Detectadas graves vulnerabilidades en dispositivos SCADA Siemens SICLOCK

En un reciente reporte de la multinacional Siemens, se alerta de graves vulnerabilidades remotas presentes en los dispositivos de control de planta SICLOCK TC que, dada su antigüedad, no van a ser actualizados, siendo necesario aplicar las contramedidas publicadas.

Los dispositivos Siemens SCADA, pertenecientes a la familia SICLOCK TC, se utilizan para proporcionar un sistema de sincronización de la hora dentro de una central de pequeña o mediana escala, en caso que el dispositivo principal fallase.

Las vulnerabilidades reportadas afectarían a los dispositivos SICLOCK TC100 y TC400, en todas sus versiones. Según el reporte facilitado, se habrían detectado 6 vulnerabilidades, como denegaciones de servicio, salto de restricciones de autenticación o modificación del firmware, siendo el listado completo el siguiente:

CVE-2018-4851 – Denegación de servicio.
CVE-2018-4852 – Salto de restricciones del sistema de autenticación.
CVE-2018-4853 – Modificación del firmware del dispositivo a través del puerto UDP 69.
CVE-2018-4854 – Modificación del cliente de administración presente en el dispositivo a través del puerto UDP 69. Un atacante podría de esta manera ejecutar código en el sistema del cliente que utilice una versión modificada.
CVE-2018-4855 – Revelación de credenciales sin cifrar, tanto en los ficheros de configuración, como durante el tráfico de red, permitiendo a un atacante con acceso obtener los credenciales de forma sencilla.
CVE-2018-4856 – Un atacante con permisos administrativos podría bloquear usuarios ya registrados en el dispositivo. Sólo mediante el acceso físico al dispositivo se podrían revertir los cambios.

Aunque no se han detectado ataques o exploits públicos que reproduzcan estas vulnerabilidades, Siemens ha proporcionado las contramedidas necesarias para proteger los dispositivos de estos ataques.
Al encontrarse estos dispositivos en el fin de ciclo de soporte, no se van a publicar actualizaciones de firmware por el momento, según el fabricante.

 

Más información:
 
SSA-197012: Vulnerabilities in SICLOCK central plant clocks

Stylish: La extensión del navegador que se queda con lo que visitas

Una extensión para los navegadores Google Chrome y Mozilla Firefox dedicada a modificar la apariencia de las webs, conocida como Stylish, se dedicaba a mandar lo visitado por el usuario a servidores de SimilarWeb, la empresa detrás de ésta

“De buen gusto”, dice la página de diccionarios en línea WordReference.com que significa “stylish“, entre otras acepciones. La verdad es que de buen gusto no se puede decir que haya sido lo que ha hecho SimilarWeb, la empresa detrás de esta famosa extensión. Y no decimos “famosa” como manida coletilla periodística, estamos hablando de la que ha sidola extensión de referencia con su funcionalidad: permitir especificar hojas de estilo personalizadas para modificar la apariencia de una web. Los datos: cerca de dos millones de usuarios en Google Chrome, y casi trescientos mil en Mozilla Firefox. Datos extraídos gracias a la caché de Google, ya que ambas versiones han desaparecido de las páginas de Chrome y Firefox.

La mecánica del espionaje es sencilla: Este tipo de extensiones necesitan acceder a laURL del navegador para saber si está en una página a la que debe aplicar una hoja de estilos personalizada. Y ya que accedes a la URL, pues te la quedas y la envías a tus servidores, que hay empresas que compran el historial de visitas de la gente… ¿Qué hay de malo en ésto? Bueno, éstas empresas estudian los hábitos de navegación de la gente, y de las peores cosas que pueden hacer dentro de la legalidad es venderle a otra empresa que a una persona en concreto le gustan los nomos de jardín. Así, esa última empresa como anunciante en Internet te puede bombardear con publicidad sobre unos nomos chulísimos cada vez que pases por una página que contiene anuncios gestionados por esa empresa.

En realidad, que Stylish se dedicase a esos menesteres no es una novedad. Cuando fue comprado a un desarrollador independiente por SimilarWeb en enero de 2017, ésta anunció que iba a recopilar ciertos datos “anónimos” sobre los usuarios. De hecho, ese mismo mes se publicó un artículo avisando de este cambio en la política de privacidad, donde se comentaba que efectivamente se obtenía información sobre los sitios que se visitaban. Lo que pasa es que a veces es necesario escribir un artículo incendiariocomo el de Robert Heaton, con capturas de pantalla donde se ve claramente cómo mandan esa información a los servidores de SimilarWeb:

Extraída de robertheaton.com

Como ya comentábamos en otra Una-al-díaexisten distintos tipos de datos personales, y los que probablemente recopila SimilarWeb son datos personales despersonalizados. Es decir, datos personales que conforman un perfil, pero que no se asocian directamente a una persona. El problema es que es demasiado fácil, a pesar de recopilarlos sin identificar a la persona en concreto, terminar vinculándolos a una. Y es que como dice Robert Heaton en su artículo, si saben que alguien está visitando https://www.linkedin.com/in/<NOMBRE_DE_USUARIO>/edit/ (página visitada por un usuario para modificar su perfil), ¿quién podrá ser ese usuario? Guiño, guiño.

En definitiva, se dice que “si un servicio es gratis, el producto eres tú”, y este es otro caso más. Otra de las acepciones de “stylish” según WordReference.com es “a la moda, que también hace justicia al concepto recopilar datos personales para luego venderlos: está de moda. Y lo que nos queda.

Más información:
 
“Stylish” browser extension steals all your internet history
https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

Major Stylish add-on changes in regards to privacy
https://www.ghacks.net/2017/01/04/major-stylish-add-on-changes-in-regards-to-privacy/

Vulnerabilidades en iDRAC – PowerEdge Dell EMC

El equipo de seguridad de Dell a corregido 4 vulnerabilidades que pueden ser explotadas por usuarios maliciosos en iDRAC.

¿Qué es iDRAC?

Integrated Dell Remote Access Controller‘ (iDRAC) permite implementar, actualizar, supervisar y mantener los servidores Dell PowerEdge con o sin un agente de software de administración de sistemas. Se encuentra integrado dentro del servidor por lo que iDRAC no requiere de un sistema operativo o un hipervisor para funcionar.

iDRAC ofrece al administrador un panel intuitivo para supervisar el sistema
Visión global del sistema

Simplifica las tareas de administración del ciclo de vida del servidor, como el aprovisionamiento, implementación, mantenimiento, instalación de parches y actualizaciones.

Algunas de sus funciones:

  • Energía: Los administradores entre otras cosas pueden en caso de bloqueo del sistema realizar un reinicio del servidor.
  • Consola: EL administrador puede interactuar con el servidor a través de la consola remota, evitando estar físicamente delante de la máquina en caso de perder la conexión con el sistema operativo.
  • Medios virtuales: Permite montar imágenes de disco compartidas en red.

También permite supervisar la temperatura, ventiladores y los eventos del sistema.

La consola web de iDRAC9 permite supervisar los eventos del sistema
Supervisión de logs en iDRAC9

Vulnerabilidades reportadas:


CVE-2018-1249

Las versiones de Dell EMC iDRAC9 anteriores a 3.21.21.21 no exigen el uso de TLS/SSL para establecer la conexión con el servidor web de iDRAC en ciertas URLs. Un atacante podría explotar esta vulnerabilidad para realizar un ataque ‘mitm‘ (man-in-the-middle) y evitar que el cliente establezca una conexión cifrada con el servidor.

https://nvd.nist.gov/vuln/detail/CVE-2018-1249
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1249


CVE-2018-1244

Tanto las versiones anteriores a 2.60.60.60 de Dell EMC iDRAC7/iDRAC8 como 3.21.21.21 de iDRAC9 contienen una vulnerabilidad de inyección de comandos en el agente SNMP. Un atacante autenticado podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en iDRAC, donde las alertas de SNMP están habilitadas.

https://nvd.nist.gov/vuln/detail/CVE-2018-1244
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1244


CVE-2018-1212

La consola de diagnóstico web en Dell EMC iDRAC6 (todas las versiones modulares) contiene una vulnerabilidad de inyección de comandos. Un usuario malicioso autenticado de forma remota con acceso a la consola de diagnóstico podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios como root en el sistema que no se encuentre actualizado.

https://nvd.nist.gov/vuln/detail/CVE-2018-1212
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1212


CVE-2018-1243

Las versiones anteriores a 2.91 de iDRAC6, 2.60.60.60 en iDRAC7/iDRAC8, así como 3.21.21.21 en iDRAC9, contienen una vulnerabilidad de ID de sesión CGI débil. Las sesiones invocadas a través de binarios CGI utilizan valores de 96 bits, lo que facilita a los atacantes remotos realizar ataques de fuerza bruta.

https://nvd.nist.gov/vuln/detail/CVE-2018-1243
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1243


Breve introducción donde se pueden apreciar algunas funciones de iDRAC9

Dell ya ha publicado un documento de soporte para solucionar las vulnerabilidades comentadas anteriormente, así como consejos para mantener al día el firmware de iDRAC.

Vulnerabilidades críticas en Thunderbird 52.9

Mozilla Fundation Security ha corregido varias vulnerabilidades críticas que afectan a Thunderbird 52.9

 

Mozilla Thunderbird es un cliente de correo electrónico multiplataforma de código abierto y libre, cliente de noticias, cliente de RSS y de chat desarrollado por la Fundación Mozilla. Utiliza el lenguaje de interfaz XUL y viene instalado por defecto en los sistemas de escritorio de Ubuntu.

Thunderbird es un cliente multiplataforma por lo que se puede instalar fácilmente en Windows 10
Gestor de correo Thunderbird en Windows 10

Entre sus características podemos destacar:

  •  Cifrado PGP
  •  Filtros de correo
  •  Lector RSS
  •  Filtro anti-spam

Con respecto al informe redactado por el equipo de Mozilla Fundation Security, podemos destacar algunas de las vulnerabilidades corregidas:

CVE-2018-12372
Un atacante podría hacer uso de un ataque ‘EFAIL’ para explotar las vulnerabilidades en los estándares ‘OpenPGP’ ‘S/MIME’ para revelar en texto plano los correos electrónicos encriptados.

EFAIL explota vulnerabilidades en los estándares OpenPGP y S/MIME para revelar el texto plano correos electrónicos que han sido cifrados. EFAIL abusa del contenido activo de los correos electrónicos HTML, por ejemplo, imágenes o estilos cargados externamente, para filtrar el texto sin formato a través de las URL solicitadas.

Ataque EFAIL realizado sobre los estándares OpenPGP y S/MIME
Ataque EFAIL – Extraido de efail.de

Sin embargo es necesario que un atacante tenga acceso a correos cifrados:

  • Interceptando tráfico de la red.
  • Comprometiendo cuentas de correo, servidores de correo, backups o equipos.
Ataque EFAIL en Thunderbird – Prueba de concepto

CVE-2018-12359
Un desbordamiento de búfer puede ocurrir cuando se renderiza contenido de lienzo cuando se ajusta dinámicamente el alto y el ancho del elemento, haciendo que los datos se escriban fuera de los límites calculados.

https://access.redhat.com/security/cve/cve-2018-12359


CVE-2018-12373
Las partes S/MIME descifradas, cuando se incluyen en HTML diseñado para un ataque, pueden filtrar texto sin formato cuando se incluyen en una respuesta/reenvío HTML.

https://es.wikipedia.org/wiki/S/MIME
https://www.rapid7.com/db/vulnerabilities/mozilla-thunderbird-cve-2018-12372


CVE-2018-12362
Puede ocurrir un desbordamiento (Integer Overflow) durante las operaciones gráficas realizadas por SSSE3 (Supplemental Streaming SIMD Extensions 3).

https://en.wikipedia.org/wiki/SSSE3
https://access.redhat.com/security/cve/cve-2018-12362


Han comunicado que estas vulnerabilidades no pueden ser explotadas en el gestor de correo de Thunderbird al leer mensajes, ya que la ejecución de scripts está deshabilitada por defecto, sin embargo advierten que se corre riesgo en el navegador o contextos similares al navegador.

Se recomienda actualizar la aplicación desde el sitio web del fabricante o en su defecto desde repositorios oficiales.

Security vulnerabilities fixed in Thunderbird 52.9 – Mozilla
https://www.mozilla.org/en-US/security/advisories/mfsa2018-18/#CVE-2018-12364