Suscribete a Mi Canal en YOUTUBE ==> da CLIC AQUÍ

Canal netamente académico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

sábado, 31 de diciembre de 2016

Hallados tres 0-Day críticos en PHP 7, uno sin parche (Actualiza!)


Investigadores de seguridad de Check Point han descubierto tres vulnerabilidades 0-Day críticas en PHP 7 que podrían permitir tomar el control total sobre el 80 por ciento de los sitios web que ejecutan esta última versión de PHP.
Las vulnerabilidades residen en el mecanismo de serialización de PHP 7, el cual ya había sido encontrado vulnerable en PHP 5, permitiendo comprometer sitios web de Magento, vBulletin, Drupal, Joomla!, Pornhub y otros servidores web en los últimos años. Las vulnerabilidades permiten el envío de cookies y datos manipulados al cliente.

Si bien los investigadores descubrieron defectos en el mismo mecanismo, las vulnerabilidades en PHP 7 son diferentes de las encontradas en PHP 5.
Estos fallos con similares a otra vulnerabilidad (CVE-2015-6832) detallada en agosto por Check Point. Las dos primeras vulnerabilidades permitirían tomar el control total del servidor y la tercera podría explotarse para generar un ataque de negación de servicio (DoS).

Según Yannay Livneh, del equipo de investigación, ninguna de las vulnerabilidades mencionadas estaba siendo utilizada actualmente por atacantes. Los investigadores reportaron las tres vulnerabilidades [PDF] al equipo de seguridad de PHP en septiembre, y este emitió los parches para dos de los tres fallos el 13 de octubre y el 1 de diciembre respectivamente, pero uno de ellos permanece sin parches.

Con el fin de garantizar la seguridad del servidor web, se recomienda a los usuarios que actualicen sus servidores a la última versión de PHP.

_________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2016/12/hallados-tres-0-day-criticos-en-php-7.html#hallados-tres-0-day-criticos-en-php-7
Se Respetan Derechos de Autor.

viernes, 16 de diciembre de 2016

UN EXPLOIT ZERO-DAY PERMITE EJECUTAR CUALQUIER TIPO DE CÓDIGO EN UBUNTU Y FEDORA.

Durante mucho tiempo los usuarios de Linux hemos pensado que teníamos cierta ventaja con respecto a los de Windows u OS X. El hecho de poder manejar un ordenador sin tener que preocuparte en demasía por el malware nos daba un cierto colchón de seguridad, algo de lo que hemos presumido mucho.

Hoy alguien ha quemado ese colchón mientras dormíamos en él. Según se recoge en BetaNews Ubuntu y Fedora son vulnerables a los exploits de día cero. A través de estas vulnerabilidades un atacante puede ejecutar cualquier tipo de código en un ordenador objetivo con consecuencias potencialmente devastadoras.

El investigador de seguridad Chris Evans ha publicado detalles de un exploit que puede comprometer sistemas Linux. Todo lo que hace falta es usar un archivo de audio malicioso, a través del cual se puede secuestrar un PC.

UN ZERO-DAY QUE PONE A LA COMUNIDAD EN ALERTA

En la web de Chris Evans leemos lo siguiente: Presento aquí un exploit completo, que funciona y confiable para distribuciones Linux actuales (Ubuntu 16.04 LTS y Fedora 25). En el caso de Fedora funciona como una descarga maiciosa. Se aprovecha de efectos secundarios sutiles en cascada que e priori parecen difíciles de explotar pero que termina presentando bonitas posibiliades de explotación 100% fiables.

El exploit se aprovecha de una vulnerabilidad en la librería Game Music Emu usada en emuladores de consolas antiguas, a través del cual se permite que un atacante pueda ejecutar cualquier tipo de código en el ordenador con consecuencias potencialmente devastadoras.

La ejecución de código se haría a través de un archivo de audio especialmente diseñado, que bastaría con renombrar con extensión *.flac o *.mp3para engañar al usuario. Evans ha publicado vídeos mostrando un ataque de ejemplo en Fedora 25 usando Google Chrome, que muestra cómo uno de estos archivos puede abrir y controlar la calculadora, por ejemplo:

También ha publicado un vídeo del exploit funcionando en Ubuntu:

Evans comenta que el problema radica en una falta de sandboxing, es decir, de tener preparado un entorno seguro en el que ejecutar los programas para que el resto del sistema no se vea comprometido. También dice que es probable que funcione en otras distribuciones.

Fuente:http://www.genbeta.com

_____________________________________
Tomado de: http://noticiasseguridad.com/hacking-incidentes/un-exploit-zero-day-permite-ejecutar-cualquier-tipo-de-codigo-en-ubuntu-y-fedora/
Se Respetan Derechos de Autor.

miércoles, 14 de diciembre de 2016

Descubre scripts PHP maliciosos en tu servidor con BackdoorMan.

BackdoorMan es un toolkit de código abierto escrito en Python por Yassine Addi y destinado a ayudar a los sysadmins a encontrar scripts PHP y shells maliciosos, ocultos y sospechosos en un servidor, automatizando todo el proceso de detección.

Recordar que es bastante común que cuando se logra comprometer un sitio se ubique un backdoor pues puede dar acceso continuo al sitio (persistencia) incluso si los propietarios del sitio cambian las contraseñas.

Los scripts de un backdoor varían de 100 líneas de código hasta incluso 1 ó 2 líneas y se pueden fusionar en cientos de archivos lo que hace muy difícil descubrirlos, especialmente si el backdoor está inactivo. Hay maneras y herramientas comunes que se pueden utilizar, como grep, pero BackdoorMan automatiza todo y hace más fácil la identificación de código malicioso.

Características

- Detección de shells mediante una base de datos de firmas
- Reconocimiento de backdoors web
- Detección del uso de funciones y actividades sospechosas de PHP
- Uso de servicios externos junto a sus funcionalidades
- Uso de nimbusec shellray API (detección de webshells online y gratuita para archivos PHP https://shellray.com)
- Rendimiento alto de reconocimiento de webshells
- Comprobación de los archivos PHP sospechosos en línea
- Fácil, rápido y confiable
- Clasificación de webshells por comportamiento
- Servicio gratuito de nimbusec
- Uso de VirusTotal Public API (servicio gratuito en línea que analiza archivos y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware)
- Uso de UnPHP (el decodificador en línea de PHP: UnPHP es un servicio gratuito para analizar código PHP ofuscado y malicioso - http://www.unphp.net)
- Eval + gzinflate + Base64
- Desofuscador recursivo
- Función personalizada y soporte de Regex

Requisitos

    Módulo request
    
Uso

BackdoorMan [options] destination1 [destination2 ...]

A toolkit that helps you find malicious, hidden and suspicious PHP scripts and shells in a chosen destination.
Author: Yassine Addi .
NOTE: This tool does not require Internet connection but it is highly recommended to benefit from all features.

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -o OUTPUT, --output=OUTPUT
                        save output in a file
  --no-color            do not use colors in the output
  --no-info             do not show file information
  --no-apis             do not use APIs during scan (not recommended)

Web: https://github.com/yassineaddi/BackdoorMan

____________________________________

Tomado de: http://www.hackplayers.com/2016/12/descubre-scripts-php-maliciosos-backdoorman.html?utm_source=dlvr.it&utm_medium=twitter&m=1

Se Respetan Derechos de Autor.

OpenDoor, OWASP Directory Access Scanner.

OpenDoor es una aplicación que se encarga de escanear un sitio web para encontrar métodos de login, directorios o posibles puntos de acceso al sitio. Tiene licencia GPL y se ha creado con fines educativos e informativos.

El escáner se realiza mediante un diccionario que viene incluido en la herramienta, y por lo tanto puede ser modificado a nuestro gusto, proporcionándonos una gran ventaja a la hora pruebas.

En la versión actual, el diccionario incluye 21631 directorios y 101000 subdominios, bastante denso y muy útil. El único requisito para que funcione es tener instalado Python2.7.x en adelante.

Características:

– multithreading– filesystem log– detect redirects– random user agent– random proxy from proxy list– verbose mode– subdomains scanner– HTTP/HTTPS support

Instalación:

En primer lugar, clonaremos el repositorio oficial de que se encuentra en github.

Tras ello, debemos instalar las dependencias. En la carpeta que hemos obtenido tras la descarga ejecutaremos el siguiente comando:

Una vez tengamos las dependencias instaladas, podemos empezar. para usar la herramienta ejecutamos opendoor.py (debe tener permisos).

Uso básico:

Help:

Como veis,  es una herramienta más, pero destaca por su potente diccionario y su usabilidad. Está el repositorio oficial en GitHub:

https://github.com/stanislav-web/OpenDoor


________________________________

Tomado de: https://blog.underc0de.org/opendoor-owasp-directory-access-scanner/

Se Respetan Derechos de Autor.



lunes, 5 de diciembre de 2016

En 2017 los ciberdelincuentes no atacarán a las empresas, sino a los empleados.

Check Point predice que “se utilizarán técnicas cada vez más ofensivas” cuyo “objetivo ya no será atacar a las empresas, sino a los empleados”, como puerta de entrada.

¿Cómo será 2017 en cuestión de seguridad? Según Check Point, “más peligroso” que el año que estamos a punto de abandonar. ¿Por qué? Entre otras cosas, porque los empleados se posicionarán en el punto de mira para los ciberdelincuentes.

“Hemos vivido un año en el que las compañías se han enfrentado a un aumento sin precedentes en volumen y sofisticación de los ciberataques. 2017 mantiene esa tendencia, con el agravante de que se utilizarán técnicas cada vez más ofensivas y donde el objetivo ya no será atacar a las empresas, sino a los empleados”, valora Mario García, director general de Check Point para España y Portugal, que recuerda que, “definitivamente, las soluciones de protección avanzada son cada día más imprescindibles para cerrar todas las puertas”.

García apunta en este sentido que los trabajadores son “uno de los puntos más débiles de la empresa y se convierten en puertas de acceso para los ciberdelincuentes”, así que “es necesario que las compañías inviertan recursos en formación como parte de la estrategia de seguridad”.

Check Point calcula que el año que viene una quinta parte de los trabajadores será responsable de alguna vulnerabilidad que causará problemas a la información corporativa. Y esto tendrá que ver con el uso cada vez mayor de smartphones y tabletas en la oficina, que los ciberdelincuentes aprovechan a través de malware específico para el móvil. También estarán vinculadas a estas brechas las conexiones inalámbricas.

Para 2017 cabe esperar igualmente un repunte de las campañas de phishing, de los chantajes del ransomware y de los ataques a internet de las cosas e infraestructuras críticas con “tres actores potenciales: países rivales, grupos terroristas y organizaciones criminales”. Y a medida que las empresas avancen hacia la transformación digital, se abrirán “nuevas puertas de entrada a sus datos que los ciberdelincuentes” van a tratar de “derribar”.

Fuente: silicon

__________________________________
Tomado de: http://noticias.seguridadpc.net/?p=11788
Se Respetan Derechos de Autor.

domingo, 4 de diciembre de 2016

Vulnerabilidades en Apache Tomcat, IBM iNotes y Domino.

IBM ha publicado actualizaciones destinadas a solucionar ocho vulnerabilidades de cross-site scripting y una de denegación de servicio en IBM Domino y en IBM iNotes versiones 8.5 y 9.0.
Se trata de ocho vulnerabilidades de cross-site scripting en IBM iNotes, que se incluye como parte de IBM Domino. Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.
También se soluciona una vulnerabilidad de denegación de servicio relacionada con un problema en Apache Tomcat. El fallo reside en el componente Apache Commons FileUpload, un atacante podrá provocar que el servidor deje de responder mediante el envió de peticiones de subida de archivos.
Se ven afectadas las versiones
IBM Domino 9.0.1 a 9.0.1 Fix Pack 7
IBM Domino 9.0.0x
IBM Domino 8.5.3 a 8.5.3 Fix Pack 6 Interim Fix 14
IBM Domino 8.5.2x
IBM Domino 8.5.1x
IBM ha publicado las siguientes actualizaciones:
Domino 9.0.1 Fix Pack 7 Interim Fix 1
Domino 8.5.3 Fix Pack 6 Interim Fix 15
http://www.ibm.com/support/docview.wss?uid=swg21663874

 ____________________________________________________________
Tomado de: http://unaaldia.hispasec.com/2016/12/multiples-vulnerabilidades-en-ibm.html
Se Respetan Derechos de Autor.

Google publica Chrome 55 y corrige 36 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 55. Se publica la versión 55.0.2883.75 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 36 nuevas vulnerabilidades. 
Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 36 nuevas vulnerabilidades, solo se facilita información de 26 de ellas (12 de gravedad alta, nueve de importancia media y cinco bajas).
Se corrigen vulnerabilidades por cross-site scriptings en Blink, salto de la política de mismo origen en PDFium y en SVG, acceso a datos privados en V8, escritura fuera de límites en Blink y en PDFium, uso de memoria después de liberarla en PDFium y en V8, descubrimiento de archivos locales en DevTools, salto de la protección de descarga de archivos.
Otros fallos corregidos residen en un uso de datos sin validar en PDFium, falsificación de direcciones en Omnibox, desbordamiento de entero en ANGLE y en PDFium, acceso a archivos locales en PDFium y problemas con Content Security Policy (CSP).
Se han asignado los CVE-2016-5203 al CVE-2016-5226, CVE-2016-9650 y CVE-2016-9651.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-9652). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 70.000 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.
 
__________________________________________________
Se Respetan Derechos de Autor.
 

Millones de hogares alemanes sin Internet por Botnet Mirai.

Alemania hubiera preferido quedarse sin luz, agua o gas antes que sin Internet. Ni Facebook, ni whatsapp web, ni juegos sociales online, correo electrónico, o televisión. Una tarde de domingo aburrida con un router de casa que no funciona. ¿Qué ocurrió?

El ataque comienzó el domingo 27 de noviembre a las 17 horas. Los routers de casa conectados a la operadora alemana Deutsche Telekom (DT) no funcionan y se reinician cada 15/20 minutos. El ataque continúa el lunes a las 08:00 horas. A las 12 horas de la mañana, parece que se ha restablecido el sistema. Las primeras 72 horas son cruciales para que la empresa determine el origen del hecho y pueda ofrecer una respuesta.

Después del suceso, parece que ya se van sabiendo más datos. Los routers de casi un millón de hogares en Alemania presentan una vulnerabilidad que fue aprovechada y explotada por, aparentemente, la "Botnet #14", de la red Mirai. Parece que esta red sigue buscando dispositivos con vulnerabilidades que den sustento a sus ataques y ahora ha encontrado a estos routers.

Están examinando el tráfico de los routers infectados de la marca Zyxel para saber hacia donde apunta el ataque y cómo se ha generado. La empresa Deutsche Telekom utiliza un protocolo X (el real, es un protocolo denominado TR-064) para acceder al router a través del puerto, 7547 (que está sospechosamente abierto en el router). Incluso se puede hacer una búsqueda por Shodan y ya hay módulo para Metasploit.

Hace unas semanas, se publicó Exploit Database una vulnerabilidad referida al protocolo en cuestión, TR-064, perteneciente al firmware vulnerable del "Eir D1000 Wireless Router" y aunque no se conoce que este modelo haya sido aún explotado, sí lo ha sido el de la marca Zyxcel que lleva el mismo protocolo en el firmware.

______________________________________________
Tomado de: http://blog.segu-info.com.ar/2016/12/millones-de-hogares-alemanes-sin.html#millones-de-hogares-alemanes-sin
Se Respetan Derechos de Autor.


miércoles, 30 de noviembre de 2016

Vulnerabilidades en computadores Lenovo (de nuevo el software propietario preinstalado)

Se han reportado dos vulnerabilidades en ordenadores Lenovo(incluyendo portátiles, servidores y equipos de sobremesa). Las vulnerabilidades son consideradas de gravedad alta y podrían permitir a un atacante local ejecutar código arbitrario y elevar privilegios dentro del sistema. Una vez más los problemas residen en el software propietario preinstalado por Lenovo.

No es la primera vez que Lenovo tiene problemas con aplicaciones propiasinstaladas en Windows. De nuevo volvemos a recordar y remarcar el peligro del software preinstalado.

En el primer problema, con CVE-2016-8223, en el que un atacante local con privilegios limitados podría aprovecharse de un error en Lenovo System Interface Foundation (Lenovo.Modern.ImController.exe o Lenovo.Modern.ImController.PluginHost.exe que funciona como servicio en el administrador de tareas de Windows 10) para ejecutar código arbitrario dentro del sistema con privilegios de administrador. Lenovo Sistem Interface Foundation proporciona servicios, drivers y aplicaciones de ayuda a otros softwares propios de Lenovo y otros servicios dentro de Windows 10.

 

 

Afecta a todos los Thinkpad, Thinkcentre, ThinkStation y sistemas Lenovo preinstalados con Windows 10 u cualquier otro sistema que ejecute Lenovo Companion, Lenovo Settins o Lenovo ID.

Se recomienda actualizar a la última versión de Lenovo System Interface Foundation (http://support.lenovo.com/downloads/ds105970).

El segundo problema, con CVE-2016-8224, podría permitir a un atacante con privilegios administrativos en el sistema causar una denegación de servicio y/o elevar privilegios dentro del sistema a través de una aplicación especialmente manipulada que eluda restricciones de las protecciones del Intel Management Engine.

Intel Management Engine (ME) es un conjunto de características hardware desarrolladas por Intel para administrar, reparar y proteger ordenadores dentro de sus propias redes.

Afecta a los siguientes sistemas y productos:

Lenovo Notebook modelos: 

110-14IBR/110-15IBR

B70-80

E31-80

E40-80

E41-80

E51-80

G40-80

G50-80

G50-80 Touch

Ideapad 300-14IBR/300-15IBR

Ideapad 300-14ISK/300-15ISK/300-17ISK

Ideapad 510S-12ISK

K21-80

K41-80

MIIX 710-12IKB 

XiaoXin Air 12

YOGA 510-14ISK/510-15ISK

YOGA 710-11IKB

Yoga 710-11ISK

Yoga 900-13ISK

YOGA 900S-12ISK

ThinkServer TS150

ThinkServer TS250

ThinkServer  TS450

ThinkServer  TS550

Lenovo ha publicado actualizaciones para los sistemas afectados, se recomienda consultar la página

https://support.lenovo.com/es/es/solutions/LEN_9903

para determinar por la versión de la BIOS si el sistema está afectado y la actualización requerida.

Las vulnerabilidades han sido reportadas a través de auditorías internas de la propia compañía y por Alexander Ermolov de Digital Security ltd.

______________________________
Tomado de:  http://unaaldia.hispasec.com/2016/06/otra-vez-lenovo-y-las-aplicaciones.html
Se Respetan Derechos de Autor.

domingo, 27 de noviembre de 2016

Presentan 6 principios estratégicos para proteger a la IoT (Internet de las Cosas)


El Departamento de Seguridad Nacional de los Estados Unidos publicó esta semana un documento titulado Principios Estratégicos para Asegurar la Internet de las Cosas (IoT), con el objetivo de informar a usuarios, operadores y fabricantes para que tomen decisiones conscientes al trabajar con dispositivos conectados.
“Nuestra dependencia de tecnologías conectadas creció más rápido que las formas de asegurarla”
“A medida que integramos cada vez más conexiones de red en la infraestructura crítica de nuestra nación, procesos importantes que antes se ejecutaban manualmente (y gozaban de inmunidad contra la actividad cibernética malintencionada) son ahora vulnerables a ciberamenazas. Nuestra creciente dependencia de tecnologías conectadas en red a nivel nacional ha crecido más rápido que las formas de asegurarla”, sentenció el informe.
Su publicación llega en un contexto ideal, en el que la seguridad de la IoT está en discusión a lo largo de la comunidad de expertos, empresas y autoridades, sobre todo después de dos casos emblemáticos: el primero y más reciente lo constituyen los ataques DDoS del 21 de octubre pasado, que dejaron brevemente sin acceso a Internet a los Estados Unidos e interrumpieron ciertas actividades online cotidianas.
“La seguridad de la IoT es ahora un asunto de seguridad nacional”
El segundo es el ciberataque del año pasado que deshabilitó temporalmente el suministro eléctrico en partes de Ucrania. Es ante hechos como estos, entonces, que se debe actuar para delinar planes y proteger a la IoT en relación al contexto.
“Porque nuestra nación depende de redes que funcionen en forma apropiada para realizar actividades que contribuyen al mantenimiento de la vida, la seguridad de la IoT es ahora un asunto de seguridad nacional”, afirmaron los autores del documento.

¿Cuáles son estos principios estratégicos?

El Departamento de Seguridad Nacional determinó que los problemas de seguridad en la IoT se deben a varios motivos:
  1. No siempre queda claro quién es responsable de las decisiones de seguridad: una compañía diseña un dispositivo, otra provee el software, otra opera la red en la que se lo integra y otra pone a disposición el equipo.
  2. No hay normas y estándares aceptados a nivel internacional.
  3. No hay incentivos a los desarrolladores para que aseguren adecuadamente los productos, dado que no necesariamente enfrentan los costos ni las consecuencias de fallar en este sentido.
Entonces, para pensar en forma abarcadora en cómo proteger la Internet de las Cosas, se proponen los siguientes principios:

1. Incorporar la seguridad en la fase de diseño

Las medidas propuestas en este aspecto tienen que ver con el establecimiento de contraseñas por defecto únicas, robustas y difíciles de adivinar, de manera que no estén disponibles en la Web. También se propone usar siempre el sistema operativo más reciente, dentro de lo que sea técnica y económicamente viable, para evitar vulnerabilidades conocidas; y diseñar pensando en posibles fallas e interrupciones, para que los dispositivos fallen “en forma segura”, sin causar una mayor disrupción sistémica.

2. Actualizaciones de seguridad y gestión de vulnerabilidades de avanzada

Este eje hace hincapié en automatizar tanto la corrección de fallas como la liberación de parches y actualizaciones. A la vez, se propone coordinar la publicación de vulnerabilidades entre desarrolladores, fabricantes, proveedores de servicio y los equipos CSIRT y CERT, por ejemplo.
Otro aspecto importante tiene que ver con el ciclo de vida de las actualizaciones: “No se podrá parchear y actualizar a todos los dispositivos IoT en forma indefinida”, por lo que es importante alertar a fabricantes y usuarios sobre los riesgos de usar un dispositivo después de su fecha de usabilidad.

3. Construir sobre prácticas de seguridad probadas

Un punto de partida es considerar las buenas prácticas ya publicadas por algunas industrias, por ejemplo la automotriz. Luego, se propone implementar la defensa en capas y compartir información relacionada a incidentes y vulnerabilidades para que todos los miembros de la cadena sepan cómo afrontarlos.

4. Priorizar las medidas de seguridad según el impacto potencial

Lo principal es identificar el entorno de uso deseado de cada dispositivo, para determinar qué características técnicas debe tener, cómo debe funcionar y qué medidas no deben faltarle. Luego, se propone auditar los equipos para ver qué podría mejorarse y, una vez en uso, se deberían aplicar reglas de autenticación para su conexión a la red.

5. Promover la transparencia a lo largo de la IoT

Las evaluaciones de riesgo deberían abarcar a todos los componentes e incluir a desarrolladores y fabricantes; a la vez, todos deberían poder conocer los materiales y procesos utilizados por los demás actores. Los programas de recompensas por encontrar vulnerabilidades también contribuyen a la generación de confianza y transparencia en la gestión de fallas.

6. Conectar con cuidado y deliberadamente

En este punto es necesario preguntarse: ¿necesita cada dispositivo en red estar conectado en forma continua y automática a Internet? Según el documento, ciertas funciones críticas, sobre todo en el sector industrial, podrían no necesitar de una conexión directa y esto podría reducir los vectores de ataque. Por lo tanto, se propone la implementación de “conexiones intencionales” y selectivas.
“Este documento es un primer paso para fortalecer los esfuerzos en proceso, articulando principios generales de seguridad. Pero seguramente se requerirán próximos pasos“, concluyó el informe.

________________________________________________________
Tomado de: http://www.welivesecurity.com/la-es/2016/11/17/principios-estrategicos-proteger-a-la-iot/
Se Respetam Derechos de Autor.

sábado, 26 de noviembre de 2016

CUIDADO CON DESCARGAR IMÁGENES JPG DE FACEBOOK, PUEDE SER RANSOMWARE.

Investigadores han descubierto que es posible compartir ransomware a través de Facebook con lo que parecen simples imágenes.

Compartir malware a través de Facebook no es fácil; la red social tiene sus propias medidas para evitar que cualquier archivo sospechoso pase por sus servidores y hasta los usuarios.

Sin embargo, algunos hackers parecen haberse saltado esas medidas, y están compartiendo ransomware a través de Facebook; si los usuarios abren esos archivos, acabarán infectados. A esta técnica se le conoce como ImageGate.

IMAGEGATE, UN MÉTODO PARA COMPARTIR RANSOMWARE A TRAVÉS DE FACEBOOK

Lo interesante es que a simple vista el archivo parece una imagen; los usuarios que han sufrido el ataque inicialmente recibieron una imagen de uno de sus amigos a través de Facebook Messenger (también funciona en LinkedIn). A primera vista parece una imagen jpg normal y corriente.

Si hacemos click en la imagen para verla más grande, nos aparecerá el mensaje de Windows para guardar el archivo; sólo entonces nos daremos cuenta de que tiene una extensión extraña. Se sabe que algunas de las extensiones usadas son .hta, svg o js. Recientemente también se ha añadido la extensión .zzzzz.

Pero claro, es muy fácil que no nos fijemos en la extensión del archivo una vez que hemos pulsado para descargarlo; sobre todo si inicialmente parecía que tenía la extensión .jpg.

Finalmente, si hacemos click en el archivo (o en la barra de descargas del navegador) para ver la imagen a tamaño completo, seremos infectados. Locky es el ransomware más usado por los atacantes que usan este vector de ataque.

CÓMO PODEMOS EVITAR INFECTARNOS USANDO FACEBOOK

Locky funciona como la mayoría de ransomware; cifra todos nuestros archivos y a continuación pide un pago en Bitcoin para conseguir la clave que los descifre. Los expertos recomiendan no pagar a los atacantes, porque nunca hay ninguna certeza de que realmente recuperaremos los archivos.

Por esto, los expertos que han descubierto el bug de Facebook y LinkedIn recomiendan tomar dos pasos para protegernos:

Si pulsas en una imagen y te pide guardar un archivo, no lo hagas; todas las imágenes que comparten contigo en Facebook deberían verse en el propio navegador.No abras “imágenes” con extensiones extrañas, sin importar de dónde las hayas conseguido.

_______________________________
Tomado de: http://noticiasseguridad.com/hacking-incidentes/cuidado-con-descargar-imagenes-jpg-de-facebook-puede-ser-ransomware/
Se Respetan Derechos de Autor.

jueves, 24 de noviembre de 2016

Fortifica tu SSH para evitar un SSHowDowN Attack!!!


El pasado mes de octubre salió a la luz una nueva debilidad en SSH y las configuraciones por defecto que millones de dispositivos IoT tienen que fue aprovechado por la botnet Mirai. Este fue uno de los vectores que se han utilizado en diferentes ataques DDoS alrededor del mundo y que ha llegado a afectar a empresas tecnológicas tan importantes como Twitter, WhatsApp o Netflix. Hoy en día, se siguen investigando todas las causas del incremento de los ataques en los que se utilizan dispositivos IoT. Una de las vías utilizadas ha sido la debilidad conocida como SSHowDown Proxy.



Figura 1: Fortifica tu SSH para evitar un SSHowDowN Attack!!!

¿Dónde se encuentran los servicios SSH? La respuesta es fácil de entender, en la mayoría de los sistemas conectados a Internet y, es más, en la gran mayoría de los dispositivos IoT. El servicio de SSH nos lo encontramos en televisiones, circuitos de televisión, routers, vídeos, neveras, puntos de acceso y un largo etcétera de dispositivos.



Figura 2: SSHowDownN Proxy

La debilidad de las configuraciones de estos servicios críticos hace que SShowDown Proxy pueda ser utilizado para enviar tráfico a través de dichos dispositivos. El problema radica en los dispositivos y en su configuración por defecto. En como salen de las fábricas y, por supuesto, en la dificultad que tendremos para actualizar firmwares a posteriori. El artículo de hoy no pretende hacer un repaso a SSHowDown, ya que para ello tenemos un artículo interesante de la gente de Akamai, donde se explica en detalle la vulnerabilidad y el riesgo. Aunque a modo de resumen, debemos tener en cuenta:

• Siempre cambiar configuración por defecto del servicio. Por ejemplo, no utilizar contraseñas por defecto, sobretodo en dispositivos conectados a Internet.
• No permitir el reenvío de tráfico TCP, es decir, directiva del fichero sshd_config AllowTcpForwarding a “No”.
• Configurar reglas de tráfico entrante en el firewall para prevenir acceso a SSH en dispositivos IoT. Esto se puede considerar.
• Considerar reglas salientes en el firewall para prevenir la creación de túneles.
• Deshabilitar el servicio SSH a no ser que sea absolutamente necesario.
• Autenticación basada en clave pública en entornos críticos. No permitir usuario y contraseña.En el artículo de hoy, queremos hablar de una herramienta que debe ser una obligatoria de uso en los equipos de pentesting, y sobre todo en las pruebas de la gente de seguridad que podemos encontrar en un equipo de QA. Se debe revisar que las configuraciones, los algoritmos y las implementaciones utilizadas sobre los dispositivos que salen son seguras.

SSH Audit

Hace unos meses hablamos de herramientas que automatizan la auditoría básica sobre un sistema, una serie de verificaciones que permiten ver potenciales fallos de configuraciones o de utilización de software obsoleto. Esta herramienta que podíamos lanzar sobre sistemas GNU/Linux se llamaba Lynis como parte de un proceso completo de fortificación de servidores GNU/Linux, y que permitía hacer ciertas labores de auditoría sobre el sistema.



Figura 3: SSH Audit en GitHub

En esta ocasión, ssh-audit nos permite hacer la auditoría y pasar un listado de buenas prácticas de configuración e implementación sobre un servicio SSH. La herramienta ssh-audit puede encontrarse en su Github. Las verificaciones, que a día de hoy, se encuentran disponibles en la herramienta son:

• Soporte para protocolo 1 y 2 de SSH. Se puede forzar a la herramienta a intentar conectar a través de la versión 1 del protocolo, lo cual no es seguro.
• Banner Grabbing e identificación de dispositivo y software. Además, de verificar la compresión.
• Recopilación del intercambio de claves, host-key, evaluación del cifrado y de los algoritmos que se pueden utilizar.
• Proporciona información sobre la calidad del algoritmo disponible, indicando si se debe eliminar, si no está disponible, si es débil, si no es seguro, etcétera.
• Proporciona información sobre el listado de CVE relacionados, como el Time-Based Info Leak que permite enumerar usuarios en servidores SSH.
• Analiza las implementaciones más comunes como son OpenSSH, Dropbear SSH y libssh.Lanzamos la herramienta para que conecte a través del protocolo versión 2 de SSH y podemos ver cómo se empiezan a lanzar diferentes pruebas basadas en lo enunciado anteriormente:



Figura 4: Ejecución de SSH Audit

Los apartados que la herramienta va cubriendo con las diferentes pruebas son:

• Información general sobre la aplicación, dispositivo o sistema operativo.
• Algoritmos del intercambio de clave. Como puede verse en la imagen anterior, la herramienta comienza a darnos información de que algoritmos debemos mirar con lupa, para ver si deberíamos quitarlos de lo que ofrece nuestro servicio.
• Algoritmos de Host-Key. Como se puede ver en la imagen, nos indican si estamos utilizando pocos bits.

Figura 5: Análisis de sistemas criptográficos

• Calidad de los algoritmos de cifrado que se pueden utilizar con el SSH. Además, nos indican información tan interesante como a partir de que versión se dejó de utilizar el algoritmo.
• Recomendaciones sobre los algoritmos que nuestro servicio está ofreciendo. En este caso, la versión de OpenSSH es la 6.6.1 y podemos obtener un listado de cosas a mejorar.

Figura 6: Recomendaciones de seguridad para este SSH

Las opciones de la herramienta permiten configurar el nivel de verbose que podemos lograr, mediante el uso del parámetro -v o –verbose, podemos indicar el nivel de información (info, warn o fail) con el parámetro –level, el puerto en el que se encuentra el servicio, si el servicio se encuentra en IPv4 o IPv6, lo cual es algo interesante para los servicios que están ya en el direccionamiento IPv6. A continuación, os dejamos una imagen dónde podemos ver la ayuda de la herramienta.



Figura 7: Ayuda de la herramienta SSH Audit

Esta herramienta es realmente útil para los equipos de seguridad de las organizaciones, para la gente de IT y los de QA, ya que en estos ámbitos cada uno necesitará monitorizar la seguridad de los servicios SSH antes de que vayan a ser publicados, comprobar la seguridad de terceros o probar los propios desarrollos y dispositivos que se realizan “in house”. Herramienta que debemos tener a mano, ya que nos permitirá auditar un servicio crítico y de actualidad hoy día.



Figura 8: Configuración de Latch para SSH

Por último, recuerda que si eres responsable de un servicio SSH lo suyo es que pongas medidas extras en la protección de los usuarios. Puedes configurar Latch para SSH o Cloud Latch TOTP para SSH tal y como se explican en esos artículos, y si además te gustan las protecciones de portknocking, puedes configurar un sistema basado en Latch para que el puerto de tu servidor SSH no sea tan fácil de localizar.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell

______________________________________________________________
Se Respetan Derechos de Autor

lunes, 7 de noviembre de 2016

CAINE 8.0: la nueva suite para análisis forense.




En los últimos años han ganado un gran protagonismo todo tipo de distribuciones Linux orientadas a la seguridad informática, a la auditoría de sistemas y redes y al análisis forense de datos. Mientras que si estamos buscando una distribución enfocada a llevar a cabo auditorías de seguridad una de las mejores opciones a tener en cuenta es Kali Linux, a la hora de llevar a cabo análisis forenses de datos, una de las que debemos tener en cuenta es la nueva CAINE 8.0.

La suite forense CAINE, acrónimo de “Computer Aided INvestigative Environment”, es una de las distribuciones Linux más completas para llevar a cabo análisis forense de sistemas y redes. Esta suite cuenta por defecto con un gran número de aplicaciones y herramientas clasificadas en varias categorías, como aplicaciones de análisis de malware, software de recuperación de datos, herramientas para el análisis y la gestión de discos duros y memorias Flash, herramientas de Hash, bases de datos y análisis forense de redes, entre otras.

Novedades del nuevo CAINE 8.0
Recientemente, los responsables de esta suite han lanzado una nueva versión de esta suite, CAINE 8.0, “blazar”, la cual se basa en Ubuntu 16.04 LTS, viene por defecto con el Kernel Linux 4.4 y habilita el clásico escritorio MATE.

Además, sumado al gran número de programas y herramientas incluidas en las versiones anteriores, el nuevo CAINE 8.0 llega con nuevos programas para facilitarnos su trabajo con ella, entre los que podemos destacar IMG_MAP, XAll 1.5, RecuperaBit, SQLParse, PEFrame, Yara, PDF analysis, MemDump, ADB, LibMobileDevice, Gigolo, Shrew, wxHexEditor, Jeex, XRCed, PffLib, imount, vhdimount y vhdiinfo, samba, vblade, iscsitarget, hashdb y Tilda.

Otra de las mejoras que llegan con el nuevo CAINE 8.0 es que ahora la distribución se ejecuta íntegramente desde la memoria RAM (aunque tenemos herramientas para instalarla físicamente, en caso de querer hacerlo a través de SystemBack, una herramienta compatible con sistemas UEFI) siendo capaz incluso de montar todas las unidades en modo “solo lectura” para evitar problemas, pudiendo activar a mano los permisos de escritura en las suites que lo necesitemos. Además, esta suite viene preparada para poder conectarnos a ella de forma remota a través del escritorio VNC.

Como hemos dicho, esta nueva versión de la suite forense ya se encuentra disponible, y podemos descargarla sin coste alguno desde su página web principal, solo disponible para equipos de 64 bits. Si vamos a probar esta suite en VirtualBox, debemos tener en cuenta que puede no funcionar correctamente (especialmente los gráficos y las conexiones) debido a un fallo en el propio VirtualBox que se espera que esté solucionado en las próximas actualizaciones.


__________________________________________________
Tomado de: http://www.redeszone.net/2016/11/02/ya-podemos-descargar-caine-8-0-la-nueva-suite-analisis-forense/
Se Respetan Derechos de Autor

Actualiza Ya! Dos exploit 0-Day para MySQL y MariaDB.

Hace más de un mes el investigador de seguridad polaco Dawid Golunski de descubrió un par de vulnerabilidades críticas en MySQL y publicó los detalles técnicos y la prueba de concepto sólo del segundo error (CVE-2016-6663).

Este martes, Golunski ha publicado una prueba de concepto (PoC) y los exploits de las dos vulnerabilidades: una de ellas es la vulnerabilidad anterior de elevación de privilegios (CVE-2016-6663), y la otra es una nueva vulnerabilidad de escalamiento de privilegios (CVE-2016-6664) que podría permitir a un atacante tomar el control total sobre la base de datos y el sistema operativo.

Las vulnerabilidades afectan a la versión de MySQL 5.5.51 y anteriores, MySQL 5.6.32 y anteriores, y MySQL versión 5.7.14 y anteriores, así como Percona Server y MariaDB.

Escalamiento de privilegios / Condición de carreras Bug (CVE-2.016 a 6663)

La vulnerabilidad más grave de las dos es una condición de carrera (CVE-2016-6663) que puede permitir que una cuenta con privilegios bajos (con permisos de CREATE / INSERT / SELECT) pueda escalar privilegios y ejecutar código arbitrario como usuario del sistema de base de datos (por ejemplo 'mysql').

Elevación de privilegios a Root (CVE-2016-6664)

El otro error crítico es un escalamiento de privilegios que podría permitir a los atacantes con privilegios de usuario "mysql" obtener privilegios de usuario "root" y comprometer totalmente el sistema.

Los errores se deben a la manipulación no segura de archivos de registros que dependen de MySQL, lo que le permite ser reemplazados con otros archivos arbitrarios, lo que abre la puerta a los privilegios de root.

Todas estas vulnerabilidades podrían ser explotadas en entornos de alojamiento compartido, donde a los usuarios se les asigna un acceso a bases de datos separadas. Mediante la explotación de los errores se podría obtener acceso a todas las bases de datos.

Golunski ha publicado la prueba de concepto, el código de la explotación de las dos vulnerabilidades y un video:
MySQL ha solucionado estas vulnerabilidades en su Actualización Crítica de Oracle del mes pasado.

Se recomienda aplicar estos parches tan pronto como sea posible. Si no se puede aplicar los parches inmediatamente, se puede realizar una mitigación temporal y deshabilitar el soporte para enlaces simbólicos dentro de la configuración del servidor de base de datos: en el archivo my.cnf se puede cambiar symbolic-links = 0.

____________________________________________________
Tomado de: http://blog.segu-info.com.ar/2016/11/dos-exploit-0-day-para-mysql-y-mariadb.html#dos-exploit-0-day-para-mysql-y-mariadb
Se Respetan Derechos de Autor

domingo, 23 de octubre de 2016

Oracle corrige 253 vulnerabilidades en su actualización de seguridad de octubre.

 

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica su boletín de seguridad de octubre. Contiene parches para 253 nuevas vulnerabilidades diferentes en múltiples productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris, Java o MySQL.

Los fallos se dan en varios componentes de múltiples productos y como es habitual la lista de productos afectados es extensa:
  • Application Express, versiones anteriores a la 5.0.4.0.7
  • Oracle Database Server, versiones 11.2.0.4 y 12.1.0.2
  • Oracle Secure Backup, versiones anteriores a la 10.4.0.4.0 y anteriores a la 12.1.0.2.0
  • Big Data Graph, versiones anteriores a la 1.2
  • NetBeans, versión 8.1
  • Oracle BI Publisher, versiones 11.1.1.7.0, 11.1.1.9.0 y 12.2.1.0.0
  • Oracle Big Data Discovery, versiones 1.1.1, 1.1.3 y 1.2.0
  • Oracle Business Intelligence Enterprise Edition, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.1.0.0 y 12.2.1.1.0
  • Oracle Data Integrator, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.2.0.0, 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Discoverer, versiones 11.1.1.7.0
  • Oracle Fusion Middleware, versiones 11.1.1.7, 11.1.1.9, 11.1.2.3, 11.1.2.4, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Oracle GlassFish Server, versiones 2.1.1, 3.0.1 y 3.1.2
  • Oracle Identity Manager
  • Oracle iPlanet Web Proxy Server, version 4.0
  • Oracle iPlanet Web Server, version 7.0
  • Oracle Outside In Technology, versiones 8.4.0, 8.5.1, 8.5.2 y 8.5.3
  • Oracle Platform Security for Java, versiones 12.1.3.0.0, 12.2.1.0.0 y 12.2.1.1.0
  • Oracle Web Services, versiones 11.1.1.7.0, 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.0.0
  • Oracle WebCenter Sites, versiones 12.2.1.0.0, 12.2.1.1.0 y 12.2.1.2.0
  • Oracle WebLogic Server, versiones 10.3.6.0, 12.1.3.0, 12.2.1.0 y 12.2.1.1
  • Enterprise Manager, versiones 12.1.4, 12.2.2 y 12.3.2
  • Enterprise Manager Base Platform, version 12.1.0.5
  • Oracle Application Testing Suite, versiones 12.5.0.1, 12.5.0.2 y 12.5.0.3
  • Oracle E-Business Suite, versiones 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5 y 12.2.6
  • Oracle Advanced Supply Chain Planning, versiones 12.2.3, 12.2.4 y 12.2.5
  • Oracle Agile Engineering Data Management, versiones 6.1.3.0 y 6.2.0.0
  • Oracle Agile PLM, versiones 9.3.4 y 9.3.5
  • Oracle Agile Product Lifecycle Management for Process, versiones 6.1.0.4, 6.1.1.6 y 6.2.0.0
  • Oracle Transportation Management, versiones 6.1, 6.2, 6.3.0, 6.3.1, 6.3.2, 6.3.3, 6.3.4, 6.3.5, 6.3.6 y 6.3.7
  • PeopleSoft Enterprise HCM, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.54 y 8.55
  • PeopleSoft Enterprise SCM Services Procurement, versiones 9.1 y 9.2
  • JD Edwards EnterpriseOne Tools, versión 9.1
  • JD Edwards World Security, versión A9.4
  • Siebel Applications, versiones 7.1 y 16.1
  • Oracle Commerce Guided Search, versiones 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1 y 6.5.2
  • Oracle Commerce Guided Search / Oracle Commerce Experience Manager, versiones 3.1.1, 3.1.2, 6.2.2, 6.3.0, 6.4.1.2, 6.5.0, 6.5.1, 6.5.2, 6.5.3, 11.0, 11.1 y 11.2
  • Oracle Commerce Platform, versiones 10.0.3.5, 10.2.0.5 y 11.2.0.1
  • Oracle Commerce Service Center, versiones 10.0.3.5 y 10.2.0.5
  • Oracle Fusion Applications, versiones 11.1.2 hasta 11.1.9
  • Oracle Communications Policy Management, versiones 9.7.3, 9.9.1, 10.4.1, 12.1.1 y anteriores
  • Oracle Enterprise Communications Broker, versiones Pcz2.0.0m4p5 y anteriores
  • Oracle Enterprise Session Border Controller, versiones Ecz7.3m2p2 y anteriores
  • Oracle Banking Digital Experience, versión 15.1
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 7.3.0, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 8.0.0, 8.0.1, 8.0.2 y 8.0.3
  • Oracle Financial Services Lending and Leasing, versiones 14.1.0 y 14.2.0
  • Oracle FLEXCUBE Core Banking, versiones 11.5.0.0.0 y 11.6.0.0.0
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 12.0.0 y 12.1.0
  • Oracle FLEXCUBE Investor Servicing, version 12.0.1
  • Oracle FLEXCUBE Private Banking, versiones 2.0.0, 2.0.1, 2.2.0, 12.0.0, 12.0.1, 12.0.2, 12.0.3 y 12.1.0
  • Oracle FLEXCUBE Universal Banking, versiones 11.3.0, 11.4.0, 12.0.1, 12.0.2, 12.0.3, 12.1.0, 12.2.0, 12.87.1 y 12.87.2
  • Oracle Life Sciences Data Hub, versiones 2.x
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.4.0.0, 5.4.1.0, 5.4.2.0, 5.4.3.0, 5.5.0.0 y 5.5.1.0
  • Oracle Insurance IStream, versión 4.3.2
  • MICROS XBR, versiones 7.0.2 y 7.0.4
  • Oracle Retail Back Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Central Office, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Clearance Optimization Engine, versiones 13.2, 13.3, 13.4 y 14.0
  • Oracle Retail Customer Insights, versión 15.0
  • Oracle Retail Merchandising Insights, versión 15.0
  • Oracle Retail Returns Management, versiones 13.0, 13.1, 13.2, 13.3, 13.4, 14.0 y 14.1
  • Oracle Retail Xstore Payment, versión 1.x
  • Oracle Retail Xstore Point of Service, versiones 5.0, 5.5, 6.0, 6.5, 7.0 y 7.1
  • Primavera P6 Enterprise Project Portfolio Management, versiones 8.4, 15.x y 16.x
  • Primavera P6 Professional Project Management, versiones 8.3, 8.4, 15.x y 16.x
  • Oracle Java SE, versiones 6u121, 7u111 y 8u102
  • Oracle Java SE Embedded, versión 8u101
  • Solaris, versiones 10 y 11.3
  • Solaris Cluster, versiones 3.3 y 4.3
  • Sun ZFS Storage Appliance Kit (AK), versión AK 2013
  • Oracle VM VirtualBox, versiones anteriores a la 5.0.28, anteriores a la 5.1.8
  • Secure Global Desktop, versiones 4.7 y 5.2
  • Sun Ray Operating Software, versiones anteriores a la 11.1.7
  • Virtual Desktop Infrastructure, versiones anteriores a la 3.5.3
  • MySQL Connector, versiones 2.0.4 y anteriores y 2.1.3 y anteriores
  • MySQL Server, versiones 5.5.52 y anteriores, 5.6.33 y anteriores y 5.7.15 y anteriores

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas: 
  • Nueve nuevas vulnerabilidades corregidas en Oracle Database Server (una de ellas explotable remotamente sin autenticación), 2 vulnerabilidades en Oracle Secure Backup (ambas explotables remotamente sin autenticación) y una nueva vulnerabilidad corregida en Oracle Big Data Graph. Afectan a los componentes: OJVM, Kernel PDB, Application Express, RDBMS Programmable Interface, RDBMS Security y RDBMS Security and SQL*Plus.
          
  • Otras 29 vulnerabilidades afectan a Oracle Fusion Middleware. 19 de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: BI Publisher (formerly XML Publisher), NetBeans, Oracle Big Data Discovery, Oracle Business Intelligence Enterprise Edition, Oracle Data Integrator, Oracle Discoverer, Oracle GlassFish Server, Oracle Identity Manager, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Oracle Outside In Technology, Oracle Platform Security for Java, Oracle Web Services y Oracle WebCenter Sites.   
       
  • Esta actualización contiene cinco nuevas actualizaciones de seguridad para Oracle Enterprise Manager Grid Control, cuatro de ellas explotables remotamente sin autenticación. Afectan a Enterprise Manager, Oracle Application Testing Suite y Enterprise Manager Base Platform.   
         
  • Dentro de Oracle Applications, 21 parches son para Oracle E-Business Suite, 19 parches son para la suite de productos Oracle Supply Chain, 11 para productos Oracle PeopleSoft, dos para productos Oracle JD Edwards, tres para Oracle Siebel CRM y siete para Oracle Commerce.
        
     
  • Se incluyen también 36 nuevos parches para Oracle Communications Applications, 31 de ellos tratan vulnerabilidades explotables remotamente sin autenticación. De forma similar tan solo una nueva corrección para Oracle Health Sciences Applications (aunque podría ser explotable remotamente sin autenticación). También incluye un nuevo parche para Oracle Insurance Applications y tres para Oracle Hospitality Applications.
        
     
  • Esta actualización contiene 10 nuevas actualizaciones de seguridad para Oracle Retail Applications, 10 de ellas explotables remotamente sin autenticación.
         
  • También se incluyen dos nuevos parches de seguridad para software Oracle Primavera Products Suite, una de ellas podría explotarse de forma remota sin autenticación.
         
  • En lo referente a Oracle Java SE se incluyen 7 nuevos parches de seguridad, todos referentes a vulnerabilidades que podrían ser explotadas por un atacante remoto sin autenticar.
         
  • Para la suite de productos Oracle Sun Systems se incluyen 16 nuevas actualizaciones, 10 de ellas afectan directamente a Solaris.
        
     
  • 31 nuevas vulnerabilidades afectan a MySQL Server (dos de ellas podrían ser explotada por un atacante remoto sin autenticar).
         
  • Esta actualización también contiene 13 parches para Oracle Virtualización.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory – October 2016
Más información:
Oracle Critical Patch Update Advisory - October 2016
http://www.oracle.com/technetwork/security-advisory/cpuoct2016-2881722.html

__________________________________________________________
Tomado de: http://unaaldia.hispasec.com/2016/10/oracle-corrige-253-vulnerabilidades-en.html
Se Respetan Derechos de Autor.