Defectos en el chip Bluetooth, exponen millones de dispositivos a ataques remotos

Recientemente se ha revelado los detalles de dos vulnerabilidades críticas en los chips Bluetooth Low Energy o BLE. Estas vulnerabilidades están integradas en millones de puntos de acceso y de dispositivos de red usados alrededor del mundo.

BleedingBit-vulnerabilidad-Bluetooth

Apodada BleedingBit, este conjunto de dos vulnerabilidades podría permitir a los atacantes ejecutar código y tomar el control total de los dispositivos vulnerables sin autenticación. En este rango de dispositivos también se incluyen dispositivos médicos como bombas de insulina, marcapasos, así como dispositivos IoT.

La primera vulnerabilidad con CVE-2018-16986 ha sido verificada en chips TI CC2640 y CC2650 que afecta a numerosos puntos de acceso Wi-Fi de Cisco y Meraki. El error aprovecha un fallo en la forma en que los chips Bluetooth analizan los datos entrantes. Básicamente se trata de una vulnerabilidad de desbordamiento de memoria intermedia que podría permitir a un atacante ejecutar código malicioso en el dispositivo. Para llevar a cabo este ataque se requiere que el atacante esté a una distancia física determinada del dispositivo, pero una vez comprometido puede tomar el control a través de la instalación de un ‘backdoor’.

La segunda vulnerabilidad con CVE-2018-7080 existe en los chips TI CC2642R2, CC2640R2, CC2640, CC2650, CC2540 y CC2541, CC2640R2, CC2640, CC2650, CC2540 y CC2541CC. También se ve afectada la serie 300 de los puntos Wi-Fi de Aruba. La vulnerabilidad se debe a un problema con la función de actualización del firmware de Texas Instruments en chips BLE llamada OAD (Over the Air Download), permitiendo a un atacante enviar una actualización maliciosa al punto de acceso seleccionado y obtener el control del dispositivo.

Texas Instrument, Cisco, Meraki y Aruba confirmaron estas vulnerabilidades y han lanzado los parches necesarios para arreglar este fallo, el cuál ya se encuentra disponible.

Más información

https://thehackernews.com/2018/11/bluetooth-chip-hacking.html
https://techcrunch.com/2018/11/01/bleedingbit-security-flaws-bluetooth-wireless-networks/?guccounter=1

Paquetes maliciosos en el repositorio de python PyPI

Se ha descubierto un total de 12 librerías maliciosas en el repositorio de Python PyPI, subidas al repositorio, usando técnicas de ‘Typosquatting’ con del popular framework de desarrollo web Django.

 

PyPI logo, extraído de https://pypi.org/

PyPI (Python Package Index) es el repositorio de librerías de Python por excelencia. El repositorio permite la descarga e instalación de los paquetes necesarios para nuestros proyectos de desarrollo de forma fácil y cómoda.

La forma de instalar los paquetes que tiene PyPI es utilizando sentencia:

python pip install <nombre_de_paquete>

Donde <nombre_de_paquete> será sustituido por el paquete que queramos instalar en nuestro proyecto.

La forma en la que los atacantes alojan código malicioso en este tipo de repositorios no es comprometiendo un paquete legítimo, sino poniendo en los repositorios oficiales paquetes fraudulentos. Para realizar este tipo de ataques se utiliza (descarga) el paquete oficial como base, y partiendo desde aquí, se va añadiendo el código malicioso, y una vez terminado, se sube al repositorio oficial con nombres similares al original. A modo de ejemplo, los paquetes encontrados fueron: ‘Diango’, ‘Djago’, ‘Dajngo’, ‘Djanga’ que fueron creados para suplantar al paquete ‘Django’.

El ataque utilizado es el denominado ‘Typosquatting’ que consiste en la utilización de nombres similares, pero con algún error ortográfico al que se quiere suplantar esperando un error tipográfico por parte de los desarrolladores.

Ejemplo del ataque ‘Typosquatting’

Los paquetes han sido detectados por un investigador con el seudónimo ‘Bertus’, el cual utilizó un sistema de escaneo automatizado que creó él mismo.

Actualmente los paquetes detectados han sido eliminados del repositorio PyPI.

 

Más información:

Encuentran 12 bibliotecas maliciosas en Python PyPI:

http://noticiasseguridad.com/tecnologia/encuentran-12-bibliotecas-maliciosas-en-python-pypi/