Y cuentan las malas lenguas que declaró por la izquierda...

-   "veo El Imperio de Los Gatos bien cerquita ... como a la vuelta de la esquina".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bill Gates, uno de los fundadores de Microsoft y del sistema operativo de Windows, es reconocido por sus predicciones y aciertos en el mundo que nos rodea, tan marcado por la tecnología, su gran especialidad. Hace unos días nos daba unas pautas de lo que se espera de este 2023 que acaba de comenzar y ahora ofreció una sesión de preguntas y respuestas en Reddit donde los usuarios quisieron su opinión sobre la tecnología que dominará el futuro.

Gates, ante esta pregunta, descartó las criptomonedas, aunque este año han empezado bien tras la hecatombe de 2022. Hace tiempo que ya advirtió que el bitcoin, además de la contaminación es un riesgo económico que solo vale para multimillonarios como Elon Musk (como también ha hecho sobre los NFT). Lo que dijo fue que no cree que la Web3 sea tan importante.

También ha descartado el metaverso como una revolución, al contrario de lo que planea Mark Zuckerberg, el creador de Facebook.

Su apuesta es la Inteligencia Artificial. Y la verdad, que viendo la de noticias que la IA está generando (positivas y sorprendentes) en las últimas semanas, no parece ir desencaminado este "visionario" del software. Concretamente, dice que la inteligencia artificial y sus posibilidades para dominar la próxima era tecnológica.

Gates ensalzó el valor de herramientas como Stable Diffusion o ChatGPT, alabando a esta última al afirmar que aporta una idea de "lo que llegará" en un futuro cercano.

Sigue usando Windows

También le preguntaron qué teléfono utiliza o sobre Windows y Microsoft. Gates dijo que usa un Samsung Fold 4 que le regaló JY Lee, el presidente de Samsung, cuando se vieron en Corea del Sur para actualizar su Fold 3.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"Por supuesto, uso Outlook y muchos programas de Microsoft en él. El tamaño de la pantalla hace que no utilice una tableta, sino solo el teléfono y mi ordenador portátil con Windows", también detalló.

Dijo que desconoce los planes futuros de Microsoft, compañía que fundó y a la que actualmente está ligado como consejero y embajador. La empresa lo involucra en algunos de los planes de investigación y productos y dice que le gusta mucho trabajar con Satya y sus equipos.

"No estoy al día de su hoja de ruta de hardware. Mi ordenador de sobremesa es Windows Surface Studio, que es estupendo. También me encanta la pizarra Surface Hub", añade. Eso sí, no respondió a la pregunta de qué le pasó a Windows 9.


Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

T-Mobile reveló una nueva violación de datos después de que un actor de amenazas robó la información personal de 37 millones de cuentas de clientes pospago y prepago actuales a través de una de sus interfaces de programación de aplicaciones (API).

Una API es una interfaz o mecanismo de software comúnmente utilizado por aplicaciones o computadoras para comunicarse entre sí.

Muchos servicios web en línea usan API para que sus aplicaciones en línea o socios externos puedan recuperar datos internos siempre que pasen los tokens de autenticación correctos.

Si bien T-Mobile no compartió cómo se explotó su API, los actores de amenazas comúnmente encuentran fallas que les permiten recuperar datos sin autenticarse primero.

Nueva filtración de datos afecta a 37 millones de cuentas

T-Mobile reveló el jueves que el atacante comenzó a robar datos utilizando la API afectada alrededor del 25 de noviembre de 2022. El operador de telefonía móvil detectó la actividad maliciosa el 5 de enero de 2023 y cortó el acceso del atacante a la API un día después.

La compañía dijo que la API abusada en esta violación de seguridad no permitió que el atacante obtuviera acceso a las licencias de conducir de los clientes afectados u otros números de identificación del gobierno, números de seguro social/identificaciones fiscales, contraseñas/PIN, información de tarjetas de pago (PCI) u otra información financiera.

"Más bien, la API afectada solo puede proporcionar un conjunto limitado de datos de la cuenta del cliente, incluido el nombre, la dirección de facturación, el correo electrónico, el número de teléfono, la fecha de nacimiento, el número de cuenta de T-Mobile e información como la cantidad de líneas en la cuenta y características del plan", dijo T-Mobile.

"El resultado preliminar de nuestra investigación indica que los malhechores obtuvieron datos de esta API para aproximadamente 37 millones de cuentas de clientes prepagas y pospagas actuales, aunque muchas de estas cuentas no incluían el conjunto de datos completo".

La compañía describió los datos robados en este ataque como "información básica del cliente" en un comunicado de prensa separado.

T-Mobile informó el incidente a las agencias federales de EE. UU. y ahora está trabajando con las fuerzas del orden público para investigar la infracción.

El operador ahora también está notificando a los clientes a quienes se les podría haber robado su información personal confidencial como resultado de esta violación.

"Nuestra investigación aún está en curso, pero la actividad maliciosa parece estar completamente contenida en este momento, y actualmente no hay evidencia de que el mal actor haya podido violar o comprometer nuestros sistemas o nuestra red", dijo T-Mobile.

Octava violación de datos de T-Mobile desde 2018

Si bien esta es la primera violación revelada por T-Mobile desde principios de año, el operador de telefonía móvil ha revelado otras siete violaciones de datos desde 2018, incluida una en la que los atacantes obtuvieron acceso a los datos de aproximadamente el 3 % de todos los clientes de T-Mobile.

En 2019, T-Mobile expuso los datos de los clientes de prepago. Actores de amenazas desconocidos también accedieron a las cuentas de correo electrónico de los empleados de T-Mobile en marzo de 2020.

En diciembre de 2020, actores de amenazas desconocidos también obtuvieron acceso a información de red de propiedad del cliente (números de teléfono, registros de llamadas) y en febrero de 2021, los atacantes accedieron a una aplicación interna de T-Mobile sin autorización.

Varios meses después, en agosto de 2021, los piratas informáticos se abrieron paso por la fuerza bruta a través de la red de T-Mobile después de una violación de los entornos de prueba del operador.

Después de la filtración de agosto de 2021, el operador no pudo evitar que los datos robados se filtraran en línea a pesar de que pagó a los atacantes $ 270,000 a través de una empresa externa.

Por último, pero no menos importante, la compañía también confirmó en abril de 2022 que la pandilla de extorsión Lapsus$ había violado su red utilizando credenciales robadas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según PayPal, los piratas informáticos lograron acceder a la información personal de 34.942 usuarios; sin embargo, no se realizaron transacciones desde las cuentas violadas.

PayPal afirma que esto no fue el resultado de una brecha en sus sistemas, ya que ninguna evidencia sugiere que las credenciales de usuario se hayan obtenido directamente de ellos.

El jueves 19 de enero de 2023, PayPal comenzó a contactar a casi 35 000 usuarios con una notificación de violación de datos, explicando que sus cuentas habían sido pirateadas entre el 6 y el 8 de diciembre de 2022.

La empresa pudo detectar y mitigar el ataque tan pronto como ocurrió, pero la investigación concluyente no finalizó hasta el 20 de diciembre de 2022. En este punto, confirmaron que los piratas informáticos habían obtenido acceso no autorizado a las cuentas utilizando credenciales válidas.

PayPal afirma que esto no fue el resultado de una brecha en sus sistemas, ya que ninguna evidencia sugiere que las credenciales de usuario se hayan obtenido directamente de ellos.

Los piratas informáticos pudieron acceder a las cuentas utilizando el relleno de credenciales, mediante el cual se prueban pares de nombres de usuario y contraseñas obtenidos de filtraciones de datos en varios sitios web. Con la ayuda de bots, se insertan listas de credenciales en portales de inicio de sesión para varios servicios. Los usuarios que emplean la misma contraseña para varias cuentas en línea, lo que se conoce como reciclaje de contraseñas, son más propensos a los ataques de relleno de credenciales.

Según la notificación de violación de datos de PayPal, 34.942 usuarios se han visto afectados por el incidente. Aunque terceros no autorizados tenían acceso a las cuentas, podían ver la siguiente información sobre los titulares de las cuentas:

     Nombres completos
     fechas de nacimiento
     Direcciones postales
     Números de seguridad social
     Identificación fiscal individual

Según el informe de Bleeping Computer, los historiales de transacciones, los detalles de las tarjetas de crédito o débito conectadas y los datos de facturación de PayPal también son accesibles a través de las cuentas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PayPal afirma haber tomado medidas rápidas para limitar el acceso de los piratas informáticos a la plataforma al restablecer las contraseñas de todas las cuentas afectadas. Los usuarios afectados recibirán un servicio gratuito de monitoreo de identidad de dos años de Equifax.

PayPal confirmó además que los atacantes no intentaron ni lograron realizar ninguna transacción desde las cuentas violadas.

"No tenemos información que sugiera que su información personal haya sido mal utilizada como resultado de este incidente, o que haya transacciones no autorizadas en su cuenta".
    Paypal

En una conversación con HackRead, Jasson Casey, CTO de Beyond Identity, dijo que "no es de extrañar que el Informe de violación de datos de Verizon de 2022 descubriera que las credenciales eran la forma más probable de que los datos se vieran comprometidos tanto en los EE. UU. (66%) como en EMEA ( 67%).

"Si un actor de amenazas puede acceder a credenciales legítimas, incluso si se descargan en un repositorio de la dark web, son solo unos pocos pasos cortos y, en la mayoría de los casos, automatizados para una intrusión exitosa", agregó Jasson.

El CTO elogió a PayPal por su rápida respuesta y por mitigar el ataque, pero cuestionó si simplemente cambiar las contraseñas es la solución.

"En este incidente, la empresa está haciendo lo mejor que puede por sus clientes, recomendándoles enfáticamente que cambien sus contraseñas. Pero las contraseñas, ya sean únicas o complejas, son fundamentalmente defectuosas. Más del 80 % de las violaciones de datos son el resultado directo de las contraseñas, y los actores de amenazas implementan credenciales comprometidas en la primera fase de su ataque", dijo Jasson.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

18 ene (Reuters) - El prestamista de criptomonedas Génesis Global Capital planea declararse en bancarrota tan pronto como esta semana, informó Bloomberg News el miércoles, citando a personas con conocimiento de la situación.

Se esperaba una declaración de quiebra desde hace semanas, después de que la compañía congeló los canjes de los clientes el 16 de noviembre tras la caída del principal intercambio de criptomonedas FTX.

El colapso de FTX en noviembre se ha cobrado varias víctimas, incluido el criptoprestamista BlockFi y Core Scientific Inc, una de las mayores empresas de criptominería que cotizan en bolsa en los Estados Unidos, que se declararon en quiebra en los meses siguientes.

Génesis, su matriz Digital Currency Group y los acreedores han intercambiado varias propuestas, pero hasta ahora no han logrado llegar a un acuerdo, según el informe de Bloomberg, y agrega que Kirkland & Ellis y Proskauer Rose han estado asesorando a grupos de acreedores.

Génesis también está enfrascada en una disputa con Gémini, fundada por los pioneros de las criptomonedas, Cameron y Tyler Winklevoss.

Gémini ofreció un producto de préstamos criptográficos llamado Earn en asociación con Genesis, y ahora dice que Genesis le debe $ 900 millones en relación con ese producto.

La Comisión de Bolsa y Valores de EE. UU. dijo la semana pasada que había acusado a Génesis y Gémini de vender valores ilegalmente a cientos de miles de inversores a través de su programa de préstamos criptográficos.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

18 (Reuters) - El expresidente de Estados Unidos, Donald Trump, dijo el miércoles a Fox News Digital que su campaña estaba en conversaciones con Meta Platforms (META.O) sobre un posible regreso a Facebook e Instagram, dos años después de que la compañía lo prohibiera por incitar a la violencia.

"Estamos hablando con ellos y veremos cómo funciona todo", dijo Trump, según el informe.

"Si nos aceptaran de regreso, los ayudaría mucho, y eso está bien para mí", dijo. "Pero ellos nos necesitan más de lo que nosotros los necesitamos a ellos".

Trump lanzó su candidatura para recuperar la presidencia en 2024 en noviembre.

Meta, la compañía de redes sociales más grande del mundo, tomará una decisión controvertida sobre el futuro de las cuentas de Trump este mes.

Si bien Trump ha evitado Twitter desde su decisión en noviembre de restaurar su cuenta, diciendo que prefería su propia plataforma Truth Social, el portavoz de la campaña de Trump, Steven Cheung, dijo a Fox News Digital el miércoles que volver a Facebook "será una herramienta importante para la campaña de 2024". para llegar a los votantes".

Meta revocó el acceso de Trump a Facebook e Instagram después de eliminar dos de sus publicaciones durante los disturbios del Capitolio de EE. UU. del 6 de enero de 2021, incluido un video que contenía afirmaciones falsas de fraude electoral generalizado durante las elecciones presidenciales de 2020.

La junta de supervisión independiente de la compañía dictaminó más tarde en 2021 que la suspensión estaba justificada, pero se opuso a su naturaleza indeterminada. En respuesta, Meta se comprometió a revisar la suspensión dos años después de su inicio.

"Si determinamos que todavía existe un riesgo grave para la seguridad pública, extenderemos la restricción por un período de tiempo determinado y continuaremos reevaluando hasta que ese riesgo haya disminuido", escribió en ese momento el vicepresidente de Asuntos Globales de Meta, Nick Clegg.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El euro digital es ya una realidad, aunque de momento está en fase de pruebas. Este proyecto ha sido encargado a la fintech española Monei, y que está siendo estudiado de cerca por el Banco de España para valorar su implementación. Y es que este euro digital se trata en realidad de la criptomoneda EURM que ha sido aprobada por el Banco de España para probar un euro digital basado en tokens digitales.

A lo largo de los primeros meses de 2023 se espera que se realicen diferentes pruebas en varios países y con diferentes proyectos para observar su posible viabilidad. De esta manera se persigue tener una propuesta legislativa sólida que presentar y conseguir un respaldo mayoritario para este primer euro digital.

El BDE (Banco de España) ya se encuentra trabajando en el primer euro digital

El token que ha sido autorizado por el Banco de España es EURM que va a permitir facilitar el pago online y el envío de tokens a otras personas. Todo esto está amparado por la tecnología Ethereum y Polygon para dar una mayor confianza. En la actualidad el sistema de testeo hace que los participantes reciban un total de 10 euros con el que operar a la hora de hacer compras o envíos.

El proceso de registro es sumamente sencillo (solo avala para ciudadanos españoles que vivan en España), ya que únicamente habrá que tener un número de teléfono, cotejar la identidad con un vídeo en el que se el rostro y también contar con Bizum para cargar el monedero virtual. De esta manera al tener que contar con un número de teléfono se va a limitar el uso de estas criptomonedas al número de líneas móviles activas.

EURM se presenta como la primera stablecoin de la Unión Europea, y que se caracteriza por su estabilidad económica, sin que haya sustos como está ocurriendo con Bitcoin por ejemplo. Y es que cada uno de estos tokens representa un euro real y está respaldado por bonos verdes del Tesoro Público. Además, cada uno de los euros que representa este token está custodiado en cuentas bancarias seleccionadas de BBVA y CaixaBank entre otras.

La pregunta que se pueda plantear es: ¿para qué va a servir esta moneda virtual?
El propio fundador de MONEI, Álex Saiz Verdaguer, ha explicado que con esta tecnología se va a poder enviar y recibir de manera inmediata e independientemente de la cantidad de dinero. Es decir, se podrán enviar desde cientos de euros a únicamente céntimos al momento para hacer frente a pagos. Se podría llegar a aplicar en el pago de transportes o alimentación.

Aunque lo más interesante es la posibilidad de programar pagos para automatizarlos o personalizarlos. Esto quiere decir que si un empleado quiere recibir la nómina diaria, mensual o semanal no habrá ningún problema, ya que no acarreará inconvenientes logísticos a la empresa. Pero de momento es una idea que está en pruebas y para la que aún quedan muchos años para verla implementada en los dispositivos móviles.

Fuente:
Genbeta
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El ejército de EE. UU. busca ayuda pública para asegurar su infraestructura cibernética crítica con el programa de recompensas por errores (Bug Bounty) "Hack the Pentagon 3.0".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El Departamento de Defensa de EE. UU. (DOD) ha anunciado la tercera iteración de su programa de recompensas por errores "Hack the Pentagon", que se lanzó por primera vez en 2016.

La iniciativa permite a los investigadores de seguridad cibernética encontrar vulnerabilidades en la red del Sistema de Controles Relacionados con las Instalaciones (FRCS, por sus siglas en inglés) del gobierno, que se utiliza para monitorear y controlar equipos y sistemas relacionados con instalaciones de bienes inmuebles. Estos incluyen calefacción, ventilación y aire acondicionado (HVAC), servicios públicos, sistemas de seguridad física y sistemas contra incendios y de seguridad.

La declaración de trabajo de desempeño (PWS) del programa Hack the Pentagon 3.0 en el sitio web You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login establece:

"El objetivo general es obtener el apoyo de un grupo de investigadores innovadores de seguridad de la información a través del crowdsourcing para actividades de descubrimiento, coordinación y divulgación de vulnerabilidades y para evaluar la postura actual de ciberseguridad de la red FRCS, identificar debilidades y vulnerabilidades y brindar recomendaciones para mejorar y fortalecer la postura general de seguridad".

El Departamento de Defensa está buscando investigadores calificados y confiables de organizaciones privadas que tengan un conjunto de habilidades diversas y puedan realizar análisis de código fuente, ingeniería inversa y explotación de análisis de redes y sistemas.

"El contratista proporcionará toda la mano de obra, material, equipo, hardware, software y capacitación necesarios para evaluar la postura actual de seguridad cibernética de la Red FRCS, identificar debilidades y vulnerabilidades y brindar recomendaciones para mejorar y fortalecer la postura de seguridad general", se lee en el borrador.

Sin embargo, también se aclara que el programa de recompensas críticas en persona de 72 horas se limitará a los "Sistemas de información no clasificados y la tecnología operativa continuada dentro de la Red FRCS del Pentágono".

Fuente:
SAM.Gov
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han revelado vulnerabilidades de seguridad en los enrutadores Netcomm y TP-Link, algunos de los cuales podrían armarse para lograr la ejecución remota de código.

Las fallas, rastreadas como CVE-2022-4873 y CVE-2022-4874, se refieren a un caso de desbordamiento de búfer basado en pila y omisión de autenticación y afectan a los modelos de enrutador Netcomm NF20MESH, NF20 y NL1902 que ejecutan versiones de firmware anteriores a R6B035.

"Las dos vulnerabilidades, cuando se encadenan juntas, permiten que un atacante remoto no autenticado ejecute código arbitrario", dijo el Centro de Coordinación CERT (CERT/CC) en un aviso publicado el martes.

"El atacante primero puede obtener acceso no autorizado a los dispositivos afectados y luego usar esos puntos de entrada para obtener acceso a otras redes o comprometer la disponibilidad, integridad o confidencialidad de los datos que se transmiten desde la red interna".

Al investigador de seguridad Brendan Scarvell se le atribuye el descubrimiento y el informe de los problemas en octubre de 2022.

Vulnerabilidades en Routers Netcomm y TP-Link

En un desarrollo relacionado, CERT/CC también detalló dos vulnerabilidades de seguridad sin parchear que afectan a los enrutadores TP-Link WR710N-V1-151022 y Archer-C5-V2-160201 que podrían conducir a la divulgación de información (CVE-2022-4499) y ejecución remota de código (CVE-2022-4498).

CVE-2022-4499 también es un ataque de canal lateral dirigido a una función utilizada para validar las credenciales ingresadas.
"Al medir el tiempo de respuesta del proceso vulnerable, cada byte de las cadenas de nombre de usuario y contraseña puede ser más fácil de adivinar", dijo CERT/CC.

El investigador de Microsoft, James Hull, ha sido reconocido por revelar los dos errores.

Brendan Scarvell  (Exploit)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Firefox 109 ya está entre nosotros como la nueva versión mayor del navegador web desarrollado por Mozilla, que en esta ocasión introduce una novedad que para muchos puede parecer un susto: Manifest V3.

Sí, hablamos de la especificación para extensiones impulsada por Google, que en su tercera versión amenaza con limitar bastante el radio de acción de los bloqueadores de publicidad y por ende la libertad de los usuarios sobre los contenidos que se muestran a través del navegador web. Sin embargo, que no cunda el pánico, ya que Mozilla ha cumplido con su palabra de no tragar con los aspectos más polémicos (o al menos eso dice).

La implementación de Manifest V3 en Firefox no es ninguna sorpresa si vemos que Mozilla anunció hace dos años que la adoptaría, pero su manera. La fundación se ha explicado de manera más detallada en una entrada publicada en su blog oficial, en la cual expone que está de acuerdo "en introducir el soporte de Manifest V3 para complementos, manteniendo así un alto nivel de compatibilidad para soportar el desarrollo entre distintos navegadores."

"Sin embargo, hay algunas áreas críticas, como la seguridad y la privacidad, donde nuestros principios exigen un curso de acción diferente. En algunas áreas específicas, decidimos apartarnos de la implementación de Chrome e incorporar nuestros propios elementos característicos de Mozilla. Por lo tanto, la versión de Firefox de Manifest V3 proporcionará interoperabilidad de las extensiones entre navegadores junto con protecciones de seguridad y privacidad mejoradas y compatibilidad mejorada para extensiones móviles".

Dicho con otras palabras, la implementación de Manifest V3 introducida por Mozilla en Firefox intenta mantener un elevado nivel de interoperabilidad con otros navegadores a la vez que aporta la privacidad que Google ha decidido eliminar presuntamente de Chromium. De esta manera, los bloqueadores de publicidad deberían de poder operar como siempre en Firefox, aunque eso no tiene por qué eliminar la necesidad de introducir algunos cambios en las extensiones.

La polémica en torno a Manifest V3 ha sido tal que Google ha decidido mantener la versión 2 de la especificación por un año más, cosa que también ha sido adoptada por Microsoft. Por su parte, Opera, Vivaldi y Brave se han opuesto a las limitaciones introducidas en Manifest V3, pero veremos cuánto pueden resistir viendo que todos son navegadores basados en Chromium y por ende están muy atados a las decisiones que Google toma en torno al proyecto original, y es que, si bien Chromium es Open Source, eso no quiere decir que los recursos disponibles para su modificación sean infinitos. Como no podía ser de otra forma, Mozilla recoge la preocupación generada y la usa como un dardo contra su rival, haciendo gala además de que Firefox se preocupa por la privacidad.

Retomando lo que realmente nos ocupa en esta entrada, Firefox 109 ha incorporado los correspondientes diccionarios para el corrector ortográfico en las configuraciones regionales de español de España (es-ES) y español de Argentina (es-AR), el selector de fecha en HTML nativo puede funcionar solo con un teclado, se ha habilitado la protección frente a exploits de Arbitrary Code Guard en la reproducción de multimedia para mejorar la seguridad de los usuarios de Windows, además de que en macOS la combinación de teclas Cmd+trackpad o rueda del ratón realiza un desplazamiento por la página en lugar de zoom.

Todos los detalles sobre Mozilla Firefox 109 están disponibles en las notas de lanzamiento:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La aplicación puede ser obtenida para Windows, macOS y Linux desde la correspondiente sección de descargas:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Muy Computer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los nuevos MacBook Pro de 14 y 16 pulgadas ya están aquí. Apple ha actualizado estos modelos de portátiles profesionales con sus nuevos chips M2 Pro y M2 Max, que prometen ofrecer un importante salto en rendimiento. Además, las configuraciones más ambiciosas admiten hasta 96 GB de memoria unificada.

En esta ocasión, los cambios llegan debajo del capó. A nivel estético, el diseño, las dimensiones y los puertos se mantienen dentro de los parámetros de los MacBook Pro presentados en 2021. Es decir, cuentan con carcasas de aluminio, pantallas con marcos sutiles y notch, conectividad HDMI y puerto MagSafe.

Ficha técnica de los nuevos MacBook Pro (2023)

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Corazón M2 Pro y M2 Max, potencia bruta

Apple parece estar haciendo todo lo posible para que sus portátiles profesionales sean dignos de entrar en esa categoría. En este sentido, la compañía de Cupertino ha dotado a sus nuevos MacBook Pro de 14 y 16 pulgadas con los nuevos M2 Pro y el M2 Max, sus chips más potentes que, además, prometen ser muy eficientes.

El chip M2 Pro, según Apple, tiene el doble de transistores que el M2 y casi un 20% más que el M1 Pro. Incorpora una CPU de 10 o 12 núcleos (con hasta ocho núcleos de rendimiento y cuatro de eficiencia) y ofrece hasta 200 GB/s de ancho de banda de memoria. Los ordenadores con este chip pueden llevar hasta 32 GB de memoria unificada. A nivel de GPU, nos encontramos con hasta 19 núcleos.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si hablamos del M2 Max podemos decir que tiene una CPU de 12 núcleos (con hasta ocho núcleos de rendimiento y otros cuatro de eficiencia) que promete ofrecer un rendimiento un 20% superior al del M1 Max. Ofrece 400 GB/s de memoria. En gráficos, se puede contar con una GPU de hasta 38 núcleos. En cuanto a la memoria unificada, el límite anterior era de 64 GB, ahora puede elevarse hasta los 96 GB.

Estos nuevos portátiles destacan, además, por ser los primeros de Apple en incorporar WiFi 6E, que puede ser hasta el doble de rápida que la generación anterior. También llegan con HDMI que permite conectar pantallas con resolución de hasta 8K (60 Hz) y 4K (240 Hz). El apartado puertos se complementa con tres Thunderbolt 4, una ranura para tarjetas SDXC y MagSafe 3 para la carga.

Hasta aquí, las principales novedades. En el resto de los apartados vemos características y especificaciones continuistas. Los paneles de las pantallas siguen siendo MiniLED, con tecnología ProMotion y tasas de refresco de hasta 120 Hz (que se configuran de forma dinámica), brillo máximo de 1.600 nits y contraste de 1.000.000:1.

En cuanto al peso, hay cambios casi imperceptibles. El MacBook Pro de 14 pulgadas con chip M2 Pro tiene un peso de 1,61 kg, mientras que la versión con el M2 Max se sitúa en los 1,63 kg. El MacBook Pro de 16 pulgadas con chip M2 Pro está en los 2,15 kg y el M2 Max en los 2,16 kg.

Fuente:
Tom´s Hardware
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía (traducción al español):
Xataka
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de 4000 dispositivos Sophos Firewall expuestos al acceso a Internet son vulnerables a ataques dirigidos a una vulnerabilidad crítica de ejecución remota de código (RCE).

Sophos reveló esta falla de inyección de código (CVE-2022-3236) encontrada en el Portal de usuario y Webadmin de Sophos Firewall en septiembre y también lanzó revisiones para varias versiones de Sophos Firewall (las correcciones oficiales se emitieron tres meses después, en diciembre de 2022).

La compañía advirtió en ese momento que el error RCE estaba siendo explotado de forma salvaje en ataques contra organizaciones del sur de Asia.

Las revisiones de septiembre se implementaron en todas las instancias afectadas (v19.0 MR1/19.0.1 y anteriores) ya que las actualizaciones automáticas están habilitadas de manera predeterminada, a menos que un administrador deshabilite la opción.

Las instancias de Sophos Firewall que ejecutaban versiones anteriores del producto debían actualizarse manualmente a una versión compatible para recibir el hotfix CVE-2022-3236 automáticamente.

Los administradores que no pueden parchear el software vulnerable también pueden eliminar la superficie de ataque al deshabilitar el acceso WAN al Portal de usuario y Webadmin.

Miles de dispositivos siguen siendo vulnerables

Mientras escaneaba Internet en busca de dispositivos Sophos Firewall, el investigador de vulnerabilidades de VulnCheck, Jacob Baines, descubrió que de más de 88 000 instancias, alrededor del 6 % o más de 4000 ejecutan versiones que no han recibido una revisión y son vulnerables a los ataques CVE-2022-3236.

"Más del 99 % de los Sophos Firewall orientados a Internet no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236", dijo Baines.

"Pero alrededor del 93% ejecuta versiones que son elegibles para una revisión, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite)"".

"Eso todavía deja más de 4.000 firewalls (o alrededor del 6% de los Sophos Firewall orientados a Internet) ejecutando versiones que no recibieron una revisión y, por lo tanto, son vulnerables".

Afortunadamente, a pesar de que ya se ha explotado como un día cero, aún no se ha publicado en línea un exploit de prueba de concepto CVE-2022-3236.

Sin embargo, Baines pudo reproducir el exploit a partir de la información técnica compartida por Zero Day Initiative (ZDI) de Trend Micro, por lo que es probable que los actores de amenazas pronto también puedan hacerlo.

Cuando esto suceda, y si esto sucede, lo más probable es que conduzca a una nueva ola de ataques tan pronto como los actores de amenazas creen una versión completamente funcional del exploit y la agreguen a su conjunto de herramientas.

Baines también agregó que la explotación masiva probablemente se vería obstaculizada por Sophos Firewall que requiere que los clientes web de forma predeterminada "resuelvan un captcha durante la autenticación".

Para solucionar esta limitación y llegar al código vulnerable, los atacantes tendrían que incluir un solucionador de CAPTCHA automatizado.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Errores de Sophos Firewall previamente atacados

Parchar los errores de Sophos Firewall es de vital importancia, dado que esta no sería la primera vez que se explota una vulnerabilidad de este tipo.

En marzo de 2022, Sophos corrigió un error crítico similar de Sophos Firewall (CVE-2022-1040) en los módulos User Portal y Webadmin que permitía la omisión de autenticación y ataques de ejecución de código arbitrario.

También fue explotado en ataques como un día cero desde principios de marzo (aproximadamente tres semanas antes de que Sophos lanzara parches) contra organizaciones del sur de Asia por parte de un grupo de amenazas chino rastreado como DriftingCloud.

Los actores de amenazas también abusaron de una inyección SQL de día cero en XG Firewall a principios de 2020 para robar datos confidenciales, como nombres de usuario y contraseñas, utilizando el malware troyano Asnarök.

El mismo día cero se aprovechó para entregar cargas útiles de ransomware Ragnarok en las redes empresariales de Windows.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La compañía detrás de productos y servicios como Windows, Office y Azure podría poner en marcha un plan de reestructuración de gran alcance. Todas las divisiones se verían afectadas con reducciones de personal y reorganizaciones a nivel interno.

Hasta 10.000 empleados menos

De acuerdo a Sky News, los despidos comenzarán esta semana y se contarán por miles. La compañía, que emplea a unas 220.000 personas, eliminará aproximadamente el 5% de su plantilla, lo que se traduce en unos 11.000 puestos de trabajo menos.

Si se concreta este movimiento, Microsoft entraría en el podio de las empresas con los recortes de personal más agresivos de los últimos dos años. Amazon ha anunciado el despido de 18.000 empleados, Meta de 11.000, Salesforce de 8.000 y Twitter más de 4.000.

Esta no sería la primera vez en el último tiempo que el gigante de Redmond se achica. En octubre, según Axios, la compañía despidió 1.000 personas que se desempeñaban en distintas divisiones. Ahora, los recortes afectarían todas las áreas de la empresa.

Con las ventas de PC cayendo en picado, el negocio de la nube frenando su crecimiento y los desalpronósticos de recesión global, Microsoft, al igual que muchas otras grandes compañías, podría no estar pasando por su mejor momento.

Los datos de Yahoo! Finance indican que las acciones de la compañía han caído un 62,30% durante el último año. Las proyecciones de la empresa, por su parte, señalan que Azure, uno de los pilares de Microsoft, redujo su crecimiento un 35% en el primer trimestre fiscal de 2023 y que volverá a caer en período actual.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía (traducción al español):
Xataka
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

No es relevante el Sistema Operativo si está bien levantado.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Todo tiene sus limitantes según la seguridad que se tenga implementada (leer el anterior artículo y verá la limitante) pero no depende en exclusivo de un determinado Sistema Operativo o plataforma.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Stack Overflow, un sitio de preguntas y respuestas para desarrolladores con 50 millones de visitantes mensuales únicos, encuestó a 65 000 desarrolladores para preguntarles qué idiomas usan, sus salarios y más. A partir de estos datos, elaboró una lista de los lenguajes de programación asociados con los salarios más altos.

Si bien algunos de los principales lenguajes de programación que generan dinero son muy apreciados, algunos de ellos llegaron a la lista de Stack Overflow como lenguajes más temidos. Quizás estos altos salarios compensen tener que trabajar con lenguajes que la mayoría de los desarrolladores no quieren usar.

Esta encuesta mostró los salarios medios de los desarrolladores en todo el mundo y en los EE. UU., y Stack Overflow convirtió las monedas a USD, y asumió 12 meses laborales y 50 semanas laborales para los salarios anuales.

Por ahora, estos son los principales lenguajes de programación asociados con los salarios más altos, según Stack Overflow.

El lenguaje de programación cuyo conocimiento está mejor pagado en el mercado es Clojure, ascendiendo el sueldo medio de los expertos en el lenguaje a los 106.644 dólares, seguidos de los 103.000 dólares que ganan los de Erlang.

F#, LISP y Ruby ocupan los siguientes puestos. Bases de datos como DynamoDB, plataformas cloud como Colocation y frameworks web como Phoenix ocupan, respectivamente, el TOP1 de mejores sueldos en sus categorías.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Por su parte, los mayores aumentos del salario medio desde 2021 - 2022 se han dado entre los expertos en Flow, COBOL, Couchbase e IBM Cloud/Watson.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
Stack Overflow
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

-----------------------------------------------
Nota:
Esta noticia ha sido reeditada pues cometí un equívoco en el año de la estadística; puse el compendio del 2020 en vez del recién y último del 2022.
Les pido disculpas por el equívoco y ruego que se me sepa disculpar, por la posible desinformación o confusión que pudo haber generado entre los muchos desarrolladores que nos visitan.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Más de las tres cuartas partes de las aplicaciones escritas en Java y .NET tienen al menos una vulnerabilidad de OWASP Top 10, una lista de debilidades de software que los desarrolladores suelen utilizar como referencia para la seguridad de las aplicaciones.

Eso es según la firma de prueba de software Veracode, que encontró en un análisis de casi 760,000 aplicaciones que aproximadamente una de cada cinco aplicaciones que usaban esos dos ecosistemas de programación tenía al menos una vulnerabilidad de gravedad alta o crítica.

En general, la aplicación promedio tenía un 27 % de posibilidades de presentar al menos una vulnerabilidad cada mes, con aplicaciones mal escritas y aplicaciones escaneadas con poca frecuencia que probablemente tenían más fallas, mientras que las aplicaciones con un historial más largo de procesos de seguridad y escritas por personal bien capacitado los desarrolladores tienen menos probabilidades de introducir nuevas fallas, según mostraron los datos.

El análisis destaca la importancia de integrar la seguridad en la línea de desarrollo, dice Tim Jarrett, vicepresidente de gestión estratégica de productos de Veracode.

"Los datos muestran consistentemente que si creas un hábito de seguridad en tu proceso, obtienes un mejor resultado, tanto en términos de corregir fallas generales como... también ralentizas la avalancha de cosas que ingresan y eso hace diferencia", dice.

Mientras tanto, las empresas de software y los equipos de desarrollo continúan luchando para eliminar los defectos y las vulnerabilidades del código de las aplicaciones. Si bien los desarrolladores y los proyectos de código abierto corrigen las fallas de software más rápidamente, la vida media de la vulnerabilidad promedio se sigue midiendo en meses, no en días o semanas, según el informe "Estado de la seguridad del software" de Veracode, publicado el 11 de enero.

Por ejemplo, las aplicaciones Java y .NET, que representaron el 71 % del total de aplicaciones analizadas por el estudio, observaron que la mitad de las fallas seguían afectando las aplicaciones después de 243 y 158 días, respectivamente.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La sobrecarga y la edad de las aplicaciones tuvieron un impacto negativo significativo en su seguridad. La aplicación promedio acumuló alrededor de un 40% más de código y es más probable que tenga vulnerabilidades. Alrededor del 54% de las aplicaciones de dos años tienen fallas, mientras que el 69% de las aplicaciones de cinco años tienen fallas, encontró el análisis.

La sorprendente seguridad de JavaScript

Sorprendentemente, las aplicaciones escritas en JavaScript o que utilizan uno de los marcos de JavaScript tendían a obtener mejores resultados en los análisis de vulnerabilidades. Mientras que alrededor del 80 % de las aplicaciones Java y .NET tenían una vulnerabilidad, solo el 56 % de las aplicaciones JavaScript la tenían. Y mientras que alrededor del 20 % de las aplicaciones Java y .NET tenían una vulnerabilidad de gravedad alta, menos del 10 % de las aplicaciones JavaScript la tenían.

Los marcos de JavaScript son más nuevos, tienen más seguridad y tienen los beneficios de un ecosistema de código abierto, del cual Java se ha beneficiado recientemente, dice Jarret.

"JavaScript es un lenguaje más nuevo, por lo que las aplicaciones escritas en él [son] más nuevas, y existe una correlación que hemos establecido en informes anteriores entre la antigüedad de la aplicación y el tiempo de reparación de fallas", dice. "Muchas de las herramientas para JavaScript [son] maduras y es un lenguaje bien soportado".

Además, cuando una vulnerabilidad en una aplicación Java es un problema de origen (deja que el desarrollador solucione los problemas), en JavaScript y el marco de Node.js, las vulnerabilidades suelen ser un problema de terceros, porque la vulnerabilidad se ha producido en un componente de la que depende el software.

"La forma en que soluciona un problema de seguridad en una aplicación Java sigue siendo en gran medida [donde] realiza un cambio en un archivo de clase y lo compila", dice. "Donde en una aplicación de JavaScript, [es] más un problema de administración de paquetes. Y eso es algo diferente para que un desarrollador aprenda, lo que puede ser más fácil".

Languidecen nuevos lenguajes de programación

Los datos del informe también destacan la diferencia entre los lenguajes de programación que los desarrolladores están aprendiendo y los lenguajes que en realidad se usan en la mayoría de las empresas. Los principales lenguajes y ecosistemas (Java, .NET y JavaScript) vistos por Veracode no son la elección de tecnología de programación de los desarrolladores.

Si bien los marcos basados en JavaScript y JS, como Node.js, React.js y Angular, dominan las listas de tecnología preferida por los desarrolladores, Java es uno de los lenguajes de programación menos apreciados, con un 54 % de los encuestados que temen el lenguaje, en comparación con un 46% a quien le encantó, según la Encuesta de desarrolladores de 2022 de Stack Overflow.

Sin embargo, Java dominó la parte de las aplicaciones escaneadas por los clientes de Veracode (44 %) en comparación con el 14 % de JavaScript.

Además, el lenguaje de programación más querido, Rust, ni siquiera aparece en los datos de Veracode, mientras que el número 6 de los desarrolladores, Python, solo representa menos del 4 % de las aplicaciones escaneadas.

Parte del motivo de la desconexión es que las aplicaciones establecidas están escritas en lenguajes de programación establecidos, dice Jarrett de Veracode.

"Tienes el universo completo de todo el código que existe, y luego tienes el tipo de espuma en la cresta de la ola de nuevos desarrollos que está ocurriendo, y ahí es donde ves a la gente recogiendo Go, Rust y Dart. y Flutter", dice.

Debido a las bases de código agregadas de las aplicaciones escritas en esos lenguajes, es probable que esa situación no cambie.

"Desafortunadamente, las aplicaciones antiguas nunca mueren, por lo que hay una gran cantidad de masa crítica en las empresas con estas grandes bases de código Java y .NET", dice.

Fuente:
DarkReading
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El código de explotación de prueba de concepto se lanzará a finales de esta semana para una vulnerabilidad crítica que permite la ejecución remota de código (RCE) sin autenticación en varios productos de VMware.

Rastreada como CVE-2022-47966, esta falla de seguridad de RCE previa a la autenticación se debe al uso de una dependencia de terceros obsoleta y vulnerable, Apache Santuario.

La explotación exitosa permite a los actores de amenazas no autenticados ejecutar código arbitrario en los servidores de ManageEngine si el inicio de sesión único (SSO) basado en SAML está o estuvo habilitado al menos una vez antes del ataque.

La lista de software vulnerable incluye casi todos los productos de ManageEngine. Aún así, afortunadamente, Zoho ya los parcheó en oleadas a partir del 27 de octubre de 2022, al actualizar el módulo de terceros a una versión más reciente.

Ataques entrantes de "rociar y rezar"

El viernes, los investigadores de seguridad del Equipo de ataque de Horizon3 advirtieron a los administradores que crearon un exploit de prueba de concepto (PoC) para CVE-2022-47966.

"La vulnerabilidad es fácil de explotar y es una buena candidata para que los atacantes 'rocíen y recen' a través de Internet. Esta vulnerabilidad permite la ejecución remota de código como NT AUTHORITY\SYSTEM, esencialmente dando al atacante un control completo sobre el sistema", dijo el investigador de vulnerabilidades de Horizon3. dijo James Horseman.

"Si un usuario determina que se ha visto comprometido, se requiere una investigación adicional para determinar cualquier daño que haya hecho un atacante. Una vez que un atacante tiene acceso de nivel de SYSTEM al punto final, es probable que los atacantes comiencen a descargar credenciales a través de LSASS o aprovechen las herramientas públicas existentes para acceder Credenciales de aplicaciones almacenadas para realizar movimientos laterales".

Aunque todavía tienen que publicar los detalles técnicos y solo los indicadores compartidos de compromiso (IOC) que los defensores pueden usar para determinar si sus sistemas se han visto comprometidos, Horizon3 planea lanzar su PoC exploit más adelante esta semana.

Los investigadores de Horizon3 también han compartido la siguiente captura de pantalla que muestra su exploit en acción contra una instancia vulnerable de ManageEngine ServiceDesk Plus.

Explotación de PoC CVE-2022-47966 (Horizon3)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

10% de todas las instancias expuestas vulnerables a ataques

Mientras investigaba solo dos de los productos vulnerables de ManageEngine, ServiceDesk Plus y Endpoint Central, Horseman encontró miles de servidores sin parches expuestos en línea a través de Shodan.

De ellos, cientos también tenían habilitado SAML, y se estima que el 10 % de todos los productos ManageEngine expuestos son vulnerables a los ataques CVE-2022-47966.

Aunque no hay informes públicos de ataques que aprovechen esta vulnerabilidad ni intentos de explotarla en la naturaleza según la empresa de seguridad cibernética GreyNoise, es probable que los atacantes motivados se muevan rápidamente para crear sus propios exploits RCE una vez que Horizon3 publique su código PoC, incluso si lanzan un versión mínima.

Horizon3 lanzó previamente un código de explotación para:

     CVE-2022-28219, una vulnerabilidad crítica en Zoho ManageEngine ADAudit Plus que puede permitir que los atacantes comprometan las cuentas de Active Directory,
     CVE-2022-1388, un error crítico que permite la ejecución remota de código en dispositivos de red F5 BIG-IP,
     y CVE-2022-22972, una vulnerabilidad crítica de omisión de autenticación en varios productos de VMware que permite a los actores de amenazas obtener privilegios de administrador.

Los servidores de Zoho ManageEngine han estado bajo constante ataque en los últimos años, con piratas informáticos de estados nacionales que utilizan tácticas y herramientas similares a las del grupo de piratería APT27 vinculado a China que los atacan entre agosto y octubre de 2021.

Las instancias de Desktop Central también fueron pirateadas en julio de 2020, y los actores de amenazas vendieron el acceso a las redes de las organizaciones violadas en foros de piratería.

Después de esta y otras extensas campañas de ataque, el FBI y CISA emitieron avisos conjuntos advirtiendo de atacantes patrocinados que explotan los errores de ManageEngine con backdoors hacia organizaciones de infraestructuras críticas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tres populares complementos de WordPress con decenas de miles de instalaciones activas son vulnerables a vulnerabilidades de inyección de SQL críticas o de alta gravedad, con exploits de prueba de concepto ahora disponibles públicamente.

La inyección de SQL es una falla de seguridad del sitio web que permite a los atacantes ingresar datos en campos de formulario o a través de URL que modifican las consultas legítimas de la base de datos para devolver datos diferentes o modificar una base de datos.

Dependiendo de si el código del sitio web es vulnerable a una falla de inyección SQL, un atacante podría modificar o eliminar datos en un sitio, inyectar scripts maliciosos u obtener acceso completo al sitio web.

Exploits de prueba de concepto

Los tres complementos vulnerables fueron descubiertos por el investigador de seguridad de Tenable, Joshua Martinelle, quien los informó de manera responsable a WordPress el 19 de diciembre de 2022, junto con pruebas de concepto (PoC).

Los autores de los complementos lanzaron actualizaciones de seguridad para abordar los problemas en los siguientes días o semanas, por lo que todos los problemas se han solucionado ahora y aquellos que ejecutan la última versión disponible ya no son vulnerables.

Ayer, el investigador reveló detalles técnicos sobre cada vulnerabilidad con exploits de prueba de concepto utilizando la función SLEEP para demostrar cómo funcionan las fallas.

El primer complemento que resultó ser vulnerable a la inyección de SQL es 'Paid Memberships Pro', una herramienta de administración de membresías y suscripciones que se utiliza en más de 100 000 sitios web.

"El complemento no escapa del parámetro 'código' en la ruta REST /pmpro/v1/order antes de usarlo en una declaración SQL, lo que lleva a una vulnerabilidad de inyección SQL no autenticada", revela la publicación de Tenable.

La falla se rastrea como CVE-2023-23488, recibe una calificación de gravedad CVSSv3 de 9.8 (crítica) y afecta a todas las versiones del complemento anteriores a la 2.9.8. Paid Memberships Pro corrigió la vulnerabilidad el 27 de diciembre de 2022 con el lanzamiento de la versión 2.9.8.

Ejemplo proporcionado de un ataque de prueba que aprovecha CVE-2023-23488 (Tenable)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El segundo complemento de WordPress vulnerable a la inyección SQL es 'Easy Digital Downloads', una solución de comercio electrónico para vender archivos digitales con más de 50 000 instalaciones activas.

"El complemento no escapa del parámetro 's' en la acción 'edd_download_search' antes de usarlo en una instrucción SQL, lo que genera una vulnerabilidad de inyección SQL no autenticada", explica Tenable.

"La parte vulnerable del código corresponde a la función 'edd_ajax_download_search()' del archivo './includes/ajax-functions.php'".

La vulnerabilidad se rastrea como CVE-2023-23489 y recibió una calificación de gravedad CVSSv3 de 9.8, clasificándola como crítica. La falla afecta a todas las versiones anteriores a la 3.1.0.4, lanzada el 5 de enero de 2023.

Finalmente, Tenable descubrió CVE-2023-23490, una falla de inyección SQL de "alta gravedad" en "Survey Marker", un complemento de WordPress utilizado por 3000 sitios web para encuestas e investigaciones de mercado.

La falla recibió una calificación de gravedad de 8.8, según el CVSS v3, porque el atacante debe autenticarse al menos como suscriptor para explotarla.

Sin embargo, este requisito previo suele ser fácil de cumplir, ya que muchos sitios web permiten a los visitantes registrarse como miembros.

Survey Marker fue el proveedor más rápido en responder al descubrimiento de inyección SQL de Tenable y lanzó una actualización de reparación el 21 de diciembre de 2022, con la versión 3.1.2.

Si bien todos estos complementos eran vulnerables a la inyección de SQL y se lanzaron exploits de prueba de concepto, Tenable no compartió qué impacto podrían tener si se explotan en los ataques.

Sin embargo, dado que los errores se clasifican como críticos, se recomienda que todos los sitios que utilicen estos complementos se actualicen a la última versión.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hackers están explotando activamente una vulnerabilidad crítica parcheada recientemente en Control Web Panel (CWP), una herramienta para administrar servidores anteriormente conocida como CentOS Web Panel.

El problema de seguridad se identifica como CVE-2022-44877 y recibió una puntuación de gravedad crítica de 9,8 sobre 10, ya que permite que un atacante ejecute código de forma remota sin autenticación.

Código de explotación fácilmente disponible

El 3 de enero, el investigador Numan Türle de Gais Cyber Security, que había informado sobre el problema alrededor de octubre del año pasado, publicó un exploit de prueba de concepto (PoC) y un video que muestra cómo funciona.



Tres días después, los investigadores de seguridad notaron que los piratas informáticos explotaban la falla para obtener acceso remoto a sistemas sin parches y encontrar máquinas más vulnerables.

CWP versión 0.9.8.1147 se lanzó el 25 de octubre de 2022 para corregir CVE-2022-44877, que afecta a las versiones anteriores del panel.

Un análisis técnico del código de explotación PoC está disponible en CloudSek, que realizó una búsqueda de servidores CWP en la plataforma Shodan y encontró más de 400 000 instancias CWP accesibles a través de Internet.

Instancias de Control Web Panel (CentOS Web Panel) en Internet
fuente: CloudSek
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de la Shadowserver Foundation, que observaron la explotación de la vulnerabilidad, señalan que sus análisis detectan alrededor de 38 000 instancias de CWP todos los días.

Esta cifra no representa máquinas vulnerables sino la población vista por la plataforma.

Instancias de Web Panel de control en escaneos diarios de Shadowserver
fuente: La Fundación Shadowserver
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La actividad maliciosa registrada por Shadowserver reveló que los atacantes están encontrando hosts vulnerables y explotando CVE-2022-44877 para generar una terminal para interactuar con la máquina.

En algunos ataques, los piratas informáticos utilizan el exploit para iniciar un shell inverso (reverse shells). Las cargas útiles codificadas se convierten en comandos de Python que llaman a la máquina del atacante y generan una terminal en el host vulnerable mediante el módulo Python pty .

Otros ataques solo buscaban identificar máquinas vulnerables. No está claro si estos escaneos son realizados por investigadores o actores de amenazas que buscan encontrar máquinas para violar en una fecha posterior.

Parece que todos estos intentos de explotación se basan en el PoC público original de Numan Türle, ligeramente modificado para adaptarse a las necesidades del atacante.

La empresa de investigación GreyNoise también observó varios ataques en hosts CWP sin parches desde direcciones IP en los Estados Unidos, Tailandia y los Países Bajos.

Aprovechar CVE-2022-44877 es fácil y con el código de explotación ya público, todo lo que los piratas informáticos tienen que hacer es encontrar objetivos vulnerables, una tarea de baja categoría.

Los administradores deben tomar medidas inmediatas y actualizar CWP a la última versión disponible, actualmente 0.9.8.1148, lanzada el 1 de diciembre de 2022.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se llama James Howells y vive en Newport, en Gales. Minó 7.500 bitcoins en apenas una semana cuando nadie lo hacía, pero luego se olvidó de aquello y el disco duro en el que los guardaba acabó en un vertedero.

Ahora Howells lleva años tratando de encontrar ese disco duro, que en estos momentos tendría un valor de más de 315 millones si logra localizarlo y recuperar los datos. Ha dejado su trabajo para dedicarse a ello, pero el ayuntamiento de su ciudad no le deja buscarlo: dicen que remover el vertedero en el que supuestamente está podría causar daños medioambientales.

La historia de esta tragedia —hay otras similares— la narran estupendamente en The New Yorker, donde revelan cómo Howells pronto se dio cuenta de su error. Trató entonces de iniciar la búsqueda del disco duro, y eso ha acabado convirtiéndose en su particular obsesión.

Una vida y una misión: encontrar el disco duro

La agonía de Howells crecía con la misma rapidez que el valor de aquel disco duro, que ya valía cinco millones de euros cuando comenzó la búsqueda. Inicialmente se le cayó el alma al suelo: la basura en aquel lugar ocupaba un área similar a la que ocuparían quince campos de fútbol.

Sin embargo, poco después contactó con el responsable del vertedero, y éste le dio esperanzas: el vertedero no se va llenando de basura, así como así: hay un orden en el caos. Era factible localizar la zona en la que podía haberse tirado el disco duro —de unos 250 metros cuadrados—, y lo único que necesitaba era el permiso del ayuntamiento para comenzar a hurgar en el vertedero.

Hay dudas sobre si la historia de cómo minó Howells los bitcoins —demasiado rápido, según algunos críticos—, pero lo cierto es que él seguía sin poder buscar el disco en el vertedero porque no le daban permiso. Contactó con su representante en el Parlamento Galés, en Cardiff, y con el Parlamento Británico en Londres. Contactó con inversores e incluso llegó a un acuerdo con dos empresarios que accedieron a financiar la operación de recuperación del disco: Howells se quedaría con una tercera parte de lo que lograran recuperar.

Acabó ofreciéndole al ayuntamiento de Newport un 25% de lo que se encontrara para que se pudiera usar para la recuperación de los daños económicos de la COVID-19, pero ni por esas: el ayuntamiento no aceptó. Creó una presentación con todos los detalles y estimó que la búsqueda costaría unos cinco millones de libras, pero podía haber margen para lograr mayor financiación. Con un equipo de 25 personas podría completar la operación de búsqueda en el área designada en menos de un año.

El ayuntamiento sigue negándose a dar permiso para la operación. Los responsables de gobierno aseguran que el proyecto es demasiado incierto y demasiado arriesgado para el medioambiente. Y ahí siguen, quizás, esos 7.500 bitcoins. Perdidos como tantos otros.

Nuevo intento

Pero Howells no se rinde, y ha creado una propuesta que estaría sufragada por dinero proporcionado por empresas de capital riesgos. En total cuenta con 11 millones de dólares según esa propuesta.
El objetivo, conseguir el permiso del ayuntamiento para buscar entre esas 110.000 toneladas de basura. El proceso llevaría según sus estimaciones un máximo de tres años, aunque hay una propuesta más modesta de 6 millones de dólares que duraría 18 meses.

Para lograr tener éxito Howells ha creado un grupo de ocho expertos en ámbitos como las excavaciones, la gestión de residuos, la extracción de datos o los algoritmos de ordenado vía inteligencia artificial. Entre ellos incluso está uno de los asesores que recuperó datos de la caja negra del transbordador espacial Columbia que se estrelló.

En esas teorías usaría por ejemplo los robots "Spot" de Boston Dynamics, que se usarían como patrullas de vigilancia nocturna y que durante el día recorrerían todo el área en busca de algo que se pareciera al disco duro extraviado.

El interés generado por el proyecto incluso hizo que Richard Hammond, uno de los anfitriones del célebre programa televisivo "Top Gear", publicara un pequeño documental sobre esta historia. El proyecto incluye un plan para reutilizar ese espacio de forma sostenible, construyendo una granja solar o una eólica cuando todo termine.

Si todo eso falla, Howells incluso considera recurrir a la justicia para conseguir por fin el permiso del ayuntamiento. De momento todo sigue paralizado.

Fuente:
The New Yorker
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vía (traducción y adaptación al español):
Xataka
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login