Newsletter de julio agosto de 2018 de Criptored y su actividad mensual en el grupo de LinkedIn

Estas noticias las podrás encontrar en el histórico de Criptored del mes de junio de 2018 en este enlace.

Y también en la sección “Debates” del grupo en LinkedIn en el siguiente enlace.

Además, te invitamos a que participes en la cuarta conferencia TASSI 2018 este jueves 13 de septiembre en Madrid, ‘Inteligencia colectiva con Koodous y YayaGen’, a cargo de Andrea Marcelli y Fernando Denis, destacados expertos de Hispasec Sistemas.

https://www.bbvanexttechnologies.com/tassi/#1535621132034-e1259a9f-dee4

Actividad en el web de Criptored durante el mes de julio y agosto de 2018:25/07/18: Nos vamos de vacaciones y volveremos en septiembre (España).
23/07/18: CFP Special Issue Secure Embedded IoT Devices for Resilient Critical Infrastructures (IEEE).
20/07/18: XI Congreso Internacional de Ciberseguridad Industrial en Madrid (España).
18/07/18: Cuaderno de Laboratorio de Criptografía CLCript 7: Ataque a RSA por la paradoja del cumpleaños con genRSA v2.1 (España).
11/07/18: Curso gratuito de criptografía post-cuántica en septiembre en el BECAM de Bilbao (España).
06/07/18: Actualización del software genRSA v2.1 para prácticas de criptografía con RSA (España).
04/07/18: Cuaderno de Laboratorio de Criptografía CLCript 6: Números no cifrables en RSA (España).
02/07/18: Hackatón Expodrónica 4 y 5 de Julio 2018 en Recinto Ferial en IFEMA de Madrid (España).
02/07/18: Disponible el Newsletter de la revista Red Seguridad del mes de junio de 2018 (España).
02/07/18: 23.085 accesos al MOOC Crypt4you en junio de 2018 y acumulados 1.097.879 accesos (España).
02/07/18: 13.908 visualizaciones de las píldoras Thoth en junio de 2018 y acumuladas 321.521 visitas (España).
02/07/18: 4.533 visualizaciones de las lecciones Intypedia en junio de 2018 y acumuladas 784.411 visitas (España).
02/07/18: 36.235 accesos a Criptored en junio de 2018 acumulando 214.123 visitas y 333,29 Gigabytes en todo el año 2018 (España).
02/07/18: Newsletter de la actividad de Criptored en el mes de junio de 2018 (España).

Vulnerabilidad de rutas cruzadas en Cisco Data Center Network Manager

Cisco ha publicado un parche de seguridad que corrige una vulnerabilidad en su producto Data Center Network Manager que podría facilitar a un atacante el acceso a información sensible.

Data Center Network Manager, es un gestor de equipos Cisco que permite crear, monitorizar y administrar redes enfocada a los Data Centers.

La vulnerabilidad, encontrada por el equipo de seguridad de la empresa Tenable (conocida por su producto, Nessus), podría permitir a un atacante sin autenticación la obtención de archivos con información sensible. Mediante esta técnica, se podría escalar privilegios hasta llegar a obtener el control del sistema afectado.

El fallo, que ya ha sido corregido, se basa en una falta de filtrado adecuado en las cadenas de peticiones http procedentes del usuario. En determinados parámetros, es posible emplear una ruta hacia un archivo del sistema, haciendo que la aplicación lea su contenido o sirva dicho archivo a través de la aplicación web.

Las versiones anteriores a la 11.0(1) se encuentran afectadas. Cisco ha publicado una actualización para los sistemas afectados disponible a través de la web de soporte. La vulnerabilidad posee una puntuación 8.1 bajo el estándar CVSS y se le ha asignado el CVE-2018-0464.

Más información:
 

Fallo en Android permite a una aplicación sin privilegios obtener la MAC, el nombre de la red…

El sistema operativo para móviles de Google, Android, revela información sensible sobre la configuración de la red a aplicaciones instaladas que se suscriban a ciertos mensajes internos emitidos por el sistema

La dirección MAC del móvil, el BSSID, el nombre de la red, el rango IP de la red, la IP de la puerta de enlace, los servidores DNS… Toda esta información es revelada por el sistema operativo Android (sin pedir permisos adicionales) hasta su versión 8, conteniendo ya la 9 los parches necesarios para dejar de ofrecer esta información. Lo gracioso es que Android deja de ofrecer a través de la API recomendada la MAC real del dispositivo a partir de la versión 6, pero olvidaron eliminar esta información de los mensajes internos. Es necesario también indicar que esta información es accesible de forma legal siempre que se pida un permiso especial, pero este fallo permite accedir sin este permiso.

Pasamos a explicar un poco de qué va la cosa. Lo que hemos llamado “mensajes internos” en realidad se llaman broadcasts, que no son más que mensajes que se envían a cualquiera que se haya registrado para recibir ese tipo específico de mensaje. Dicho de otra forma, una aplicación se suscribe a un tipo de mensajes, y otra aplicación (o el sistema operativo Android) envía un mensaje especificando el tipo, y este mensaje lo recibirá todo aquel que esté suscrito a ese tipo de mensajes. Por debajo, es el sistema operativo el que se encarga de enviar los mensajes. Para suscribirte, basta con realizar una llamada a la API especificando un callback (un método que procese el mensaje) y para enviarlo sólo hay que hacer otra llamada a la API. Esta última llamada es asíncrona y permite que la aplicación siga ejecutándose aunque no todos los suscritos hayan recibido el mensaje.

El caso es que Android por defecto publica un par de tipos de broadcasts que puede recibir toda aplicación que se suscriba, sin necesitar permisos adicionales. Este par de tipos de broadcasts son ‘NETWORK_STATE_CHANGED_ACTION’ y ‘WIFI_P2P_THIS_DEVICE_CHANGED_ACTION’Y ambos revelan información sensible sobre la red (el primero más que el segundo). Esto nos lleva a hacernos las siguientes preguntas sobre el asunto:

  •  ¿Por qué la información filtrada se considera una vulnerabilidad?
  • ¿Qué se puede hacer con esta información?

Para empezar, información como el nombre de la red o el BSSID (que suele ser la MAC del punto de acceso) se puede cruzar con una base de datos como WiGLE para conocer la localización del punto de acceso y por tanto la localización del usuario. Esto no está bien porque el usuario no ha dado permiso en ningún momento para que una aplicación pueda obtener su localización. E información como el rango IP de la red, la IP de la puerta de enlace o los servidores DNS usados proporcionan información de la estructura de la red local, que puede facilitar la vida a un atacante. Es por esto que se considera una vulnerabilidad y por tanto ha recibido el identificador CVE-2018-9489. Al final, hay que recordar que la seguridad está presente en todo momento en el tratamiento automático de la información, o como comúnmente se conoce, la informática.

Más información:
 

Secuestran el tráfico de más de 7.500 routers MikroTik

Investigadores de la empresa china 360 NetLab han descubierto un ataque sobre routers MikroTik mediante el cual robaban el tráfico generado.

MikroTik es un fabricante letón de equipos de red y software dedicado a la administración de redes. Recientemente, en el curso de una investigación, el equipo de seguridad de la empresa china 360 NetLab descubrió que una elevado número de equipos del mencionado fabricante estaba enviando tráfico hacia servidores controlados por los atacantes.

El origen del ataque parece encontrarse en una vulnerabilidad que afecta a los routers MikroTik, en concreto, un exploit hallado en la fuga de herramientas de la CIA, Vault7, publicada por WikiLeaks. Esta vulnerabilidad, con CVE-2018-14847, permite a un atacante la lectura de archivos con información sensible, lo que posibilitaría un acceso a la gestión administrativa del dispositivo.

En el contexto de la investigación, detectaron que más de 370.000 de estos dispositivos eran vulnerables al exploit comentado. De estos, alrededor de 239.000 poseían configurado un proxy socks4 de forma presumiblemente malintencionada. Finalmente, de este conjunto, 7.500 tenían su tráfico desviado a los servidores de los atacantes. En concreto, el tráfico de los puertos FTP, SMTP, POP3 e IMAP. Además, y esto parece sorprender a los investigadores, también los puertos asociados con SNMP, el UDP 161 y 162.

Según el post de 360 NetLab, en España habría 84 dispositivos afectados, 218 en Ecuador, 189 en Argentina, 122 en Colombia, 25 en Chile, 24 en México, 20 en Nicaragua y 16 en Paraguay.

La vulnerabilidad fue parcheada hace tiempo por MikroTik, por lo que se debería actualizar el sistema operativo de los routers afectados a la última versión disponible. Adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox.


7,500+ MikroTik Routers Are Forwarding Owners’ Traffic to the Attackers, How is Yours?

https://blog.netlab.360.com/7500-mikrotik-routers-are-forwarding-owners-traffic-to-the-attackers-how-is-yours-en/

Actualización de seguridad para Google Chrome

Google anuncia una nueva versión de su navegador Google Chrome 69. Se publica la versión 69.0.3497.81 para las plataformas Windows, Mac y Linux, que incluye algunas mejoras y soluciona 40 vulnerabilidades.

 

Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 40 nuevas vulnerabilidades, solo se facilita información de 21 de ellas (siete de gravedad alta, trece de importancia media y tres bajas).

Se corrigen vulnerabilidades por accesos fuera de los límites de la memoria en los módulos V8BlinkWebAudioMojo y SwiftShader (CVE-2018-16065 al CVE-2018-16069 respectivamente). Desbordamientos de memoria en Skia SwiftShader (CVE-2018-16070 y CVE-2018-16082), acceso no autorizado a archivos en Devtoolsfalsificaciones de direcciones en los diálogos de permisos y en el modo de pantalla completa (CVE-2018-16079 y CVE-2018-16080) y usos de memoria después de liberarla en WebRTC yMemory Instrumentation (CVE-2018-16071 y CVE-2018-16085).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 29000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de “Información sobre Google Chrome” (chrome://chrome/). O descargar directamente desde: google.com/chrome.

Más información:
 

Backswap ataca ahora a la banca española

Nueva versión de Backswap ataca ahora a seis entidades bancarias españolas.

 

Ya hablamos en la Una al Día de BackSwapuna variante de Tinba, un pequeño (10-50kB) pero sofisticado troyano bancario que implementa algoritmos de generación de dominios(para la comunicación con el C&C), captura de credenciales de usuario desde formularios o la inyección en diferentes procesos.

Existen múltiples versiones de Backswap, la mayoría tienen como objetivo bancos polacos o monederos de criptomonedas.

Como su nombre indica, el malware “intercambia” (swap) el número de cuenta de la víctima directamente por el de la “mula” que retirará el dinero.

Mediante un ataque MitB (Man-in-the-Browser), el atacante intercambia los números de cuenta inyectando código JavaScript directamente en la consola del navegador. Todo ello sin que la víctima se de cuenta.

Las últimas muestras encontradas han ampliado sus objetivos y apuntan ahora a bancos españoles. En total seis importantes entidades se han visto afectadas por este malware.

Backswap se propaga en campañas de spam, por lo que recomendamos no abrir nunca correos con adjuntos no solicitados. Además de mantener siempre actualizados sus sistemas de seguridad.


Indicadores de compromiso:

  • hxxps://5[.]61[.]47[.]74/batya/give.php
  • hxxps://103[.]242[.]117[.]248/batya/give.php
  • hxxps://mta116[.]megaonline[.]in
  • hxxps://czcmail[.]com (IP: 119[.]23[.]128[.]176)

Muestras recientes:

Más información: