Suscribete a Mi Canal en YOUTUBE , da Click --> AQUÍ.

Canal acádemico donde se enseñará como atacan los ciberdelincuentes y como protegerse de estos ataques.

sábado, 31 de diciembre de 2016

Hallados tres 0-Day críticos en PHP 7, uno sin parche (Actualiza!)


Investigadores de seguridad de Check Point han descubierto tres vulnerabilidades 0-Day críticas en PHP 7 que podrían permitir tomar el control total sobre el 80 por ciento de los sitios web que ejecutan esta última versión de PHP.
Las vulnerabilidades residen en el mecanismo de serialización de PHP 7, el cual ya había sido encontrado vulnerable en PHP 5, permitiendo comprometer sitios web de Magento, vBulletin, Drupal, Joomla!, Pornhub y otros servidores web en los últimos años. Las vulnerabilidades permiten el envío de cookies y datos manipulados al cliente.

Si bien los investigadores descubrieron defectos en el mismo mecanismo, las vulnerabilidades en PHP 7 son diferentes de las encontradas en PHP 5.
Estos fallos con similares a otra vulnerabilidad (CVE-2015-6832) detallada en agosto por Check Point. Las dos primeras vulnerabilidades permitirían tomar el control total del servidor y la tercera podría explotarse para generar un ataque de negación de servicio (DoS).

Según Yannay Livneh, del equipo de investigación, ninguna de las vulnerabilidades mencionadas estaba siendo utilizada actualmente por atacantes. Los investigadores reportaron las tres vulnerabilidades [PDF] al equipo de seguridad de PHP en septiembre, y este emitió los parches para dos de los tres fallos el 13 de octubre y el 1 de diciembre respectivamente, pero uno de ellos permanece sin parches.

Con el fin de garantizar la seguridad del servidor web, se recomienda a los usuarios que actualicen sus servidores a la última versión de PHP.

_________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2016/12/hallados-tres-0-day-criticos-en-php-7.html#hallados-tres-0-day-criticos-en-php-7
Se Respetan Derechos de Autor.

viernes, 16 de diciembre de 2016

UN EXPLOIT ZERO-DAY PERMITE EJECUTAR CUALQUIER TIPO DE CÓDIGO EN UBUNTU Y FEDORA.

Durante mucho tiempo los usuarios de Linux hemos pensado que teníamos cierta ventaja con respecto a los de Windows u OS X. El hecho de poder manejar un ordenador sin tener que preocuparte en demasía por el malware nos daba un cierto colchón de seguridad, algo de lo que hemos presumido mucho.

Hoy alguien ha quemado ese colchón mientras dormíamos en él. Según se recoge en BetaNews Ubuntu y Fedora son vulnerables a los exploits de día cero. A través de estas vulnerabilidades un atacante puede ejecutar cualquier tipo de código en un ordenador objetivo con consecuencias potencialmente devastadoras.

El investigador de seguridad Chris Evans ha publicado detalles de un exploit que puede comprometer sistemas Linux. Todo lo que hace falta es usar un archivo de audio malicioso, a través del cual se puede secuestrar un PC.

UN ZERO-DAY QUE PONE A LA COMUNIDAD EN ALERTA

En la web de Chris Evans leemos lo siguiente: Presento aquí un exploit completo, que funciona y confiable para distribuciones Linux actuales (Ubuntu 16.04 LTS y Fedora 25). En el caso de Fedora funciona como una descarga maiciosa. Se aprovecha de efectos secundarios sutiles en cascada que e priori parecen difíciles de explotar pero que termina presentando bonitas posibiliades de explotación 100% fiables.

El exploit se aprovecha de una vulnerabilidad en la librería Game Music Emu usada en emuladores de consolas antiguas, a través del cual se permite que un atacante pueda ejecutar cualquier tipo de código en el ordenador con consecuencias potencialmente devastadoras.

La ejecución de código se haría a través de un archivo de audio especialmente diseñado, que bastaría con renombrar con extensión *.flac o *.mp3para engañar al usuario. Evans ha publicado vídeos mostrando un ataque de ejemplo en Fedora 25 usando Google Chrome, que muestra cómo uno de estos archivos puede abrir y controlar la calculadora, por ejemplo:

También ha publicado un vídeo del exploit funcionando en Ubuntu:

Evans comenta que el problema radica en una falta de sandboxing, es decir, de tener preparado un entorno seguro en el que ejecutar los programas para que el resto del sistema no se vea comprometido. También dice que es probable que funcione en otras distribuciones.

Fuente:http://www.genbeta.com

_____________________________________
Tomado de: http://noticiasseguridad.com/hacking-incidentes/un-exploit-zero-day-permite-ejecutar-cualquier-tipo-de-codigo-en-ubuntu-y-fedora/
Se Respetan Derechos de Autor.

miércoles, 14 de diciembre de 2016

Descubre scripts PHP maliciosos en tu servidor con BackdoorMan.

BackdoorMan es un toolkit de código abierto escrito en Python por Yassine Addi y destinado a ayudar a los sysadmins a encontrar scripts PHP y shells maliciosos, ocultos y sospechosos en un servidor, automatizando todo el proceso de detección.

Recordar que es bastante común que cuando se logra comprometer un sitio se ubique un backdoor pues puede dar acceso continuo al sitio (persistencia) incluso si los propietarios del sitio cambian las contraseñas.

Los scripts de un backdoor varían de 100 líneas de código hasta incluso 1 ó 2 líneas y se pueden fusionar en cientos de archivos lo que hace muy difícil descubrirlos, especialmente si el backdoor está inactivo. Hay maneras y herramientas comunes que se pueden utilizar, como grep, pero BackdoorMan automatiza todo y hace más fácil la identificación de código malicioso.

Características

- Detección de shells mediante una base de datos de firmas
- Reconocimiento de backdoors web
- Detección del uso de funciones y actividades sospechosas de PHP
- Uso de servicios externos junto a sus funcionalidades
- Uso de nimbusec shellray API (detección de webshells online y gratuita para archivos PHP https://shellray.com)
- Rendimiento alto de reconocimiento de webshells
- Comprobación de los archivos PHP sospechosos en línea
- Fácil, rápido y confiable
- Clasificación de webshells por comportamiento
- Servicio gratuito de nimbusec
- Uso de VirusTotal Public API (servicio gratuito en línea que analiza archivos y facilita la detección rápida de virus, gusanos, troyanos y todo tipo de malware)
- Uso de UnPHP (el decodificador en línea de PHP: UnPHP es un servicio gratuito para analizar código PHP ofuscado y malicioso - http://www.unphp.net)
- Eval + gzinflate + Base64
- Desofuscador recursivo
- Función personalizada y soporte de Regex

Requisitos

    Módulo request
    
Uso

BackdoorMan [options] destination1 [destination2 ...]

A toolkit that helps you find malicious, hidden and suspicious PHP scripts and shells in a chosen destination.
Author: Yassine Addi .
NOTE: This tool does not require Internet connection but it is highly recommended to benefit from all features.

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -o OUTPUT, --output=OUTPUT
                        save output in a file
  --no-color            do not use colors in the output
  --no-info             do not show file information
  --no-apis             do not use APIs during scan (not recommended)

Web: https://github.com/yassineaddi/BackdoorMan

____________________________________

Tomado de: http://www.hackplayers.com/2016/12/descubre-scripts-php-maliciosos-backdoorman.html?utm_source=dlvr.it&utm_medium=twitter&m=1

Se Respetan Derechos de Autor.

OpenDoor, OWASP Directory Access Scanner.

OpenDoor es una aplicación que se encarga de escanear un sitio web para encontrar métodos de login, directorios o posibles puntos de acceso al sitio. Tiene licencia GPL y se ha creado con fines educativos e informativos.

El escáner se realiza mediante un diccionario que viene incluido en la herramienta, y por lo tanto puede ser modificado a nuestro gusto, proporcionándonos una gran ventaja a la hora pruebas.

En la versión actual, el diccionario incluye 21631 directorios y 101000 subdominios, bastante denso y muy útil. El único requisito para que funcione es tener instalado Python2.7.x en adelante.

Características:

– multithreading– filesystem log– detect redirects– random user agent– random proxy from proxy list– verbose mode– subdomains scanner– HTTP/HTTPS support

Instalación:

En primer lugar, clonaremos el repositorio oficial de que se encuentra en github.

Tras ello, debemos instalar las dependencias. En la carpeta que hemos obtenido tras la descarga ejecutaremos el siguiente comando:

Una vez tengamos las dependencias instaladas, podemos empezar. para usar la herramienta ejecutamos opendoor.py (debe tener permisos).

Uso básico:

Help:

Como veis,  es una herramienta más, pero destaca por su potente diccionario y su usabilidad. Está el repositorio oficial en GitHub:

https://github.com/stanislav-web/OpenDoor


________________________________

Tomado de: https://blog.underc0de.org/opendoor-owasp-directory-access-scanner/

Se Respetan Derechos de Autor.



lunes, 5 de diciembre de 2016

En 2017 los ciberdelincuentes no atacarán a las empresas, sino a los empleados.

Check Point predice que “se utilizarán técnicas cada vez más ofensivas” cuyo “objetivo ya no será atacar a las empresas, sino a los empleados”, como puerta de entrada.

¿Cómo será 2017 en cuestión de seguridad? Según Check Point, “más peligroso” que el año que estamos a punto de abandonar. ¿Por qué? Entre otras cosas, porque los empleados se posicionarán en el punto de mira para los ciberdelincuentes.

“Hemos vivido un año en el que las compañías se han enfrentado a un aumento sin precedentes en volumen y sofisticación de los ciberataques. 2017 mantiene esa tendencia, con el agravante de que se utilizarán técnicas cada vez más ofensivas y donde el objetivo ya no será atacar a las empresas, sino a los empleados”, valora Mario García, director general de Check Point para España y Portugal, que recuerda que, “definitivamente, las soluciones de protección avanzada son cada día más imprescindibles para cerrar todas las puertas”.

García apunta en este sentido que los trabajadores son “uno de los puntos más débiles de la empresa y se convierten en puertas de acceso para los ciberdelincuentes”, así que “es necesario que las compañías inviertan recursos en formación como parte de la estrategia de seguridad”.

Check Point calcula que el año que viene una quinta parte de los trabajadores será responsable de alguna vulnerabilidad que causará problemas a la información corporativa. Y esto tendrá que ver con el uso cada vez mayor de smartphones y tabletas en la oficina, que los ciberdelincuentes aprovechan a través de malware específico para el móvil. También estarán vinculadas a estas brechas las conexiones inalámbricas.

Para 2017 cabe esperar igualmente un repunte de las campañas de phishing, de los chantajes del ransomware y de los ataques a internet de las cosas e infraestructuras críticas con “tres actores potenciales: países rivales, grupos terroristas y organizaciones criminales”. Y a medida que las empresas avancen hacia la transformación digital, se abrirán “nuevas puertas de entrada a sus datos que los ciberdelincuentes” van a tratar de “derribar”.

Fuente: silicon

__________________________________
Tomado de: http://noticias.seguridadpc.net/?p=11788
Se Respetan Derechos de Autor.

domingo, 4 de diciembre de 2016

Vulnerabilidades en Apache Tomcat, IBM iNotes y Domino.

IBM ha publicado actualizaciones destinadas a solucionar ocho vulnerabilidades de cross-site scripting y una de denegación de servicio en IBM Domino y en IBM iNotes versiones 8.5 y 9.0.
Se trata de ocho vulnerabilidades de cross-site scripting en IBM iNotes, que se incluye como parte de IBM Domino. Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.
También se soluciona una vulnerabilidad de denegación de servicio relacionada con un problema en Apache Tomcat. El fallo reside en el componente Apache Commons FileUpload, un atacante podrá provocar que el servidor deje de responder mediante el envió de peticiones de subida de archivos.
Se ven afectadas las versiones
IBM Domino 9.0.1 a 9.0.1 Fix Pack 7
IBM Domino 9.0.0x
IBM Domino 8.5.3 a 8.5.3 Fix Pack 6 Interim Fix 14
IBM Domino 8.5.2x
IBM Domino 8.5.1x
IBM ha publicado las siguientes actualizaciones:
Domino 9.0.1 Fix Pack 7 Interim Fix 1
Domino 8.5.3 Fix Pack 6 Interim Fix 15
http://www.ibm.com/support/docview.wss?uid=swg21663874

 ____________________________________________________________
Tomado de: http://unaaldia.hispasec.com/2016/12/multiples-vulnerabilidades-en-ibm.html
Se Respetan Derechos de Autor.

Google publica Chrome 55 y corrige 36 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 55. Se publica la versión 55.0.2883.75 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 36 nuevas vulnerabilidades. 
Como es habitual, Google solo proporciona información sobre los problemas reportados por investigadores externos o los considerados de particular interés. En esta ocasión, aunque se han solucionado 36 nuevas vulnerabilidades, solo se facilita información de 26 de ellas (12 de gravedad alta, nueve de importancia media y cinco bajas).
Se corrigen vulnerabilidades por cross-site scriptings en Blink, salto de la política de mismo origen en PDFium y en SVG, acceso a datos privados en V8, escritura fuera de límites en Blink y en PDFium, uso de memoria después de liberarla en PDFium y en V8, descubrimiento de archivos locales en DevTools, salto de la protección de descarga de archivos.
Otros fallos corregidos residen en un uso de datos sin validar en PDFium, falsificación de direcciones en Omnibox, desbordamiento de entero en ANGLE y en PDFium, acceso a archivos locales en PDFium y problemas con Content Security Policy (CSP).
Se han asignado los CVE-2016-5203 al CVE-2016-5226, CVE-2016-9650 y CVE-2016-9651.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-9652). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 70.000 dólares en recompensas a los descubridores de los problemas.
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/). O descargar directamente desde: google.com/chrome.
 
__________________________________________________
Se Respetan Derechos de Autor.
 

Millones de hogares alemanes sin Internet por Botnet Mirai.

Alemania hubiera preferido quedarse sin luz, agua o gas antes que sin Internet. Ni Facebook, ni whatsapp web, ni juegos sociales online, correo electrónico, o televisión. Una tarde de domingo aburrida con un router de casa que no funciona. ¿Qué ocurrió?

El ataque comienzó el domingo 27 de noviembre a las 17 horas. Los routers de casa conectados a la operadora alemana Deutsche Telekom (DT) no funcionan y se reinician cada 15/20 minutos. El ataque continúa el lunes a las 08:00 horas. A las 12 horas de la mañana, parece que se ha restablecido el sistema. Las primeras 72 horas son cruciales para que la empresa determine el origen del hecho y pueda ofrecer una respuesta.

Después del suceso, parece que ya se van sabiendo más datos. Los routers de casi un millón de hogares en Alemania presentan una vulnerabilidad que fue aprovechada y explotada por, aparentemente, la "Botnet #14", de la red Mirai. Parece que esta red sigue buscando dispositivos con vulnerabilidades que den sustento a sus ataques y ahora ha encontrado a estos routers.

Están examinando el tráfico de los routers infectados de la marca Zyxel para saber hacia donde apunta el ataque y cómo se ha generado. La empresa Deutsche Telekom utiliza un protocolo X (el real, es un protocolo denominado TR-064) para acceder al router a través del puerto, 7547 (que está sospechosamente abierto en el router). Incluso se puede hacer una búsqueda por Shodan y ya hay módulo para Metasploit.

Hace unas semanas, se publicó Exploit Database una vulnerabilidad referida al protocolo en cuestión, TR-064, perteneciente al firmware vulnerable del "Eir D1000 Wireless Router" y aunque no se conoce que este modelo haya sido aún explotado, sí lo ha sido el de la marca Zyxcel que lleva el mismo protocolo en el firmware.

______________________________________________
Tomado de: http://blog.segu-info.com.ar/2016/12/millones-de-hogares-alemanes-sin.html#millones-de-hogares-alemanes-sin
Se Respetan Derechos de Autor.