This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - Dragora

Pages: [1] 2 3 ... 110
1

Vaya que Gitlab ha dado de que hablar durante los últimos días y tal parece que el encontrar la forma en como reducir costos no solo ha tratado de modificar algunos aspectos en las cuentas de los usuarios, pues hace poco tenía en mente el eliminar repositorios con más de un año de inactividad, decisión que causo que la comunidad se dividiera.

Pero esto no es para preocuparse, pues a los pocos días GitLab se retractó de su apuesta y decidió tratar de reducir costos de otra forma más inteligente.

Y ahora, otro movimiento por parte de Gitlab ha sorprendido a muchos, pues antes de pandemia la plataforma ya tenía implementado el trabajo remoto entre varios de sus empleados, a lo cual ya con más de dos años trabajado de esta forma se ha visto reflejado en sus bolsillos.

Ya que la disposición en relación con la gestión de las computadoras del equipo de TI que despierta la decisión de GitLab de prohibir el uso de Windows para estos últimos.

La empresa cita varias razones, incluido el costo de las licencias y el aspecto de seguridad. Dado que Gitlab es una plataforma basada en la web, las contradicciones se relacionan con las posibilidades de prueba disponibles para los miembros del equipo de TI en varios navegadores, incluido Microsoft Edge.

“Debido al dominio de Windows en los sistemas operativos de escritorio, Windows es la plataforma más atacada por spyware, virus y ransomware. macOS viene preinstalado en las computadoras Apple y Linux está disponible de forma gratuita.

Para aprobar el uso de Windows, GitLab debe comprar licencias de Windows Professional, ya que Windows Home Edition no cumple con las pautas de seguridad de GitLab. Dado que muchas compras de computadoras portátiles fueron realizadas por empleados que luego fueron reembolsados ​​por GitLab, un empleado remoto generalmente compra una computadora portátil preinstalada con Windows Home Edition. Windows Home Edition es notoriamente difícil de proteger”,

La maniobra tiene sentido para algunos que creen que permite a los miembros del equipo de TI de Gitlab centrarse en su trabajo en lugar del aspecto de seguridad. Otros son más de la opinión de que Gitlab también podría haber optado por la provisión (de miembros de su equipo de TI) de computadoras más adecuadas para uso corporativo.

Nuestro único proveedor de computadoras portátiles con Linux aprobado en este momento es Dell . Estas computadoras portátiles generalmente vienen precargadas con Ubuntu Linux para ahorrar dinero en licencias de Windows no utilizadas. Dell actualmente no vende computadoras portátiles con Linux preinstalado en Australia y Nueva Zelanda; el personal deberá instalar Linux ellos mismos.

Los desarrollos actuales también mencionan la posibilidad de que los miembros del equipo de TI de Gitlab utilicen una máquina virtual de Windows dentro de un host de Linux.

De hecho, la decisión de Gitlab no es nada nuevo. Google debe haberse abierto a macOS y Linux de la misma manera en el pasado. La decisión siguió después del hackeo de las instalaciones de Google China (basadas en PC con Windows) en 2010.

«Abandonamos las PC con Windows en favor del sistema operativo macOS luego de los ataques de piratas informáticos en China», dijo un gerente que agregó que «los empleados tienen la opción de usar ordenadores con Linux como sistema operativo.

Por la parte de los navegadores web cabe mencionar que tambien hay diferentes puntos de vista sobre los existentes, pero básicamente son Chrome, navegadores basados en Chromium (chrome) y Firefox. La cuestión de tocar el tema de los navegadores es que en Chrome, por ejemplo, no se muestra los elementos del menú de manera idéntica en diferentes sistemas operativos. Además, algunas reglas de estilo de selección se interpretan de manera diferente según la plataforma en la que se ejecuta el navegador.

Por último cabe mencionar que GitLab aprueba el uso de Mac o Linux entre los empleados de sus filas, ademas de que de momento menciona que solo Dell es el único proveedor aprobado para poder adquirir equipos con Linux preinstalado.

Fuente: You are not allowed to view links. Register or Login

2

Anteriormente compartimos la noticia sobre que GitLab planeaba modificar sus términos de servicio para el próximo mes (en septiembre), según los cuales los proyectos alojados en cuentas gratuitas de GitLab.com se eliminarán automáticamente si sus repositorios permanecen inactivos durante 12 meses.

Y ahora GitLab ha revertido su decisión de eliminar automáticamente los proyectos que han estado inactivos durante más de un año y pertenecen a sus usuarios de nivel gratuito y que planeaba introducir la política a finales de septiembre. La empresa esperaba que la medida le permitiera ahorrar hasta un millón de dólares al año y ayudar a que su negocio de SaaS fuera sostenible.

Geoff Huntley, un defensor del código abierto, describió la política como «absolutamente descabellada». «El código fuente no ocupa mucho espacio en disco», dijo. “Que alguien elimine todo este código es la destrucción de la comunidad. Destruirán su marca y su buena voluntad”.

«La gente aloja su código allí porque existe la idea de que estará disponible para el público en general para reutilizarlo y mezclarlo», agregó. «Por supuesto, no hay garantía de que siempre estará alojado allí, pero las reglas no escritas del código abierto son que el código está disponible y no lo eliminas».

«Tuvimos mantenedores que extrajeron el código y hubo una gran indignación de la comunidad por eso», dijo, señalando que otros proyectos que dependen de un producto eliminado sufrirán.

“No todas las dependencias pueden compilar”, lamentó.

Sobre el caso GitLab se ha negado repetidamente a comentar sobre su plan de eliminación, y hace unas horas, la empresa, que no desmintió la información de The Register, pero no menciono nada al respecto, solo tuiteó que archivaría los proyectos inactivos en el almacenamiento de objetos:

«Hemos discutido internamente qué hacer con los repositorios inactivos. Tomamos la decisión de trasladar los depósitos no utilizados al almacenamiento de elementos. Una vez implementados, seguirán siendo accesibles, pero tardará un poco más en acceder después de un largo período de inactividad”.

El almacenamiento de objetos es una estrategia para administrar y manipular el almacenamiento de datos como unidades separadas denominadas «objetos». Estos objetos se guardan en un almacén, sin adjuntarse a archivos ubicados en otras carpetas. El almacenamiento de objetos combina los datos que componen los archivos, luego procesa todos los metadatos relevantes antes de asignarles un identificador personalizado.

“Los documentos que hemos visto informaron al personal de una reunión interna programada para el 9 de agosto. La agenda de la reunión describe el plan para eliminar repositorios de códigos inactivos, describiéndolo de la siguiente manera*:

Mencionan que después del 22 de septiembre de 2022, se implementara la política de retención de datos para usuarios gratuitos. Esta rutina limitará la cantidad de meses que un proyecto gratuito puede permanecer inactivo antes de que se elimine automáticamente junto con los datos que contiene.

Se menciona que el tweet de GitLab puede, a los ojos de algunos internautas, contradecir su propia notificación del personal:

“Otros documentos internos que hemos visto mencionan el posible uso de almacenamiento de objetos para archivar proyectos, pero les preocupa que esto aumente los costos de GitLab al crear la necesidad de múltiples copias de seguridad redundantes.

“También vimos discusiones internas que confirmaron que el código de automatización para eliminar proyectos inactivos estaba completo a fines de julio y estaba listo para implementarse después de meses de discusión y trabajo de desarrollo.

“Una de nuestras fuentes nos dijo esta tarde que fue la presión en línea, liderada por nuestros informes, lo que obligó al rival de GitHub a repensar drásticamente su forma de pensar. La noticia de la política de eliminación como un ejercicio para ahorrar dinero provocó furor en Twitter y Reddit”.

De todos modos, el tweet de GitLab fue bien recibido pero también planteó algunas otras preguntas*:

“Si solo el propietario puede recuperarlo, ¿ha pensado en el caso profundamente desafortunado en el que muere un gerente de proyecto y su código se vuelve inaccesible un año después de que cesa su actividad en el sitio*? »

El CEO de GitLab, Sid Sijbrandij, ofreció más información sobre sus planes en el siguiente tweet:


Sin embargo, la empresa se negó a responder a las solicitudes de información de los medios estadounidenses que publicaron esta información.

Fuente: You are not allowed to view links. Register or Login

3

Palo Alto Networks ha emitido una advertencia de seguridad sobre una vulnerabilidad de alta gravedad explotada activamente que afecta a PAN-OS, el sistema operativo utilizado por los productos de hardware de red de la empresa.

El problema, rastreado como CVE-2022-0028 (CVSS v3 – 8.6), es una configuración incorrecta de la política de filtrado de URL que podría permitir que un atacante remoto no autenticado lleve a cabo ataques de denegación de servicio (DoS) TCP amplificados.

Las versiones de PAN-OS vulnerables a esta vulnerabilidad son las siguientes:

PAN-OS antes de 10.2.2-h2 (parche ETA: la próxima semana)
PAN-OS anterior a 10.1.6-h6 (parche disponible)
PAN-OS antes de 10.0.11-h1 (parche ETA: la próxima semana)
PAN-OS antes de 9.1.14-h4 (parche ETA: la próxima semana)
PAN-OS antes de 9.0.16-h3 (parche ETA: la próxima semana)
PAN-OS antes de 8.1.23-h1 (parche ETA: la próxima semana)

Usando la vulnerabilidad, un pirata informático podría utilizar un dispositivo PAN-OS de Palo Alto Networks para ataques DDoS, ofuscando la IP original del actor de la amenaza y haciendo que la remediación sea más desafiante. Los actores de amenazas podrían usar estos ataques para diversos comportamientos maliciosos, como la extorsión o para interrumpir las operaciones comerciales de una empresa.

Palo Alto Networks afirma que descubrieron esta vulnerabilidad después de que se les notificó que uno de sus dispositivos se estaba utilizando como parte de un intento de ataque de denegación de servicio reflejado (RDoS), lo que significa que el error se usa activamente en los ataques.

Sin embargo, el proveedor afirma que CVE-2022-0028 no afecta la confidencialidad, integridad o disponibilidad de los productos, por lo que el potencial de ataque se limita a DoS.

Requisitos previos de vulnerabilidad

Las versiones vulnerables de PAN-OS se ejecutan dentro de dispositivos PA-Series, VM-Series y CN-Series, pero el exploit solo funciona cuando se aplican las siguientes tres condiciones:

1. La política de seguridad en el firewall que permite que el tráfico pase de la Zona A a la Zona B incluye un perfil de filtrado de URL con una o más categorías bloqueadas.

2. La protección contra ataques basada en paquetes no está habilitada en un perfil de Protección de zona para la Zona A, incluidos ambos (Protección contra ataques basada en paquetes > Descarte de TCP > Sincronización de TCP con datos) y (Protección contra ataques basada en paquetes > Descarte de TCP > Eliminar opciones de TCP > Apertura rápida de TCP ).

3. La protección contra inundaciones a través de cookies SYN no está habilitada en un perfil de Protección de zona para la Zona A (Protección contra inundaciones > SYN > Acción > Cookie SYN) con un umbral de activación de 0 conexiones.

Como comenta el aviso de seguridad, la primera configuración del cortafuegos es inusual y, por lo general, se debe a un error de administración, por lo que la cantidad de puntos finales vulnerables debería ser pequeña.

"Las políticas de filtrado de URL están destinadas a activarse cuando un usuario dentro de una red protegida solicita visitar sitios peligrosos o no permitidos en Internet en el tráfico destinado a Internet", explica el aviso.

"Tal filtrado de URL no está destinado a usarse en la otra dirección para el tráfico que proviene de Internet a la red protegida".

"El filtrado de URL en esa dirección no ofrece beneficios. Por lo tanto, cualquier configuración de firewall que esté haciendo esto probablemente no sea intencional y se considere una configuración incorrecta".

Si bien se requiere una configuración incorrecta para usar de forma remota un dispositivo PAN-OS para realizar ataques RDoS, Palo Alto Networks está solucionando el error para evitar que se abuse tanto de forma remota como interna.

Dado que una actualización de seguridad no está disponible para la mayoría de las sucursales de la versión PAN-OS, se recomienda a los administradores del sistema que se aseguren de que no se cumpla al menos uno de los tres requisitos previos.

El proveedor recomienda aplicar una solución alternativa de protección contra ataques basada en paquetes para mitigar el problema, para lo cual tienen una guía técnica detallada.

Fuente: You are not allowed to view links. Register or Login

4

La mayoría de las aplicaciones de redes sociales incluyen un navegador interno que se abre automáticamente cuando pulsamos sobre un link. De esta forma, si estamos en Instagram o Facebook, no tenemos que dirigirnos al navegador de nuestro teléfono para visitar una web externa. Sin embargo, parece que hacer uso del navegador interno de estas apps es como visitar una ciudad sin ley.
Tal y como se ha podido descubrir, los navegadores internos de las apps de Meta inyectan código de JavaScript en cualquier página que visitemos con ellos, permitiendo que la compañía pueda monitorizar nuestra actividad.

Otra manera más para sugerirnos "anuncios personalizados"

Ha sido Felix Krause, investigador independiente, quien ha descubierto el funcionamiento de los navegadores internos de dichas apps. Tal y como comenta en su blog, se dio cuenta de que la app de Instagram inyecta código para rastrear nuestra actividad en cualquier sitio web que abramos con el navegador interno de la app. De esta forma, cualquier enlace que abramos, selección de texto, capturas de pantalla, o formularios, pueden ser monitorizados por la compañía.

Su investigación la ha llevado a cabo a partir de la versión de Facebook e Instagram para iOS. Desde iOS 14.5, este sistema operativo advierte a los usuarios de que las apps pueden monitorizar nuestra actividad a través de una notificación cuando abrimos la app por primera vez. Es en el propio mensaje que nos aparece al inicio cuando podemos obligar a la aplicación que no rastree nuestra actividad. De hecho, Facebook admitió que esta simple notificación les hizo perder unos 10.000 millones de dólares solo este año.

El hecho de que Meta monitorice la actividad del usuario a través del navegador interno de sus apps es una medida más para obtener información del usuario y utilizarla "para fines publicitarios o de medición dirigida," según comentó un portavoz de la compañía al medio The Guardian.

El código inyectado permite a Meta agregar eventos de conversión desde los propios píxeles de la pantalla, para así poder recopilar toda la información. Según afirman desde la compañía, necesitan el consentimiento del usuario cuando se está realizando una compra desde el navegador interno de la aplicación y así autocompletar con los datos guardados para futuras ocasiones.

Evita usar el navegador interno de las apps

Tal y como afirma Krause en su blog, El hecho de que Meta inyecte código en el navegador no tiene por qué significar que recopilen información privada del usuario. Eso sí, en caso de que nos preocupen este tipo de medidas, siempre podemos optar a utilizar el navegador propio del teléfono, ya que de esta forma no es posible inyectar código de la manera en la que lo hace Meta.

Lo interesante de todo es que WhatsApp no inyecta código JavaScript de la forma en la que lo hacen Instagram y Facebook, y debido a esto, Kreuse sugiere que Meta debería hacer lo mismo con estas apps.

Fuente: You are not allowed to view links. Register or Login

5

Es sorprendente la cantidad de Remixes que están apareciendo en los últimos años. El primer Remix que conocí fue Ubuntu MATE, que no recuerdo tener ese "apellido". Sí, lo llevó el último en entrar a la familia Ubuntu, Ubuntu Budgie, y desde entonces han aparecido Ubuntu Cinnamon, UbuntuDDE, Ubuntu Unity, Ubuntu Web y Ubuntu Lumina (de este último nunca se supo). Ahora hay otro nuevo remix: Ubuntu Sway .

Los administradores de ventanas son muy populares entre quienes los prueban. Uno de los más utilizados es i3wm , pero es de esperar que acaben abandonándolo cuando Wayland tome más protagonismo. La evolución del mismo es Sway, otro "administrador de ventanas" que es en su mayoría compatible con i3, pero se diferencia de él principalmente en que usa Wayland y no X11 . Además, tiene una estética un poco más cuidada, pero hace tanto tiempo que no existe y hay cosas que tiene que mejorar.

Ubuntu Sway Remix, ya disponible


Ubuntu Sway, del que ya está disponible la versión Jammy Jellyfish, lleva el apellido “Remix”, lo que significa que pretende entrar en la familia Canonical. Pero no lo parece. Es gratuito , incluso Firefox está en la versión DEB que ofrece Mozilla desde su repositorio oficial. Aunque otros sabores ya lo hacen, su instalador es Calamares, una buena decisión por su parte.

Muchas de las aplicaciones incluidas en Ubuntu Sway son para el terminal, lo que se conoce como CLI. Entre ellos podemos encontrar Htop, que nos ayuda a ver el consumo de recursos, entre otras cosas. También incluye otros como MPV, LibreOffice, Thunar o Thunderbird. Es Ubuntu por dentro, pero con el administrador de ventanas Sway y una selección de aplicaciones con el rendimiento en mente Sin olvidar la productividad.

Al igual que i3, el administrador de ventanas Ubuntu Sway funciona principalmente (si no todo) con el teclado. Este es un problema para aquellos que no lo saben, pero el problema se minimiza cuando tenemos una chuleta como parte del fondo de pantalla (se puede quitar). En ella vemos que podemos abrir una terminal con GOAL+ Intro, cerrar cualquier app con GOAL++ o cambiar entre escritorios con Shift+ Números. Entre los atajos también vemos cómo hacer capturas de pantalla, tanto de fotos como de vídeos.Q GOAL.

Ubuntu Sway no tiene una base ni nada por el estilo, pero tiene algo así como un panel superior. Desde él podemos acceder a algunos widgets, como el de volumen, o cambiar de escritorio con el ratón, algo que no sé si será necesario cuando le cojas el truco. Para iniciar aplicaciones , simplemente búsquelas presionando GOAL+ Do haga clic en el ícono del cohete, que abre el cajón de la aplicación.

No tiene centro de software , sino “Paquetes”, el gestor de paquetes de GNOME (varias apps son de GNOME), con ciertas similitudes con lo que vemos en Synaptic o en lo que usa el sistema operativo Raspberry Pi. Y hablando del plato de frambuesa, hay una imagen para que se use en él.

Lo mejor para usuarios avanzados

Aunque, para ser fiel a la verdad, nos hemos encontrado con un bug que no nos ha gustado mucho. Al intentar instalarlo en una máquina virtual, aunque se elige el teclado español y vemos arriba su distribución, no aplica en Calamares, por lo que después hay que tirar de terminal para ponerlo en español . Esto es lo que tienen este tipo de gestores de ventanas, que hay configuraciones que no están hechas con herramientas con interfaz de usuario, por lo que pueden desanimar a algunos usuarios.

Lo bueno de Ubuntu Sway es que está basado en Ubuntu, y que ahora mismo estamos ante la primera versión que ya ha salido con la numeración 20.04.1. Es seguro que mejorará con el tiempo . Por otro lado, hay que tener en cuenta cuáles son este tipo de remixes: aunque los hay que tienen un equipo completo detrás y ofrecen un buen soporte, también los hay con equipos pequeños, y podrían abandonar el proyecto en cualquier momento. tiempo. Un ejemplo es el de Lumina, y otro que pende de un hilo es el de UbuntuDDE, que aún no ha sacado su versión Jammy Jellyfish. Eso sí, para los que formatean cada seis meses, son una alternativa, y quién sabe, podrían hacerse oficiales.

Fuente: You are not allowed to view links. Register or Login

6

Recientemente se dio a conocer información sobre un nuevo ataque a los procesadores Intel, denominado «AEPIC Leak» (ya catalogado bajo CVE-2022-21233), este nuevo ataque conduce a la fuga de datos sensibles de enclaves aislados de Intel SGX (Software Guard eXtensions).

A diferencia de los ataques de la clase Spectre, una fuga en AEPIC Leak ocurre sin el uso de métodos de recuperación de terceros, ya que la información sobre datos confidenciales se transmite directamente al obtener el contenido de los registros reflejados en la memoria MMIO (Memory Mapped I/O). página.

En general, el ataque permite determinar los datos transferidos entre las cachés del segundo y último nivel , incluidos los contenidos de los registros y los resultados de las operaciones de lectura de memoria, que previamente se procesaban en el mismo núcleo de la CPU.

El escaneo de direcciones de E/S en las CPU Intel basadas en la microarquitectura Sunny Cove reveló que el controlador local de interrupción programable avanzado (APIC) en memoria de los registros asignados no
se inicializó correctamente.Como resultado, la lectura arquitectónica de estos registros devuelve datos obsoletos de la microarquitectura, por lo que no se pueden leer datos transferidos entre L2 y el caché de último nivel a través de estos registros.

Como el espacio de direcciones de E/S solo es accesible para usuarios privilegiados , ÆPIC Leak Targets Intel's TEE, SGX . ÆPIC puede filtrar datos de enclaves SGX que se ejecutan en el mismo núcleo físico. Si bien ÆPIC Leak representaría una inmensa amenaza en entornos virtualizados, los hipervisores generalmente evitan que los registros locales de APIC se expongan a las máquinas virtuales, lo que elimina la amenaza en escenarios basados ​​en la nube.

Similar al ataque de ejecución transitoria anterior dirigido a SGX, ÆPIC Leak es más efectivo cuando se ejecuta en paralelo al enclave en el hiperproceso hermano. Sin embargo, la fuga de ÆPIC no requiere hiperprocesamiento y también puede filtrar datos de enclave si el hiperprocesamiento no está disponible o está deshabilitado.

Presentamos dos nuevas técnicas para filtrar datos en uso, es decir, valores de registro de enclave y datos en reposo, es decir, datos almacenados en la memoria de enclave. Con Cache Line Freezing, presentamos una técnica que ejerce presión específica sobre la jerarquía de caché sin sobrescribir los datos obsoletos...
Estas líneas de caché aún parecen viajar a través de la jerarquía de caché, pero no sobrescriben los datos obsoletos. Para ello, registramos fugas de valores de línea de caché en el área de estado seguro (SSA).

La segunda técnica, Enclave Shaking, aprovecha la capacidad del sistema operativo para intercambiar páginas de enclave de forma segura. Al intercambiar alternativamente las páginas del enclave, las páginas almacenadas en caché fuerzan los datos a través de la jerarquía de caché, lo que permite que ÆPIC filtre valores sin siquiera continuar con la ejecución del enclave. Aprovechamos ÆPIC Leak en combinación con
Cache Line Freezing y Enclave Shaking para extraer claves AES-NI y RSA de la biblioteca Intel IPP e Intel SGX. Nuestro ataque filtra la memoria del enclave a 334,8 B/s y una tasa de aciertos del 92,2 %.

Dado que el ataque requiere acceso a las páginas físicas del APIC MMIO , es decir, se requieren privilegios de administrador, el método se limita a atacar enclaves SGX a los que el administrador no tiene acceso directo .

Los investigadores han desarrollado un conjunto de herramientas que permite, en pocos segundos, determinar las claves AES-NI y RSA almacenadas en SGX, así como las claves de atestación de Intel SGX y los parámetros del generador de números pseudoaleatorios. El código del ataque está publicado en GitHub.

Intel anunció que está preparando una solución en forma de una actualización de microcódigo que agrega soporte para el lavado de búfer y agrega medidas adicionales para proteger los datos del enclave.

También se ha preparado una nueva versión del SDK para Intel SGX con cambios para evitar fugas de datos. Se alienta a los desarrolladores de SO e hipervisores a usar el modo x2APIC en lugar del modo xAPIC heredado, que usa registros MSR en lugar de MMIO para acceder a los registros APIC.

El problema afecta a las CPU Intel de 10.ª, 11.ª y 12.ª generación (incluidas las nuevas series Ice Lake y Alder Lake) y se debe a una falla arquitectónica que permite el acceso a los datos no inicializados que quedan en las CPU. Registros APIC (Advanced Programmable Interrupt Controller) de operaciones anteriores.


Fuente: You are not allowed to view links. Register or Login

7

Hasta 29 modelos diferentes de enrutadores de DrayTek han sido identificados como afectados por una nueva vulnerabilidad crítica de ejecución remota de código no autenticado que, si se explota con éxito, podría comprometer completamente el dispositivo y el acceso no autorizado a la red más amplia.

"El ataque se puede realizar sin la interacción del usuario si la interfaz de administración del dispositivo se ha configurado para estar orientada a Internet", dijo Philippe Laulheret, investigador de Trellix . "También se puede realizar un ataque con un solo clic desde dentro de la LAN en la configuración predeterminada del dispositivo".

Archivada bajo CVE-2022-32548, la vulnerabilidad recibió la calificación de gravedad máxima de 10.0 en el sistema de puntuación CVSS, debido a su capacidad para permitir que un adversario tome el control de los enrutadores por completo.

En esencia, la deficiencia es el resultado de una falla de desbordamiento de búfer en la interfaz de administración web ("/cgi-bin/wlogin.cgi"), que puede ser armada por un actor malicioso al proporcionar información especialmente diseñada.

"La consecuencia de este ataque es la adquisición del llamado 'DrayOS' que implementa las funcionalidades del enrutador", dijo Laulheret. "En los dispositivos que tienen un sistema operativo Linux subyacente (como el Vigor 3910), es posible pasar al sistema operativo subyacente y establecer un punto de apoyo confiable en el dispositivo y la red local".


Se dice que más de 200,000 dispositivos del fabricante taiwanés tienen el servicio vulnerable actualmente expuesto en Internet y no requerirían la interacción del usuario para ser explotados.

La violación de un dispositivo de red como Vigor 3910 no solo podría dejar una red abierta a acciones maliciosas como el robo de credenciales y propiedad intelectual, actividad de botnet o un ataque de ransomware, sino que también podría causar una condición de denegación de servicio (DoS).

La revelación se produce poco más de un mes después de que surgiera que los enrutadores de ASUS, Cisco, DrayTek y NETGEAR están siendo atacados por un nuevo malware llamado ZuoRAT que tiene como objetivo las redes de América del Norte y Europa.

Si bien hasta el momento no hay signos de explotación de la vulnerabilidad en la naturaleza, se recomienda aplicar los parches de firmware lo antes posible para protegerse contra posibles amenazas.

"Los dispositivos de borde, como el enrutador Vigor 3910, viven en el límite entre las redes internas y externas", señaló Laulheret. "Como tales, son un objetivo principal para los ciberdelincuentes y los actores de amenazas por igual. La violación remota de dispositivos de borde puede llevar a un compromiso total de la red interna de las empresas".

Fuente: You are not allowed to view links. Register or Login

8

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una vulnerabilidad de alta gravedad recientemente revelada en la suite de correo electrónico Zimbra a su Catálogo de Vulnerabilidades Explotadas Conocidas , citando evidencia de explotación activa .

El problema en cuestión es CVE-2022-27924 (puntuación CVSS: 7,5), una falla de inyección de comandos en la plataforma que podría conducir a la ejecución de comandos arbitrarios de Memcached y al robo de información confidencial.

"Zimbra Collaboration (ZCS) permite que un atacante inyecte comandos memcached en una instancia específica, lo que provoca una sobrescritura de entradas arbitrarias en caché", dijo CISA.

Específicamente, el error se relaciona con un caso de validación insuficiente de la entrada del usuario que, si se explota con éxito, podría permitir a los atacantes robar credenciales de texto sin formato de los usuarios de las instancias de Zimbra específicas.


El problema fue revelado por SonarSource en junio, con parches lanzados por Zimbra el 10 de mayo de 2022, en las versiones 8.8.15 P31.1 y 9.0.0 P24.1.

CISA no ha compartido los detalles técnicos de los ataques que explotan la vulnerabilidad en la naturaleza y aún tiene que atribuirla a un determinado actor de amenazas.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen las actualizaciones al software para reducir su exposición a posibles ataques cibernéticos.

Fuente: You are not allowed to view links. Register or Login

9

A principios de julio se publicó un artículo que se parecía mucho a este, pero no es exactamente igual. En aquel  se decía que Fedora 37 soportaría a la Raspberry Pi, pero todo giraba en torno a una propuesta. La diferencia con la noticia que les traemos hoy es que se ha hecho oficial, y ya se han firmado los acuerdos para que todo esto vaya adelante, con lo que también se podría conseguir la certificación que hace tiempo que tiene Ubuntu.

Fedora Workstation tenía varios problemas importantes cuando se intentaba ejecutar en una Raspberry Pi 4. Varios de esos problemas ya han sido resueltos, y cuando Fedora 37 sea lanzado, el proyecto empezará a anunciar a bombo y platillo el soporte para la Rasbperry Pi 4 Model B, el Raspberry Pi 400 y la Rasbperry Pi CM4, un poco como lo que hizo Canonical tras el lanzamiento de Ubuntu 20.10 Groovy Gorilla.

Fedora 37 llegará después del verano

La Raspberry Pi 4 es un dispositivo ampliamente disponible y de precio razonable. Ha funcionado bien en Fedora durante algún tiempo en casos de uso de IoT y servidores, y ahora con una pila de gráficos totalmente acelerada disponible es un gran dispositivo desde una perspectiva de precio por rendimiento, y tiene un amplio ecosistema, por lo que el soporte completo de esto en Fedora es un caso convincente.

El cambio más importante y lo que no les permitía mejorar las cosas en la Raspberry Pi era la aceleración de la pila de gráficos. Linux 6.0 soportará el driver Rasbperry Pi 4 V3D DRM/KMS, y ese es el primer paso. Aún quedan cosas por pulir, como problemas con el WiFi, pero se espera que todo vaya mejorando con el paso de los meses, ahora que el proyecto puede centrarse en la famosa placa.

Fedora 37 llegará después del verano, sobre octubre, y lo hará con GNOME 43 entre sus novedades más destacadas.

Fuente: You are not allowed to view links. Register or Login

10

Hace poco se dio a conocer la noticia de que GitLab planea modificar sus términos de servicio para el próximo mes (en septiembre), según los cuales los proyectos alojados en cuentas gratuitas de GitLab.com se eliminarán automáticamente si sus repositorios permanecen inactivos durante 12 meses.

El cambio tiene como objetivo reducir los costos de mantenimiento del alojamiento al liberar recursos para almacenar y procesar proyectos abandonados y bifurcaciones que no están en desarrollo.

Se estima que el mantenimiento de la infraestructura para proyectos abandonados representa hasta una cuarta parte de todos los costos de alojamiento de GitLab.com, y la purga automática de dichos proyectos podría ahorrar hasta un millón de dólares al año.

The Register se enteró de que dichos proyectos representan hasta una cuarta parte de los costos de alojamiento de GitLab, y que la eliminación automática de proyectos podría ahorrarle al servicio de colaboración de codificación en la nube hasta $ 1 millón al año. Por lo tanto, se ha sugerido la política para ayudar a que las finanzas de GitLab sigan siendo sostenibles.

Las personas con conocimiento de la situación, que solicitaron el anonimato ya que no están autorizadas a discutirlo con los medios, dijeron a The Register que la política entrará en vigor en septiembre de 2022.

Antes de la eliminación real, dentro de semanas o meses, se enviarán notificaciones a los propietarios de los repositorios que solicitan la eliminación con una advertencia para confirmar la relevancia del proyecto. Solo se prevé eliminar los proyectos abandonados, cuyos autores no responden a las advertencias, no se registraron cambios en el repositorio durante el año, no se publicaron nuevos números y no se enviaron comentarios.

Sin embargo, algunos miembros en la comunidad consideran que la eliminación propuesta es una mala práctica, ya que el código de los repositorios inactivos puede usarse como dependencia en otros proyectos que permanecen activos.

También se observa que los cambios permanentes no son el objetivo de algunos autores, quienes bien pueden considerar que el estado actual de su proyecto ha alcanzado un nivel óptimo, y el código es lo suficientemente bueno y no requiere mejoras, o descubrir inicialmente que no están planeados para ser desarrollados, pero que pueden resultar útiles para quienes te rodean.

Geoff Huntley, un defensor del código abierto y participante de la comunidad abierta .Net, describió la política como «absolutamente salvaje».

“El código fuente no ocupa mucho espacio en disco, que alguien elimine todo ese código es destrucción de la comunidad. Van a destruir su marca y buena voluntad. La gente aloja su código allí porque existe la idea de que estará disponible para el público en general para reutilizarlo y mezclarlo.

Por supuesto, no hay garantías de que siempre estará alojado allí, pero las reglas no escritas en código abierto son que haces que el código esté disponible y no lo eliminas. Tuvimos mantenedores que extrajeron el código y hubo una gran indignación en la comunidad al respecto», dijo, señalando que otros proyectos que dependen de un producto eliminado sufrirán.

«Todas las dependencias no se pueden compilar», lamentó.

Además, los recursos externos pueden hacer referencia al código de los proyectos inactivos y, al eliminarlo, se perderá una copia maestra verificada a la que se puede hacer referencia (no se garantiza que las copias no oficiales estén libres de actividad maliciosa), por lo que en lugar de eliminar, probablemente sería más óptimo archivar el estado manteniendo la capacidad de acceder al código en modo de solo lectura.

Para ahorrar espacio en disco al almacenar bifurcaciones basura, puede usar métodos más eficientes para manejar duplicados, por ejemplo, GitHub almacena todos los objetos del repositorio principal y sus bifurcaciones asociadas juntas para evitar la duplicación de datos, separando lógicamente la propiedad de las confirmaciones.

Por último cabe mencionar que los cambios de reglas aún no se han anunciado oficialmente y se encuentran en la etapa de planificación interna.

Fuente: You are not allowed to view links. Register or Login

11

Se han compartido detalles sobre una vulnerabilidad de seguridad en la implementación estándar del Open Network Video Interface Forum ( ONVIF ) de Dahua, que, cuando se explota, puede llevar a tomar el control de las cámaras IP.

Rastreado como CVE-2022-30563 (puntaje CVSS: 7.4), "los atacantes podrían abusar de la vulnerabilidad para comprometer las cámaras de red olfateando una interacción ONVIF anterior sin cifrar y reproduciendo las credenciales en una nueva solicitud hacia la cámara", dijo Nozomi Networks en un informe del jueves.

El problema, que se solucionó en un parche publicado el 28 de junio de 2022, afecta a los siguientes productos:

- Dahua ASI7XXX: Versiones anteriores a v1.000.0000009.0.R.220620
- Dahua IPC-HDBW2XXX: Versiones anteriores a v2.820.0000000.48.R.220614
- Dahua IPC-HX2XXX: Versiones anteriores a v2.820.0000000.48.R.220614

ONVIF rige el desarrollo y el uso de un estándar abierto sobre cómo los productos de seguridad física basados ​​en IP, como las cámaras de videovigilancia y los sistemas de control de acceso, pueden comunicarse entre sí de manera independiente del proveedor.

El error identificado por Nozomi Networks reside en lo que se llama el mecanismo de autenticación " WS-UsernameToken " implementado en ciertas cámaras IP desarrolladas por la firma china Dahua, lo que permite a los atacantes comprometer las cámaras reproduciendo las credenciales.

En otras palabras, la explotación exitosa de la falla podría permitir que un adversario agregue de forma encubierta una cuenta de administrador malicioso y la explote para obtener acceso sin restricciones a un dispositivo afectado con los privilegios más altos, incluida la visualización de transmisiones de cámaras en vivo.

Todo lo que un actor de amenazas necesita para montar este ataque es poder capturar una solicitud ONVIF sin cifrar autenticada con el esquema WS-UsernameToken, que luego se usa para enviar una solicitud falsificada con los mismos datos de autenticación para engañar al dispositivo para que cree la cuenta de administrador.


Esta divulgación sigue al descubrimiento de fallas similares en los dispositivos Reolink , ThroughTek , Annke y Axis , lo que subraya los riesgos potenciales que plantean los sistemas de cámaras de seguridad IoT dada su implementación en instalaciones de infraestructura crítica.

"Los actores de amenazas, en particular los grupos de amenazas de los estados nacionales, podrían estar interesados ​​en piratear cámaras IP para ayudar a recopilar información sobre el equipo o los procesos de producción de la empresa objetivo", dijeron los investigadores.

"Esta información podría ayudar en el reconocimiento realizado antes de lanzar un ataque cibernético. Con más conocimiento del entorno objetivo, los actores de amenazas podrían crear ataques personalizados que pueden interrumpir físicamente los procesos de producción en la infraestructura crítica".

En un desarrollo relacionado, los investigadores de NCC Group documentaron 11 vulnerabilidades que afectan a los productos de cerraduras inteligentes de Nuki que podrían armarse para obtener la ejecución de código arbitrario y abrir puertas o causar una condición de denegación de servicio (DoS).

También es notable un aviso del sistema de control industrial (ICS) emitido por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. esta semana, que advierte sobre dos fallas de seguridad graves en los servidores MOXA NPort 5110 que ejecutan la versión de firmware 2.10 .

"La explotación exitosa de estas vulnerabilidades podría permitir que un atacante cambie los valores de la memoria y/o haga que el dispositivo deje de responder", dijo la agencia.

Fuente: You are not allowed to view links. Register or Login

12

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) agregó el viernes la falla de seguridad de Atlassian recientemente revelada a su Catálogo de Vulnerabilidades Explotadas Conocidas, con base en evidencia de explotación activa.

La vulnerabilidad, rastreada como CVE-2022-26138 , se refiere al uso de credenciales codificadas cuando la aplicación Questions For Confluence está habilitada en instancias de Confluence Server y Data Center.

"Un atacante remoto no autenticado puede usar estas credenciales para iniciar sesión en Confluence y acceder a todo el contenido accesible para los usuarios en el grupo de usuarios de confluence", señala CISA en su aviso.


Según las restricciones de la página y la información que una empresa tiene en Confluence, la explotación exitosa de la deficiencia podría conducir a la divulgación de información confidencial.

Aunque la compañía de software Atlassian abordó el error la semana pasada en las versiones 2.7.38 y 3.0.5, desde entonces ha estado bajo explotación activa , según reveló esta semana la firma de ciberseguridad Rapid7.

"Los esfuerzos de explotación en este momento no parecen estar muy generalizados, aunque esperamos que eso cambie", dijo a The Hacker News Erick Galinkin, investigador principal de IA en Rapid7.

"La buena noticia es que la vulnerabilidad está en la aplicación Questions for Confluence y no en Confluence en sí, lo que reduce significativamente la superficie de ataque".

Con la falla ahora agregada al catálogo, el Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. tiene la obligación de aplicar parches antes del 19 de agosto de 2022 para reducir su exposición a los ataques cibernéticos.

"En este punto, la vulnerabilidad ha sido pública durante un período de tiempo relativamente corto", señaló Galinkin. "Junto con la ausencia de actividad significativa posterior a la explotación, todavía no tenemos ningún actor de amenazas atribuido a los ataques".

Fuente: You are not allowed to view links. Register or Login

13

Los investigadores han descubierto una gigantesca red de más de 11.000 dominios utilizados para promover numerosos esquemas de inversión falsos para usuarios en Europa.

Las plataformas muestran pruebas fabricadas de enriquecimiento y respaldos de celebridades falsificados para crear una imagen de legitimidad y atraer a un mayor número de víctimas.

El objetivo de la operación es engañar a los usuarios para que obtengan una oportunidad de inversiones de alto rendimiento y convencerlos de que depositen una cantidad mínima de 250 EUR (255 dólares) para suscribirse a los servicios falsos.

Los investigadores de la empresa de ciberseguridad Group-IB descubrieron la operación y mapearon la red masiva de sitios de phishing, hosts de contenido y redirecciones.


Mapa de la red de infraestructura maliciosa (Grupo-IB)

Según Group-IB, más de 5000 de los dominios maliciosos identificados siguen activos.

Actualmente, los países a los que se dirige este esquema son el Reino Unido, Bélgica, Alemania, los Países Bajos, Portugal, Polonia, Noruega, Suecia y la República Checa.

proceso de estafa

Los estafadores se esfuerzan por promocionar las campañas en varias plataformas de redes sociales o usan Facebook y YouTube comprometidos para llegar a la mayor cantidad de usuarios posible.


Publicación de Facebook que promueve la estafa (Grupo-IB)

Las víctimas que caen en la trampa y hacen clic en los anuncios para obtener más información son redirigidos a páginas de destino que muestran supuestas historias de éxito.

Luego, los estafadores solicitan los datos de contacto. Un "agente de atención al cliente" de un centro de llamadas se acerca a la víctima y le proporciona los términos y condiciones de inversión en una elaborada estafa de ingeniería social.


Portal de inversión falso dirigido a usuarios holandeses (Group-IB)

Eventualmente, se convence a la víctima de que deposite 250 EUR o más, mientras que los detalles proporcionados en el sitio falso se almacenan y utilizan para futuras campañas o se revenden en la dark web.


Agregar fondos en el sitio de inversión falso (Group-IB)

Una vez que la víctima deposita los fondos, obtiene acceso a un panel de inversión falso que supuestamente les permite realizar un seguimiento de las ganancias diarias.

Nunca se garantiza que las inversiones se realicen sin riesgo, por lo que las promesas de ganancias seguras deben verse como señales de alerta.

Además, las plataformas de inversión real no ofrecen administradores de cuentas personales para pequeñas inversiones.

Cuando una plataforma de inversión llama su atención, es recomendable asegurarse de que sea de un corredor establecido. Buscar reseñas de otros usuarios y analizar varios comentarios en busca de un patrón también puede revelar el fraude. Muchas veces, los estafadores no se esfuerzan por imitar la opinión de un usuario real y publican variaciones del mismo texto.

Fuente: You are not allowed to view links. Register or Login

14

Se presentó una demanda colectiva en el Distrito Norte de California contra Meta (Facebook), el Centro Médico UCSF y la Fundación Médica Dignity Health, alegando que las organizaciones recopilan ilegalmente datos confidenciales de atención médica sobre pacientes para publicidad dirigida.

Este seguimiento y recopilación de datos supuestamente se lleva a cabo en portales médicos más allá de los muros de inicio de sesión, donde los pacientes ingresan información altamente confidencial sobre ellos mismos, sus condiciones, médicos, medicamentos recetados y más.

Según la demanda, ni los hospitales ni Meta informan a los pacientes sobre la recopilación de datos, no se solicitan consentimientos de los usuarios y no hay una indicación visible de este proceso.

Los demandantes se dieron cuenta de la violación de su privacidad cuando Facebook, la plataforma de redes sociales perteneciente a Meta, comenzó a dirigirse a ellos con anuncios adaptados explícitamente a su condición médica.

metapíxel
El Meta Pixel es un fragmento de código que se puede inyectar en cualquier sitio web para ayudar con la creación de perfiles de visitantes, la recopilación de datos y la publicidad dirigida.

Ocupa el espacio de un solo píxel, de ahí el nombre y el sigilo, y ayuda a recopilar datos como clics de botones, patrones de desplazamiento, datos ingresados ​​en formularios, direcciones IP y más.

Esta recopilación de datos se lleva a cabo para todos los usuarios, incluso si no tienen una cuenta de Facebook. Sin embargo, para los usuarios de Facebook, los datos recopilados están vinculados a su cuenta para una correlación más profunda.

Debido a que Meta Pixel está instalado en numerosos sitios, los usuarios serán rastreados y dirigidos con anuncios específicos en múltiples ubicaciones de Internet.

Una investigación reciente de The Markup encontró Meta Pixel en el 30 % de los 80 000 sitios web más populares, incluidas varias clínicas contra el aborto y otros proveedores de atención médica.

La demanda afirma que el código de seguimiento de Meta está presente en 33 sitios web de los 100 hospitales más importantes de los Estados Unidos y, en siete casos, el código va más allá de los portales de pacientes protegidos con contraseña.

Según la denuncia, los 33 hospitales que tenían Meta Pixel admitieron colectivamente a más de 26 millones de pacientes y visitas ambulatorias solo en 2020.

violación de privacidad

En ejemplos en documentos judiciales, los pacientes recibieron anuncios dirigidos en Facebook y también por correo electrónico, promocionando dolencias y servicios médicos sin respaldo científico.


Anuncio de correo electrónico y Facebook incluido en la denuncia

Lo que es más importante, los demandantes se sintieron violados, ya que nunca aceptaron la recopilación de datos médicos confidenciales, y mucho menos que se utilizaran en publicidad dirigida.

Meta incluso contiene una disposición para esto en su política de privacidad de datos, que establece que sus socios (anfitriones de Meta Pixel) deben tener derechos legales para recopilar, usar y compartir los datos de los usuarios antes de entregárselos al gigante de la publicidad.


Como tal, tanto Meta como los proveedores de atención médica están acusados ​​de saber que su operación de recopilación de datos era ilegal, pero continuaron haciéndolo y ocultándoselo a las personas rastreadas.

Los esfuerzos de Meta para filtrar información médica confidencial de los datos recopilados han demostrado ser ineficaces, según The Markup y el Departamento de Servicios Financieros del Estado de Nueva York que investigaron este asunto en febrero de 2021 .

En conclusión, los demandantes, en nombre de cualquier persona en una situación similar, solicitan reclamaciones de reparación relacionadas con la invasión de la privacidad, la violación de la confidencialidad de la información médica, el enriquecimiento injusto, el incumplimiento de contrato, la Ley de Fraude y Acceso a Datos Informáticos (CDAFA) y también la Ley Federal de escuchas telefónicas.

Fuente: You are not allowed to view links. Register or Login

15

Los intentos de hacerse con nuestros datos por parte de los ciberdelincuentes que operan en internet nos pueden llegar de múltiples formas. Recientemente se ha descubierto una extensión maliciosa que se instala en Google Chrome y que afecta a nuestro correo electrónico.

Os contamos todo esto porque en estos instantes un grupo de atacantes denominado como Kimsuky está utilizando este método que os comentamos. Para llegar hasta nuestros equipos utilizan una extensión de navegador maliciosa que se encarga de robar los correos electrónicos de los usuarios de Google Chrome o Edge. En concreto una vez instalada capacita a estos atacantes a leer nuestros mensajes webmail.

Una vez sabemos de qué se trata, debemos tener presente que la extensión se llama Sharpext y la detectaron unos investigadores de Volexity. Decir que es compatible con tres navegadores web basados en el motor Chromium: Chrome, Edge y Whale. A su vez Está capacitada para robar nuestro correo de las cuentas de Gmail y AOL. Una vez se ha instalado la extensión maliciosa, compromete el sistema utilizando un script VBS personalizado. Aquí se sustituyen los archivos Preferences y Secure Preferences por otros descargados desde el servidor de control del malware.

Una vez descargados los nuevos archivos que os comentamos en el equipo infectado, el navegador web carga automáticamente la extensión Sharpext . A continuación, el malware analiza y filtra directamente los datos de la cuenta de correo web de la víctima mientras nos movemos por la misma. De hecho, podemos afirmar que con el tiempo la extensión ha evolucionado y actualmente se encuentra en la versión 3.0.

Sharpext , la extensión de Chrome que roba el correo

A todo lo comentado le podemos sumar que debido aquí la extensión aprovecha la sesión ya iniciada para robar correos electrónicos, el ataque pasa desapercibido. Todo ello es algo que se hace extensible tanto para el propio proveedor de correo como para la víctima. En resumidas cuentas, su modo de funcionamiento hace que su detección sea muy difícil, casi imposible. Al mismo tiempo es importante saber que el flujo de trabajo de la extensión no activará ninguna alerta de actividad sospechosa en las cuentas de correo.


De este modo se garantiza que la actividad maliciosa no se dará a conocer al comprobar la página de estado de la cuenta en busca de posibles alertas. Como os podréis imaginar, este comportamiento hace que el ataque sea aún más peligroso y efectivo para los interesados en hacerse con nuestros mensajes. Además, la misma extensión de Chrome se encarga de listar los correos recopilados de la víctima para que no se carguen duplicados.

Asimismo, escanea los dominios con los que nos hemos comunicado previamente y se crea una lista negra de remitentes que deben ser ignorados al recopilar estos correos. Por otro lado, el ataque añade un nuevo dominio a la lista de los correo ya vistos y carga un nuevo archivo adjunto en el servidor remoto. Hay que comentar que esta no es la primera vez que este grupo norcoreano utiliza extensiones de navegador para recoger y extraer datos confidenciales de los sistemas vulnerados, por lo que ya tiene experiencia.

Fuente: You are not allowed to view links. Register or Login

16

Un grupo de investigadores de seguridad del equipo de uCode dieron a conocer la liberación del código fuente del proyecto «Microcode Decryptor» y que permite hacer exactamente lo que sugiere el nombre: es una herramienta, que consta de tres scripts de Python y está disponible en GitHub.

Microcode Decryptor permite decodificar el microcódigo de algunos procesadores Intel como Atom, Pentium y Celeron basado en microarquitecturas Goldmont y Goldmont Plus, lo que abre la puerta a diferentes escenarios, como comprender cómo Intel ha implementado ciertas funciones del procesador o ha implementado varias funciones y arreglos de seguridad.

La técnica Red Unlock desarrollada por los mismos investigadores en 2020 se puede utilizar para extraer el microcódigo cifrado. La posibilidad propuesta de descifrar el microcódigo permite explorar la estructura interna del microcódigo y los métodos para implementar instrucciones de máquina x86. Además, los investigadores recuperaron el formato de actualización del firmware, el algoritmo de cifrado y la clave utilizada para proteger el microcódigo (RC4).

Para determinar qué clave de cifrado usar, se utilizó una vulnerabilidad en Intel TXE para habilitar un modo de depuración no documentado, cuyo nombre en código es «Red Unlock» por los investigadores. En el modo de depuración, logramos cargar un volcado con un microcódigo en funcionamiento directamente desde la CPU y extraer el algoritmo y las claves de él.

Microcode Decryptor solo permite descifrar el microcódigo, pero no permite cambiarlo, ya que la integridad del microcódigo se verifica adicionalmente mediante una firma digital basada en el algoritmo RSA.

En cuanto al cómo fue posible el desarrollo de Microcode Decryptor, mencionan que se produjo hace tres años cuando Goryachy y Ermolov encontraron una vulnerabilidad crítica, indexada como Intel SA-00086, que les permitía ejecutar el código de su elección dentro del núcleo independiente de chips que incluía un subsistema conocido como Intel Management Engine.

Quote
Intel solucionó el error y lanzó un parche, pero debido a que los chips siempre se pueden revertir a una versión de firmware anterior y luego explotar, no hay forma de eliminar la vulnerabilidad de manera efectiva.

Posterior a ello (hace cinco mese), el trío de científicos pudo usar la vulnerabilidad para acceder a un modo de servicio integrado en los chips Intel, en un guiño a la película The Matrix, los investigadores llamaron a su herramienta para acceder a este depurador previamente indocumentado Chip Red Pill, porque permite a los investigadores experimentar el funcionamiento interno de un chip que generalmente está fuera de los límites.

Un portavoz de Intel dijo que:

Quote
«no debería haber ningún riesgo de seguridad» como resultado de la disponibilidad de la herramienta. De hecho, la compañía dijo que permitir que más personas revisen el microcódigo de Intel podría ayudar al fabricante de chips a identificar más vulnerabilidades en el futuro. Para cualquiera que tenga éxito en hacerlo, eso significa potencialmente ganar algo de dinero a través del programa de recompensas por errores de Intel.

«La capacidad de los investigadores para analizar el microcódigo podría permitir el descubrimiento de nuevas vulnerabilidades. Dado que este microcódigo ha sido expuesto, Intel invita a los investigadores a participar en el programa de recompensas por errores de microcódigo en caso de que se descubra algún problema», nos dijeron.

Por su parte los desarrolladores de esta herramienta comentaron que:

Quote
«la oportunidad de leer el microcódigo de la CPU podría ayudar a comprender cómo Intel implementó tecnologías como Intel Trusted Execution Technology ( TXT ) o mitigó vulnerabilidades graves como Meltdown y Spectre.»

Yermolov, uno de los otros científicos, agregó que la disponibilidad de la herramienta significa que las personas ahora pueden explorar XuCode, una variante de código x86 en modo de 64 bits utilizada para implementar partes de Intel SGX que se descarga como una actualización de microcódigo. SGX es la tecnología de Intel para crear enclaves de memoria seguros: estas son áreas protegidas en las que otros programas y usuarios, incluso el sistema operativo o el hipervisor, no pueden interferir.

Quote
XuCode es bastante interesante: las instrucciones específicas de x86 para administrar enclaves SGX son tan complejas que se dividen en secuencias de instrucciones XuCode que realizan las operaciones necesarias.

Estas instrucciones de XuCode son estándar para la arquitectura x86 de 64 bits con algunas extensiones y el procesador las divide en microoperaciones x86 regulares. Cuando una aplicación usa una instrucción SGX de alto nivel, el procesador puede saltar a su XuCode para trabajar.

Estas secuencias de XuCode se almacenan en microcódigo y ahora se pueden extraer con los scripts de Python anteriores y analizarse con kits de ingeniería inversa x86 estándar.

Fuente: You are not allowed to view links. Register or Login

17

A finales de abril, poco después del lanzamiento de Ubuntu 22.04, System76 lanzó Pop!_OS 22.04. Esa versión del sistema operativo está basada en Jammy Jellyfish y en GNOME 42, pero sigue incluyendo todas las personalizaciones propias que han hecho que haya usuarios que prefieran esta distribución por encima de otras. En un principio, el sistema operativo está diseñado para los equipos de System76, pero hace mucho que existe la versión para cualquier equipo portátil o de escritorio.

Ahora, tres meses después del lanzamiento para ordenadores «normales», la compañía ha anunciado que también hay una imagen para la Raspberry Pi 4. Si vamos a la página de descargas de Pop!_OS 22.04, podemos ver que hay una que pone «22.04 (RAS PI 4)», lo que muestra dos diferencias con respecto a las otras imágenes: primero, no es una versión LTS, por lo que no está soportada durante tanto tiempo como la versión para ordenadores; segundo, es para la Raspberry Pi 4. Y, si leemos un poco más abajo, podemos ver que la compañía le ha dado un nombre especial a esta versión para la placa de la frambuesa.

Pop!_Pi, Pop!_OS para la Raspberry Pi

El nombre que recibe este sistema operativo es Pop!_Pi, y sólo está soportado para la Raspberry Pi 4 con 2GB de RAM o más. También se puede usar en el Raspberry Pi 400, ya que lo que tiene en su interior es en su mayoría una RPi4.

Importante mencionar que lo que hay disponible es una «Technical Preview», es decir, una versión preliminar. Como tal, está destinada a desarrolladores o usuarios que quieran probar esta versión del sistema operativo en su Raspberry Pi, pero no para aquellos que quieran trabajar con algo 100% fiable.

La versión del escritorio llegó a finales de abril con novedades como PipeWire como el sistema de procesado de audio por defecto, soporte para programar las actualizaciones, mejoras en los temas claros y oscuros y Linux 5.16, y no el 5.15 que usa Ubuntu 22.04. La imagen se puede conseguir en la página oficial del proyecto.

Fuente: You are not allowed to view links. Register or Login

18
Noticias Informáticas / Adiós a Optane
« on: July 29, 2022, 12:56:32 pm »

Sobre el papel Optane parecía fantástica. Intel la presentaba en 2017 con el objetivo de enterrar al disco duro tradicional y ponérselo difícil incluso a las populares unidades SSD. Jamás logró ni una cosa ni la otra —de hecho, ni se acercó a hacerlo—, y ahora Intel se rinde y anuncia que ha dado carpetazo final a esta división. Parece una buena decisión.

Optane era más rápida, pero también mucho más cara. La tecnología de Intel demostró desde sus inicios que ciertamente planteaba mejoras interesantes para el segmento de las memorias no volátiles, pero tenía dos problemas de partida.

El primero, que solo estaba soportada por equipos muy específicos y modernos, algo que se fue solucionando con el tiempo. El segundo que eran unidades carísimas y con un precio de GB muy superior al de los SSD. Eso jamás se solucionó.

Nunca fueron un sustituto real a los SSD. De hecho Intel no las planteaba así —lógico, sabiendo su coste y limitada capacidad— sino como una especie de caché para unidades de disco tradicionales y SSDs. En el segundo caso la cosa cobraba aún menos sentido, y esto era más una especie de evolución de los Fusion Drive de Apple que combinaban un disco duro tradicional con memorias Flash NAND que actuaba también como una caché para acelerar el acceso a los datos más frecuentes.

Optane primero dijo adiós al PC. En enero de 2021 Intel reconocía su derrota parcialmente: abandonaba estas unidades para el mercado del PC y se centraba en Optane para servidores y centros de datos. Las ventajas cada vez eran menores, sobre todo cuando las unidades SSD no han parado de mejorar y los estándares PCIe 4.0 y PCIe 5.0 —aún por cuajar— ofrecen tasas de transferencia espectaculares.

Hasta siempre, Optane. Y tras ese anuncio anterior, ahora Intel ha decidido que deja de desarrollar Optane. En su informe con los (malos) resultados trimestrales del segundo trimestre de 2022 hay un apartado en el que indican claramente cómo "hemos iniciado la liquidación de nuestro de memorias Intel Optane", e incluso destacan que el inventario que ha quedado sin venderse ha provocado unas pérdidas de 559 millones de dólares.

Fuente: You are not allowed to view links. Register or Login

19

Está en marcha una nueva campaña de phishing con el nombre en código 'Ducktail', dirigida a los profesionales de LinkedIn para hacerse cargo de las cuentas comerciales de Facebook que administran la publicidad de la empresa.

Los operadores de Ducktail tienen un alcance de orientación limitado y seleccionan a sus víctimas con cuidado, tratando de encontrar personas que tengan privilegios de administrador en las cuentas de redes sociales de sus empleadores.

El descubrimiento de esta campaña proviene de investigadores de WithSecure, que han estado rastreando lo que creen que es un actor de amenazas vietnamita desde 2021 y recopilaron evidencia de actividad que se remonta a 2018.

Esto significa que Ducktail ha estado en marcha durante al menos un año y podría haber estado activo durante casi cuatro años.

Ámbito de orientación aleatoria de Ducktail (WithSecure)

Robo de cuentas de Facebook

El actor de amenazas se comunica con los empleados en LinkedIn que podrían tener acceso a la cuenta comercial de Facebook, por ejemplo, las personas que figuran como que trabajan en "medios digitales" y "marketing digital" como sus funciones.

Como parte de las conversaciones con un objetivo potencial, los actores de amenazas utilizan la ingeniería social y el engaño para convencerlos de que descarguen un archivo alojado en un servicio de alojamiento en la nube legítimo como Dropbox o iCloud.


Descarga de malware desde iCloud  (WithSecure)

El archivo descargado contiene archivos de imagen JPEG relevantes para la conversación entre el estafador y el empleado, pero también incluye un archivo ejecutable que parece un documento PDF.


Los archivos contenidos en el archivo (WithSecure)

Este archivo es en realidad un malware de .NET Core que contiene todas las dependencias requeridas, lo que le permite ejecutarse en cualquier computadora, incluso en aquellas que no tienen instalado el tiempo de ejecución de .NET.

Cuando se ejecuta, el malware busca cookies de navegador en Chrome, Edge, Brave y Firefox, recopila información del sistema y, finalmente, apunta a las credenciales de Facebook.

“El malware interactúa directamente con varios puntos finales de Facebook desde la máquina de la víctima utilizando la cookie de sesión de Facebook (y otras credenciales de seguridad que obtiene a través de la cookie de sesión inicial) para extraer información de la cuenta de Facebook de la víctima”, explica WithSecure en el informe.

Las solicitudes a los terminales de Facebook parecen auténticas, ya que se originan en el navegador de la víctima mediante una cookie de sesión válida.

El malware rastrea varias páginas de Facebook para capturar múltiples tokens de acceso y los usa para una interacción sin obstáculos con el punto final en etapas posteriores.


Código para generar solicitudes de inicio de sesión (WithSecure)

La información robada incluye las cookies, la dirección IP, la información de la cuenta (nombre, correo electrónico, fecha de nacimiento, ID de usuario), los códigos 2FA y los datos de geolocalización, lo que esencialmente permite que el actor de amenazas continúe con este acceso desde su máquina.

Los detalles específicos de la empresa robados de la cuenta comprometida incluyen el estado de verificación, el límite de publicidad, la lista de usuarios, la lista de clientes, la identificación, la moneda, el ciclo de pago, el monto gastado y el DSL de adtrust (límite de gasto dinámico).

Los datos finalmente se filtran a través de los bots de Telegram y tienen lugar entre períodos establecidos, o cuando se roban las cuentas de Facebook, el proceso de malware finaliza o cuando el malware falla.


Registro exfiltrado de datos robados (WithSecure)

Secuestro de la cuenta de Facebook

El malware no solo roba información de las cuentas de Facebook de las víctimas, sino que también las secuestra agregando la dirección de correo electrónico del actor de amenazas a la cuenta comercial de Facebook comprometida. Al agregar al usuario, agregan permisos que permiten a los actores de amenazas acceso completo a la cuenta.


Código para agregar dirección de correo electrónico a la cuenta Business (WithSecure)

Luego, los actores de amenazas aprovechan sus nuevos privilegios para reemplazar los detalles financieros establecidos para que puedan dirigir los pagos a sus cuentas o ejecutar campañas publicitarias de Facebook con dinero de las empresas víctimas.

WithSecure cree que el motivo de los operadores de Ducktail es financiero, buscando ganancias fáciles en un entorno en el que llevaría algún tiempo descubrir el fraude y detenerlo.

En particular, vimos un enfoque de verificación de token de sesión y robo de cuenta automatizado igualmente sofisticado de un ladrón de información llamado FFDroider en abril de 2022.

Fuente: You are not allowed to view links. Register or Login

20

Microsoft dice que los atacantes utilizan cada vez más las extensiones maliciosas del servidor web de Internet Information Services (IIS) para los servidores de Exchange sin parches de puerta trasera, ya que tienen tasas de detección más bajas en comparación con los shells web.

Debido a que están ocultos en lo profundo de los servidores comprometidos y, a menudo, son muy difíciles de detectar si están instalados en la ubicación exacta y usan la misma estructura que los módulos legítimos, brindan a los atacantes un mecanismo de persistencia perfecto y duradero.

"En la mayoría de los casos, la lógica real de la puerta trasera es mínima y no puede considerarse maliciosa sin una comprensión más amplia de cómo funcionan las extensiones legítimas de IIS, lo que también dificulta determinar la fuente de infección", dijo el equipo de investigación de Microsoft 365 Defender el martes.

Acceso persistente a servidores comprometidos

Los actores de amenazas rara vez implementan tales extensiones maliciosas después de comprometer un servidor usando exploits para varias fallas de seguridad sin parchear en una aplicación alojada.

Por lo general, se implementan después de que se implementa un shell web como la primera carga útil del ataque. El módulo IIS se implementa más tarde para proporcionar un acceso más sigiloso y persistente (resistente a actualizaciones) al servidor pirateado.

Microsoft vio previamente puertas traseras IIS personalizadas instaladas después de que los actores de amenazas explotaran las vulnerabilidades de ZOHO ManageEngine ADSelfService Plus y SolarWinds Orion .

Después de la implementación, los módulos IIS maliciosos permiten a los actores de amenazas recopilar credenciales de la memoria del sistema, recopilar información de la red de las víctimas y los dispositivos infectados y entregar más cargas útiles.

Más recientemente, en una campaña entre enero y mayo de 2022 dirigida a los servidores de Microsoft Exchange, los atacantes implementaron extensiones IIS maliciosas para obtener acceso a los buzones de correo electrónico de las víctimas, ejecutar comandos de forma remota y robar credenciales y datos confidenciales.

"Después de un período de reconocimiento, volcado de credenciales y establecimiento de un método de acceso remoto, los atacantes instalaron una puerta trasera IIS personalizada llamada FinanceSvcModel.dll en la carpeta C:\inetpub\wwwroot\bin\", agregó Microsoft .

"La puerta trasera tenía la capacidad incorporada para realizar operaciones de administración de Exchange, como enumerar las cuentas de buzón de correo instaladas y exportar buzones de correo para exfiltración".


Malware implementado en servidores Exchange como módulos IIS maliciosos

Kaspersky también detectó recientemente malware entregado como extensiones IIS en los servidores de Microsoft Exchange para ejecutar comandos y robar credenciales de forma remota.

En diciembre, se utilizó un módulo de servidor web IIS malicioso llamado Owowa para atacar a organizaciones gubernamentales y empresas de transporte público en el sudeste asiático y Europa.

Otro malware de IIS denominado SessionManager se usó sin ser detectado desde al menos marzo de 2021 (justo después del comienzo de la ola masiva de ataques ProxyLogon del año pasado ) en ataques contra organizaciones gubernamentales y militares de Europa, Medio Oriente, Asia y África. .

"Una vez que ingresan al sistema de la víctima, los ciberdelincuentes detrás de la puerta trasera pueden obtener acceso a los correos electrónicos de la empresa, actualizar el acceso malicioso instalando otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa", dijo Kaspersky en ese momento.

"Los módulos IIS no son un formato común para las puertas traseras, especialmente cuando se comparan con las amenazas típicas de las aplicaciones web como los shells web y, por lo tanto, pueden pasarse por alto fácilmente durante los esfuerzos estándar de monitoreo de archivos".

Para defenderse de los ataques que utilizan módulos IIS maliciosos, Microsoft aconseja a los clientes que mantengan sus servidores Exchange actualizados, mantengan habilitadas las soluciones antimalware y de seguridad, revisen los roles y grupos confidenciales, restrinjan el acceso a los directorios virtuales de IIS, prioricen las alertas e inspeccionen los archivos de configuración. y carpetas bin.

Fuente: You are not allowed to view links. Register or Login

Pages: [1] 2 3 ... 110