Actualizaciones de seguridad para NetBSD

NetBSD ha publicado actualizaciones de seguridad para OpenSSH, ntp y hack que corrigen diferentes problemas de seguridad. NetBSD es una implementación Unix de la familia *BSD, constituidos por NetBSD, OpenBSD y FreeBSD. Se trata de sistemas operativos de código abierto creados con la seguridad como principal motivación.

La actualización para OpenSSH, el conjunto de herramientas basado en el protocolo SSH, soluciona una debilidad en el manejo de errores que podría permitir a un atacante capturar hasta 32 bits en texto plano de bloques arbitrarios procedentes de tráfico cifrado con el modo CBC (Cipher Block Chaining).

Para ntp, se corrigen dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario con los permisos del usuario ntp. Las vulnerabilidades, desbordamiento de memoria intermedia basada en pila, se encuentran en las funciones “cookedprint” y “crypto_recv”, pertenecientes al comando ntpq, encargado de efectuar consultas a servidores ntp. Un atacante remoto podría ejecutar código arbitrario en un sistema que use el comando ntpq contra un servidor atacante a través de paquetes especialmente manipulados.

La tercera y última actualización es para Hack, un popular juego de mazmorras en modo texto basado en Rogue. Se han encontrado múltiples vulnerabilidades que podrían permitir a un atacante ejecutar código arbitrario con los privilegios del grupo “games”.

Fuente:Noticias Hispasec

Read More

Poderoso botnet afecta casi 2 millones de computadoras

piratewr

Uno de los botnets más difundidos hasta el momento fue descubierto luego de que infectara 1.9 millones de computadoras alrededor de todo el mundo, incluyendo sistemas corporativos y del gobierno. Un botnet es un software robot que se ejecuta de manera autónoma; en este caso se trata de un botnet malicioso que permite el ingreso en sistemas vulnerables. El enorme botnet, encontrado en momentos en que se investigaban servidores controlados por hackers, es como mínimo 4 veces más grande que otros encontrados en el pasado, que incluian entre 200.000 y 500.000 computadoras.

Una unidad especial de la policía británica se encuentra tras la pista de seis criminales ucranianos sospechados de controlar de manera remota la enorme red de PCs involucradas. El software malicioso se disemina cuando un visitante ingresa en páginas web comprometidas. Luego, los hackers pueden controlar remotamente la computadora y ejecutar prácticamente cualquier tipo de comando. Así, son capaces de acceder al e-mail, copiar archivos, registrar el ingreso de datos, enviar spam, realizar capturas de pantalla, entre otras actividades que ponen en riesgo la seguridad de la computadora del usuario afectado.

De acuerdo a un estudio realizado, el 78 porciento de las computadoras afectadas corren el Internet Explorer, mientras que tan solo un 15 porciento corrían Firefox, y el resto tenía instalado Opera, Safari y otros navegadores en el sistema. ¿Cómo detectar si tu PC es un botnet?, puedes recurrir al siguiente artículo publicado en Culturación.

Fuente:Grupo Geek

Read More

Muchos trackers de Bittorrent están cerrando

the_pirate_bay_hollybay

La sentencia por la que se condena a los creadores de The Pirate Bay va a traer más cola de lo que algunos pensaron inicialmente. A pesar de que, de momento, The Pirate Bay no tiene intención de cerrar el tracker otros sí tomarán esa senda.

Diversos trackers privados han empezado a cerrar a causa de esta resolución. Y es que hasta ahora parecía que Suecia, por sus leyes, era el lugar ideal para alojar este tipo de servicios, por lo que surgieron multitud de ellos alojados en este país, así como trackers creados por suecos alojados en otros países.

Read More

Diversas vulnerabilidades en Novell Teaming

Novell ha publicado actualizaciones para evitar vulnerabilidades detectadas en Novell Teaming 1.0.3 (y anteriores), que podrían ser explotadas por atacantes para conseguir información sensible.

Novell Teaming es un software de conferencia web, mediante el cual los usuarios pueden crear áreas de trabajo en línea e invitar a participar a otros miembros del equipo, empresa o proveedores externos. Las áreas de trabajo virtuales creadas podrán emplearse para compartir y usar documentos, calendarios y foros de debate.

El primero de los problemas está provocado porque la página de login envía diferentes respuestas si el usuario es válido o no (“Please enter a valid login” / “Auhtentication failed”), lo que podría ser empleado para determinar si los nombres de usuario introducidos son válidos en el sistema, esto facilitaría la realización de ataques de fuerza bruta.

Una segunda vulnerabilidad está provocada por errores de validación de entrada en la página “web/guest/home” al procesar los parámetros “p_p_state” y “p_p_mode”, podría ser explotada para realizar ataques de cross-site scripting.

Por último, se incluye una versión del portal Liferay con dos vulnerabilidades de cross-site scripting conocidas.

Se recomienda aplicar las actualizaciones:

http://www.novell.com/support/viewContent.do?externalId=7002997&sliceId=1

http://www.novell.com/support/viewContent.do?externalId=7002999&sliceId=1

Fuente:Noticias Hispasec

Read More

Múltiples vulnerabilidades en Cisco ASA y Cisco PIX

Cisco ha anunciado la existencia de múltiples vulnerabilidades en los dispositivos Cisco ASA de la serie 5500 y Cisco PIX.

Los problemas son:

* Un fallo podría permitir a un atacante eludir la autenticación VPN si la funcionalidad de ‘override’ está activa. Un usuario de VPN en Cisco PIX y ASA podría presentarse en la sesión incluso si la cuenta está deshabilitada.

* Un problema a la hora e procesar paquetes SSL o HTTP especialmente manipulados podría hacer que dispositivos ASA sufrieran una denegación de servicio si está configurado para gestionar conexiones VPN SSL. El problema se da en cualquier interfaz si está activo el ASDM. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.

* Un problema de denegación de servicio si se envían paquetes TCP especialmente manipulados a un dispositivo vulnerable. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.

* Un problema de denegación de servicio si se envían paquetes H.323 especialmente manipulados a un dispositivo vulnerable y la inspección

H.323 está activa. No es necesario establecer el three way handshake en TCP con el dispositivo para aprovechar este fallo.

* Un problema de denegación de servicio si se envían paquetes SQL*Net especialmente manipulados a un dispositivo vulnerable y la inspección SQL*Net está activa.

* Existe un problema en las Access Control Lists (ACL) de Cisco ASA y PIX que puede permitir a un atacante eludir la regla de denegación implícita de las ACE si se llega al final de la ACL.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas

en:http://www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml

Fuente:Noticias Hispasec

Read More

GhostNet, red espía al servicio de…

La universidad de Toronto ha publicado un interesante documento de
investigación sobre “GhostNet”, una botnet concebida para un objetivo
muy concreto: el espionaje. No estamos ante una botnet con un
crecimiento exponencial y centrado en la adquisición de más nodos para
aumentar su poder, en este caso los objetivos eran tratados de forma muy
personalizada y atendiendo a su importancia. Mientras una botnet puede
oscilar entre los 30.000 y más de 100.000 bots, el número de máquinas
infectadas en “GhostNet” es de solo 1.295, una población casi
insignificante.

Esta investigación fue efectuada por el “Information Warfare Monitor”,
alianza del think tank de seguridad canadiense “DevSec Group”, la
universidad de Cambridge y “Citizen Lab”, a raíz de las acusaciones
al gobierno chino por ciberespionaje al gobierno tibetano.

Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos
y redes en las distintas oficinas que el gobierno en el exilio del
Tibet posee distribuidas en diferentes países. En el análisis de la
información obtenida hallaron los interfaces de varios servidores de
control y se percataron de que lo que tenían delante era solo la punta
del iceberg. Entre los nodos que componen “GhostNet” se hallaban
ordenadores de los ministerios, embajadas y cancillerías de países como
Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc.
Hasta un total de 103 países fueron contabilizados, aunque solo el 30%
del total de nodos fue marcado como objetivos de alto valor.

Las máquinas eran infectadas por un troyano denominado “gh0st RAT” capaz
de obtener un control completo del huésped, entre otras posibilidades,
apagar y encender dispositivos como cámaras o micrófonos y capturar
audio y vídeo. La ingeniería social empleada en el ataque daba a
entender que previamente se estudiaba a la víctima aprovechándose de la
información capturada a otros infectados y usándola como parte de un
engaño donde tanto el asunto como el remitente de un correo electrónico
eran conocidos por el receptor.

Aunque el 70% de los servidores del control de la red se sitúan en China
y el evidente carácter político de los objetivos, el informe final no
responsabiliza directamente al gobierno Chino de la autoría, al
contrario que el informe paralelo de la universidad de Cambridge que lo
incrimina y relaciona directamente.

La información o uno de sus sinónimos, la capacidad de anticiparse al
contrario, se adapta a nuevos medios y soportes y quien la desea o
codicia no va a escatimar en recursos para obtenerla. ¿Echaremos de
menos al hombre de sombrero y gabardina que esquiva la luz de las
farolas en una fría tarde de otoño?

Más información:

Tracking Ghostnet: Investigating a Cyber Espionage Network.
http://www.secdev.ca/Secdev-temp/Publications.html

The Snooping Dragon, social-malware surveillance of the Tibetan movement.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf

Information Warfare Monitor
http://www.infowar-monitor.net

Fuente:Noticias Hispasec

Read More

USB Blocker, bloquea los puertos USB en una red

usb-blocker

Aunque ya os contamos un truco para deshabilitar los puertos USB en Windows, se trataba de un método bastante manual y que de querer hacer en una red requiere pasearse hasta cada ordenador para aplicarlo.

USB Blocker es una solución que nos permite implementar esa misma protección de los puertos USB pero desde un punto centralizado. Para ello requiere, evidentemente, que tengamos un dominio bien configurado, pues funciona mediante las políticas de este, siendo compatible con Active Directory.

Read More

Revelación de información local a través de ‘at’ en IBM AIX 5.x y 6.x

Se ha encontrado una vulnerabilidad en IBM AIX 5.x y 6.x que podría ser explotada por un atacante local para acceder a información sensible.

La vulnerabilidad está causada por un fallo en el comando ‘at’

(/usr/bin/at) ya que no limita los privilegios al leer ciertos archivos (tiene los permisos de root). Esto podría ser aprovechado por un atacante local para leer cualquier archivo.

Se ha confirmado la vulnerabilidad para AIX 5.2.x, 5.3.x y 6.1.x. Según versión y plataforma, se recomienda aplicar los siguientes parches, disponibles para su descarga desde:

http://aix.software.ibm.com/aix/efixes/security/at_fix.tar

ftp://aix.software.ibm.com/aix/efixes/security/at_fix.tar

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/3764/comentar

Más información:

http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4558

http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4558

Fuente:Noticias Hispasec

Read More

Vulnerabilidades en Cisco Wireless LAN Controllers

Cisco ha publicado una actualización que solventa múltiples vulnerabilidades en Cisco Wireless LAN Controllers (WLCs), Cisco Catalyst 6500 Wireless Services Modules (WiSMs) y Cisco Catalyst 3750 Integrated Wireless LAN Controllers que podrían permitir a un atacante remoto no autenticado escalar privilegios o causar una denegación de servicio.

Los problemas corregidos son:

* Debido a un fallo en el sistema de autenticación web, un atacante remoto podría utilizar un escáner de vulnerabilidades para hacer que el dispositivo dejase de ofrecer la autenticación web o se reiniciase (denegación de servicio).

* Un atacante podría forzar el reinicio del dispositivo por medio de un POST especialmente manipulado enviado a la página de autenticación web ‘login.html’.

* Los dispositivos Cisco WLC, WiSM y Catalyst 3750 Wireless LAN Controller podrían dejar de responder al recibir ciertos paquetes IP especialmente manipulados.

* Se ha encontrado un fallo de seguridad en la versión 4.2.173.0 de Wireless LAN Controller (WLC) que podría ser aprovechado por usuario restringido para escalar privilegios, consiguiendo control total sobre un dispositivo afectado.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas

en: http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml

Fuente:Noticias Hispasec

Read More

Framework para auditar AS/400 (y Firecat 1.5)

De Security-Database, los mismos creadores de Firecat (que este enero acaba de lanzar su versión 1.5), AS/400 Auditing Framework Beta released es un marco de trabajo creado por Nabil Ouchn que sirve de guía y checklist para auditar sistemas AS/400.

A través de un sencillo árbol en una página web, se van ofreciendo puntos que deben ser controlados por el auditor.

Esta herramienta se suma a la ya existente Penetration Testing Framework, la herramienta para realizar Penetration Test.

Fuente:SeguInfo

Read More