Nuevo 0day en Java

Durante un buen tiempo Java fue la auténtica bestia negra para
la seguridad de los usuarios, la aparición de nuevos 0days,
vulnerabilidades, etc. era tan frecuente como en la actualidad
estamos viendo en Flash. Sin embargo hacía cerca de dos años que
no se anunciaba ningún 0day en Java, pero toda racha está destinada
a romperse: Acaba de anunciarse un nuevo 0day para Java.

Trend Micro ha descubierto este nuevo 0day a través de la investigación
y seguimiento de una campaña de ataques dirigidos, conocida como
Operación Pawn Storm. De este análisis encontraron una serie de URLs
sospechosas que alojaban el nuevo exploit como parte del ataque. Es
conveniente aclarar que este nuevo 0day no tiene nada que ver con los
recientemente descubiertos en Flash, como parte de las investigaciones
del Hacking Team.

Según Trend Micro las URL que alojaban el nuevo 0day de Java eran
similares a las URLs que se habían visto en los ataques conocidos como
Operación Pawn Storm, lanzados contra miembros de la OTAN y la Casa
Blanca el pasado abril. En este caso, las direcciones que alojaban el
exploit Java estaban incluidas en correos email dirigidos a ciertas
fuerzas armadas de un país de la OTAN y a una organización de defensa
de los Estados Unidos

Se le ha asignado el identificador CVE-2015-2590 y afecta a versiones
de Java 1.8.0.45. Las versiones anteriores de Java 1.6 y 1.7 no están
afectadas por este exploit. Oracle acaba de publicar una actualización
para este 0day como parte de su conjunto de parches de julio.

Tags: 

Red Dorsal - Perú 2016

El Ministerio de Transportes y Comunicaciones destacó que se conectará a 180 capitales de provincia con esta nueva infraestructura.
La mejora de la conectividad digital del Perú avanza. En el primer semestre del 2016 se culminarán con el tendido de la red dorsal de fibra óptica con el que el 92% de capitales de departamento tendrán acceso a Internet de banda ancha de alta velocidad.
“Con la red dorsal de fibra óptica que es un proyecto que ya terminó su primera etapa que es hasta Huancavelica y hasta junio del 2016 vamos a llegar a todas las 180 capitales de provincias en las diferentes regiones”, afirmó el ministro de Transportes y Comunicaciones, José Gallardo Ku.
La red dorsal nacional de fibra óptica, inició el tendido de sus redes en diciembre del 2014 y cuenta con una inversión de S/. 999 millones.
La primera entrega del tendido de red se realizó el 17 de marzo de 2015, en las 7 capitales de provincias de Huancavelica, y luego de un período de pruebas finales ingresó en operación el 12 de mayo del 2015. En esa región se desplegaron 453 kilómetros de fibra óptica.
Posteriormente se continuará con las entregas en Ayacucho, Apurímac e Ica, cuyas capitales de provincia deben terminar de ser interconectadas en julio del 2015.
A fines de este año se habrá logrado el avance en la mayoría de regiones del país, y el próximo año se conseguirá el objetivo (92% de capitales de provincia).

Tags: 

Nueva vulnerabilidad crítica en OpenSSL

Por si no teníamos ya bastante con vulnerabilidades como Heartbleed,
FREAK o la más reciente Logjam, llega una nueva vulnerabilidad crítica
en OpenSSL. Una vez más el problema podría facilitar a un atacante
remoto la realización de ataques de hombre en el medio, y poder
escuchar el tráfico de conexiones seguras.

El pasado lunes el equipo del proyecto OpenSSL anunció la publicación de
una nueva versión de OpenSSL para corregir una vulnerabilidad calificada
como de gravedad "alta". Este anuncio creó cierta expectación que
rápidamente quedó eclipsada por las informaciones relacionadas con
el Hacking Team. Todas las incógnitas sobre el problema han quedado
resueltas.

Tal y como anunció, el proyecto OpenSSL ha publicado hoy una
actualización para esta nueva vulnerabilidad de falsificación de cadenas
de certificados alternativos, identificada con CVE-2015-1793. La
vulnerabilidad está relacionada con el proceso de verificación de
certificados.

Durante la verificación de certificados si falla el primer intento de
construir la cadena de certificados, OpenSSL (desde versiones 1.0.1n y
1.0.2b) intentará encontrar una cadena de certificados alternativa. Sin
embargo, un error en la implementación puede permitir a un atacante
evitar la comprobación de determinados controles (como la bandera de CA)
en certificados no confiables. Esto puede permitir a un certificado de
usuario válido actuar como certificado de CA y emitir certificados, que
aunque no sean válidos, serán aceptados como confiables por el sitio
afectado.

Este problema afecta a cualquier aplicación que verifique certificados
incluyendo clientes SSL, TLS y DTLS y servidores SSL, TLS y DTLS que
usen autenticación de clientes. Afecta a las versiones 1.0.2c, 1.0.2b,
1.0.1n y 1.0.1o de OpenSSL.

Se han publicado las actualizaciones:
OpenSSL 1.0.2d para usuarios de OpenSSL 1.0.2b y 1.0.2c
OpenSSL 1.0.1p para usuarios de OpenSSL 1.0.1n y 1.0.1o

Tags: 

Los 400 Gb de Hacking Team

¿Por dónde empezar? Ah, sí. Quizás el comienzo no sería un buen
principio para contar esta historia viva. Mientras que el fuego aun
está ocupado transformando la solidez de ayer en las cenizas que
recogemos hoy y somos testigos de lo que está aconteciendo, caben
muchas preguntas en nuestro mar de dudas; la mayoría quedarán sin
respuesta, otras añadirán confusión y unas pocas podrán presumir
de la certeza que aporta una respuesta justa y probada.

Domingo 5 de julio. La cuenta de twitter de la empresa italiana Hacking
Team cambia su nombre a "hackedteam". Un tweet publicado desde esa
cuenta dice textualmente "Ya que no tenemos nada que ocultar, publicamos
todos nuestros correos, archivos y código fuente". El tweet contiene un
enlace a un archivo torrent. Este archivo permite descargar nada más
ni nada menos que 400 gigabytes de información. Es evidente que este
ejercicio de transparencia no viene de quienes hoy intentan salir de los
escombros. Ese pequeño tweet marcaba el comienzo del día más largo y
amargo de los fabricantes italianos de artefactos para el espionaje
moderno.

Se necesitan unos diez o quince años en construir esos datos, millones
de años quizás para que un algoritmo encuentre esa larguísima cadena
en los decimales de un número irracional. Solo se necesita una ínfima
porción de ese tiempo para destruirlos, un poco más para exfiltrarlos
y hacer que todo vuele por los aires.

La red era una fiesta. Si pudiéramos medir el consumo de café y el
tráfico de datos en las redes sociales probablemente irían de la mano
en un ascenso vertiginoso durante la jornada del martes. La comunidad
se volcó en el análisis, comentarios e intercambio de los fragmentos
del desastre. Poco a poco iban surgiendo nuevos datos, la gente los
conectaba y producía información en un bucle que producía nuevos
hallazgos. Un ejemplo ilustrativo de inteligencia colectiva aplicada.

¿Qué es y que vende Hacking Team?

Se definen como una empresa que ofrece servicios de seguridad ofensiva.
Seguridad ofensiva a cambio de dinero. ¿Qué color le ponemos al
sombrero? ¿Blanco? ¿Negro? ¿o el color verde con el que se suele
representar al dinero? Su carta de servicios incluye software para
troyanizar y controlar un sistema informático de manera remota. El
cliente objetivo: servicios de inteligencia y agencias de seguridad
públicas. Sin embargo el público encontró en la lista de clientes y el
contenido de los correos a numerosas empresas del sector privado. Y no
solo eso. Según la propia web de Hacking Team no vendían sus productos y
servicios a gobiernos de países en las listas negras de Estados Unidos,
Unión Europea, OTAN o Naciones Unidas.

Imagen:
http://2.bp.blogspot.com/-mmXDZ0Ad9LM/VZ1AwjEo2cI/AAAAAAAAD_o/Cz84q8YdK8...

Y sin embargo se señalaba a Sudán (país en lista negra) como uno de sus
clientes.

Imagen:
http://2.bp.blogspot.com/-aapIbLqhTYo/VZ1A5al8MvI/AAAAAAAAD_w/3qVhYzA3-s...
Fuente:
http://www.csoonline.com/article/2944333/data-breach/hacking-team-respon...

Esto ha provocado una reacción inmediata en el gobierno europeo. La
parlamentaria danesa Marietje Schaake ha conminado a las autoridades
italianas a que investiguen la relación de Hacking Team con países
sancionados por la Unión Europa.

Una organización que ha visto respaldadas sus acusaciones es Citizen
Lab, organización sin ánimo de lucro que fomenta la defensa e
investigación en materia de derechos digitales.

Puertas traseras

Muchas de las operaciones montadas por estos gobiernos y agencias han
sido detenidas a raíz de la brecha. La sorpresa para estos ha sido por
partida doble cuando pudieron comprobar, como el resto del público, que
el software que usaban aparentemente contenía puertas traseras en el
código. En la imagen por cierto, puede observarse una vulnerabilidad de
inyección de código SQL en una supuesta puerta trasera.

Imagen:
http://1.bp.blogspot.com/-ds7Tq6sATic/VZ1BnGl6ftI/AAAAAAAAD_4/ckpTzx5QCg...
Fuente: https://twitter.com/scusiblog/status/618519964618784768

La Santabárbara italiana

Exploits, algunos de ellos 0day, código fuente de las herramientas y
troyanos para diferentes plataformas. Un completo arsenal del que aun se
está estudiando y sacando partido. El que más estaba sonando es el 0day
de Adobe Flash, ya convertido en módulo de la suite Metasploit, y que ha
forzado a encender la máquina de fabricar parches de Adobe para publicar
el parche APSA15-03:
https://helpx.adobe.com/security/products/flash-player/apsa15-03.html

Dentro de la jerarquía de carpetas podía encontrarse una con seis
aplicaciones para la troyanizar la plataforma Android.

Imagen:
http://4.bp.blogspot.com/-e5yucue6-MA/VZ1B1EgMluI/AAAAAAAAEAA/P3HtD2ptjp...

Hemos subido las muestras al proyecto Koodous para que los análisis y
las propias muestras estén a disposición de la comunidad.

Imagen:
http://2.bp.blogspot.com/-5HHSvnsBZ0U/VZ1B9-nsEJI/AAAAAAAAEAI/2JVh8xf_JQ...

La búsqueda, por ejemplo por certificado, puede encontrarse en Koodous
desde aquí:
https://koodous.com/apks?search=cert:B1BC968BD4F49D622AA89A81F2150152A41...

Gran parte del código fuente y binarios encontrados han sido expuestos
en GitHub, aunque ha sido constante el flujo de cuentas y repositorios
al haber sido estos borrados y creados de nuevo.

Imagen:
http://4.bp.blogspot.com/-j7KJGnXRdy8/VZ1CXOPtKKI/AAAAAAAAEAQ/swdlCkpvf1...
https://github.com/hackedteam?tab=repositories

No se vayan todavía probablemente habrá más

Bajo el nombre de Phineas Fisher (https://twitter.com/GammaGroupPR) se
halla el autor o autores probables del asalto a Hacking Team. No en vano
también fueron quienes despiezaron a su competencia, GammaGroup y su
herramienta estrella FinFisher.

Imagen:
http://1.bp.blogspot.com/-NrMHl8jQ5kc/VZ1CjaAb94I/AAAAAAAAEAY/J2dj0gPQ_T...

Esto no acaba aquí. De una forma u otra queda muchísimo material por
analizar, debate moral y conclusiones a las que llegar. Tendríamos que
pedir disculpas por dejarnos cosas por contar, pero la magnitud es
tremenda, la repercusión se nos va fuera del horizonte visible. Es de
esperar que en los próximos días el caudal de información siga emanando
y tarde en agotarse o que empiece a perder fuerza.

Son 400 gigas, algunos dicen que probablemente bastantes más. Hay mucho
de lo que aprender y muchas preguntas que están buscando su respuesta en
ese montón de bytes que aun encierran suficientes secretos, demasiados
secretos.

Fuente : http://unaaldia.hispasec.com/2015/07/sombreros-verdes-y-400-gigas-de.htm...

Tags: 

Actualización Kernel RH7

Red Hat ha publicado una actualización del kernel para toda la familia
Red Hat Enterprise Linux 7 que solventa siete nuevas vulnerabilidades
que podrían ser aprovechadas por atacantes para provocar denegaciones de
servicio, obtener contenido de la memoria o elevar sus privilegios en el
sistema .

Un problema en la lectura y escritura de tuberías podría dar lugar a
una corrupción de memoria que podría permitir a un atacante provocar
condiciones de denegación de servicio o elevar sus privilegios en el
sistema (CVE-2015-1805). Una condición de carrera en el subsistema
de administración de llaves puede causar la caída del sistema
(CVE-2014-9529). Una elevación de privilegios por un fallo en la
implementación de la emulación 32 bits del kernel de Linux
(CVE-2015-2830).

Un fallo en la implementación del sistema de archivos ISO podrá permitir
a un atacante con acceso físico al sistema provocar un bucle infinito en
el kernel, con la consiguiente denegación de servicio (CVE-2014-9420). Una
fuga de información en la implementación del sistema de archivos ISO9660
podrá permitir a un atacante con acceso físico al sistema obtener hasta
255 bytes de la memoria del kernel (CVE-2014-9584). Una denegación de
servicio local en la implementación de tablas netfilter por un error en
la función nft_flush_table() (CVE-2015-1573). Por último, un desbordamiento
de entero en la forma en la que el kernel de Linux aleatoriza el stack para
procesos en determinados sistemas 64 bits (CVE-2015-1593).

Además se han solucionado otros fallos de menor importancia. Detalles
sobre la aplicación de ésta actualización se encuentran disponibles en:
https://access.redhat.com/articles/11258

Tags: 

Páginas