LA LUMBALGIA

La lumbalgia es el dolor localizado en la parte baja de la espalda, desde la costilla hasta los glúteos, cuyo origen tiene que ver con la estructura músculo-esquelética de la columna vertebral. Este afecta a un 80% de personas por lo menos una vez en la vida.

SÍNTOMAS

  • Dificultad para moverse que puede ser lo ponerse de pie.
    La lumbalgia es el dolor localizado en la parte baja de la espalda,
    desde la costilla hasta los glúteos, cuyo origen tiene que ver con la
    estructura músculo-esquelética de la columna vertebral. Este afecta a un
    80% de personas por lo menos una vez en la vida.

 

  • Dolor que se irradia por la pierna o un dolor que también pasa por la ingle, la nalga o la parte superior del  muslo, pero que rara vez llega debajo de la rodilla.

 

  • Área localizada que es dolorosa con la palpación, sobre todo a nivel de la cintura.

FACTORES DE RIESGO

Factores Personales:

  1. Estrés
  2. Depresión
  3. Mal estado físico
  4. Obesidad
  5. Tabaquismo
  6. Edad

“A partir de los 30 años se producen cambios degenerativos en el disco de la columna que conducen a una pérdida de resistencia del mismo”.  

¿CÓMO PREVENIRLA?

  1. En la ocina, mantener la espalda recta en contacto con el respaldar de la silla.
  2. No superar el peso límite permitido por persona (25 kg. en hombres y 15 kg. en mujeres).
  3. Si tienes dolor lumbar, acude al médico.
    La atención precoz disminuye la posibilidad de desarrollar un problema crónico. No se automedique.
  4. Si cargas peso realiza el esfuerzo con las piernas, no fuerces la espalda.
  5. Evitar el uso prolongado de fajas ya que provoca debilidad en la pared abdominal.

DATOS ADICIONALES

  1. En más del 85% de casos, el dolor lumbar no se puede atribuir a una enfermedad especíca o a  una alteración de la columna vertebral.
  2. Tanto trabajadores sedentarios como activos pueden padecerlo, pues es una enfermedad que está inuenciada por otros factores y no solo por factores laborales.
  3. Otro problema frecuente que generan dolor lumbar son la estenosis espinal y la hernia de disco.

 

Corregidas múltiples vulnerabilidades en RubyGems

Rubygems, el popular gestor de paquetes para Ruby, se ha actualizado urgentemente para dar solución a un paquete de vulnerabilidades que le afectaban.
RubyGems es un gestor de paquetes para el lenguaje de programación Ruby que proporciona un formato estándar y autocontenido (llamado gem) para poder distribuir programas o bibliotecas en Ruby, una herramienta destinada a gestionar la instalación de éstos, y un servidor para su distribución.
Aunque no se ha facilitado mayor información, las vulnerabilidades corregidas han sido las siguientes:
  • Salto de restricciones (Path traversal) a la hora de escribir a un enlace simbólico de directorio.
  • Salto de restricciones (Path traversal) durante la instalación de gemas.
  • Vulnerabilidad de deserialización de objetos asociada al dueño de una gema.
  • Incorrecta gestión de los campos octales en las cabeceras de ficheros tar.
  • Incorrecta gestión de ficheros duplicados en un paquete.
  • Incorrecta validación de las URLs en el atributo spec homepage que podría facilitar ataques XSS.
Las vulnerabilidades fueron descubiertas por nmalkinploverYasin Soliman y se ha publicado la versión 2.7.6 para corregirlas. Se puede actualizar a esta versión desde el propio gestor de rubygems mediante:

gem update –system

Más información:
 
RubyGems 2.7.6 includes security fixes:

Apple vuelve a sufrir ataques por “Text bombs”

Si el pasado mes Apple se veía afectada por una vulnerabilidad en iOS e iMessage, denominada chaiOS (CVE-2018-4100), esta semana se ha vuelto comprobar que los ataques mediante caracteres Unicode siguen en total vigencia, con una nueva variante, al recibir caracteres en lengua Telugu (India).

El error es debido a una incorrecta gestión de los caracteres Unicode que forman parte del set Telegu, la segunda lengua más utilizada en India.
En concreto, la secuencia en formato Unicode “U+0C1C U+0C4D U+0C1E U+200C U+0C3E“, desencadenaría que cualquier usuario que reciba o procese un mensaje o notificación que utilice dicha combinación, pueda comprobar como la aplicación utilizada se bloquea o, simplemente, se cierra.
Un estudio más completo por parte del desarrollador Manish Goregaokar (@Manishearth), ha determinado que existen más combinaciones, incluso de otras lenguas como la Bengalí, que reproducen el fallo, y otros usuarios han publicado scripts con las posibles variantes.
Actualmente, ésta vulnerabilidad de denegación de servicio o “Text bomb” sigue sin poder resolverse de manera oficial, y se verían afectadas todos las versiones de iOS, macOS, watchOS y, por ende, cualquier aplicación instalada. Por ejemplo, diferentes pruebas han demostrado que se pueden provocar fallos en iMessage:
O incluso en el gestor de redes, al utlizar esa combinación en el nombre de una red wifi (el SSID), tal y como pudo comprobar el investigador @info_dox:
 
Apple está preparando un conjunto de actualizaciones que serán desplegadas lo antes posible.


Más información:
Picking Apart the Crashing iOS String
https://manishearth.github.io/blog/2018/02/15/picking-apart-the-crashing-ios-string/

Basta un solo carattere per far crashare qualsiasi prodotto Apple (video)
http://www.mobileworld.it/2018/02/14/carattere-indiano-crash-iphone-mac-ipad-144881/

Script to generate all Devanagari, Bangla and Telugu strings known or suspected to crash macOS and iOS
https://github.com/hackbunny/viramarama

The latest iOS update fixes a glitch that would let others crash your phone with a text message
https://techcrunch.com/2018/01/23/the-latest-ios-update-fixes-a-glitch-that-would-let-others-crash-your-phone-with-a-text-message/

About the security content of iOS 11.2.5
https://support.apple.com/en-gb/HT208463

Miles de sitios webs de los gobiernos hackeados para minar criptomonedas

Se han descubierto miles de webs de varios gobiernos del mundo que forzaban a los visitantes a minar criptomonedas.

Extraída de Hackbusters

 

El script de minado ha sido encontrado en más de 4.000 webs entre las que destacan el Servicio Nacional de Salud de Reino Unido (NHS) y el sistemas judicial de los Estados Unidos.

Los ciberdelincuentes consiguieron modificar un complemento de accesibilidad de terceros llamado Browsealoud, el cuál estaba presente en todas las webs afectadas. Una vez más, la secuencia de comandos que se insertó pertenece a CoinHive, al cuál ya hemos mencionado en otros artículos.

Como ya hemos mencionado en otras ocasiones, los usuarios al visitar una web que contiene código de CoinHive, notan como la potencia de su procesador se ve aumentada notablemente para minar criptomonedas sin conocimiento de ello. Esto es conocido comocriptojacking.

El encargado en dar la voz de alarma fue Scott Helme (Consultor de Seguridad en Reino Unido). Descubrió el hackeo después de que uno de sus amigos mencionara haber recibido alertas de antivirus en la web del gobierno y lo publicó en su cuenta de Twitter.

El complemento vulnerado pertenece a la empresa TextHelpMartin McKay, CTO de dicha compañía escribió un post para tranquilizar a los usuarios. En él, especifica que el completemento está pasando una serie de revisiones de seguridad.

Debido a esta acción, el completemento ha sido borrado eventualmente de todas las webs sin que los encargados de dichas páginas deban realizar ninguna acción.

Además, la compañía asegura que no se ha comprometido datos de ninguno de los usuarios y que sus clientes recibirán una actualización tan pronto como la investigación de seguridad haya finalizado.

Más información:

Lista de webs vulneradas:
https://publicwww.com/websites/browsealoud.com%2Fplus%2Fscripts%2Fba.js/

Web de CoinHive:
https://coinhive.com/

Tweet de Scott Helme dando la alarma:
https://twitter.com/Scott_Helme/status/962684239975272450 

Virus periodístico

Lunes 12 de febrero 9:00 am. Llega a mis manos, a través de un compañero de trabajo, una noticia publicada en el periódico ‘El País’ titulada “Virus informático”. Como informático dedicado precisamente a la seguridad informática, un titular tan directo me invita a prepararme un café que acompañe la lectura y me caliente antes de comenzar con mis responsabilidades.

 
 


9:00h: Me dispongo a leer el artículo de la escritora Ana Merino (Madrid, 1971), una poeta, dramaturga y teórica española de la historieta, perteneciente a la Generación Poética del 2000. No lo digo yo, lo dice Wikipedia.


9:01h: Empezamos el artículo que viene subtitulado con sus intenciones: “Los hacker son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. La escritora no esconde ninguna carta.


9:02h: Sorbo el café y me adentro en el primer párrafo del artículo: Estarán contentos los que desarrollaron los primeros virus informáticos y dieron lugar a un linaje de seres siniestros que se pasan la vida tecleando destrucción y toxicidad cibernética”. Vale, esto es una sátira. Me da la impresión de que va a ser una entrada con dosis de humor desternillante. Sigo leyendo.


9:03h: Cito textualmente: “Estos sujetos, esparcidos por el mundo, son los nuevos discípulos del sabio Frestón, que en su día se las hizo pasar canutas a Don Quijote y obstaculizó todo lo que pudo sus hazañas”. Oops! Lo que podía ser un artículo con altas dosis de humor se transforma en mi mente en que ForoCoches lo ha vuelto a hacer y se la han colado a ‘El País’. Cambio de pestaña y busco en ForoCoches. No encuentro nada.


9:10h: “Estos malévolos embrujos no son anécdotas aisladas y hacen mucho daño. Afectan a las bases de datos de hospitales y otras infraestructuras neurálgicas de nuestra sociedad. Son un nuevo peligro de una gravedad incalculable y se requiere de una acción seria, coordinada y efectiva”. Empiezo a vislumbrar lo que ha pasado aquí: a esta mujer le ha “entrado” un ransomware y se ha venido arriba maldiciendo a diestro y siniestro, intentando crear opinión sobre un tema del cual es una completa ignorante, en el buen sentido.


9.12h: “Necesitamos castigos estrictos y disuasorios, neutralizar a estos seres abyectos.“ Con esta frase me acaba de ganar. Más bien con el adjetivo que finaliza la frase: abyectos. ¿Qué significa?. Me suena a algo malo pero disculpad mi ignorancia, tuve que buscarlo para dimensionar su magnitud…


abyecto, ta.
Del lat. abiectus, part. pas. de abiicĕre ‘rebajar, envilecer’.
  1. 1. adj. Despreciable, vil en extremo.
  2. 2. adj. desus. Humillado, herido en el orgullo.


9.15h: …y termino: “Expulsarles del universo informático y las redes, que no puedan volver a navegar, ni a programar, ni a embrujar ninguna base de datos”. Un final más propio de Dragones y Mazmorras que de un artículo de opinión sobre el fortalecimiento de la legislación contra amenazas cibernéticas.


En cierto modo, aunque me sentía aludido por esta escritora perteneciente a la generación poética del 2000 y comprendiendo su mensaje, (eso sí, carente de una argumentación sensata), su ofensa es debida a un mal uso de la palabra ‘hacker’. Quizás ella desconozca que el término ‘hacker’ dejó de ser despectivo hace ya muchos años y que el 20 de diciembre de 2017 la RAE incluyó la siguiente acepción: “persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora“. Pero con él ha ofendido a una minoría y todos sabemos que, en los tiempos que corren, ofender a una minoría debe de ir acompañado de una disculpa.



Actualización:
‘El País’ ha rectificado la noticia eliminando el término ‘hackers’.

 
 
Más información:
 

Driver vulnerable en Gundam Online (BANDAI NAMCO)

Los laboratorios de Kaspersky detectan una muestra que es constantemente clasificada para análisis exhaustivos al ser detectada por su plugin de exploits. Al examinarla, resulta ser un driver de Gundam Online, el videojuego de NAMCO.

Para poder entender esto, tenemos que conocer qué es SMEP. SMEP (Supervisor Mode Execution Protection), es una característica que marca todas las páginas disponibles para distinguirlas entre aquellas que pueden ejecutar código en ring-0 o no. SMEP se encuentra activo cuando el bit SMAP del registro CR4 y la paginación se encuentran establecidos. Con este mecanismo, todos los intentos implícitos de lectura de memoria de paginas en user-land con un privilegio menor que ring-3 serán bloqueadas siempre que SMAP esté habilitado.

Durante su ejecución, se observa que una página de user-space es llamada desde el driver de CAPCOM justo después de que se cree una petición IOCTL (0x0AA012044) al DeviceObject \\.\Htsysm7838 – Este comportamiento no debería ser válido, ya que SMEP no lo permite; por lo que se debería generar una excepción de violación de acceso y detener el sistema con un BSOD.

Flujo de llamadas para habilitar y deshabilitar SMEP.

En este fragmento, podemos observar cómo esta rutina que contiene un puntero a una función en userspace, deshabilita SMEP para llamar a dicha función en user-land. Tras esto, rehabilita SMEP volviendo a su estado original.
Para poder llamar a dicha función, necesitaríamos tener el bit CR4 (que mencionamos al principio de la entrada) que es justo lo que la función indicada como disableSMEP hace.

Analizando el driver podemos observar que solo acepta dos IOCTL:

IOCTL validos.

Este driver no tiene ninguna comprobación de seguridad extra, por tanto cualquier aplicación desde user-land podría explotar el IOControlCode a través de la API DeviceIoControl, conociendo el código de control del driver.

Definición de kernel32!DeviceIoControl (https://msdn.microsoft.com/es-es/library/windows/desktop/aa363216(v=vs.85).aspx)
Prueba de concepto de la vulnerabilidad.
Resultado de la prueba de concepto. Aunque se podría haber incluido una shellcode y el resultado sería distinto.

Por tanto, un atacante podría crear una aplicación desde user-land y provocar la ejecución de código o provocar un crash en el sistema. Para hacer la prueba, se ha utilizado una cadena basura para demostrar el problema, sin embargo es posible utilizar una shellcode. En caso de que el Driver no estuviera instalado en el sistema, al estar firmado no habrá problemas para incorporarlo al sistema por parte de un atacante.

Al ser informados BANDAI NAMCO eliminaron el driver problemático que ya no es cargado por el juego, siendo la actuación similar al driver de CAPCOM.

Más información:
 
SMEP: What is it, and how to beat it on Windows:
http://j00ru.vexillium.org/?p=783

Supervisor Mode Access Prevention (SMEP):
https://en.wikipedia.org/wiki/Supervisor_Mode_Access_Prevention

Elevation of privileges in Namco Driver:

Citrix presenta el concepto de “Movilizartodo”

La iniciativa pretende transformar un espacio de trabajo en un entorno móvil. Frente a este panorama, los canales deben empezar a trabajar para preparar a sus clientes ante las nuevas exigencias y necesidades que se presentarán en el entorno laboral, destacan desde Licencias OnLine.

 

Según estudios de IDC el 75% de la fuerza laboral será móvil en el 2021, y para enfrentar los retos que traerá esta tendencia, Citrix presenta el concepto de “Movilizartodo” para transformar un espacio de trabajo en un entorno móvil.

En este contexto, el rol del TI se convierte en un proveedor de servicios para el Digital Workspace dondequiera que el individuo este, por tanto, la experiencia del usuario juega un rol fundamental para que las personas puedan trabajar desde donde sea, de forma segura y productiva.

“El dispositivo más avanzado es la gente, y hoy necesita de un espacio de trabajo que pueda llevar consigo a todas partes”, explica Juan Pablo Jiménez, vicepresidente de Citrix para Latinoamérica y el Caribe.

Frente a este panorama, los canales deben empezar a trabajar para preparar a sus clientes ante las nuevas exigencias y necesidades que se presentarán en el entorno laboral. Christian Dattoli, Product Manager de virtualización en Licencias OnLine, explica: “es necesario que los canales puedan direccionar esta tendencia y brindar a sus clientes servicios eficientes que aumenten su productividad; en Licencias OnLine estamos brindando soluciones que se enfocan en el trabajo digital, además de apoyarlos en dimensionar soluciones móviles”.

En tanto, a medida que crece la demanda del acceso móvil, los usuarios pueden sufrir tiempos de respuesta de red lentos, desconexiones y una pobre experiencia de usuario en muchas herramientas empresariales comunes.

En varias ocasiones las caídas de llamadas VoIP están asociadas a problemas de red, acceso lento y desconexiones, es por ello que es necesario disponibilizar y dar capacidad, velocidad y seguridad a los usuarios.

Licencias OnLine en su portfolio de soluciones entrega herramientas de Citrix, Microsoft y otros fabricantes, que puedan ayudar a los Partners a idear una estrategia eficaz para hacer frente a los desafíos de las empresas.

Conoce el amplio abanico de soluciones de Citrix que permitirá a sus clientes transformar su espacio de trabajo en un entorno móvil.

VIRTUALIZACIÓN DE APLICACIONES Y VDI

XenApp y XenDesktop
Entrega segura y asequible de aplicaciones y escritorios Windows en cualquier dispositivo.

XenServer
Plataforma de virtualización de servidores líder de la industria para rendimiento optimizado de escritorios y aplicaciones.

ADMINISTRACIÓN DE MOVILIDAD EMPRESARIAL (EMM)

XenMobile
Administración de dispositivos móviles, administración de aplicaciones móviles y aplicaciones de productividad para una seguridad móvil completa.

INTERCAMBIO Y SINCRONIZACIÓN DE ARCHIVOS (EFSS)

ShareFile
Servicios de intercambio y sincronización de datos seguros y de calidad empresarial en las instalaciones y en la nube.

NETWORKING

NetScaler
Infraestructura de red escalable para alta disponibilidad, rendimiento y seguridad del centro de datos, sucursal, nube y servicios móviles.

Boletín de Hispasec para empresas – Febrero

Empezamos 2018 con una noticia cuyos coletazos seguramente nos acompañen todo el año: nos referimos a Meltdown y Spectre, las vulnerabilidades que afectan a los microprocesadores Intel, ARM y AMD (Meltdown sólo a Intel). Estamos ante fallos originados por un error en el diseño interno de los microprocesadores, y de los cuales Intel (el mayor afectado) aún no ha confirmado fecha de cuando serán corregidos.

Pero este mes de enero también nos ha traído otras noticias relevantes. Una de ellas está directamente relacionada con el universo de las criptomonedas, y no por el descalabro que han sufrido algunas de ellas en los últimos días, sino por la inclusión de un JavaScript fraudulento con capacidad de minado en YouTube. Esta inclusión se debió a que el sistema de publicidad DoubleClick, propiedad de Google, no incluía los controles necesarios, y un atacante podría aprovecharlo para incluir JavaScript con capacidad de minado. De esta forma, mientras los usuarios veían vídeos en la plataforma estaban usando su capacidad de cómputo para minar la criptomoneda Monero.

Este mes en nuestro boletín de noticias diarias también hemos hablado de la cantidad de conferencias que se acumulan año tras a año en el panorama mundial, basándonos en los datos ofrecidos por la web infosec-conferences.com.

Desde Hispasec hemos hecho un repaso a las conferencias de seguridad en las que hemos tenido presencia en los últimos dos años, y el resultado no está nada mal: un total de 13 ponencias en los últimos dos años.

 

  • 2016 Black Hat Las Vegas, Francisco López y Fernando Ramírez. Koodous ,Collaborative Social Antivirus for Android

  • 2016 Black Hat Londres, Daniel Vaca. Koodous ,Collaborative Social Antivirus for Android

  • 2016 Navaja Negra, por Daniel Vaca: “Analizando Malware like a n00b”.

  • 2016 OpenSouthCode Fernando Díaz: Reverse engineering in Android devices. Francisco López, Automatización de sistemas con Ansible

  • 2016 HackersWeek Francisco López, Koodous, un antivirus colaborativo para Android

  • 2016 Google Developers Group Malaga NexT  Fernando Díaz : Introduction to AppEngine.

  • 2017 GDG DevFest Fernando Díaz: Procesamiento de Eventos Complejos para detectar de amenazas de seguridad

  • 2017 Google Campus Exchange: Cybersecurity (Tel Aviv). Francisco López y Fernando Ramírez.

  • 2017 Charla en Simposio de seguridad bancaria de Panamá, por Fernando Ramírez  “Evolución del Malware en Android” 2017

  • 2017 HITCON Pacific In-depth analysis of Bankbot  Fernando Díaz : Emulation, decryption and attack techniques.

  • 2017 Navaja Negra Conference: Analyzing Bankbot  Fernando Díaz , a mobile banking botnet.

  • 2017 UMA Hackers Week  Fernando Díaz : Videogames security  Fernando Díaz : Exploiting vulnerabilities in game engines.

  • 2017 OpenSouthCode  Fernando Díaz: Automatic analysis of vulnerabilities in Source Code.

  • 2018 FIRST TC Osaka 2018 The day your IP camera took down a website  Fernando Díaz: An In-Depth Analysis of Emerging IoT Botnets.

  • 2018 XIII SEMINARIO IBEROAMERICANO DE SEGURIDAD EN LAS TICFernando Díaz: Malware y Ransomware en Android

 

Los atacantes siempre están buscando mecanismos para la proliferación de sus amenazas. Muchas veces estas técnicas no destacan por ser muy sofisticadas: un ejemplo de ello ha sido el descubrimiento de un spyware para macOS llamado MaMi, que a pesar de usar técnicas sencillas para conseguir infectar a la víctima, siguen teniendo éxito.

Queremos aprovechar la oportunidad de hablaros sobre el servicio Antifraude de Hispasec, que acumula 12 años de experiencia. El servicio Antifraude está enfocado a empresas que sufran alguna variante de fraude online. Estas variantes pueden ir desde el clásico scam (timo) que aprovecha la marca para el robo de datos, hasta el malware más sofisticado para robar dinero a los clientes finales. En Hispasec llevamos años trabajando en mejorar y adaptarnos a las nuevas tendencias de los atacantes, actualizando y mejorando continuamente nuestras sondas de detección y procedimientos de cierre de amenazas.

Nuestro ‘know-how’ está basado en un proceso combinado de búsqueda, procesado y análisis de información que nos posiciona como una empresa líder en la detección de fraude online. Este hecho unido a una media de cierre inferior a 3 horas y 46 minutos por incidente y una suite de servicios añadidos, hace que desde Hispasec se brinde a nuestros clientes un servicio integral de soluciones antifraude.

Vulnerabilidades en software de gasolineras

Hace unos meses, Kaspersky detectó una amenaza crítica de seguridad. Resultó ser una simple interfaz web que en realidad era un enlace a una gasolinera real, haciéndola manipulable de manera remota.

La interfaz web no resultó ser solo eso, sino que era en realidad una máquina ejecutando un controlador basado en linux con un pequeño servidor httpd. Según el fabricante, el software del controlador se encarga de gestionar todos los componentes de la gasolinera: Dispensadores, terminales de pago… Algunos de estos controladores llevaban gestionando estaciones más de 10 años, y llevan expuestos a internet desde entonces.Según los especialistas de Kaspersky, en el momento de la investigación localizaron donde se encontraban las estaciones activas. Mayormente en Estados Unidos y la India, aunque también se encontraron en un porcentaje considerable en España y Chile.

Países afectados por estos dispositivos.

Una vez conocida la información del dispositivo, era sencillo obtener la documentación de este. Los manuales del fabricante eran bastante detallados, llegando a incluir capturas de pantalla, comandos, credenciales por defecto e incluso una guía paso a paso sobre cómo acceder y manejar cada interfaz. Solo con esto, se puede tener conocimiento de como funciona la aplicación.

Esquema del funcionamiento de la aplicación y los controladores.

Observando la interfaz, podemos ver que es sencilla para utilizar por los operarios de la gasolinera. Sin embargo, en el caso de que el operario sea un usuario malicioso puede llevar a cabo distintas acciones entre ellas modificar informes, recibos o incluso el precio de la gasolina. Estos privilegios, que deberían ser accesibles solo al administrador pueden ser utilizados por cualquier usuario.

También es interesante que, en el esquema anterior no encontramos ninguna referencia a medidas de seguridad o de protección contra la interfaz.
Los investigadores de Kaspersky volcaron el firmware del dispositivo para poder analizarlo, llegando a darse cuenta de una ingrata sorpresa: el fabricante había dejado unas credenciales hardcodeadas a modo de backdoor, en caso de que el dispositivo requiriese permisos mayores o acceso local con los privilegios mas altos. Cualquier dispositivo de dicho fabricante cuenta con las mismas credenciales hardcodeadas.

Entre otras vulnerabilidades, resulta interesante que se pueda obtener la localización exacta de la gasolinera. Existe un componente que genera informes diariamente,  incluyendo el nombre de la estación además su localización.

Haciendo uso de las credenciales encontradas en el código del firmware, se pueden cambiar los precios de la gasolina. El atacante tendría que investigar los productos de la gasolinera con estas credenciales hasta dar con el producto que corresponda a la gasolina para poder modificar su precio.

Tras el análisis por los investigadores de Kasperksy, concluyeron que un atacante que conozca las credenciales hardcodeadas tendría acceso a:

  • Apagar todos los sistemas de provisionamiento
  • Filtro de combustible
  • Cambiar los precios de los productos
  • Robar dinero a través de la terminal de pago
  • Obtener información de las licencias de los vehículos y sus dueños
  • Bloquear la estación a cambio de un rescate.
  • Ejecutar código remoto
  • Moverse libremente dentro de la red de la estación
Más información:
 

Vulnerabilidad en LibreOffice

Remote Arbitrary File Disclosure en LibreOffice

Esta vulnerabilidad se encuentra en el soporte que da LibreOffice a la función“COM.MICROSOFT.WEBSERVICE” se trata de una función que se encarga de mostrar datos de Internet o de una intranet en nuestros documentos de LibreOffice Calc.

Función

Esta función recibe un parámetro que debe ser una URL de cualquier servicio web. Existen una serie de restricciones sobre esta función, devolverá #VALUE! error :

  1. Si no puede obtener los datos del WebService.
  2. Si se devuelve una cadena no válida o que contenga más caracteres que lo permitido por las celdas (longitud máxima: 32767).
  3. Si la URL contiene una cadena de más de 2048 caracteres permitidos en una petición GET
  4. No están soportados los protocolos ‘file://’ ‘ftp://’

La vulnerabilidad se encuentra en nuestro punto número 4. Esta restricción no está implementada en LibreOffice. Por defecto las celdas no se actualizan, pero si se especifica el tipo de celda como ‘~error’ hará que la celda se actualice cuando se abra el documento.
Explotación

Para explotar esta vulnerabilidad se necesita enviar los archivos desde el usuario actual por lo que se necesita la ruta de su carpeta de usuario, para explotarla solo necesitamos:

Explotación

También podemos hacer una llamada a otros ficheros muchos más importantes.Es posible explotar esta vulnerabilidad en otros formatos que no sean los de LibreOffice.

Impacto y versiones vulnerables
Es muy preocupante la facilidad de enviar cualquier archivo con información sensible.
Por ahora las versiones de LibreOffice vulnerables a este ataque son:

  • LibreOffice 5.4.5 hasta 6.0.1
  • Explotable en cualquier plataforma Linux/Windows/macOS
Más información:
 
Función COM.MICROSOFT.WEBSERVICE: