Latest Event Updates

FBI LANZA UNA ALERTA INTERNACIONAL PARA ROUTERS CISCO POR SER FÁCILES DE HACKEAR

Posted on

El FBI está recomendando a las empresas y hogares, reiniciar lo antes posible los enrutadores; esto basado en un informe de Cisco de que 500,000 dispositivos infectados podrían ser destruidos con un solo comando.

Expertos en seguridad informática comentaron que, el malware denominado VPNFilter, fue desarrollado por el grupo de hackers rusos Sofacy, conocidos también como Fancy Bear y APT28. El FBI confirmo la información, ya que la semana pasada obtuvo una orden de captura de un dominio utilizado para controlar los enrutadores infectados.

fancybears

Cisco Talos Intelligence revelo en un informe que 500,000 enrutadores hechos por Linksys, MikroTik, Netgear y TP-Link habían sido infectados con VPNFilter.

Este malware recoge el tráfico enviado a través de enrutadores infectados, como las credenciales del sitio web. Pero la capacidad más preocupante es que el malware autoriza a los actores maliciosos borrar una parte del firmware de un dispositivo infectado, dejándolo inservible.

De acuerdo a los profesionales en seguridad informatica, los hackers podrían destruir selectivamente un solo dispositivo o todos los dispositivos infectados a la vez.

En un informe, la semana pasada Cisco después de observar un aumento en infecciones en Ucrania, acusó a Rusia de planear un ataque para coincidir con la final de la Liga de Campeones del sábado en Kiev.

El país de igual manera culpó a Rusia por los ataques NotPetya del año pasado que afectaron a organizaciones de Ucrania y se extendieron dentro de corporaciones multinacionales con oficinas en Ucrania.

Los usuarios con enrutadores infectados pueden eliminar los peligros de Stage 2 y Stage 3 de VPNFilter reiniciando el dispositivo, comentaron expertos en seguridad informática. También comentaron que la Etapa 1 de VPNFilter persistirá después de un reinicio, permitiendo que los atacantes re infecten los enrutadores comprometidos.

El miércoles el FBI incauto la dirección web, ToKnowAll . Com, la cual podría haber sido utilizada para reinstalar el malware Stage 2 y Stage 3, ahora todo el tráfico a esta dirección se dirige a un servidor bajo el control del FBI.

Sin embargo, el FBI está recomendando a todos los propietarios de enrutadores a que reinicien los dispositivos, incluso si no fueron fabricados por los proveedores afectados. Esto ayudará a neutralizar la amenaza e identificar los dispositivos infectados.

“El FBI recomienda que cualquier propietario de enrutadores reinicie los dispositivos para interrumpir temporalmente el malware y ayudar a la posible identificación de dispositivos infectados”, dijo el FBI en un anuncio público.

“Se recomienda a los propietarios que consideren la desactivación de la configuración de administración remota en los dispositivos y la seguridad con contraseñas seguras y cifrado cuando estén habilitados. Los dispositivos de red deben actualizarse a las últimas versiones disponibles de firmware”, agrega el comunicado.

Expertos en seguridad informatica dijeron que el servidor controlado por el FBI con el que se comunican los dispositivos infectados recopilará las direcciones IP de los dispositivos.

Las direcciones se comparten con un grupo de seguridad informatica sin fines de lucro, que disemina las direcciones a los CERT e ISP extranjeros.

Aun no se sabe cómo los atacantes infectaron inicialmente los enrutadores, pero Symantec señaló en un informe sobre VPNFilter que muchos de ellos tienen vulnerabilidades críticas.

“En su mayoría, los dispositivos identificados usan credenciales predeterminadas y / o tienen exploits, particularmente para versiones anteriores. Actualmente no hay ninguna indicación de que la explotación de las vulnerabilidades de día cero esté involucrada en la diseminación de la amenaza”, escribieron los investigadores.

Los dispositivos infectados conocidos incluyen:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • MikroTik RouterOS para enrutadores Cloud Core: versiones 1016, 1036 y 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Otros dispositivos QNAP NAS que ejecutan el software QTS
  • TP-Link R600VPN
Advertisements

ENRUTADORES D-LINK DIR-620 CON VULNERABILIDADES CRÍTICAS

Posted on

Después de una investigación, profesionales en seguridad han encontrado una cuenta de puerta trasera en el firmware de los enrutadores D-Link DIR-620, esto permite a los actores maliciosos hacerse cargo de cualquier dispositivo accesible a través de Internet.

Este backdoor, fue encontrado por los expertos en seguridad informatica de Kaspersky Lab, el backdoor otorga acceso al panel web del dispositivo, y no hay manera de que los propietarios del dispositivo puedan deshabilitar esta cuenta.

router

La forma de proteger los dispositivos contra el hackeo es evitando que el enrutador exponga su panel de administración en la interfaz WAN y, por lo tanto, se puede acceder desde cualquier lugar de Internet.

Por ahora, los profesionales no han revelado el nombre de usuario y la contraseña de la cuenta de puerta trasera, esto para evitar abusos.

La cuenta de backdoor, CVE-2018-6213, es una de las cuatro vulnerabilidades encontradas por el equipo de seguridad informatica en el firmware de estos dispositivos. Los otros tres defectos incluyen:

  • CVE-2018-6210: una vulnerabilidad que permite a los atacantes recuperar credenciales de Telnet
  • CVE-2018-6211: un error que permite a los atacantes ejecutar comandos del sistema operativo a través de uno de los parámetros de URL del panel de administración
  • CVE-2018-6212: una vulnerabilidad de scripts entre sitios (XSS) reflejada en el campo del panel de administración “Búsqueda rápida” del enrutador

CVE-2018-6210 y CVE-2018-6213 fueron consideradas vulnerabilidades críticas, ya que permiten a los atacantes un acceso fácil al dispositivo.

router 1

Los dispositivos D-Link DIR-620 son modelos de enrutador algo antiguos y no hay muchos disponibles para explotar, lo que puede ser una buena noticia.

En general, estos dispositivos fueron implementados por proveedores de servicios de Internet de Rusia, la CEI y Europa del Este, como equipamiento en las instalaciones para clientes de banda ancha.

Se han podido encontrar a la mayoría de estos dispositivos, y los profesionales en seguridad informatica ya se han contactado con los ISP para reportar el problema.

De acuerdo con Kaspersky, la mayoría de los ISP han tomado acción a las advertencias y el acceso restringido a estos dispositivos en sus redes.

Los expertos en seguridad informatica también contactaron a D-Link sobre los problemas, pero la compañía comento que no tenía la intención de emitir actualizaciones de firmware para un modelo anterior.

En la investigación se probaron las siguientes versiones de firmware de DIR-620 y todos se vieron vulnerables en varios grados: 1.0.3, 1.0.37, 1.3.1, 1.3.3, 1.3.7, 1.4.0 y 2.0.22.

ATAQUE MIRAI LANZADO DESDE UNA EMPRESA MEXICANA

Posted on

Un nuevo ataque similar a Mirai surgió en México a principios de este mes, va dirigido a los enrutadores domésticos y las cámaras IP de la red óptica pasiva Gigabit. Un equipo de investigadores de seguridad informatica, detectó y realizo un forense digital.

mexico

De acuerdo a expertos, los ataques realizados del 8 al 10 de mayo, surgieron de 3,845 direcciones IP ubicadas en México y se enfocaron en enrutadores y cámaras web utilizando contraseñas predeterminadas. Una vez ingresado el dispositivo de IoT, los actores maliciosos usan las vulnerabilidades CVE-2018-10561 o CVE-2018-10562 para inyectar un malware que puede permitir la ejecución remota de código. Se utilizaron cuatro variantes del malware dirigidas a diferentes arquitecturas de procesador ARM, ARMv7, MIPS y MIPS little-endian.

Los profesionales utilizaron los Números de Sistema Autónomo (ASN) de los dispositivos IP atacados para rastrear la ubicación. Con esto se encontró ASN 8151, que pertenece a la empresa mexicana Uninet, de acuerdo con la herramienta de búsqueda ASN de Neustar. Además, los datos de WHOIS de las direcciones IP indican que son propiedad de la misma empresa mexicana.

Los expertos en seguridad informatica reiteraron los hechos de que los ataques como esta variante de Mirai pueden ser bloqueados a través de recursos bastante simples, como cambiar las credenciales de inicio de sesión predeterminadas y asegurándose de que un dispositivo de IoT esté ejecutando la versión más actualizada de su software.

EX INGENIERO DE LA CIA FILTRÓ A WIKILEAKS LAS HERRAMIENTAS DE HACKEO UTILIZADAS POR LA AGENCIA

Posted on Updated on

Un ex ingeniero de la CIA está siendo acusado de entregar los documentos de la serie Vault 7 a WikiLeaks.

El gobierno de Estados Unidos asegura haber identificado al actor malicioso que supuestamente robó un paquete de datos pertenecientes a la Agencia Central de Inteligencia (CIA) en donde se detallan herramientas de hackeo y campañas secretas de ciberespionaje dirigidas a gobiernos, usuarios insospechados y empresas de todo el mundo, comentaron investigadores de seguridad informatica.

cia

El personaje ha sido identificado como el ex ingeniero de la CIA de 29 años Joshua A. Schulte. Se cree que Schulte no solo robó datos sino que también se los entregó para se publicados a WikiLeaks.

De acuerdo a investigadores, las herramientas de hackeo ya han sido publicadas por WikiLeaks en su sitio web bajo el control de Vault 7. Los paquetes robados contenían 8,000 documentos y 943 archivos adjuntos que mostraban cómo la CIA desarrolló herramientas para hackear a sus objetivos y convertirlos en dispositivos de espionaje.

Ha sido publicada la lista de objetivos de CIA, es bastante amplia y cubre bastantes dispositivos, la lista incluye computadoras basadas en Windows, Linux y Mac, air-gapped PCs, cámaras de seguridad, smart TVs, navegadores web, iPhones y smartphones Android, webcams, auriculares, micrófonos, blocs de notas, reproductores de video, camiones y otros dispositivos conectados a Internet. Estos documentos mostraron la toda la capacidad de hackeo de la CIA.

Joshua A. Schulte no es ajeno a la CIA, trabajó para el Grupo de Desarrollo de Ingeniería de la agencia, ayudo al desarrolló malware y otras herramientas de hackeo para la inteligencia cibernética, comentaron investigadores en seguridad informatica. En 2016, Schulte abandonó la agencia y trabajo para una firma privada de software.

En 2017, una semana después de que WikiLeaks comenzara a publicar los documentos de Vault 7, el departamento de Schulte en fue allanado por FBI. Schulte no fue acusado formalmente, pero el FBI confisco su computadora personal, notas, cuadernos y pasaporte, lo que le prohibía abandonar el país.

En una declaración judicial, el abogado de los Estados Unidos Matthew Laroch comento que Schulte usó el navegador Tor para transferir información clasificada, pero, no se proporcionó evidencia. El navegador Tor permite a usuarios ocultar su dirección IP real y navegar de forma anónima, comentaron expertos en seguridad informatica.

Los abogados de Schulte han pedido a los fiscales que presenten una decisión final sobre los cargos relacionados con la filtración de Vault 7.

“Este caso ha venido arrastrando desde agosto de 2017”, dijo la abogada de Schulte, Sabrina P. Shroff. “Se exige que el gobierno entable una acusación para que el Sr. Schulte tenga la oportunidad de defenderse”.

Los profesionales en seguridad informatica dijeron, que cuando WikiLeaks publico los documentos de la serie Vault 7, se dudaba de si estos documentos eran auténticos. Edward Snowden y Wall Street Journal confirmaron su autenticidad, el gobierno investigó a uno de los ex ingenieros de la agencia sobre la fuga, lo que indica que la serie Vault 7 fue auténtica.

La lista de documentos es:

  • BothanSpy and Gyrfalcon: Steals SSH credentials from Linux & Windows devices
  • OutlawCountry and Elsa: Malware targeting Linux devices and tracking user geolocation
  • Brutal Kangaroo: CIA hacking tools for hacking air-gapped PCs
  • Cherry Blossom: CherryBlossom & CherryBomb: Infecting WiFi routers for years
  • Pandemic: A malware hacking Windows devices
  • AfterMidnight and Assassin: CIA remote control & subversion malware hacking Windows
  • Dark Matter: CIA hacking tool infiltrating iPhones and MacBooks
  • Athena: A malware targeting Windows operating system
  • Archimedes: A program helping CIA to hack computers inside a Local Area Network
  • HIVE: CIA implants to transfer exfiltrated information from target machines
  • Grasshopper: A malware payloads for Microsoft Windows operating systems
  • Marble: A framework used to hamper antivirus companies from attributing malware
  • Dark Matter: A CIA project that infects Apple Mac firmware
  • Highrise: An Android malware spies on SMS Messages
  • Aeris, Achilles, SeaPea: 3 malware developed by CIA targeting Linux and macOS
  • Dumbo Project: CIA’s project hijacking webcams and microphones on Windows devices
  • CouchPotato Tool: Remotely Collects Video Streams from Windows devices
  • ExpressLane implant: CIA Collected Biometric Data from Partner Agencies

IBM MEJORA SU SEGURIDAD Y PROHÍBE EL USO DE UNIDADES USB EN TODA LA COMPAÑIA

Posted on

Recientemente IBM prohibió todo el almacenamiento extraíble, en toda la empresa, esta es una nueva política que tiene el objetivo de evitar daños financieros y de reputación derivados de una unidad USB extraviada o mal utilizada.

Shamla Naidoo, directora general de seguridad informática de IBM, informo al personal en un correo electrónico interno que la compañía “está ampliando la práctica de prohibir la transferencia de datos a todos los dispositivos de almacenamiento portátiles extraíbles como podrían ser; USB, tarjeta SD y unidad flash”.

ibm ban

Algunas aéreas ya contaban con esta política pero, “en las próximas semanas estamos implementando esta política en todo el mundo”, dijo Naidoo.

Esta nueva política tiene un objetivo simple y bien justificado en un mundo lleno de violaciones de datos: “el posible daño financiero y reputacional debido a dispositivos de almacenamiento portátiles extraíbles extraviados, perdidos o mal utilizados debe minimizarse”, aclaró el CISO.

Hace un tiempo, Stuxnet fue escrito para “saltar” de una terminal a otra a través de unidades USB que se mueven entre ellas como vectores de ataque. Solo algunas de las redes a las que apuntaban estaban aisladas, lo que significa que no tenían acceso directo al mundo exterior. Para prevenir un evento así en sus redes, los profesionales de seguridad informática recomiendan dispositivos USB especializados para evitar que el malware se configure en unidades USB.

DEBES ACTUALIZAR 7-ZIP AHORA! VULNERABILIDAD CRITICA ENCONTRADA

Posted on

Hace apenas un par de meses, un experto en seguridad informática, apodado LANDAVE o Dave, encontró una vulnerabilidad de seguridad en la utilidad 7-Zip.

Un grupo de profesionales de seguridad informática comento, que 7-Zip contiene una enorme variedad de herramientas de descompresión de archivos que algunos usuarios instalan como una de sus más importantes aplicaciones complementarias de Windows.

7-Zip

7z sabe cómo extraer datos de la mayoría de los demás formatos de archivo y no solo es compatible con su propia marca de archivos mega comprimidos.

Los archivos ZIP, archivos gzip y bzip2, archivos Unix tar y cpio, archivos CAI y MSI de Windows, archivos DMG de Macintosh, imágenes de CD (ISO) y más, sumado con una interfaz opcional de administración de archivos de dos paneles que es perfecta para la vieja escuela.

Los expertos en seguridad informática dicen que 7-Zip incluye soporte para archivos RAR, y es ahí donde está la vulnerabilidad, se cree que es heredada del código fuente abierta de la herramienta UnRAR.

7-Zip ya ha sido parcheado contra este error, CVE-2018-10115, ahora LANDAVE ha hecho públicos los detalles de su hallazgo, y lo que implicó averiguar qué tan grave podría ser esta vulnerabilidad.

Dave dijo, que el problema surgió de un conflicto común entre complejidad y seguridad. El profesional comento que el código UnRAR es muy complejo, admite variedades de diferente nivel y formato de compresión, esto incluye un tipo especial de sistema de compresión que enlaza archivos antes de comprimirlos, lo que con frecuencia exprime más bytes de los datos comprimidos que aplasta cada archivo de forma independiente.

En el formato de archivo RAR se incluye esta solid option ya que mejora la compresión al permitir coincidencias de cadenas repetidas incluso si están en archivos diferentes, en lugar de restringir los fragmentos de datos repetidos a un archivo. Cuando tiene varios archivos pequeños pero similares, por ejemplo, esto da como resultado que se encuentren muchas coincidencias de cadena más repetidas, y se aumenta la relación de compresión.

Lo que el profesional en seguridad informática encontró es que el código de descompresión UnRAR, tal como lo usa 7-Zip, no se configura de manera segura cuando comenzó a usarlo, lo que nos dice, que su software podría inocentemente llevar a una falla grave en el código RAR.

En otras palabras, algunas variables no inicializadas en el código UnRAR abrió la posibilidad de crear un archivo de almacenamiento trampa que engañaría al código UnRAR para que ejecute un código oculto en la parte de datos del archivo trampa.

Este código entra furtivamente ya que los datos se conocen como shellcode.

Estos errores que permiten la ejecución de Shellcode son conocidos como vulnerabilidades de ejecución remota de código (RCE), un actor malicioso puede usar un archivo, para ejecutar malware en su computadora, incluso si solo abre el archivo booby-atrapped y lo mira.

Dave también creó un exploit de prueba de concepto (PoC) que demostraba cómo crear un archivo RAR que era furtivo e inesperadamente inicia la aplicación Calculadora.

El investigador de seguridad informática comento, que si un PoC puede mostrar CALC.EXE sin avisar, podría modificarse para ejecutar cualquier comando, incluido el malware, de forma invisible para el usuario.

El objetivo de Dave de construir un exploit que funcionara se hizo más fácil porque las aplicaciones que se incluyen con 7-Zip habían sido creadas sin soporte para la distribución aleatoria del espacio de direcciones (ASLR).

Las herramientas 7-Zip siempre se cargaran en las mismas direcciones, mejorando los exploits porque los atacantes pueden predecir qué fragmentos prácticos de código ejecutable ya se cargarían, y dónde, comento el profesional en seguridad informática.

Ahora, en algunas buenas noticias, el creador de 7-Zip no solo parcho la vulnerabilidad de variable no inicializada (CVE-2018-10115) en el producto, sino que también para compilar la versión actualizada con ASLR habilitado. Estos cambios fueron lanzados hace una semana en 7-Zip versión 18.05.

El experto en seguridad informática nos da unas recomendaciones de que hacer:

Si eres usuario de 7-Zip, asegúrate de usar la última versión.

Si es un programador de Windows, no envíe ningún software que no sea compatible con ASLR. Usando Visual Studio, puede compilar con la opción / DYNAMICBASE.

Si es un programador, al crear objetos nuevos: inicialice los campos de datos con valores seguros y razonables.

REALIZA ATAQUES DE FUERZA BRUTA A SSH, SMTP, FACEBOOK E INSTAGRAM- BRUT3K1T

Posted on

Como introducción, brut3k1t es un módulo bruteforce del lado del servidor que admite ataques de diccionario para diversos protocolos, comentan expertos en seguridad informática.

BRUTE3 1

Algunos de los protocolos actuales que están completos y son compatibles son:

  • ssh
  • ftp
  • smtp
  • XMPP
  • instagram
  • facebook

También existirán implementaciones de diferentes protocolos y servicios incluidos Twitter, Facebook e Instagram.

Los profesionales nos dicen, que la instalación es muy simple. brut3k1t requiere varias dependencias, el programa las instalará si no las tiene.

  • argparse – utilizado para analizar argumentos de línea de comando
  • paramiko: utilizado para trabajar con conexiones SSH y autenticación
  • ftplib: utilizado para trabajar con conexiones FTP y autenticación
  • smtplib: utilizado para trabajar con conexiones SMTP (correo electrónico) y autenticación
  • fbchat – utilizado para conectarse con Facebook
  • selenio: utilizado para raspar la red, que se usa con Instagram (y más tarde con Twitter)
  • xmppy : utilizado para conexiones XMPP .

La descarga es simple. git clone https://github.com/ex0dus-0x/brut3k1t

Cambiar al directorio:

cd / path / to / brut3k1t

Hablaremos sobre el uso. Utilizar brut3k1t es más complicado que simplemente ejecutar un archivo de Python, comentan profesionales en seguridad informática. Al escribir python brut3k1t -h muestra el menú de ayuda.

BRUTE3 2

Los investigadores, nos dan algunos ejemplos de su uso, Craqueo del servidor SSH ejecutándose en 192.168.1.3 usando root y wordlist.txt como una lista de palabras.

python brut3k1t.py -s ssh -a 192.168.1.3 -u root -w wordlist.txt

Se establecerá automáticamente el puerto en 22, en caso de ser diferente, especifique con -p indicador.

Cracking email test@gmail.com con wordlist.txt en el puerto 25 con un retraso de 3 segundos. Para el correo electrónico, los expertos dicen que se debe usar la dirección del servidor SMTP. Como ejemplo, Gmail = smtp.gmail.com. Puedes investigar esto con Google.

python brut3k1t.py -s smtp -a smtp.gmail.com -u test@gmail.com -w word list.txt -p 25 -d 3

Cracking XMPP test@creep.im con wordlist.txt en el puerto 5222. XMPP es similar a SMTP, deberá proporcionar la dirección del servidor XMPP, creep.im.

python brut3k1t.py -s xmpp -a creep.im -u test -w wordlist.txt

Cracking Facebook es mas complicado, requerirá la ID de usuario objetivo, no el nombre de usuario.

python brut3k1t.py -s facebook -u 1234567890 -w wordlist.txt

Craqueo de Instagram con prueba de nombre de usuario con wordlist.txt y demora de 5 segundos

python brut3k1t.py -s instagram -u test -w wordlist.txt -d 5

Aquí dejaremos algunas notas para tomar en cuenta. Use este artículo para propósito educativo, así como para el código de aprendizaje y las prácticas orientadas a la seguridad.

En el caso donde no se proporciona el indicador de puerto -p, se usará el puerto predeterminado para ese servicio. No es necesario proporcionarlo para Facebook e Instagram, comenta el investigador de seguridad informática.

A falta de el indicador de retraso -d, el retraso predeterminado en segundos será 1.

Expertos dicen que use la dirección del servidor SMTP y la dirección del servidor XMPP para la dirección -a, para SMTP y XMPP, respectivamente.

Algunos protocolos no se basan en el puerto predeterminado. Un servidor FTP puede no estar en el puerto 21.