sistema de protección de XSS, concretamente en la función Drupal.checkPlain(). Bajo ciertas circunstancias un atacante podría saltarse la función de escapado permitiendo la inclusión de código.

El fallo identificado con CVE-2017-6928, podría permitir, bajo ciertas circunstancia, la descarga de ficheros no autorizados para el usuario, a través de su gestor de ficheros.

Una vulnerabilidad de cross site scripting cuando se acede a dominios no verificados desde jQuery, identificada con el CVE-2017-6929.

Un fallo al usar el control de lenguaje en sistemas Drupal multilenguaje en función del origen, y forzar un lenguaje sin traducción disponible podría ocasionar el acceso a información no autorizada. Esta vulnerabilidad está asociada con el CVE-2017-6930.

Un fallo en el módulo de la bandeja de ajuste podría permitir a un usuario modificar información para la que no tendría privilegios. Este fallo está identificado bajo CVE-2017-6931.

Y por último, identificada con el CVE-2017-6932. Un fallo cuando el bloqueador de selector de idioma está activado, podría permitir la inclusión de una web externa en la web de error 404.

Los problemas afectan a las ramas 8 y 7 de Drupal. Se recomienda la actualización a Drupal 8.4.5 y 7.57 respectivamente.

Más información:

OMG convierte dispositivos IoT en servidores proxy

 

Una nueva variante de Mirai ha sido descubierta por investigadores de Fortinet. Bautizada como OMG, la funcionalidad que la define es la capacidad de utilizar los dispositivos IoT infectados como servidores proxy.

Imagen de fondo creada por Kjpargeter. Obtenida de Freepik.com


La liberación del código fuente del la botnet Mirai ha dado a luz todo tipo de variantes con su propio arsenal de funcionalidades específicas. En previas UAD hemos hablado de como explotaban vulnerabilidades en dispositivos Huaweiusaban contraseñas por defecto en ZyXel o atacaban a software de minado.

Diagrama de funcionamiento de OMG. Obtenida de Fortinet

Por supuesto, la nueva variante OMG (llamada así por la presencia de las cadenas’/bin/busybox OOMGA’ y OOMGA: applet not found‘ en su interior) no podía ser menos. La presencia de los módulos de Mirai en su código indica que, de serie, puede usar las mismas técnicas que la botnet original. Pero además incluye la opción inédita: la capacidad de usar los dispositivos IoT infectados como servidores proxy.


Detalle de la configuración para elección de modo. Obtenida de Fortinet

Una vez infectado el dispositivo, OMG comunica la infección al servidor C&C, que le responde con un valor que especifica su finalidad. El valor 0 le indica al bot que va a ser usado como servidor proxy. Para ello selecciona dos puertos al azar (‘http_proxy_port’ y ‘socks_proxy_port’), que son comunicados al servidor C&C, y configura una regla de firewall para permitir el trafico a través de ellos. Una vez lista la configuración, ejecuta un servidor proxy usando el software de código abierto 3proxy.

Esta variante ha sido descubierta por un equipo de investigadores de Fortinet. Según ellos, la posible motivación de esta funcionalidad es el cobro por el uso de la red de proxies:

Cybercriminals use proxies to add anonymity when doing various dirty work such as cyber theft, hacking into a system, etc. One way to earn money with proxy servers is to sell the access to these servers to other cybercriminals. This is what we think the motivation is behind this latest Mirai-based bot.

En su post se cubre en más detalle el funcionamiento y se aportan IOCs. Precisamente un miembro del equipo, Dario Durando, estará esta semana en la RootedCon con una charla llamada “IoT: Battle of Bots” donde cubrirá las diferentes variantes de Mirai aparecidas.


Más información:
 

Las 10 mejores viñetas de Dilbert de seguridad informática

Dilbert es una viñeta creada por Scott Adams en 1989. La viñeta de Dilbert es vastamente conocida dentro de los que nos dedicamos a la tecnología, debido en gran parte, por la empatía que nos transmite el protagonista.


La viñeta de Dilbert empezó apareciendo en periódicos hace 29 años, hoy día la tenemos disponible a través de su página web, (existe una versión traducida al castellano). También podemos encontrar una serie de capítulos animados, que se publicaron en 1999.


En la una al día de hoy, queremos hacerle un pequeño homenaje, mostrando las 10 viñetas relacionadas con la seguridad que nos han gustado más. Espero que la disfruten y que sea un gran descubrimiento para aquellos que aún no lo conozcan.
#1

#2

#3

#4

#5

#6

#7

#8

#9

#10

 


Más información:
 

Boletines de seguridad para Asterisk

Asterisk ha publicado seis boletines de seguridad (AST-2018-001 al AST-2018-006) que solucionan otras tantas vulnerabilidades que podrían permitir ataques de denegación de servicio

Asterisk es una implementación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor deVoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris Microsoft Windows.

Las vulnerabilidades, ordenadas por boletín, son las siguientes:

  • AST-2018-001: un problema que podría causar un bloqueo cuando una consulta a los registros del soporte RTP para un ‘payload’ dinámico resulta en un ‘codec’ de tipo diferente al negociado para el flujo RTP. Esta vulnerabilidad tiene asignado el identificador CVE-2018-7285 y afecta a la rama 15.x de Asterisk Open Source.
  • AST-2018-002: un error al procesar la descripción de formato de medios no válidos con el algoritmo de análisis ‘sdp’ de ‘pjproject’. No se ha asignado ningún identificador CVE a este problema que afecta a las versiones de Asterisk Open Source comprendidas entre la 13 y 15 así como a Certified Asterisk 13.18
  • AST-2018-003: un error producido al utilizar el controlador de canal‘pjsip’ cuando la función de recuperación ‘fmtp’ de ‘pjproject’ no es capaz de verificar si el valor del atributo ‘fmtp’ está vacío (se establece como vacío si se analizó previamente como no válido). Este problema, sin CVE asignado, afecta a Asterisk Open Source 13.x, 14.x y 15.x así como a Certified Asterisk 13.18.
  • AST-2018-004: una falta de comprobación de la cantidad de cabeceras‘Accept’ cuando el módulo ‘res_pjsip_pubsub’ procesa una peticiónSUBSCRIBE que podría causar una escritura de memoria fuera de límites. El CVE CVE-2018-7284 se ha asignado a esta vulnerabilidad que afecta a las ramas 13, 14 y 15 de Asterisk Open Source y la versión 13.18 de Certified Asterisk.
  • AST-2018-005: un fallo de segmentación podría ocurrir al recibir un gran número de mensajes INVITE autenticados y finalizar la conexión de repente (CVE-2018-7286). Se encuentran afectados Asterisk Open Source 13.x, 14.x, 15.x y Certified Asterisk 13.18.
  • AST-2018-0016: una falta de comprobación de la longitud de los‘websocket’ podría causar un bloqueo al intentar leer un ‘payload’ de tamaño 0. Esta vulnerabilidad, identificada como CVE-2018-7287, únicamente afecta a aquellas instalaciones de Asterisk con el servidor HTTP habilitado (por defecto no lo está). Afecta a la rama 15.x deAsterisk Open Source.

Se han publicado las versiones Asterisk Open Source 13.19.2, 14.7.6, 15.2.2 yCertified Asterisk 13.18-cert3 que solucionan los problemas anteriormente descritos. También existen parches individuales para solucionar cada una de las vulnerabilidades, disponibles a través de los diferentes boletines publicados.

Más información:
 
AST-2018-001: Crash when receiving unnegotiated dynamic payload:
http://downloads.asterisk.org/pub/security/AST-2018-001.html

 
AST-2018-002: Crash when given an invalid SDP media format description:
http://downloads.asterisk.org/pub/security/AST-2018-002.html

 
AST-2018-003: Crash with an invalid SDP fmtp attribute:
http://downloads.asterisk.org/pub/security/AST-2018-003.html

 
AST-2018-004: Crash when receiving SUBSCRIBE request:
http://downloads.asterisk.org/pub/security/AST-2018-004.html

 
AST-2018-005: Crash when large numbers of TCP connections are closed suddenly:

Múltiples Vulnerabilidades en Trend Micro Email Encryption Gateway

Varias vulnerabilidades afectan al sistema ‘Email Encryption Gateway’ de Trend Micro, algunas de las cuales podrían llevar a la ejecución remota de código arbitrario.

 

Introducción

Email Encryption Gateway es un software basado en Linux que permite el cifrado de correo desde el gateway corporativo.

El cifrado y descifrado del correo en el cliente TMEEG (Trend Micro Email Encryption Gateway) está controlado por un gestor de directivas que permite al administrador configurar directivas basándose en varios parámetros (direcciones de correo remitente, destinatario, palabras clave, etc). Se presenta como una interfaz para configurar los ‘MTA’ salientes.

Se han encontrado vulnerabilidades en la consola web que permitirían a un atacante no autenticado ejecutar comandos arbitrarios con privilegios de root.

Descripción

El informe contiene doce vulnerabilidades que afectan este producto, que pasaremos a explicar de manera muy resumida en las siguientes líneas.

Vulnerabilidad 1 (Actualización insegura vía HTTP)

La comunicación con los servidores de actualización no está cifrada. Cuando la aplicación comprueba las actualizaciones espera recuperar un archivo en texto plano con un formato determinado. Si dentro de este fichero se encuentra una nueva actualización, el paquete RPM se descargará sin ningún tipo de validación, lo que facilitaría a un atacante instalar una actualización maliciosa en el sistema.

Vulnerabilidad 2 (Escritura de archivos con ejecución de comandos)

El fragmento de código responsable de descargar el archivo de actualización‘(com/ident/pmg/web/CheckForUpdates.java)’ permite que un atacante pueda controlar la ruta donde se va a descargar el fichero de actualización. El archivo RPM es escrito como root con permisos 0644. Lo que permite varios vectores de ejecución de código. El vector presentado por los descubridores de la vulnerabilidad consiste en la creación de una tarea cron en el directorio ‘/etc/cron.d’.

Vulnerabilidad 3 (Actualizaciones sin validar)

El mecanismo de actualización presentado en la vulnerabilidad 2 no valida el archivo RPM descargado. Un atacante podría alterar el archivo RPM e inyectar el suyo propio, siempre que se encuentre en una posición Man in the Middle. Los investigadores ha hecho una prueba de concepto creando un archivo RPM malicioso capaz de ejecutar una ‘shell’ inversa.

Vulnerabilidad 4 (Ubicación de logs arbitraría con ejecución de comandos)

La ubicación de los archivos de log se puede modificar en el fichero ‘logConfiguration.do’. Un atacante podría redigir los logs de MimeBuildServer a /opt/Tomcat/Webapps/root/Pepito.jsp para posteriormente modificar su configuración e incluir código JSP arbitrario, que será ejecutado la próxima vez que se reinicie el servicio.

Vulnerabilidad 5 (Registro sin validación)

El registro de dispositivos se habilita para que los administradores del sistema configuren los dispositivos virtuales al implementarlo. Sin embargo es accesible sin autenticación incluso después de que el dispositivo esté configurado, lo que permitiría a los atacantes establecer parámetros de configuración como nombre de usuario y contraseña de administrador.

Vulnerabilidad 6 (Cross Site Request Forgery)

No hay protección contra CSRF en ningún formulario de la interfaz web. Esto permitiría a un atacante enviar solicitudes autenticadas cuando un usuario autenticado examina un dominio controlado por el atacante. Se podría combinar con la vulnerabilidad 4 y ejecutar código arbitrario de forma remota. También se puede combinar con la vulnerabilidad 2 y la 3, lo que también podría llevar a la ejecución remota de comandos.

Vulnerabilidad 7 (XML External Entity Injection)

El parámetro ‘pciExceptionXml’ del script ‘Configuration.jsp’ es vulnerable a‘XML External Entity Injection’. La prueba de concepto utiliza entidades externas para enviar el archivo ‘/etc/shadow’ a un servidor externo. Requiere que el usuario esté autenticado dentro de la consola web, por lo que el atacante necesitará obtener primero unas credenciales válidas. Los posibles vectores para lograr esto incluyen cualquiera de los ataques XSS o la explotación de la vulnerabilidad XSRF.

Vulnerabilidad 8 (Reflected Cross Site Scripting)

Los parámetros ‘deniedKeysExpireTimeout’ y ‘keyAge’ del script‘keymanserverconfig.jsp’ son vulnerables a XSS.

Vulnerabilidad 9 (Reflected Cross Site Scripting)

Los parámetros:
‘decryptionXHeader’, ‘encryptionXHeader’, ‘meetingRequestEmailText’, ‘zdAttachmentPayloadTemplate’, ‘zdAttachmentTemplate’, ‘zdMainTemplate’, ‘zdMainTemplateZdv4‘ son vulnerables a XSS.

Vulnerabilidad 10 (Stored Cross Site Scripting)

El parámetro ‘hideEmails’ del script ‘editPolicy.jsp’ es vulnerable a cross-site scripting. La siguiente solicitud agrega una directiva para la dirección de correo electrónico, la entrada se almacenará de forma no escapada y será renderizada cada vez que se ejecute el script ‘Policies.do’

Vulnerabilidad 11 (SQL Injection)

El parámetro ‘hidEdittld’ del script ‘policies.jsp’ es vulnerable a SQL-Injection. El script lee un parámetro ‘hidEdittld’ y lo reenvía al script ‘editPolicy.jsp’ este script pasará sin ninguna modificación el parámetro al método ‘loadRuleDetails’de la clase ‘formEditPolicy’, y lo usa para generar una instrucción SQL.

Vulnerabilidad 12 (SQL Injection)

El parámetro ‘hidRuleId’ del script ‘editPolicy.jsp’ es vulnerable a SQL Injection. El script lee el parámetro ‘hidRuleId’ y llama a ‘DeletePolicy’ sin hacer ninguna comprobación de seguridad sobre lo insertado.

Vulnerabilidad 13 (SQL Injection)

El parámetro ‘SearchString’ del script ‘emailSearch.jsp’ es vulnerable a SQL Injection.

CVE

  • CVE-2018-6219
  • CVE-2018-6220
  • CVE-2018-6221
  • CVE-2018-6222
  • CVE-2018-6223
  • CVE-2018-6224
  • CVE-2018-6225
  • CVE-2018-6226
  • CVE-2018-6227
  • CVE-2018-6228
  • CVE-2018-6229
  • CVE-2018-6230

Productos vulnerables
Trend Micro Email Encryption Gateway 5.5 (Build 1111.00)

Información del fabricante y soluciones

https://success.trendmicro.com/solution/1119349-security-bulletin-trend-micro-email-encryption-gateway-5-5-multiple-vulnerabilities


Post original

Cómo eliminar el virus que convierte las carpetas en accesos directos con el comando ‘Attrib’

Si todas las carpetas de tu memoria USB han sido reemplazadas por accesos directos, quiere decir que ha sido infectada por el virus del acceso directo. Este virus no puede ser eliminado con los antivirus tradicionales, pero puedes utilizar un simple comando, desde el símbolo del sistema, para deshacerte por completo de él.

Cómo recuperar las carpetas ocultas de tu memoria USB con el comando ‘Attrib’ y eliminar el virus del acceso directo

Abre Ejecutar, escribe cmd y haz clic en Aceptar. Luego, en la ventana Símbolo del sistema, escribe la letra de tu unidad USB (por ejemplo E:) y presiona Enter. Ingresa el comando Attrib /d /s -r -h -s *.* y presiona nuevamente Enter:


No hagas clic sobre los accesos directos o el virus infectará tu PC. A continuación, selecciona los accesos directos y los archivos sospechosos y presiona las teclas Shift + Supr o las teclas Shift + Delete. Por último, haz clic en . Esta orden elimina de forma permanente los accesos directos sin mandarlos a la Papelera de reciclaje.

Cryptojacking. Escuchando a la otra parte afectada del negocio.

Tengo que admitir que dejé de ir a charlas de seguridad hace bastante tiempo. En su lugar, para compensar, voy a las de desarrolladores. No nos engañemos, me encanta mi trabajo, que no es otro que desmontar pieza a pieza lo que otros han construido. Pero también me gusta construir y, por supuesto, si lo que levantas del suelo no es a demanda sino algo que te propones como un reto, mayor es el aliciente. Además, mucho mejor estar cerca de mis “enemigos” que de mis “amigos” ¿no?

Al salir de una de estas charlas me encontré con un viejo amigo que tiene una empresa de desarrollo y hosting. Nos fuimos a saquear el aperitivo y se nos unieron varios compañeros más. Muy pronto, la conversación derivó en uno de los temas de moda y del que ya hemos hablado alguna que otra vez por aquí: el cryptojacking. Aunque intenté darme a la fuga antes de que el tema cogiese más protagonismo, mi amigo me paró en seco. “Ah!, pues aquí el amigo, que se dedica a seguridad, nos puede dar su visión del tema.”

El tópico interesaba, y mucho, y de nada sirvieron las cinco excusas nivel oro de mi libro de excusas para huir de ciertas situaciones sociales (lógico, quienes me conocen saben cómo contratacarlas). Así que teníamos por delante veinte minutos de conversación acerca de la dichosa minería. No obstante, al final mereció la pena. Pude constatar la preocupación con la que asumían la problemática. Me pareció interesante dar eco aquí de ciertos aspectos.

El cambio de economía

Me comentaban qué, de los servidores atacados en sus sistemas, normalmente accedían (un clásico) a través de una vulnerabilidad web. Cuando antes era subir una Shell, ahora es, con alarmante diferencia, subir un minero. No al propio servidor, que eso pega un cantazo tremendo en los consumos, muy monitorizados, de CPU de las máquinas, sino, evidentemente, como recurso para que se los descarguen los navegadores.

Antes, si subían un phishing o un troyano, el visitante no se percataba del sitio donde le habían encasquetado el paquete. Eso era porque la visita era indirecta en la mayoría de ocasionas y otras veces, por supuesto, la infección es silenciosa y el visitante no se percataba donde “le habían untado la tostada”.

Sin embargo, con el minado si se nota. Llega al lugar y el ventilador se pone a fibrilar. La CPU a tope, tanto que podría calentar una habitación en un par de horas. Entonces sí que te das cuenta donde te la están dando. El visitante lo tiene claro, ctrl-w, pestaña cerrada y sitio del que desconfía. La pérdida de visitas, marca, prestigio, etc, que tanto cuesta construir corre el riesgo de irse al traste. También la inclusión de lista negra, etc.

Era curioso, como incluso en ese falso dilema de escoger entre las “antiguas” amenazas o esta nueva moda del minado, preferían el suplicio de tener un merodeador con una Shell o que les alojasen un troyano. Ambos, casos que suelen tener, junto con el mass mailing, bastante trillados y cuya ventana de existencia está bastante acotada. Sobre todo, porque han ido perfeccionando sus soluciones in-house o las de terceros.

Vectores de entrada

Todo vale en la guerra. Los métodos de entrada no suelen variar, pero esta vez el logro no es hacerse con el sistema sino “colar” el minero a toda costa. Escuché atentamente, aunque nada sonaba a novedoso, ellos no hablaban de extensiones para el navegador maliciosas, minería explícita (caso PirateBay), etc. Su punto de vista, lógico, es defender el negocio y su preocupación quienes les visitan, la experiencia del usuario.

Los casos eran curiosos. Foros vulnerables con comentarios que incluían scripts, cross-site scripting persistentes, funcionalidad de user-content muy permisivas e incluso un notorio caso donde los señores crackers habían añadido un CDN de su propia red de contenido donde, por supuesto el usuario no descargaba precisamente versiones minimizadas del framework de moda.

Algo curioso que les comenté era el hecho de las campañas de anuncios con mineros. Nada nuevo bajo el sol, pero desconocían ese vector. Curioso que les sorprendieran, aunque si recordaban el viejo truco de endiñar un exploit a través de un, en sus tiempos, anuncio en flash (que en paz descanse de una vez).

Posibles defensas

Apurando ya los últimos sorbos de la copa (en realidad eran vasos con refrescos, pero copas queda mejor literariamente), tocaba hablar de cómo te defiendes de algo así. Había unanimidad en que andaban un poco a tientas con las soluciones. Prácticamente se usaban los mismos enseres y técnicas que el rastreo de shells o cambios en los sitios que con el malware o phishing. Eso sí se ponían remedio, pues también confesaron que…oh, sorpresa, no actuaban hasta que alguien les avisaba.

Hubo quien proponía inyectar scripts para detectar y detener mineros. Mi sonrisa me delató. Eso es una carrera de ratas recursiva, al final siempre hay un anti-anti-anti-anti…hasta la saciedad. Tú me inyectas un script para detenerme, yo meto una rutina de antidetección, tu detectas mi rutina que detecta tu rutina y…quien haya visto a los hermanos Marx sabe de qué estamos hablando.

También se habló de cazar esos scripts por la huella que dejan. Es decir, rastreo los scripts los ejecuto en una sandbox y en base a un perfil de consumo alerto de posible minero. Si y no. Eso puede durar lo suficiente como para que o bien procedan a detectar ese ambiente e inhibirse (como hacen el malware cuando detecta una máquina virtual) o simplemente el script se trocea en partes y no se activa su función principal hasta que estás se recomponen en una sola. Incluso dudaba del perfil de consumo como capacidad para hacer vetting de los scripts, sobre todo porque hay scripts que sí que legítimamente requieren consumo: WebGL, generación de gráficas, video incrustado, etc. Si bien hay capacidad y recorrido para la heurística, no creo (el pesimismo del auditor) que sea la panacea.

¿Pero y que solución le damos?

Nos anuncian que va a dar comienzo otra charla. Apuramos “la copa” y cogemos unos cuantos canapés sin que se notase mucho, por si aprieta el gusanillo más tarde. Estaba ya a punto de librarme de la pregunta que se estaba gestando minutos antes. A los 123 grados de giro de un espectacular quiebro de cintura que ya quisieran el propio Messi o Cristiano y dos pasos de distancia, escuché la temida interpelación: “¿Oye, pero dinos, esto como ves que pueda solucionarse o al menos paliarse, tu que trabajas con…?”

Francamente. Habíamos estado hablando de soluciones post infección y nadie de nosotros se había percatado de lo obvio. “Bueno, si tienes agujeros y muchos, lo más probable es que antes o después alguien pase por ahí y se aproveche de ellos. ¿Habéis probado a auditar vuestra infraestructura de forma periódica o al menos implementar un desarrollo seguro en lo que hacéis?”

 

Por supuesto, era una obviedad, no se hacía, pero estaba claro que esto es como la salud. Es preferible cuidarla antes que tener que poner soluciones cuando ya es demasiado tarde, cuando todo es paliativo, crónico e irreversible. Ellos se llevaron un par de viejos conceptos de seguridad, pero nuevos para ellos. Y yo me llevé la impresión de que los que nos dedicamos a la seguridad deberíamos escucharlos más donde realmente están los que tienen los problemas que pretendemos solucionar.


David García
@dgn1729






 

Por noreply@blogger.com (David García)

21/02/18

Coldroot indetectado por antivirus durante dos años

Coldroot es un RAT que inicialmente estaba diseñado para infectar a sistemas MacOS, pero se está empezando a distribuir en otros sistemas operativos de escritorio.

Este troyano sigue pasando inadvertido para la gran mayoría de antivirus, a pesar de que el código fuente se encuentra disponible en un repositorio de Github. El código se liberó a mediados de 2016, pero al no tener una gran popularidad no suscitó mucho interés. Sin embargo, recientemente ha pasado a distribuirse de manera activa.

El investigador Patrick Wild ha descubierto una variante de este RAT recientemente. Según apunta Wild en su análisis, el código que se encuentra online es distinto al que se puede encontrar en dicha muestra, aunque el comportamiento de la muestra coincide con el antiguo troyano que podemos encontrar en Github. Por tanto concluye que este troyano es una versión mejorada y con nuevas funcionalidades de la versión de 2016.

Entre otras características, esta nueva versión puede habilitar sesiones de escritorio remoto, tomar capturas de pantalla para convertirlas en un ‘streaming’ de la actividad del usuario y ejecutar y parar procesos en el sistema. Además, es posible enviar y obtener ficheros de la máquina y ejecutarlos.

Toda la información interceptada del equipo de la víctima es enviado a un panel web. En el troyano, se encuentran los datos de contacto del autor original ‘Coldzer0’ pero no parecen tener más intención que distraer a los investigadores.

Tras haber obtenido una mayor atención en los últimos días, posiblemente pronto veamos las detecciones de este malware aumentar por los distintos sistemas antivirus.

Más información:

Coldroot:

https://digitasecurity.com/blog/2018/02/19/coldroot/

LA LUMBALGIA

La lumbalgia es el dolor localizado en la parte baja de la espalda, desde la costilla hasta los glúteos, cuyo origen tiene que ver con la estructura músculo-esquelética de la columna vertebral. Este afecta a un 80% de personas por lo menos una vez en la vida.

SÍNTOMAS

  • Dificultad para moverse que puede ser lo ponerse de pie.
    La lumbalgia es el dolor localizado en la parte baja de la espalda,
    desde la costilla hasta los glúteos, cuyo origen tiene que ver con la
    estructura músculo-esquelética de la columna vertebral. Este afecta a un
    80% de personas por lo menos una vez en la vida.

 

  • Dolor que se irradia por la pierna o un dolor que también pasa por la ingle, la nalga o la parte superior del  muslo, pero que rara vez llega debajo de la rodilla.

 

  • Área localizada que es dolorosa con la palpación, sobre todo a nivel de la cintura.

FACTORES DE RIESGO

Factores Personales:

  1. Estrés
  2. Depresión
  3. Mal estado físico
  4. Obesidad
  5. Tabaquismo
  6. Edad

“A partir de los 30 años se producen cambios degenerativos en el disco de la columna que conducen a una pérdida de resistencia del mismo”.  

¿CÓMO PREVENIRLA?

  1. En la ocina, mantener la espalda recta en contacto con el respaldar de la silla.
  2. No superar el peso límite permitido por persona (25 kg. en hombres y 15 kg. en mujeres).
  3. Si tienes dolor lumbar, acude al médico.
    La atención precoz disminuye la posibilidad de desarrollar un problema crónico. No se automedique.
  4. Si cargas peso realiza el esfuerzo con las piernas, no fuerces la espalda.
  5. Evitar el uso prolongado de fajas ya que provoca debilidad en la pared abdominal.

DATOS ADICIONALES

  1. En más del 85% de casos, el dolor lumbar no se puede atribuir a una enfermedad especíca o a  una alteración de la columna vertebral.
  2. Tanto trabajadores sedentarios como activos pueden padecerlo, pues es una enfermedad que está inuenciada por otros factores y no solo por factores laborales.
  3. Otro problema frecuente que generan dolor lumbar son la estenosis espinal y la hernia de disco.

 

Corregidas múltiples vulnerabilidades en RubyGems

Rubygems, el popular gestor de paquetes para Ruby, se ha actualizado urgentemente para dar solución a un paquete de vulnerabilidades que le afectaban.
RubyGems es un gestor de paquetes para el lenguaje de programación Ruby que proporciona un formato estándar y autocontenido (llamado gem) para poder distribuir programas o bibliotecas en Ruby, una herramienta destinada a gestionar la instalación de éstos, y un servidor para su distribución.
Aunque no se ha facilitado mayor información, las vulnerabilidades corregidas han sido las siguientes:
  • Salto de restricciones (Path traversal) a la hora de escribir a un enlace simbólico de directorio.
  • Salto de restricciones (Path traversal) durante la instalación de gemas.
  • Vulnerabilidad de deserialización de objetos asociada al dueño de una gema.
  • Incorrecta gestión de los campos octales en las cabeceras de ficheros tar.
  • Incorrecta gestión de ficheros duplicados en un paquete.
  • Incorrecta validación de las URLs en el atributo spec homepage que podría facilitar ataques XSS.
Las vulnerabilidades fueron descubiertas por nmalkinploverYasin Soliman y se ha publicado la versión 2.7.6 para corregirlas. Se puede actualizar a esta versión desde el propio gestor de rubygems mediante:

gem update –system

Más información:
 
RubyGems 2.7.6 includes security fixes:

Apple vuelve a sufrir ataques por “Text bombs”

Si el pasado mes Apple se veía afectada por una vulnerabilidad en iOS e iMessage, denominada chaiOS (CVE-2018-4100), esta semana se ha vuelto comprobar que los ataques mediante caracteres Unicode siguen en total vigencia, con una nueva variante, al recibir caracteres en lengua Telugu (India).

El error es debido a una incorrecta gestión de los caracteres Unicode que forman parte del set Telegu, la segunda lengua más utilizada en India.
En concreto, la secuencia en formato Unicode “U+0C1C U+0C4D U+0C1E U+200C U+0C3E“, desencadenaría que cualquier usuario que reciba o procese un mensaje o notificación que utilice dicha combinación, pueda comprobar como la aplicación utilizada se bloquea o, simplemente, se cierra.
Un estudio más completo por parte del desarrollador Manish Goregaokar (@Manishearth), ha determinado que existen más combinaciones, incluso de otras lenguas como la Bengalí, que reproducen el fallo, y otros usuarios han publicado scripts con las posibles variantes.
Actualmente, ésta vulnerabilidad de denegación de servicio o “Text bomb” sigue sin poder resolverse de manera oficial, y se verían afectadas todos las versiones de iOS, macOS, watchOS y, por ende, cualquier aplicación instalada. Por ejemplo, diferentes pruebas han demostrado que se pueden provocar fallos en iMessage:
O incluso en el gestor de redes, al utlizar esa combinación en el nombre de una red wifi (el SSID), tal y como pudo comprobar el investigador @info_dox:
 
Apple está preparando un conjunto de actualizaciones que serán desplegadas lo antes posible.


Más información:
Picking Apart the Crashing iOS String
https://manishearth.github.io/blog/2018/02/15/picking-apart-the-crashing-ios-string/

Basta un solo carattere per far crashare qualsiasi prodotto Apple (video)
http://www.mobileworld.it/2018/02/14/carattere-indiano-crash-iphone-mac-ipad-144881/

Script to generate all Devanagari, Bangla and Telugu strings known or suspected to crash macOS and iOS
https://github.com/hackbunny/viramarama

The latest iOS update fixes a glitch that would let others crash your phone with a text message
https://techcrunch.com/2018/01/23/the-latest-ios-update-fixes-a-glitch-that-would-let-others-crash-your-phone-with-a-text-message/

About the security content of iOS 11.2.5
https://support.apple.com/en-gb/HT208463