Vulnerabilidades en software de gasolineras

Hace unos meses, Kaspersky detectó una amenaza crítica de seguridad. Resultó ser una simple interfaz web que en realidad era un enlace a una gasolinera real, haciéndola manipulable de manera remota.

La interfaz web no resultó ser solo eso, sino que era en realidad una máquina ejecutando un controlador basado en linux con un pequeño servidor httpd. Según el fabricante, el software del controlador se encarga de gestionar todos los componentes de la gasolinera: Dispensadores, terminales de pago… Algunos de estos controladores llevaban gestionando estaciones más de 10 años, y llevan expuestos a internet desde entonces.Según los especialistas de Kaspersky, en el momento de la investigación localizaron donde se encontraban las estaciones activas. Mayormente en Estados Unidos y la India, aunque también se encontraron en un porcentaje considerable en España y Chile.

Países afectados por estos dispositivos.

Una vez conocida la información del dispositivo, era sencillo obtener la documentación de este. Los manuales del fabricante eran bastante detallados, llegando a incluir capturas de pantalla, comandos, credenciales por defecto e incluso una guía paso a paso sobre cómo acceder y manejar cada interfaz. Solo con esto, se puede tener conocimiento de como funciona la aplicación.

Esquema del funcionamiento de la aplicación y los controladores.

Observando la interfaz, podemos ver que es sencilla para utilizar por los operarios de la gasolinera. Sin embargo, en el caso de que el operario sea un usuario malicioso puede llevar a cabo distintas acciones entre ellas modificar informes, recibos o incluso el precio de la gasolina. Estos privilegios, que deberían ser accesibles solo al administrador pueden ser utilizados por cualquier usuario.

También es interesante que, en el esquema anterior no encontramos ninguna referencia a medidas de seguridad o de protección contra la interfaz.
Los investigadores de Kaspersky volcaron el firmware del dispositivo para poder analizarlo, llegando a darse cuenta de una ingrata sorpresa: el fabricante había dejado unas credenciales hardcodeadas a modo de backdoor, en caso de que el dispositivo requiriese permisos mayores o acceso local con los privilegios mas altos. Cualquier dispositivo de dicho fabricante cuenta con las mismas credenciales hardcodeadas.

Entre otras vulnerabilidades, resulta interesante que se pueda obtener la localización exacta de la gasolinera. Existe un componente que genera informes diariamente,  incluyendo el nombre de la estación además su localización.

Haciendo uso de las credenciales encontradas en el código del firmware, se pueden cambiar los precios de la gasolina. El atacante tendría que investigar los productos de la gasolinera con estas credenciales hasta dar con el producto que corresponda a la gasolina para poder modificar su precio.

Tras el análisis por los investigadores de Kasperksy, concluyeron que un atacante que conozca las credenciales hardcodeadas tendría acceso a:

  • Apagar todos los sistemas de provisionamiento
  • Filtro de combustible
  • Cambiar los precios de los productos
  • Robar dinero a través de la terminal de pago
  • Obtener información de las licencias de los vehículos y sus dueños
  • Bloquear la estación a cambio de un rescate.
  • Ejecutar código remoto
  • Moverse libremente dentro de la red de la estación
Más información:
 

Vulnerabilidad en LibreOffice

Remote Arbitrary File Disclosure en LibreOffice

Esta vulnerabilidad se encuentra en el soporte que da LibreOffice a la función“COM.MICROSOFT.WEBSERVICE” se trata de una función que se encarga de mostrar datos de Internet o de una intranet en nuestros documentos de LibreOffice Calc.

Función

Esta función recibe un parámetro que debe ser una URL de cualquier servicio web. Existen una serie de restricciones sobre esta función, devolverá #VALUE! error :

  1. Si no puede obtener los datos del WebService.
  2. Si se devuelve una cadena no válida o que contenga más caracteres que lo permitido por las celdas (longitud máxima: 32767).
  3. Si la URL contiene una cadena de más de 2048 caracteres permitidos en una petición GET
  4. No están soportados los protocolos ‘file://’ ‘ftp://’

La vulnerabilidad se encuentra en nuestro punto número 4. Esta restricción no está implementada en LibreOffice. Por defecto las celdas no se actualizan, pero si se especifica el tipo de celda como ‘~error’ hará que la celda se actualice cuando se abra el documento.
Explotación

Para explotar esta vulnerabilidad se necesita enviar los archivos desde el usuario actual por lo que se necesita la ruta de su carpeta de usuario, para explotarla solo necesitamos:

Explotación

También podemos hacer una llamada a otros ficheros muchos más importantes.Es posible explotar esta vulnerabilidad en otros formatos que no sean los de LibreOffice.

Impacto y versiones vulnerables
Es muy preocupante la facilidad de enviar cualquier archivo con información sensible.
Por ahora las versiones de LibreOffice vulnerables a este ataque son:

  • LibreOffice 5.4.5 hasta 6.0.1
  • Explotable en cualquier plataforma Linux/Windows/macOS
Más información:
 
Función COM.MICROSOFT.WEBSERVICE:

UDPoS, el malware que afecta a puntos de venta

UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn

Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protoloco es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.

El malware se presenta con nombres como ‘logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe’ y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo ‘infobat.bat’ que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado‘PCi.jpg’, que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).

Malware UDPoS, extraída de: forcepoint

C2 y Hashes

Extraída de: forcepoint
Extraída de: forcepoint

El malware también busca software antivirus en la máquina infectada o si está siendo ejecutado en una máquina virtual.

Extraída de: forcepoint

Los investigadores de Forcepoint que lo han descubierto comentan que parece ser una versión en desarrollo, ya que no se puede asegurar que esté en funcionamiento completamente. Tal vez esto sólo sea una prueba del malware…

Volviendo al envío de datos robados, como ya comentamos el uso del protocolo DNS no es una elección común, pero tampoco es algo único. A continuación, recordamos algunos malwares que usan esta misma técnica para enviar los datos robados:

Extraída de:  akamail.com

LogMeIn ha publicado una aviso a sus clientes el cual podéis leer aquí.

Soy de esas personas que toman el café sin azúcar, que no beben refrescos, cuyos desayunos no provienen de una caja de cartón y hace muchísimo que no compro galletas, ni tartas, ni chocolate, así que no me parecía que fuera la persona ideal para aceptar el reto pasar un mes sin azúcar. Sin embargo, sí me gustan los dulces así que me apunté. Y esto fue lo que pasó.

Aunque suelo llenar el carro de la compra con cosas naturales, sí tomo algo de chocolate si lo hay en la oficina, por ejemplo. Y sigo picando más y más trozos a lo largo del día. Si voy a casa de alguien y ponen unas galletas con el café, seguro que cojo alguna. Y luego otra y luego otra. Si me ofrecen un trozo de tarta, sería raro que dijera que no. Me conozco, esas son mis 3 debilidades.

Dieta sin azúcar: Huevos revueltos con salmón y aguacate

Día 1, 1 de enero: Me decanto por huevos revueltos con aguacate, beicon y tomates para desayunar. Algo que suelo tomar. Empezamos bien. Sin embargo, anoche fue Fin de Año, así que tengo limpiar y retirar algunas botellas, boles y una fondue de chocolate. Me dirijo a la cocina para deshacerme de ese chocolate que no puedo comer en 31 días y, sin darme ni cuenta, rompo un trozo y me lo como. Sí, chocolate para desayunar (esas cosas que puedes hacer cuando eres adulto y ya no vives con tus padres). Después de 50 minutos de vivir sin azúcar, ya he fallado en mi reto. Pero no pasa nada, mañana es lunes y todos los planes se deben empezar un lunes, ¿no?

Día 1, toma 2: Me fui a dormir algo más tarde de lo que debía, así que me levanto algo cansado y bajo de fuerza de voluntad en mi primer día del reto. Desayuno unas gachas con frutos del bosque y semillas de linaza. No he preparado nada para comer: estar cansado y no tener la comida preparada no es ponértelo fácil precisamente. Me voy a un restaurante de sushi que hay al lado de la oficina, pensando que el sushi es una buena idea. Cuando estoy en la cola me acuerdo de que el arroz del sushi tiene azúcar añadido. Entonces cambio al sashimi, que además es más caro. El primer día de trabajo después de las vacaciones me mantiene muy ocupado y no paro en todo el día, lo que normalmente me haría caer en algo dulce, pero me mantengo fuerte y me quito los antojos con frutos secos. Otra ocasión en la que suelo ir a por algo dulce es justo antes de salir a correr, para darme un poco de energía extra. Pero hoy no. Hago un salmón al horno, judías y boniatos y consigo llegar a la tercera y última comida del día sin azúcar. Día 1 del reto sin azúcar, completado.

Dieta sin azúcar: pimiento rojo y verduras

Llega el día 2 y otra vez no me he preparado la comida. Está claro que no he aprendido nada del día 1. Me decanto rápidamente por ir al súper a por unos filetes de caballa, arroz de microondas y guisantes. Me pongo a buscar las latas de guisantes (pasando por el pasillo de los chocolates dos veces) y cuando las encuentro veo que contienen guisantes, agua… ¡Y azúcar! ¿Por qué contiene azúcar una lata de guisantes? Parece que el azúcar está presente en casi toda la comida envasada, no se libran ni unos guisantes. Parece que las judías sí han huido de su destino azucarado: la lata contiene judías y agua como cabría esperar. Escojo un filete de trucha y voy a la oficina. Así son las cosas cuando tienes que improvisar una comida sin azúcar.

Como esta vez sí que he aprendido la lección, me doy cuenta de que preparar la comida es clave a la hora de evitar el azúcar y conseguir dejarlo. Así que me dispongo a preparar y planear mis comidas para el resto del mes. Me aseguro de tener una bolsa de frutos secos a mano para picar durante mi reto. La parte social es el verdadero reto cuando intentas dejar el azúcar, pero he descubierto que comer con antelación es una buena clave y también aceptar que tendrás que rechazar lo que te ofrezcan sin dudarlo. Lo que también ayuda es rodearte de gente que te apoye. Por suerte para mí, al trabajar en Runtastic estoy rodeado de gente que piensa como yo, que me apoya y que me ayuda a mantenerme firme en mis objetivos. Dejar el azúcar no es fácil y necesitarás fuerza de voluntad para conseguirlo. Lo de dejar el azúcar se ha puesto de moda en los dos últimos años por unas cuantas buenas razones. Durante mi reto me he estado informando sobre el tema viendo películas y documentales sobre el azúcar y su consumo. Esto me abrió los ojos.

Dieta sin azúcar: Salmón a la plancha con verduras

¿Por qué es tan malo el azúcar?

El azúcar está en todas partes. De hecho, está en el 80% de la comida envasada. Es altamente adictivo y provoca estragos en el cuerpo. El azúcar no sólo altera los niveles de energía, sino que también altera las hormonas. Con el tiempo, estas fluctuaciones constantes dejan los niveles hormonales en desequilibrio y no cumplirán su función como deben. Cuando tomamos azúcar, se libera insulina desde el páncreas para eliminar la glucosa de la sangre. Finalmente, esta demanda constante, combinada con los altos niveles de insulina y glucosa, llevan a que el páncreas produzca menos insulina con el tiempo, lo cual causa resistencia a la insulina, la precursora de la diabetes. Además, si la energía del azúcar no se quema justo después de su consumición, se convertirá en grasa que se almacenará en el cuerpo.

Dejar el azúcar y perder peso

Durante mi reto perdí unos 3 kg (si bien es cierto que mi reto empezó justo después de esa época de excesos que es la Navidad). Aparte de eso, continué corriendo y comiendo como me apetecía (siempre y cuando no hubiera azúcar de por medio, claro). A las dos semanas empecé a notar que estaba más definido, lo cual no está nada mal considerando que aún no había ido al gimnasio en todo el mes de enero. Esto me hace preguntarme qué clase de grasa se pierde cuando haces una dieta sin azúcar. Por las mismas fechas me di cuenta de que había empezado una dieta alta en grasas, moderada en carbohidratos y proteínas: frutos secos, queso, aguacates y mantequilla de cacahuete se convirtieron en aperitivos frecuentes. Las comidas principales contenían carbohidratos o verduras, junto con carne o pescado. Esto me hizo adaptarme a la grasa, empecé a quemar grasa para obtener energía, en lugar de azúcar o glucosa.

Dieta sin azúcar: boniatos al horno

5 cosas que aprendí al llevar una dieta sin azúcar:

1. El azúcar está en todas partes

El azúcar se pasea a sus anchas por todas partes. La próxima vez, echa un vistazo a lo que compras. Lee las etiquetas de algunos productos y verás cuántos de ellos contienen azúcar. El azúcar viene presentado de muchas maneras. Puede que no esté escrito “azúcar” exactamente, pero si las palabras que ves acaban en “-osa”, probablemente lo sean. Un desayuno supuestamente saludable con yogur con cereales y fruta y un vaso de zumo de naranja puede contener hasta 14 cucharaditas de azúcar. La cantidad recomendada para todo un día son 7.

2. La claridad mental y la concentración aumentaron

Las 2 primeras semanas me sentía un poco confuso. Tuve un par de noches de poco descanso y algunos días muy largos en el trabajo, pero era una sensación distinta a la de estar cansado. Después de las 2 semanas algo cambió. De repente salí de esa fase y me sentí más centrado y con más claridad mental que nunca.

3. Más energía, menos bajones

Desde que empecé mi dieta sin azúcar, mis niveles de energía han ido subiendo y ya nunca recurro al azúcar para darme ese subidón. Me despierto más fresco y enérgico. Además, esa energía me dura todo el día. El bajón de las 3 pm ya no existe y ya no busco algo azucarado para remediarlo.

4. Una piel mejor

Con la dieta sin azúcar he notado que tengo la zona T (la frente y la nariz) menos grasienta. Tomar azúcar en exceso puede causar piel grasa, así que en lugar de ponerte productos en el exterior puedes probar a cuidarte desde el interior (¡el azúcar también produce granos y hasta arrugas!).

5. Amor por la cocina

He vuelto a amar la cocina. Siempre me ha gustado cocinar y siempre suelo preparar comidas sanas. Dado que muchas salsas y productos se esfumaron de mis platos, tenía que cocinar prácticamente todo desde cero. Esto me hizo crear mis propias recetas. Hacía mucho que no lo hacía. Así sabes exactamente qué hay en tu plato.

¿Volveré a comer productos que contengan azúcar? Sí. ¿Y si alguien trae una tarta de cumpleaños a la oficina? Seguro. ¿Y si hay tiramisú de postre en un restaurante? Ni lo dudes. ¿Pero seré más consciente de los productos que tomo e intentaré reducir la ingesta de azúcar? Absolutamente.

Sobre el autor:

Jonathan Meadows

Jonathan es un entusiasta corredor de maratones, con un récord personal de 3:02. A Jonathan le gusta leer sobre nuevas modas en el mundo del fitness, nuevas formas de mejorarse a sí mismo y siempre está dispuesto a aceptar un reto.

Los 9 mejores remedios caseros para el dolor muscular

Los 9 mejores remedios caseros para el dolor muscular

Estirar, calentar y enfriar son algunos imprescindibles para evitar las agujetas al día siguiente, pero la nutrición también juega un papel crucial. ¿Sabes qué alimentos te ayudan a prevenir el dolor muscular? Nosotros te traemos 9 remedios.

Alimentos contra las agujetas: remolacha

1. Remolacha

En la Conferencia 2013 ISSN, la Sociedad Internacional de Nutrición Deportiva descubrió lo siguiente: siete runners con un buen entrenamiento habían estado bebiendo zumo de remolacha regularmente durante unas dos semanas y, como resultado, disminuyeron su dolor muscular de forma significativa.

2. Cafeína

Algunos estudios demuestran que los atletas reducen la predisposición a tener dolor muscular cuando toman cafeína antes de su entrenamiento.

Taza de café rodeada de granos enteros de café

3. Cerezas

Alivia las agujetas bebiendo unos 400 ml de zumo de cerezas, antes y después de tu entrenamiento. El efecto antiinflamatorio del zumo, junto con sus antioxidantes, te ayudarán a recuperarte más rápidamente.

4. Jengibre

Los efectos del gingerol, el componente activo responsable del dolor, son similares a los de los agentes activos de una aspirina. Puede reducir el dolor muscular hasta en un 24%.

5. Zumo de tomate

Beber zumo de tomate después de tu entrenamiento puede reducir la cantidad de marcadores de inflamación en sangre. Este efecto viene causado por los antioxidantes presentes en el tomate.

Vaso de zumo de tomate, con tomates alrededor

6. Pescado

Los ácidos grasos omega 3 presentes en el pescado favorecen la recuperación muscular.

7. Cúrcuma

Esta planta ayuda a relajar los músculos, alivia el dolor y mejora la movilidad muscular.

8. Agua de coco

El agua pura de los cocos es una bebida perfecta para deportistas y ayuda a reducir las agujetas gracias a los electrolitos que contiene.

9. Chile y té verde

Los fitoquímicos estimulan la circulación de la sangre y ayudan a aliviar las agujetas.

Taza de té, con una hoja de menta y un limón cortado

Te estarás preguntando si realmente funcionan, ¿verdad? Pues yo misma he probado el zumo de cerezas, el de remolacha y el café y creo sinceramente que sentí menos agujetas. ¡Anímate a probarlos! No pierdes nada. Ah, y recuerda descansar cuando tengas dolor muscular. Podrás a volver a tu rutina de entrenamiento después de un par de días.

Buena suerte 🙂

Y tú, ¿tienes una receta o algún truquito para las agujetas? Compártelo con nosotros en los comentarios.

Vera

Publicado originalmente el 8 de septiembre de 2014. Actualizado el 1 de febrero de 2017.
***

Vera Schwaiger

Vera Schwaiger

Vera ha estudiado dietética y psicoterapia y su lema se resume en esta frase de Einstein: “La vida es como una bicicleta. Para mantener el equilibrio hay que seguir avanzando”.

Ejecución remota de código en aplicaciones Electron

Electron, el conocido framework de aplicaciones de escritorio, en el que se basan Slack, Atom, Skype, Signal e incluso Visual Studio Code por ejemplo, han corregido una grave vulnerabilidad de ejecución remota de código que afecta a las versiones Windows que utilizan manejadores de protocolo personalizados.

 

 

Si hace unos meses alertábamos de las potenciales vulnerabilidades que se presentaban en el ecosistema de aplicaciones basadas en Electron, el reporte facilitado esta semana por Github, confirma esta tendencia.

En este caso, la vulnerabilidad (CVE-2018-1000006) reside en el uso de manejadores de protocolo personalizados, utilizados para identificar un URI, myapp://, asociado y registrado para una aplicación basada en Electron.

Inspeccionando los cambios en el código, se puede observar cómo era posible ejecutar código remotamente si un usuario hacía click en este tipo de URIs, ya que no se controlaba debidamente los parámetros de ejecución, en base a una blacklist.

Utilizando ciertos parámetros, como el parámetro de tipo debug, “gpu-launcher”, se podrían lanzar instancias del sistema, como muestra el PoC realizado por CHYbeta:

Fuente: CHYbeta

Otros investigadores, como wflki, han demostrado este tipo de vulnerabilidad en el wallet de criptomonedas, Exodus:

Fuente: wflki
Electron ha publicado nuevas versiones (1.8.2-beta.4, 1.7.11 y 1.6.16) y urge a los desarrolladores a actualizar sus aplicaciones lo antes posible. También han publicado las contramedidas oportunas, para aquellos que no puedan actualizar por el momento.


Más información:
Protocol Handler Vulnerability Fix
CVE-2018-1000006-DEMO
https://github.com/CHYbeta/CVE-2018-1000006-DEMO

Exploiting Electron RCE in Exodus wallet
https://medium.com/@Wflki/exploiting-electron-rce-in-exodus-wallet-d9e6db13c374

Recent protocol handler bug disclosed by Electron as seen in Windows Defender ATP
https://twitter.com/WDSecurity/status/955909703359516673

Microsoft publica actualización para deshabilitar el parche de la 2ª variante de Spectre

La actualización ha sido lanzada para aquellos usuarios que se han visto afectados por reinicios aleatorios tras la aplicación del parche, pero no ha sido publicada como una actualización automática

Sin duda, entre los propósitos de Intel para el próximo año, debe encontrarse empezar mejor que lo que lo han hecho este 2018. Si leíamos hace unos días cómo Linus Torvalds tildaba el parche de Intel para Spectre y Meltdown de una “auténtica y rotunda basura”, ahora el parche para los sistemas Windows parece reafirmarse que no es mucho mejor, habiendo publicado Microsoft una actualización para poder desactivarlo tras los ya reconocidos problemas que está habiendo con la misma.

La actualización ha sido publicada para su descarga en Windows 7 (SP1), Windows 8.1, y todas las versiones de Windows 10, tanto para cliente como para servidor. La actualización debe ser instalada por el propio usuario, no siendo esta una actualización programada. Cabe recordar, que la propia Intel recomendó el pasado día 22 parar la propagación de este parche que mitiga la segunda variante de Spectre. Entre los problemas que ha provocado el parche, se encontrarían reinicios de forma aleatoria e incluso pérdida y corrupción de datos.

Microsoft también ha publicado instrucciones de cómo desactivar el parche de forma manual sin utilizar esta actualización, tanto para usuarios finales avanzados (KB4073119) como para clientes de servidor (KB4072698). También ha recordado en la publicación de la actualización que los usuarios no afectados por la vulnerabilidad no necesitan instalarla. Para saber si eres vulnerable, Intel publicó el día 24 una guía con las familias de procesadores afectados.

Los problemas con los parches y la actuación de Intel ya le ha valido para ser demandada por usuarios, y el Congreso de Estados Unidos ha pedido explicaciones sobre por qué se ha mantenido tanto en tiempo en secreto. Recordemos que el fallo se conoce al menos desde el 1 de junio de 2017, habiendo tenido Intel al menos 7 meses para depurar los parches de los diferentes sistemas. Ahora, los problemas de Intel podrían ir a más tras conocerse que advirtió antes a compañías chinas antes que al gobierno estadounidense.

No obstante, a pesar del huracán mediático al que se enfrenta Intel desde que inició el año,sus acciones no se han visto tan afectadas como algunos esperarían, y los precios de sus procesadores no parecen haberse visto afectados.

Más información:
 
Comentario de Linus Torvalds sobre el parche:

Nota de prensa sobre resultados de Intel en el cuarto trimestre de 2017:
https://www.intc.com/investor-relations/investor-education-and-news/investor-news/press-release-details/2018/Intel-Reports-Fourth-Quarter-2017-Financial-Results/default.aspx

Guía de procesadores vulnerables:
https://newsroom.intel.com/wp-content/uploads/sites/11/2018/01/microcode-update-guidance.pdf

Demandas colectivas contra Intel:
https://www.theguardian.com/technology/2018/jan/05/intel-class-action-lawsuits-meltdown-spectre-bugs-computer

Comunicado de El Congreso de los Estados Unidos:
https://energycommerce.house.gov/wp-content/uploads/2018/01/Meltdown-Spectre-Letters.pdf

Compañías Chinas conocieron las vulnerabilidades antes de el gobierno de EEUU:
https://www.wsj.com/articles/intel-warned-chinese-companies-of-chip-flaws-before-u-s-government-1517157430?tesla=y&mod=e2tw

Acciones de Intel:
http://www.nasdaq.com/es/symbol/intc/interactive-chart?timeframe=1m&charttype=line

Precio de procesador Intel en el tiempo:
https://camelcamelcamel.com/Intel-Desktop-Processor-i7-7700K-BX80677I77700K/product/B01MXSI216

ADB.Miner: nueva botnet dedicada al minado de criptomonedas

El pasado 3 de febrero un nuevo gusano dirigido al minado de criptomonedas empezó a propagarse rápidamente a través de dispositivos Android, principalmente en China y Corea del Sur.

El malware en cuestión busca dispositivos con el puerto 5555 abierto, utilizado por la herramienta de depuración ‘ADB‘. Para realizar estos escaneos utiliza partes del módulo de exploración SYN de MIRAI.

NetworkScan Mon – http://scan.netlab.360.com/#/dashboard

La gráfica muestra el aumento significativo de los escaneos dirigidos al puerto 5555.Situándose en poco tiempo en el TOP 10 de NetLab. Algo que no ocurría desde la campaña de MIRAI en septiembre de 2016.

NetworkScan Mon – http://scan.netlab.360.com/#/dashboard

La mayoría de dispositivos infectados son móviles y aparatos de smart TV basados enAndroid con la interfaz de depuración ‘ADB‘ activada. Estos dispositivos intentan propagar el malware de forma activa. Para ello, el dispositivo inicia un escaneo del puerto 5555 e intenta infectar a otra víctima con la herramienta de depuración ‘adb’ activa:

  1. Se conecta por ‘adb’ al dispositivo remoto.
  2. Replica y ejecuta el código malicioso en el nuevo dispositivo.
Proceso de propagación – Fuente: http://blog.netlab.360.com/

Mientras tanto, el dispositivo infectado se dedica a minar la criptomoneda ‘Monero (XMR)‘ utilizando el software ‘xmrig‘:

Configuración de xmrig – Fuente: http://blog.netlab.360.com/

A día de hoy todavía no se ha efectuado ningún ingreso en la cartera del atacante:

Como medida preventiva se recomienda desactivar la herramienta de depuración de Android cuando no se esté utilizando.

IOCs

  • MD5 (bot.dat) bc84e86f8090f935e0f1fc04b04455c6
  • MD5 (botsuinit_1_1.txt) cd37d59f2aac9101715b28f2b28b7417
  • MD5 (config.json) 27c3e74b6ddf175c3827900fe06d63b3
  • MD5 (droidbot) 412874e10fe6d7295ad7eb210da352a1
  • MD5 (droidbot.apk) 914082a04d6db5084a963e9f70fb4276
  • MD5 (nohup) 9a10ba1d64a02ee308cd6479959d2db2
  • MD5 (sss) 6a22c94d6e2a18acf2377c994d0186af
  • MD5 (xmrig32) ac344c3accbbc4ee14db0e18f81c2c0d
  • MD5 (xmrig64) cc7775f1682d12ba4edb161824e5a0e4
Más información:
 
Early Warning: ADB.Miner A Mining Botnet Utilizing Android ADB Is Now Rapidly Spreading
http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading-en/

ADB.Miner 安卓蠕虫的更多信息
http://blog.netlab.360.com/adb-miner-more-information/

El lunes negro de WordPress: actualizaciones con fallos y vulnerabilidades que no se solucionan

Definitivamente esta semana no es la mejor para el CMS que, dicen, supone casi el 30% de sitios de Internet. Un fallo introducido en la ultima actualización impide actualizar automáticamente, y una vulnerabilidad que tiene como impacto la denegación de servicio no será solucionada.

 

El lunes se publicaba la versión 4.9.3, solucionando un total de 43 fallos, aunque ninguno de ellos de seguridad. Como es habitual cada vez que hay una actualización, el anuncio de la nueva versión al final rezaba:

Sites that support automatic background updates are already beginning to update automatically.

Pero esto nunca llego a suceder. Irónicamente, la actualización se publicó con un fallo que impide al sistema de actualizaciones automáticas seguir funcionando, o lo que es lo mismo: tras esta instalación, WordPress dejará de actualizarse automáticamente. Esta funcionalidad se implementó en la versión 3.7, precisamente para dar respuesta a la gran cantidad instalaciones vulnerables (algunos estudios afirmaban que suponían el 70% del total).

Para solucionar la situación, el mismo martes se publicó la versión 4.9.4. Sin embargo, al haber quedado el sistema inservible, para actualizar se requieren operaciones manuales por parte del usuario:

Unfortunately yesterdays 4.9.3 release contained a severe bug which was only discovered after release. The bug will cause WordPress to encounter an error when it attempts to update itself to WordPress 4.9.4, and will require an update to be performed through the WordPress dashboard or hosts update tools.

 

Esto podría suponer que muchos sitios queden estancados en la versión 4.9.3 hasta que sus administradores ejecuten la operación.

Más malas noticias: una denegación de servicio que no se solucionará

Por si esto fuera poco, el mismo lunes el investigador Barak Tawily publicabaun artículo donde describía una vulnerabilidad que afecta a casi cualquier instalación de WordPress, provocando una denegación de servicio.

La vulnerabilidad se encuentra en el fichero ‘load-scripts.php’. Este se utiliza para pedir al servidor varios ficheros estáticos en una sola petición, reduciendo así el número total de peticiones.
Como parámetro se pasa al fichero un array llamado load que contendrá nombres de ficheros estáticos. No todos los estáticos pueden servirse a través de esta petición, solo los definidos en el listado interno $wp_scripts, y nunca se servirán repetidos, aunque ni falta que hace: en ese listado hay un total de 181 ficheros que suponen un número similar de acciones de I/O y un peso del fichero de respuesta de casi 4MB.
Dado que esta petición es muy pesada, una repetición constante de la misma puede provocar la sobrecarga del servidor, llevando finalmente a la denegación de servicio. Y peor aún, el fichero ‘load-scripts.php’ no requiere autenticación para ser llamado ya que, aunque forma parte de la zona de administración, es también accesible desde la pantalla de entrada ‘wp-login.php’.
A pesar de la facilidad de explotación, WordPress no ha aceptado la vulnerabilidad, ya que según responden a Tawily:

“This kind of thing should really be mitigated at the server or network level rather than the application level, which is outside of WordPress’s control.”

Aun así, Tawily ha publicado su propio parche y un script que soluciona la vulnerabilidad.

Más información:
 

Riesgos de usar WhatsApp Web en entornos corporativos

WhatsApp Web está siendo ampliamente utilizado en entornos empresariales, pese a que su política de uso deja claro que solo puede utilizarse para uso personal. La razón de su uso se debe a que permite renderizar WhatsApp en tu navegador, para no tener que estar acudiendo al teléfono móvil si quieres usar la famosa aplicación adquirida por Facebook en 2014.

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones. Concretamente, WhatsApp Web es una aplicación web relativamente compleja en su forma de comunicarse. Por ejemplo, en un primer momento solo tenía compatibilidad con Google Chrome debido a que era el único navegador que integraba la tecnología WebRTC en ese momento (a día de hoy es soportada por la mayoría de los navegadores).

En un principio WhatsApp Web solo se podía usar desde terminalesAndroid, pero la aplicación ha ido evolucionando permitiendo la compatibilidad con iOS. Esta limitación era debida a limitaciones en la API de iOS al manejar las aplicaciones en segundo plano, ya que no permitía mantener una conexión abierta a un servidor ni aceptar conexiones entrantes desde el navegador.

El modelo de funcionamiento de esta aplicación web contempla dos formas de uso:

  • Si comparten conexión WiFi el equipo y el terminal móvil, la conexión se establecerá del equipo al móvil mediante la WiFi, y del móvil a los servidores finales de WhatsApp usando la conexión de datos (o la misma conexión WiFi si no está disponible la conexión de datos).
  • En caso de que no compartan conexión WiFiel equipo se comunica con servidores intermedios de WhatsApp a través de su conexión a Internet (sin pasar por el móvil). Estos servidores intermedios deWhatsApp contactan con el móvil a través de su conexión de datos, yfinalmente el móvil envía los mensajes a través de su conexión de datos (u otra WiFI externa) a los servidores finales de WhatsApp.

En resumidas cuentas, la aplicación web no es más que una forma de control remoto sobre la aplicación de WhatsApp que funciona en el móvil. Es fácil darse cuenta de esto, ya que cuando el móvil pierde conexión a Internet, WhatsApp Web deja de funcionar al instante. Lo cierto es que simplifica bastante la gestión de la seguridad por parte de WhatsApp si te obligan a pasar por el móvil, y se aseguran de que el usuario no se desvincula de la aplicación móvil.

La segunda forma de uso (compartiendo WiFi) se puede controlar filtrando fácilmente a nivel de red, sin embargo la primera forma de uso es algo más complicada de controlar, y es más fácil su filtrado a nivel de los equipos de sobremesa de los empleados. Particularmente, es más complicado su filtrado si el móvil se conecte a los servidores finales de WhatsApp a través de su conexión de datos, en vez de usar la WiFi. Si hablamos de la primera forma, la complejidad, debemos considerar de que el tráfico de red no saldrá por nuestra conexión a Internet y la complejidad del filtrado aumenta.

No obstante, si controlamos la configuración de red de cada uno de los equipos, una solución sencilla para controlar ambas formas de uso seríabloquear la resolución de nombres del dominio ‘web.whatsapp.com. Este dominio es el usado por WhatsApp Web, de forma que impediríamos efectivamente el acceso a la aplicación web. Una de las formas de hacerlo: Modificar el archivo ‘/etc/hosts’ en Linux oC:\WINDOWS\system32\drivers\etc\hosts’ en Windows para que apunte alocalhost (una forma clásica de impedir la resolución de un dominio).

127.0.0.1 web.whatsapp.com 

Habría que tener cuidado con las cachés de las que disponen los navegadores modernos, que en algunos casos guardan las resoluciones de los dominios, y aunque actualmente se haya apuntado el dominio a otra dirección, pueden seguir cargando la dirección antigua real. También existen algunas otras formas de llevar a cabo este bloqueo, como el uso de plugins, o el filtrado desde el propio firewall del equipo.

Más información:

Campaña internacional de fraude por Whatsapp a diferentes supermercados