Month: May 2018

ENRUTADORES D-LINK DIR-620 CON VULNERABILIDADES CRÍTICAS

Posted on

Después de una investigación, profesionales en seguridad han encontrado una cuenta de puerta trasera en el firmware de los enrutadores D-Link DIR-620, esto permite a los actores maliciosos hacerse cargo de cualquier dispositivo accesible a través de Internet.

Este backdoor, fue encontrado por los expertos en seguridad informatica de Kaspersky Lab, el backdoor otorga acceso al panel web del dispositivo, y no hay manera de que los propietarios del dispositivo puedan deshabilitar esta cuenta.

router

La forma de proteger los dispositivos contra el hackeo es evitando que el enrutador exponga su panel de administración en la interfaz WAN y, por lo tanto, se puede acceder desde cualquier lugar de Internet.

Por ahora, los profesionales no han revelado el nombre de usuario y la contraseña de la cuenta de puerta trasera, esto para evitar abusos.

La cuenta de backdoor, CVE-2018-6213, es una de las cuatro vulnerabilidades encontradas por el equipo de seguridad informatica en el firmware de estos dispositivos. Los otros tres defectos incluyen:

  • CVE-2018-6210: una vulnerabilidad que permite a los atacantes recuperar credenciales de Telnet
  • CVE-2018-6211: un error que permite a los atacantes ejecutar comandos del sistema operativo a través de uno de los parámetros de URL del panel de administración
  • CVE-2018-6212: una vulnerabilidad de scripts entre sitios (XSS) reflejada en el campo del panel de administración “Búsqueda rápida” del enrutador

CVE-2018-6210 y CVE-2018-6213 fueron consideradas vulnerabilidades críticas, ya que permiten a los atacantes un acceso fácil al dispositivo.

router 1

Los dispositivos D-Link DIR-620 son modelos de enrutador algo antiguos y no hay muchos disponibles para explotar, lo que puede ser una buena noticia.

En general, estos dispositivos fueron implementados por proveedores de servicios de Internet de Rusia, la CEI y Europa del Este, como equipamiento en las instalaciones para clientes de banda ancha.

Se han podido encontrar a la mayoría de estos dispositivos, y los profesionales en seguridad informatica ya se han contactado con los ISP para reportar el problema.

De acuerdo con Kaspersky, la mayoría de los ISP han tomado acción a las advertencias y el acceso restringido a estos dispositivos en sus redes.

Los expertos en seguridad informatica también contactaron a D-Link sobre los problemas, pero la compañía comento que no tenía la intención de emitir actualizaciones de firmware para un modelo anterior.

En la investigación se probaron las siguientes versiones de firmware de DIR-620 y todos se vieron vulnerables en varios grados: 1.0.3, 1.0.37, 1.3.1, 1.3.3, 1.3.7, 1.4.0 y 2.0.22.

Advertisements

ATAQUE MIRAI LANZADO DESDE UNA EMPRESA MEXICANA

Posted on

Un nuevo ataque similar a Mirai surgió en México a principios de este mes, va dirigido a los enrutadores domésticos y las cámaras IP de la red óptica pasiva Gigabit. Un equipo de investigadores de seguridad informatica, detectó y realizo un forense digital.

mexico

De acuerdo a expertos, los ataques realizados del 8 al 10 de mayo, surgieron de 3,845 direcciones IP ubicadas en México y se enfocaron en enrutadores y cámaras web utilizando contraseñas predeterminadas. Una vez ingresado el dispositivo de IoT, los actores maliciosos usan las vulnerabilidades CVE-2018-10561 o CVE-2018-10562 para inyectar un malware que puede permitir la ejecución remota de código. Se utilizaron cuatro variantes del malware dirigidas a diferentes arquitecturas de procesador ARM, ARMv7, MIPS y MIPS little-endian.

Los profesionales utilizaron los Números de Sistema Autónomo (ASN) de los dispositivos IP atacados para rastrear la ubicación. Con esto se encontró ASN 8151, que pertenece a la empresa mexicana Uninet, de acuerdo con la herramienta de búsqueda ASN de Neustar. Además, los datos de WHOIS de las direcciones IP indican que son propiedad de la misma empresa mexicana.

Los expertos en seguridad informatica reiteraron los hechos de que los ataques como esta variante de Mirai pueden ser bloqueados a través de recursos bastante simples, como cambiar las credenciales de inicio de sesión predeterminadas y asegurándose de que un dispositivo de IoT esté ejecutando la versión más actualizada de su software.

EX INGENIERO DE LA CIA FILTRÓ A WIKILEAKS LAS HERRAMIENTAS DE HACKEO UTILIZADAS POR LA AGENCIA

Posted on Updated on

Un ex ingeniero de la CIA está siendo acusado de entregar los documentos de la serie Vault 7 a WikiLeaks.

El gobierno de Estados Unidos asegura haber identificado al actor malicioso que supuestamente robó un paquete de datos pertenecientes a la Agencia Central de Inteligencia (CIA) en donde se detallan herramientas de hackeo y campañas secretas de ciberespionaje dirigidas a gobiernos, usuarios insospechados y empresas de todo el mundo, comentaron investigadores de seguridad informatica.

cia

El personaje ha sido identificado como el ex ingeniero de la CIA de 29 años Joshua A. Schulte. Se cree que Schulte no solo robó datos sino que también se los entregó para se publicados a WikiLeaks.

De acuerdo a investigadores, las herramientas de hackeo ya han sido publicadas por WikiLeaks en su sitio web bajo el control de Vault 7. Los paquetes robados contenían 8,000 documentos y 943 archivos adjuntos que mostraban cómo la CIA desarrolló herramientas para hackear a sus objetivos y convertirlos en dispositivos de espionaje.

Ha sido publicada la lista de objetivos de CIA, es bastante amplia y cubre bastantes dispositivos, la lista incluye computadoras basadas en Windows, Linux y Mac, air-gapped PCs, cámaras de seguridad, smart TVs, navegadores web, iPhones y smartphones Android, webcams, auriculares, micrófonos, blocs de notas, reproductores de video, camiones y otros dispositivos conectados a Internet. Estos documentos mostraron la toda la capacidad de hackeo de la CIA.

Joshua A. Schulte no es ajeno a la CIA, trabajó para el Grupo de Desarrollo de Ingeniería de la agencia, ayudo al desarrolló malware y otras herramientas de hackeo para la inteligencia cibernética, comentaron investigadores en seguridad informatica. En 2016, Schulte abandonó la agencia y trabajo para una firma privada de software.

En 2017, una semana después de que WikiLeaks comenzara a publicar los documentos de Vault 7, el departamento de Schulte en fue allanado por FBI. Schulte no fue acusado formalmente, pero el FBI confisco su computadora personal, notas, cuadernos y pasaporte, lo que le prohibía abandonar el país.

En una declaración judicial, el abogado de los Estados Unidos Matthew Laroch comento que Schulte usó el navegador Tor para transferir información clasificada, pero, no se proporcionó evidencia. El navegador Tor permite a usuarios ocultar su dirección IP real y navegar de forma anónima, comentaron expertos en seguridad informatica.

Los abogados de Schulte han pedido a los fiscales que presenten una decisión final sobre los cargos relacionados con la filtración de Vault 7.

“Este caso ha venido arrastrando desde agosto de 2017”, dijo la abogada de Schulte, Sabrina P. Shroff. “Se exige que el gobierno entable una acusación para que el Sr. Schulte tenga la oportunidad de defenderse”.

Los profesionales en seguridad informatica dijeron, que cuando WikiLeaks publico los documentos de la serie Vault 7, se dudaba de si estos documentos eran auténticos. Edward Snowden y Wall Street Journal confirmaron su autenticidad, el gobierno investigó a uno de los ex ingenieros de la agencia sobre la fuga, lo que indica que la serie Vault 7 fue auténtica.

La lista de documentos es:

  • BothanSpy and Gyrfalcon: Steals SSH credentials from Linux & Windows devices
  • OutlawCountry and Elsa: Malware targeting Linux devices and tracking user geolocation
  • Brutal Kangaroo: CIA hacking tools for hacking air-gapped PCs
  • Cherry Blossom: CherryBlossom & CherryBomb: Infecting WiFi routers for years
  • Pandemic: A malware hacking Windows devices
  • AfterMidnight and Assassin: CIA remote control & subversion malware hacking Windows
  • Dark Matter: CIA hacking tool infiltrating iPhones and MacBooks
  • Athena: A malware targeting Windows operating system
  • Archimedes: A program helping CIA to hack computers inside a Local Area Network
  • HIVE: CIA implants to transfer exfiltrated information from target machines
  • Grasshopper: A malware payloads for Microsoft Windows operating systems
  • Marble: A framework used to hamper antivirus companies from attributing malware
  • Dark Matter: A CIA project that infects Apple Mac firmware
  • Highrise: An Android malware spies on SMS Messages
  • Aeris, Achilles, SeaPea: 3 malware developed by CIA targeting Linux and macOS
  • Dumbo Project: CIA’s project hijacking webcams and microphones on Windows devices
  • CouchPotato Tool: Remotely Collects Video Streams from Windows devices
  • ExpressLane implant: CIA Collected Biometric Data from Partner Agencies

IBM MEJORA SU SEGURIDAD Y PROHÍBE EL USO DE UNIDADES USB EN TODA LA COMPAÑIA

Posted on

Recientemente IBM prohibió todo el almacenamiento extraíble, en toda la empresa, esta es una nueva política que tiene el objetivo de evitar daños financieros y de reputación derivados de una unidad USB extraviada o mal utilizada.

Shamla Naidoo, directora general de seguridad informática de IBM, informo al personal en un correo electrónico interno que la compañía “está ampliando la práctica de prohibir la transferencia de datos a todos los dispositivos de almacenamiento portátiles extraíbles como podrían ser; USB, tarjeta SD y unidad flash”.

ibm ban

Algunas aéreas ya contaban con esta política pero, “en las próximas semanas estamos implementando esta política en todo el mundo”, dijo Naidoo.

Esta nueva política tiene un objetivo simple y bien justificado en un mundo lleno de violaciones de datos: “el posible daño financiero y reputacional debido a dispositivos de almacenamiento portátiles extraíbles extraviados, perdidos o mal utilizados debe minimizarse”, aclaró el CISO.

Hace un tiempo, Stuxnet fue escrito para “saltar” de una terminal a otra a través de unidades USB que se mueven entre ellas como vectores de ataque. Solo algunas de las redes a las que apuntaban estaban aisladas, lo que significa que no tenían acceso directo al mundo exterior. Para prevenir un evento así en sus redes, los profesionales de seguridad informática recomiendan dispositivos USB especializados para evitar que el malware se configure en unidades USB.

DEBES ACTUALIZAR 7-ZIP AHORA! VULNERABILIDAD CRITICA ENCONTRADA

Posted on

Hace apenas un par de meses, un experto en seguridad informática, apodado LANDAVE o Dave, encontró una vulnerabilidad de seguridad en la utilidad 7-Zip.

Un grupo de profesionales de seguridad informática comento, que 7-Zip contiene una enorme variedad de herramientas de descompresión de archivos que algunos usuarios instalan como una de sus más importantes aplicaciones complementarias de Windows.

7-Zip

7z sabe cómo extraer datos de la mayoría de los demás formatos de archivo y no solo es compatible con su propia marca de archivos mega comprimidos.

Los archivos ZIP, archivos gzip y bzip2, archivos Unix tar y cpio, archivos CAI y MSI de Windows, archivos DMG de Macintosh, imágenes de CD (ISO) y más, sumado con una interfaz opcional de administración de archivos de dos paneles que es perfecta para la vieja escuela.

Los expertos en seguridad informática dicen que 7-Zip incluye soporte para archivos RAR, y es ahí donde está la vulnerabilidad, se cree que es heredada del código fuente abierta de la herramienta UnRAR.

7-Zip ya ha sido parcheado contra este error, CVE-2018-10115, ahora LANDAVE ha hecho públicos los detalles de su hallazgo, y lo que implicó averiguar qué tan grave podría ser esta vulnerabilidad.

Dave dijo, que el problema surgió de un conflicto común entre complejidad y seguridad. El profesional comento que el código UnRAR es muy complejo, admite variedades de diferente nivel y formato de compresión, esto incluye un tipo especial de sistema de compresión que enlaza archivos antes de comprimirlos, lo que con frecuencia exprime más bytes de los datos comprimidos que aplasta cada archivo de forma independiente.

En el formato de archivo RAR se incluye esta solid option ya que mejora la compresión al permitir coincidencias de cadenas repetidas incluso si están en archivos diferentes, en lugar de restringir los fragmentos de datos repetidos a un archivo. Cuando tiene varios archivos pequeños pero similares, por ejemplo, esto da como resultado que se encuentren muchas coincidencias de cadena más repetidas, y se aumenta la relación de compresión.

Lo que el profesional en seguridad informática encontró es que el código de descompresión UnRAR, tal como lo usa 7-Zip, no se configura de manera segura cuando comenzó a usarlo, lo que nos dice, que su software podría inocentemente llevar a una falla grave en el código RAR.

En otras palabras, algunas variables no inicializadas en el código UnRAR abrió la posibilidad de crear un archivo de almacenamiento trampa que engañaría al código UnRAR para que ejecute un código oculto en la parte de datos del archivo trampa.

Este código entra furtivamente ya que los datos se conocen como shellcode.

Estos errores que permiten la ejecución de Shellcode son conocidos como vulnerabilidades de ejecución remota de código (RCE), un actor malicioso puede usar un archivo, para ejecutar malware en su computadora, incluso si solo abre el archivo booby-atrapped y lo mira.

Dave también creó un exploit de prueba de concepto (PoC) que demostraba cómo crear un archivo RAR que era furtivo e inesperadamente inicia la aplicación Calculadora.

El investigador de seguridad informática comento, que si un PoC puede mostrar CALC.EXE sin avisar, podría modificarse para ejecutar cualquier comando, incluido el malware, de forma invisible para el usuario.

El objetivo de Dave de construir un exploit que funcionara se hizo más fácil porque las aplicaciones que se incluyen con 7-Zip habían sido creadas sin soporte para la distribución aleatoria del espacio de direcciones (ASLR).

Las herramientas 7-Zip siempre se cargaran en las mismas direcciones, mejorando los exploits porque los atacantes pueden predecir qué fragmentos prácticos de código ejecutable ya se cargarían, y dónde, comento el profesional en seguridad informática.

Ahora, en algunas buenas noticias, el creador de 7-Zip no solo parcho la vulnerabilidad de variable no inicializada (CVE-2018-10115) en el producto, sino que también para compilar la versión actualizada con ASLR habilitado. Estos cambios fueron lanzados hace una semana en 7-Zip versión 18.05.

El experto en seguridad informática nos da unas recomendaciones de que hacer:

Si eres usuario de 7-Zip, asegúrate de usar la última versión.

Si es un programador de Windows, no envíe ningún software que no sea compatible con ASLR. Usando Visual Studio, puede compilar con la opción / DYNAMICBASE.

Si es un programador, al crear objetos nuevos: inicialice los campos de datos con valores seguros y razonables.

REALIZA ATAQUES DE FUERZA BRUTA A SSH, SMTP, FACEBOOK E INSTAGRAM- BRUT3K1T

Posted on

Como introducción, brut3k1t es un módulo bruteforce del lado del servidor que admite ataques de diccionario para diversos protocolos, comentan expertos en seguridad informática.

BRUTE3 1

Algunos de los protocolos actuales que están completos y son compatibles son:

  • ssh
  • ftp
  • smtp
  • XMPP
  • instagram
  • facebook

También existirán implementaciones de diferentes protocolos y servicios incluidos Twitter, Facebook e Instagram.

Los profesionales nos dicen, que la instalación es muy simple. brut3k1t requiere varias dependencias, el programa las instalará si no las tiene.

  • argparse – utilizado para analizar argumentos de línea de comando
  • paramiko: utilizado para trabajar con conexiones SSH y autenticación
  • ftplib: utilizado para trabajar con conexiones FTP y autenticación
  • smtplib: utilizado para trabajar con conexiones SMTP (correo electrónico) y autenticación
  • fbchat – utilizado para conectarse con Facebook
  • selenio: utilizado para raspar la red, que se usa con Instagram (y más tarde con Twitter)
  • xmppy : utilizado para conexiones XMPP .

La descarga es simple. git clone https://github.com/ex0dus-0x/brut3k1t

Cambiar al directorio:

cd / path / to / brut3k1t

Hablaremos sobre el uso. Utilizar brut3k1t es más complicado que simplemente ejecutar un archivo de Python, comentan profesionales en seguridad informática. Al escribir python brut3k1t -h muestra el menú de ayuda.

BRUTE3 2

Los investigadores, nos dan algunos ejemplos de su uso, Craqueo del servidor SSH ejecutándose en 192.168.1.3 usando root y wordlist.txt como una lista de palabras.

python brut3k1t.py -s ssh -a 192.168.1.3 -u root -w wordlist.txt

Se establecerá automáticamente el puerto en 22, en caso de ser diferente, especifique con -p indicador.

Cracking email test@gmail.com con wordlist.txt en el puerto 25 con un retraso de 3 segundos. Para el correo electrónico, los expertos dicen que se debe usar la dirección del servidor SMTP. Como ejemplo, Gmail = smtp.gmail.com. Puedes investigar esto con Google.

python brut3k1t.py -s smtp -a smtp.gmail.com -u test@gmail.com -w word list.txt -p 25 -d 3

Cracking XMPP test@creep.im con wordlist.txt en el puerto 5222. XMPP es similar a SMTP, deberá proporcionar la dirección del servidor XMPP, creep.im.

python brut3k1t.py -s xmpp -a creep.im -u test -w wordlist.txt

Cracking Facebook es mas complicado, requerirá la ID de usuario objetivo, no el nombre de usuario.

python brut3k1t.py -s facebook -u 1234567890 -w wordlist.txt

Craqueo de Instagram con prueba de nombre de usuario con wordlist.txt y demora de 5 segundos

python brut3k1t.py -s instagram -u test -w wordlist.txt -d 5

Aquí dejaremos algunas notas para tomar en cuenta. Use este artículo para propósito educativo, así como para el código de aprendizaje y las prácticas orientadas a la seguridad.

En el caso donde no se proporciona el indicador de puerto -p, se usará el puerto predeterminado para ese servicio. No es necesario proporcionarlo para Facebook e Instagram, comenta el investigador de seguridad informática.

A falta de el indicador de retraso -d, el retraso predeterminado en segundos será 1.

Expertos dicen que use la dirección del servidor SMTP y la dirección del servidor XMPP para la dirección -a, para SMTP y XMPP, respectivamente.

Algunos protocolos no se basan en el puerto predeterminado. Un servidor FTP puede no estar en el puerto 21.

MONITOREA CUALQUIER SERVIDOR CON ESTA HERRAMIENTA: YAMOT

Posted on

Un experto nos explica que yamot es una herramienta de monitoreo de servidores basada en la web creada para entornos pequeños con solo unos pocos servidores. El profesional de seguridad informática también comentó que la herramienta requiere un mínimo de recursos, lo que permite la ejecución en casi todas las máquinas, incluso en las más antiguas. El yamot (Yet Another MOnitoring Tool) funciona mejor con Linux o BSD, ya que Windows no forma parte del alcance del servidor.

yamot 1

Los investigadores dijeron que podría usarlo, por ejemplo, para controlar sus servidores Raspberry Pi que se ejecutan en casa. Solo requiere unos pocos pasos de configuración y luego muestra los datos de medición del servidor más relevantes en su navegador:

  • Carga del sistema
  • Uso de memoria
  • Uptime / Boot Time
  • Costos (calculados)
  • Batería (por ejemplo, para controlar un dispositivo móvil)
  • Fuerza de la señal WiFi
  • Temperaturas
  • Procesador (núcleos, velocidad, usos, etc.)
  • Sistema (Distro, Versión, Arquitectura, etc.)
  • Servicios de red (puertos de escucha abiertos)
  • Dispositivos de red y direcciones
  • Interfaces de red IO (bytes enviados / recibidos)
  • Uso del almacenamiento en disco (espacio usado y total)
  • Dispositivo de disco IO (bytes leídos / escritos)
  • Usuarios conectados (nombre, fecha de inicio de sesión, etc.)

Toda esta información se muestra en tiempo real en una página para ofrecer una visión general sin complicaciones. Si busca algo grande, rico en funciones y escalable, esta no es su herramienta. Para una solución de negocios, los expertos recomiendan Nagios.

La arquitectura está dividida en tres partes:

Componente del servidor

Este componente debe ejecutarse en el sistema del servidor que desea supervisar. Básicamente es un servidor web simple. Por razones de seguridad, tiene acceso de solo lectura al sistema. La autenticación se realiza a través de HTTP Basic Auth, el profesional de seguridad informática recomienda NO utilizarlo en redes que no sean de confianza.

El componente del servidor proporciona solo datos en tiempo real. No hay tareas de fondo cíclico u otras cosas en ejecución que ocupen el procesador / memoria / disco. Si no accede al servidor, no necesitará casi ningún recurso. El servidor está construido con Python3, que necesita ser instalado. El puerto del servidor predeterminado es 9393.

Componente del controlador

Un servidor necesita tener el rol adicional del controlador. El controlador también es solo un servidor web que proporciona una REST-API para administrar la aplicación.

Para este componente, la autenticación también se realiza a través de HTTP Basic Auth, por lo que NO se debe utilizar en redes que no sean de confianza. El controlador está construido con node.js y express.js. Si no los tiene instalados, también puede usar Docker-Image llamada prod. El puerto predeterminado del controlador es 8080.

Componente del cliente

Finalmente, el cliente representa la página web y recibe el servicio del Controlador, en el puerto 8080. El cliente está construido con Angular, algunos Bootstrap CSS y un subconjunto de FontAwesome Icons. Un ciclo de actualización para mostrar datos nuevos, cada 3 segundos por valor predeterminado, genera la solicitud de todos los servidores para obtener actualizaciones de los datos medidos.

yamot 2

Empezando

Antes de la instalación: pruébelo en la ventana acoplable, hay varias imágenes acoplables disponibles. Solo prueba la imagen de demostración para obtener una primera impresión.

yamot 3

Docker

Hay tres imágenes acoplables que siguen varios propósitos. Todas las imágenes deben construirse a partir del archivo docker correspondiente. Solo use los guiones de shell adicionales.

Build: Transpila el código del cliente y del controlador en la carpeta dist en un entorno coherente, no es necesario construir el servidor

Prod: Contiene el controlador y el cliente para un uso productivo, solo agrega el contenedor a la infraestructura de tu docker

Demo: Contiene todos los componentes para mostrar cómo se supone que la aplicación funciona

URL: http: // localhost: 8080 /

Credenciales de acceso:

Nombre de usuario: yamot

Contraseña: test123

El experto en seguridad informática dijo que el contenedor de docker se mide y también un servidor ficticio produce datos aleatorios. Todos los cambios se revertirán en el siguiente inicio del contenedor, por lo que puede probarlo fácilmente.