Actualiza tu Bind

ISC ha publicado nuevas versiones del servidor DNS BIND 9.9.8 y 9.10.3,
destinadas a solucionar cuatro vulnerabilidades que podrían causar
denegaciones de servicio a través de consultas especialmente
manipuladas.

El servidor de nombres BIND es uno de los más usados en Internet. Creado
en 1988, en la universidad de Berkeley, actualmente es desarrollado por
el ISC (Internet System Consortium). BIND se encuentra disponible para
una amplia gama de sistemas tanto Unix como Microsoft Windows.

El primer fallo, con CVE-2015-5722, reside en el tratamiento incorrecto
de llaves DNSSEC mal construidas que puede provocar una caída de debido
a un fallo en "buffer.c". Un atacante remoto podría provocar esta
condición mediante consultas especialmente manipuladas que requieran
una respuesta desde una zona remota que deliberadamente contenga una
llave maliciosa.

Por otra parte, con CVE-2015-5986, el tratamiento inadecuado de
respuestas específicamente manipuladas puede provocar un fallo de
comprobación de límites en "openpgpkey_61.c" que causará la caída
de named.

También se soluciona una vulnerabilidad, con CVE-2015-5477, en el
tratamiento incorrecto de consultas que podría provocar un fallo
en message.c. Por último, en servidores configurados para realizar
validación DNSSEC, se podría provocar un fallo en respuestas desde
un servidor específicamente configurado (CVE-2015-4620).

Estas versiones también incluyen nuevas características, cambios en
funcionalidades y múltiples correcciones de fallos no relacionados
directamente con la seguridad.

Se recomienda actualizar a las versiones más recientes BIND 9.9.8 y BIND
9.10.3 disponibles en
http://www.isc.org/downloads.
Hay que señalar que la rama 9.9 de BIND ya se encuentra bajo soporte
extendido que finalizará en junio del año que viene.

Tags: 

Diversas vulnerabilidades en PHP

Recientemente el equipo de desarrollo de PHP ha publicado
actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar
múltiples vulnerabilidades que pueden ser aprovechadas para provocar
denegaciones de servicio e incluso comprometer los sistemas afectados.

Las actualización incluye la corrección de múltiples problemas y
vulnerabilidades, entre las que se incluyen vulnerabilidades de uso
después de liberar en unserialize() en el núcleo de PHP (CVE-2015-6834 y
2015-6835), en GMP y en SPL (CVE-2015-6834). Problemas de referencia a
puntero nulo en SPL y XSLT (CVE-2015-6837, CVE-2015-6838), múltiples
vulnerabilidades relacionadas con funciones PCRE, una confusión de tipos
en SOAP y escalada de directorios en el servidor CLI y en ZIP cuando se
crean directorios al extraer archivos.

Se recomienda actualizar a las nuevas versiones 5.6.13, 5.5.29 y 5.4.45
desde http://www.php.net/downloads.php

Tags: 

Los administradores que no amaban a sus routers Cisco

El pasado 15 de septiembre se publicó un informe de la compañía
FireEye en el que mostraban los detalles de un caso de infección
de routers Cisco que merece la pena analizar.

¿Qué es un router? Una cajita negra con el tamaño suficiente para
estorbar en cualquier lugar donde la pongas, (rack del CPD, detrás de un
mueble, encima del armario…), llena de cables para que tropieces y que
permite que tu red interna se conecte a otras redes internas, entre
otros esquemas, para intercambiar información ¿Ingenioso, verdad? Desde
pequeñas oficinas (SOHOs) hasta routers frontera de una organización
considerable tienen un elemento en común: los instalas, configuras,
compruebas que hay conexión y te olvidas de ellos. "Fire and forget"
como se diría en la jerga militar.

Ese "y te olvidas de ellos" (voz haciendo eco en tu cabeza) tiene una
importante contraprestación: que alguien, en la oceánica inmensidad de
la red, saque partido de ese olvido.

Tal vez la cifra parezca ridícula. FireEye detectó 14 routers Cisco con
una versión modificada de su firmware original que permite el acceso a
la red interna a través de una puerta trasera. 14 routers no son muchos
routers, prácticamente nada, una mota de polvo en una tormenta de arena.
A lo largo de los días la cifra subió a 79 más, pero como se apunta
desde Arstechnica es posible que algunos positivos sean honeypots
desplegados por otros investigadores. No es una opción descartable.

De cualquier modo las cifras no deben apantallar la carga explosiva
de los hechos. Que una infección no alcance cotas significativas no
se traduce en que tengas inmunidad frente a ella.

Hagamos un inciso antes de poner nuestros ojos en el microscopio para
ver de cerca al bicho. Seguramente algunos lectores que administren
routers Cisco estén en un momento de tensión innecesaria. No se trata
de una vulnerabilidad específica de Cisco, no hay ningún gusano suelto
(de otro modo las cotas sería exponencialmente superiores). Se sospecha
que los autores se están aprovechando de aquellos routers que poseen
credenciales de fábrica o contraseñas comunes para acceder al
dispositivo. El porqué de Cisco y no otros es posiblemente debido a
que este opus diabólico está diseñado exclusivamente para IOS, el
sistema operativo de Cisco. Así que si administras Cisco y cambiaste
las contraseñas por unas robustas, tranquilo, de lo contrario, si no
las cambiaste o pusiste unas débiles…tal vez deberías hacer algunas
comprobaciones.

SYNFul Knock

El "implante" o SYNFul Knock, como lo llaman en el informe de FireEye,
consiste en una imagen de Cisco IOS modificada para permitir el acceso
al dispositivo a través de una puerta trasera y capacidad modular para
que el atacante pueda cargar funcionalidad acorde al tipo de acción que
pretenda realizar.

Lo realmente curioso son los esquemas de comunicación que se han montado
los atacantes para interaccionar con el dispositivo. Más que un canal
encubierto básicamente se trata de "ofuscar" el modo en el que se accede
a las puertas traseras mediante la manipulación de paquetes TCP
estándar. Hablamos de ofuscar porque una simple captura de tráfico
entre atacante-dispositivo hace saltar las alarmas si te fijas en los
detalles. Naturalmente, lo osado es dar con los motivos para hacer tal
captura de tráfico.

Llamativo que las puertas traseras solo puedan ser activadas a través
de puertos estándar pero sin cifrado, léase: HTTP (a secas), telnet y
consola. Se descartan los servicios HTTPS y SSH. El HTTP solo es usado
por los atacantes para activar ciertos módulos. Crean un paquete TCP
especial, lo envían hacia el puerto 80 y el firmware infectado se
encarga de activar el módulo malicioso seleccionado. Si lo que desean es
acceder directamente a un terminal de comandos IOS, el sistema de puerta
trasera observa si las credenciales son válidas y corresponden a las de
un atacante, activando entonces las funciones de puerta trasera (una
shell). De lo contrario, las pasa al verdadero sistema de autenticación
para que el usuario legítimo no observe nada un comportamiento extraño.

Uno de los factores que tuvieron cuidado de diseñar los autores fue el
tamaño característico de la imagen binaria de Cisco IOS. ¿Cómo meter
nueva funcionalidad sin engordar el tamaño del firmware? ¿Dieta milagro?
No. Básicamente borrando funciones que no eran usadas por el dispositivo
objetivo y sustituyéndolas por la funcionalidad maliciosa. Incluso se
llegan a borrar algunas cadenas de caracteres de información de IOS por
cadenas usadas para el servidor malicioso en HTTP. Algo que,
absurdamente, identifica un router como infectado debido a que responde
como un servidor Apache sobre un sistema GNU/Linux, pero que hace que el
puerto 80 no destaque en escaneos arbitrarios al pasar por un servidor.
Es decir, si sospechas de tus routers y escaneas el puerto 80 en busca
de cabeceras te das cuenta, pero durante un escaneo rutinario puede
pasar por debajo del radar.

Apretones de manos con guantes blancos

La comunicación entre el centro de control y sus tropas desplegadas es
digna de detalle.

El router afectado mantiene a la escucha los puertos asociados a su
administración. El preámbulo se efectúa con un paquete TCP SYN dirigido
al puerto 80 con una constante entre el número de secuencia y el número
reconocimiento ("acknowledgment"): 0xC123D.

El SYN-ACK del router responderá con un número diferencial secuencial
del anterior: 0xC123E. Los siguientes bytes en las opciones TCP del
paquete: "02 04 05 b4 01 01 04 02 01 03 03 05", el puntero URGENT a
0x0001, pero no su bandera correspondiente. También reutilizará el
número de reconocimiento del paquete SYN como número de secuencia de su
SYN-ACK, número que generalmente es pseudoaleatorio en implementaciones
comunes de pila TCP.

Tras el ACK, el centro de control enviará un paquete con las banderas
PUSH y ACK activadas, a partir del offset 0x62 la cadena "text" y a 0x67
el comando enviado al router, cifrado trivialmente con XOR.

Este jaleo de intercambios heréticos se inspira en la técnica del
port-knocking, secuencias de paquetes modificados para abrir un puerto
en un cortafuegos, grosso modo.

Fin de la fiesta

Todas estas características crean una firma perfecta para alimentar los
IPS/IDS y determinar si ciertos routers se hayan afectados. El propio
equipo de FireEye ya nos provee de herramientas para su detección
(interesante también para auditorías, ejem, ejem)

De entre el grupo de dispositivos afectados sobresalen los siguientes
modelos de Cisco:

Cisco Router 1841, 2811 y 3825.

No existe correlación entre la distribución geográfica o una
organización determinada, aunque de momento Estados Unidos, Líbano o
Rusia son los países que más positivos detectados acumulan, el número es
pequeño para sacar conclusiones. Ver el estudio de los autores del
escáner ZMap para más información.

Cisco ya venía sospechando de este tipo de esquema de ataque. No en vano
el 11 de agosto pasado publicó una entrada en su blog bastante
reveladora sobre instalación de firmwares maliciosos.

El maldito abracadabra

"…El castillo se desgranaba ante nuestros ojos. A pedazos. Piedra a
piedra. De nada sirvieron sus robustos muros, su abismal foso ni las
orgullosas torres que rozaban el mismo cielo. Una sola palabra bastó
para que el eco de las montañas devolviera el grito desnudo de un viejo
gruñón en una fuerza imperturbable, demoledora. Lo que siglos enteros
llevó construir a los hombres iba a ser reducido al polvo, apartado a
una amarillenta página de una historia que nadie recordará mañana…en
cuestión de minutos..."

Resumiendo sin tanta prosa: Cambia las contraseñas por defecto y
olvídate del perro cuando elijas una.

Fuente : Opina sobre esta noticia:
http://unaaldia.hispasec.com/2015/09/los-administradores-que-no-amaban-s...

Tags: 

Preparados para IoT ?

Te levantas por la mañana, abres la puerta de la refrigeradora sacas una
caja de leche y al cerrar la puerta consultas la agenda del día en
la pantalla LCD de la puerta de la refrigeradora. Mientras tanto ya te han
robado tus credenciales de Gmail.

Cada día más y más dispositivos diferentes se conectan a Internet,
relojes, coches, cafeteras o refrigeradoras. Todo puede conectarse a Internet.
Pero como sabemos todo dispositivo conectado puede suponer un riesgo
adicional. En este caso, durante la pasada Defcon un equipo ha
comprobado la seguridad de la refrigeradora RF28HMELBSR de Samsung,
evidenciando importantes problemas de seguridad.

El modelo RF28HMELBSR de Samsung es una de esas refrigeradoras de gran tamaño
que además incluye una pantalla LCD de 8 pulgadas, conexión WiFi y puede
controlarse a través de la aplicación "Samsung Smart Home".

Durante la pasada Defcon 23, se celebró el evento IoT Village donde se
impartieron diversas conferencias sobre el "Internet de las cosas" y
la seguridad de dispositivos conectados, como TVs, termostatos,
controladores de domótica, etc. También se propuso como reto vulnerar
la seguridad de este gran electrodoméstico conectado.

https://twitter.com/IoTvillage/status/627252816231403520

El grupo PenTestPartners ha publicado los resultados de su investigación
sobre la seguridad de esta refrigeradora.

En primer lugar confirma que la refrigeradora implementa SSL, sin embargo falla
al validar los certificados SSL, lo que permite realizar ataques de
hombre en el medio ("man-in-the-middle") contra la mayoría de las
conexiones. Como la refrigeradora incluye una funcionalidad para mostrar el
calendario de Google, se podría usar un ataque MITM para obtener las
credenciales de GMail del usuario.

Según la información del grupo, una excepción es se intenta conectar al
servidor de actualizaciones. La conexión se realiza a la URL
https://www.samsungotn.net, la misma que se emplea para TVs y otros
dispositivos, sin embargo aunque generaron certificados con el mismo
contenido que si fuera el sitio real, en ese caso fue imposible lograr
la validación.

Los investigadores también han intentado otros ataques como intentar
ataques a través del servicio de calendario, sin embargo las etiquetas
HTML y otras marcas no se interpretan por lo que no lograron un ataque
exitoso de esta forma.

También comprobaron la posibilidad de falsificar una actualización del
firmware para comprometer el electrodoméstico a través de una
actualización personalizada maliciosa. Si bien los investigadores
confirman que encontraron el formato de URL para descargar el archivo,
todavía necesitan encontrar una serie de parámetros adicionales para
completar la URL. Según dicen no son datos secretos, solo difíciles de
conseguir, como un nombre de código para el modelo del dispositivo,
probablemente un número de serie, etc.

El frigorífico tiene al menos dos servicios en escucha. Uno en el puerto
4444 (SSL) y otro en el puerto 8888. El servicio en el puerto 4444
requiere un certificado cliente para la mayoría de las solicitudes,
aunque no todos se validan contra el lado del cliente. El grupo sospecha
que se utiliza por la aplicación móvil y, por lo tanto, el certificado
estará en el código de la aplicación.

Los analistas también han trabajado sobre la aplicación móvil. Según
informan creen haber encontrado el certificado dentro del almacén de
claves. Sin embargo está adecuadamente protegido por contraseña, aunque
creen haber conseguido la contraseña ofuscada,

Las cosas de Internet en el Internet de las cosas

Cada vez hay más dispositivos con conexión a Internet. Esto expone al
software del dispositivo a los mismos riesgos que cualquier otro sistema
conectado a la Red. El Internet de las cosas es más popular cada día y
eso abre nuevas puertas a vulnerabilidades, robos de datos, control del
dispositivo, etc.

Estos nuevos dispositivos conectados, como relojes, electrodomésticos,
TVs, se encuentran en un ecosistema totalmente nuevo, nunca habían
tenido conexión y se enfrentan a problemas totalmente nuevos para ellos,
aunque muy conocidos para el software normal.

Los fabricantes de este tipo de sistemas conectados (electrodomésticos,
cámaras, TVs, etc.) deben tomar conciencia de la importancia que
representa la seguridad del dispositivo y no cometer los mismos fallos
que la industria del software lleva años pagando.

Tags: 

Creando Fotones

Un grupo de físicos teóricos del Instituto Nacional de Normas y Tecnología, de EE.UU. (NIST por sus siglas en inglés) han emprendido un estudio para construir objetos de fotones. Los resultados muestran la posibilidad de que las partículas ligeras de luz pueden ser unidas en una especie de 'molécula' con su propia fuerza peculiar.
Los investigadores de NIST junto con otros colaboradores han demostrado a nivel teórico que al ajustar unos parámetros del proceso de enlace, los fotones podrían viajar uno al lado del otro, informa NIST en su sitio web. Se trata de un enlace similar al de dos átomos de hidrógeno colocados uno junto al otro en una molécula de hidrógeno.

"Aprendemos cómo construir estados complejos de luz que, a su vez, puedan constituirse en objetos más complejos. Esta es la primera vez que alguien ha demostrado cómo enlazar dos fotones a una distancia limitada", comenta Alexéi Gorshkov, físico de NIST.

"Un montón de tecnologías modernas se basan en la luz, desde la tecnología de la comunicación hasta las imágenes de alta definición, y muchos de ellos mejorarían en gran medida si pudiéramos crear interacciones entre fotones", explica Gorshkov.

Fuente : RT

Tags: 

Páginas