You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si bien la esteganografía no es nada nuevo, un investigador ha llevado esta técnica al siguiente nivel.
Como se demostró, ahora cualquiera puede ocultar grandes cantidades de datos en imágenes de Twitter que otros pueden descargar.

Ocultar datos en imágenes de Twitter

Según se informa, el investigador David Buchanan compartió una técnica para ocultar datos enormes como archivos .zip y mp3 en imágenes de Twitter.

Al revelar los detalles en un tweet, compartió cómo escondió 3 MB de datos dentro de una imagen PNG.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La imagen que subió es en sí misma una demostración de la técnica, ya que incluye el código fuente.
Para descargar la fuente, todo lo que debe hacer un usuario es descargar la imagen PNG y cambiar el nombre de la extensión del archivo como ".zip" mientras guarda.

Esto transformará inmediatamente el formato de archivo en un archivo que se puede abrir con cualquier visor de archivos como WinZip.
En otro tweet, compartió otro archivo de imagen que incluía un archivo de audio. Sin embargo, recuperar el audio tenía la limitación de descargar la imagen en su resolución completa.

La razón por la que compartió esta técnica es que este tipo de esteganografía escapa a la detección de Twitter.
Con respecto a cómo funciona esto, un ingeniero de Google ha explicado que implica agregar datos al fragmento de datos de imagen de PNG.

No hay solución por ahora

Si bien la técnica parece inofensiva, en realidad alberga un gran potencial de abuso.

Dada la frecuencia con la que se comparten imágenes en Twitter, un actor de amenazas puede aprovechar fácilmente esta técnica para iniciar una campaña de malware masiva.

En particular, cuando la fuente exacta para ejecutar la técnica está disponible y Twitter no puede desinfectar estas imágenes en la actualidad.

Además, el investigador no reveló formalmente el error a Twitter.

Según su declaración,

"Informé de mi truco original basado en JPEG al programa de recompensas de errores de Twitter, pero dijeron que no era un error de seguridad, así que no me molesté en informarles de este."

Considerando que, con respecto al abuso potencial de esta técnica, comentó:

"No creo que esta técnica sea particularmente útil para los atacantes, porque las técnicas de esteganografía de imágenes más tradicionales son más fáciles de implementar (e incluso más sigilosas). Pero tal vez podría usarse como parte de un sistema C2, para distribuir archivos maliciosos a hosts infectados."

Veamos si Twitter aborda este asunto pronto.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Algunas fallas triviales en la infraestructura de comunicación por SMS pueden permitir una adquisición completa de los números de teléfono de destino.

La ejecución de estos ataques es fácil y no requiere conocimientos técnicos.

A pesar de ser antiguo, los SMS siguen siendo de uso común en todo el mundo, incluso por motivos de seguridad, como el envío de códigos 2FA.

Esto se debe a que la gente piensa que los SMS son más seguros, ya que esta tecnología permanece separada de Internet.
Sin embargo, los investigadores han explicado cómo esta tecnología permite sin problemas que un adversario del número de teléfono de destino se apodere a través de SMS.

Como explicó Joseph Cox de Motherboard en una publicación reciente, un hacker con alias Lucky225 demostró este ataque mientras apuntaba al número de Cox.

Brevemente, este ataque es diferente de los ataques conocidos como el intercambio de SIM, los ataques SS7 y los fraudes de port-out.
Esta es una estrategia de ataque bastante simple que involucra a Sakari, una empresa que ofrece servicios de marketing por SMS a empresas.

Todo lo que necesita un adversario es registrarse con Sakari que cuesta $ 16 y proporcionar detalles para la Carta de autorización que muestra que la parte firmante está autorizada a cambiar de número.

Luego, Sakari permite al usuario redirigir los mensajes SMS cambiando los números de teléfono.

Aparentemente, este procedimiento no implica una verificación adicional en ningún extremo sobre si un usuario ingresa sus propios números o no. Por lo tanto, es posible que un adversario redireccione los mensajes SMS de un número de teléfono de destino a su propia cuenta.

Una vez hecho esto, el atacante puede hacerse cargo de todas las demás cuentas, como las redes sociales y las cuentas bancarias, asociadas con este número, ya que el atacante recibiría todos los códigos 2FA de SM directamente.

Todo el ataque se ejecuta sin que la víctima lo sepa.

En el extremo de la víctima, la SIM se verá perfectamente normal y conectada a la red.

Cómo se ejecuta el ataque

Cualquier persona interesada en conocer los detalles técnicos de este ataque puede leer la publicación de Lucky225:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En él, ha explicado cómo este ataque se hace posible mediante la explotación de NetNumber, una convención de nomenclatura única global para proveedores de servicios.

En resumen, si bien este servicio asigna NetNumber ID (NNID) únicos a los proveedores de servicios para su identificación, también es posible intercambiar estos ID.

Y este procedimiento no implica autenticación por parte del propietario del número de SMS.
Por lo tanto, un adversario puede secuestrar un número de teléfono sin dar una pista a la víctima.

Por ahora, parece que estos ataques aún no han ocurrido en la naturaleza. Sin embargo, nadie puede confirmar este reclamo con seguridad.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El servicio centrado en la privacidad DuckDuckGo ha abordado recientemente una vulnerabilidad grave que afecta a su extensión de navegador DuckDuckGo Privacy Essentials.

Aprovechar esta vulnerabilidad podría permitir a un adversario ejecutar códigos arbitrarios en cualquier dominio.

El investigador de seguridad de la vulnerabilidad de la extensión del navegador DuckDuckGo, Wladimir Palant, encontró problemas de seguridad graves que afectaban al complemento del navegador DuckDuckGo.

Al explicar los detalles en su publicación, Palant mencionó dos problemas distintos con la extensión DuckDuckGo Privacy Essentials. Uno de ellos es una vulnerabilidad de secuencias de comandos entre sitios (XSS) que afecta a todas las versiones principales de la extensión del navegador DuckDuckGo.

Cualquiera que tenga control sobre You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login podría aprovechar la falla. Esto incluye el servicio en sí, es decir, DuckDuckGo, el proveedor de alojamiento (Microsoft) o incluso un adversario que logra acceder al servidor.

En segundo lugar, encontró que la extensión utiliza canales inseguros para la comunicación interna que filtra algunos datos entre dominios.
Los detalles técnicos sobre estos problemas están disponibles en la publicación del investigador.

Parches ahora disponibles

Al descubrir las vulnerabilidades, el investigador informó del asunto a DuckDuckGo. En consecuencia, el servicio trabajó en las correcciones para abordar estos problemas.
Luego comenzaron a implementar las actualizaciones gradualmente.

Al principio, DuckDuckGo lanzó la extensión Privacy Essentials versión 2021.2.3 para Google Chrome.
Más tarde, también lanzaron los parches para las versiones de extensión para Mozilla Firefox y Microsoft Edge.
Por lo tanto, los usuarios que ejecutan la última versión de DuckDuckGo Privacy Essentials (v 2021.3.8.) aparentemente están a salvo de cualquier problema que pueda surgir de estos errores.

Mientras que aquellos que todavía usan la versión anterior deben asegurarse de actualizar sus navegadores con la última versión complementaria.

DuckDuckGo Privacy Essentials es una extensión de navegador dedicada, disponible para todos los navegadores principales, como Mozilla Firefox, Google Chrome, Microsoft Edge y otros.

Es una extensión de código abierto que protege a los usuarios de los rastreadores web mientras navegan, refuerza la navegación solo HTTPS y mejora la seguridad sin una recopilación de datos intrusiva al final.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola Diesan.

Me asombra... sí que trabaja para lograr lo que desea.

Estoy un tanto ocupado con cierto asuntico, pero con mirada rápida me salta las preguntas:

En qué sistema lo implementó? (BIND ó NSD) Se parecen pero no es igual por las sugerencias a dar sobre el problema. Veo que con BIND pero es bueno siempre preguntar.

Porqué le asigna distinto rango al server secundario o esclavo? (primer servidor tiene la IP 167.172.226.242 y el segundo 157.245.113.41) Esto puede traerle problemas en la sincronización de este, si el tiempo que le asigno es bajo.
Yo lo hubiera hecho más sencillo
Master: 167.172.226.242
Esclavo: 167.172.226.243

Pues escéptico... me disculpo por el sentimiento.

Pero sí, al parecer es una versión funcional... y la están compartiendo gratis (y vendida también).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google acaba de lanzar un segundo parche para otro día cero que afecta a su navegador Chrome.

Si bien la solución está disponible, el error ya llamó la atención de los piratas informáticos criminales.

Por lo tanto, los usuarios deben apresurarse a actualizar sus navegadores Chrome lo antes posible.

Otro día cero de Chrome

Para evitar daños importantes, Google no ha compartido detalles explícitos sobre la falla.

Sin embargo, mencionaron una vulnerabilidad de alta gravedad, CVE-2021-21193, que afecta al motor de renderizado Blink.
Google ha identificado este error como un error de "uso después libre" ['use after free'].

Además, han confirmado que el error está bajo explotación activa.

Como se indica en su publicación,

"Google está al tanto de los informes de que existe un exploit para CVE-2021-21193 en la naturaleza."

El gigante de la tecnología se enteró de este error a través de un reportero anónimo.

En consecuencia, Google lanzó una solución con la última versión del navegador 89.0.4389.90 para Windows, Mac y Linux.

Aparte de este día cero, Google también ha parcheado otras dos vulnerabilidades de alta gravedad que afectan al navegador.
Estos incluyen un error de "uso después libre"['use after free'] en WebRTC (CVE-2021-21191) y un desbordamiento del búfer de pila que afecta al grupo de pestañas (CVE-2021-21192).

Segundo día cero en días

La solución actual marca el segundo día cero en Chrome que Google ha abordado en semanas consecutivas.

Recientemente, lanzaron la versión de Chrome 89.0.4389.72 que aborda el día cero, CVE-2021-21166. Esta vulnerabilidad llamó la atención de un investigador de Microsoft que luego la informó a Google.

Esta fue una actualización relativamente mayor, ya que también incluyó otras 46 correcciones de seguridad. Considerando que, la última versión aborda solo tres vulnerabilidades. Aun así, dado el parche para un día cero, esta actualización exige la atención inmediata de los usuarios de Chrome.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¡Atención, administradores de WordPress!

Existía un error crítico de día cero en el Addons Plus  para el  plugin Elementor. Dado que los desarrolladores lanzaron la solución, asegúrese de actualizar sus sitios web lo antes posible con la versión 4.1.7 del complemento.

Wordfence, el equipo de seguridad que realiza un seguimiento de los complementos vulnerables de WordPress, ha encontrado una vulnerabilidad grave en otro complemento.

Esta vez, han informado de una vulnerabilidad crítica de día cero que afecta al complemento de WordPress Plus Addons para Elementor.
Como se detalla en su publicación, los investigadores encontraron una vulnerabilidad de escalada de privilegios en la función del complemento que permitía agregar un widget para el inicio de sesión y el registro del usuario en Elementor.

Debido a esto, el error permitió a un adversario crear cuentas de administrador en los sitios web de destino.

Si bien Wordfence prefirió no revelar más detalles del error debido a su explotación activa, aún así explicaron:

"Desafortunadamente, esta funcionalidad se configuró incorrectamente y permitió a los atacantes registrarse como un usuario administrativo o iniciar sesión como un usuario administrativo existente. Cabe señalar que esta vulnerabilidad aún puede explotarse incluso si no tiene una página de inicio de sesión o registro activa que se creó con el complemento.
Esto significa que cualquier sitio que ejecute este complemento es vulnerable a compromisos. La vulnerabilidad recibió el CVE ID CVE-2021-24175 y una puntuación CVSS de 9,8."

Lanzamiento del parche

Tras descubrir el error recientemente, Wordfence se puso en contacto con los desarrolladores de complementos. En respuesta, el equipo de desarrollo comenzó a trabajar en una solución que primero implementaron parcialmente con la versión 4.1.6, seguida de un parche completo implementado con la versión 4.1.7 del complemento.

El complemento Plus Addons para Elementor actualmente cuenta con más de 30,000 instalaciones. Significa que la vulnerabilidad amenaza potencialmente la seguridad de miles de sitios web en todo el mundo.

Por lo tanto, todos los administradores de sitios que utilicen este complemento deben asegurarse de actualizar sus sitios web con la última versión del complemento lo antes posible. En particular, esta vulnerabilidad solo afectó a la versión premium del complemento. Su versión gratuita, The Plus Addons para Elementor Page Builder Lite, no se vio afectada por este error.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lléguese al Github y busque por los tag de los ataques que le menciono. De ahí, sígale los pasos a los desarrolladores y sus sitios.
Encontrará herramientas muy interesantes, funcionales y operativas.

Suerte.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login



Los piratas informáticos han ideado un método furtivo para robar datos de tarjetas de pago de tiendas en línea, comprometidas que reduce la huella de tráfico sospechoso y les ayuda a evadir la detección.

En lugar de enviar la información de la tarjeta a un servidor que controlan, los piratas informáticos la ocultan en una imagen JPG y la almacenan en el sitio web infectado.

Exfiltración de datos sencilla

Los investigadores de la empresa de seguridad de sitios web Sucuri encontraron la nueva técnica de exfiltración al investigar una tienda en línea comprometida que ejecuta la versión 2 de la plataforma de comercio electrónico de código abierto Magento.

Estos incidentes también se conocen como ataques Magecart y comenzaron hace años. Los ciberdelincuentes que obtienen acceso a una tienda en línea a través de una vulnerabilidad o debilidad plantan un código malicioso diseñado para robar los datos de las tarjetas de los clientes al momento de pagar.

Sucuri encontró un archivo PHP en el sitio web comprometido que los piratas informáticos habían modificado para cargar código malicioso adicional creando y llamando a la función getAuthenticates.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El código anterior también creó en una ubicación pública de la tienda infectada una imagen JPG, que se usaría para almacenar datos de tarjetas de pago de los clientes en forma codificada.

Esto permitió a los atacantes descargar fácilmente la información como un archivo JPG sin activar ninguna alarma en el proceso, ya que parecería que un visitante simplemente descargara una imagen del sitio web.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al analizar el código, los investigadores determinaron que el código malicioso utilizó el marco de Magento para capturar la información de la página de pago entregada a través del parámetro Customer_.

Si el cliente que proporcionó los datos de la tarjeta inició sesión como usuario, el código también robó su dirección de correo electrónico, dijo Sucuri en una publicación de blog la semana pasada.

Los investigadores dicen que casi todos los datos enviados en la página de pago están presentes en el parámetro Customer_, que incluye los detalles de la tarjeta de pago, el número de teléfono y la dirección postal.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Toda la información anterior se puede utilizar para el fraude con tarjetas de crédito, ya sea directamente por los piratas informáticos o por otra parte que compre los datos, o para implementar campañas de phishing y spam más específicas.

Sucuri dice que este método es lo suficientemente sigiloso como para que los propietarios de sitios web lo pierdan al verificar si hay una infección. Sin embargo, las comprobaciones de control de integridad y los servicios de supervisión de sitios web deberían poder detectar cambios, como modificaciones de código o la adición de nuevos archivos.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los sitios de phishing ahora usan JavaScript para evadir la detección al verificar si un visitante está navegando por el sitio desde una máquina virtual.

Las empresas de ciberseguridad suelen utilizar máquinas virtuales para determinar si un sitio web se utiliza para el phishing.

Para evitar la detección, un kit de phishing utiliza JavaScript para verificar si un navegador se está ejecutando en una máquina virtual o sin un monitor adjunto. Si descubre algún signo de intentos de análisis, muestra una página en blanco en lugar de mostrar la página de phishing.

Descubierto por MalwareHunterTeam, el script verifica el ancho y alto de la pantalla del visitante y usa la API WebGL para consultar el motor de renderizado usado por el navegador.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Al realizar las comprobaciones, la secuencia de comandos primero verá si el navegador utiliza un renderizador de software, como SwiftShader, LLVMpipe o VirtualBox. Los procesadores de software suelen indicar que el navegador se está ejecutando dentro de una máquina virtual.

El script también comprueba si la pantalla del visitante tiene una profundidad de color de menos de 24 bits o si la altura y el ancho de la pantalla son menos de 100 píxeles, como se muestra a continuación.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si detecta alguna de estas condiciones, la página de phishing mostrará un mensaje en la consola del desarrollador del navegador y mostrará una página vacía al visitante.

Sin embargo, si el navegador utiliza un motor de procesamiento de hardware normal y un tamaño de pantalla estándar, el script mostrará la página de inicio de phishing.

El código utilizado por este actor de amenazas parece haber sido tomado de un artículo de 2019 que describe cómo se puede usar JavaScript para detectar máquinas virtuales.

Fabian Wosar, CTO de la firma de ciberseguridad Emsisoft, declaró que el software de seguridad utiliza una variedad de métodos para buscar y detectar sitios de phishing. Estos incluyen la coincidencia de firmas y la máquina visual mediante el aprendizaje automático.

"Un código como el anterior en realidad funcionará para algunas de estas técnicas. Sin embargo, también es trivial evitarlo simplemente conectando un par de API de JavaScript y proporcionando información" falsa ", explicó Wosar.

Como es común que los investigadores y las empresas de seguridad refuercen sus máquinas virtuales para evadir la detección por parte del malware, parece que ahora también tendrán que fortalecerlas contra los ataques de phishing.

Como una forma de ver qué renderizador y qué información de pantalla reporta su navegador, BleepingComputer ha creado una página de prueba que se puede usar para tal fin:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

KRACK, Kr00k. están parcheados. Siempre existen despreocupados, irresponsables y abandonados, sobretodo en el sector privado; y en Latinoamérica se impregna de esa ignorancia mezcla cultural y legado del subdesarrollo, en cuanto a seguridad informática se refiere.
Por ello, aunque ciertas vulnerabilidades estén mitigadas con parches de seguridad, en el terreno se encuentran muchos dispositivos antiguos, o cuyos propietarios no actualizan. Peor, se continúan comercializando, productos (hardware) que, sobre todo los chinos, sueltan a precio mayorista, porque saben que le es más costoso actualizar un producto ya empacado. Y los ISP distribuyen sin notificaciones al menos.

En el caso del ataque Dragonblood, no se han implementado parches debido al bug que explota que es una falla de metodología de hardware. En cierta medida se ha mitigado con un firewall, pero la wifi Alliance y su descubridor Mathy Vanhoef no han llegado a un consenso sobre una solución definitiva (que sepa). De ahí que se han desarrollados scripts interesantísimos sobre este fallo. Algunos los he probado.

Todo ello (info) puede buscarlo sobre internet.

De seguro el hacker @DtxdF le brindará guía y testimonio que le sirvieron.

Aquí en el Foro hay varios cursos, si busca.

De hecho hay muy buenos profesionales por estos lares, versados en ese lenguaje.

Sí. Si es alguien que sabe y está actualizado (no las "muchachadas" que plantea)

Depende mucho del modelo de Router y la seguridad que tenga implementada.

Hay varios scripts derivativos del concepto de falla de seguridad o bug del KRACK. Desde este ataque, que ya está parcheado, pasando por la evolución del Kr00k (que el script que he probado no me funcionó), hasta llegar a algunas implementaciones del ataque Dragonblood con algunos desarrolladores  muy creativos. Este último sí avala para el WPA2 y el WPA3 y no está parcheado.
Debe entender el concepto de la metodología, que no ataca la encriptación del protocolo, ya sea WPA2 personal, empresarial, hasta llegar al WPA3. De hecho no brinda la clave, sino que lo que permite es una asociación con el Router, y de ahí un abanico de posibilidades, que pudieran llegar hasta la obtención de la clave.

Ya voy para un año que tengo en proyecto poner una serie de post con los scripts de ataques disponibles. Algunas metodologías ya están mitigadas con parches, y otras no. De igual forma algunas son funcionales en la práctica y otras no.

Pero se vería la evolución de las vulnerabilidades que tiene como base la brecha de KRACK.

A ver si por fin los termino, que está muy estático el apartado wireless, y tiene a muchos fans.

Aquí un vídeo de un desarrollador que implementó el script de ataque KRACK y es muy funcional (siempre que no esté parcheado  el Router)

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de Python podría permitir ataques de ejecución remota de código

Una grave vulnerabilidad de seguridad afectó al lenguaje Python que podría conducir a ataques de ejecución remota de código.
Junto con esto, Python Software Foundation (PSF) ha corregido un error más con sus últimas actualizaciones.

Vulnerabilidad de Python que desencadena ataques RCE

Según se informa, dos vulnerabilidades de seguridad diferentes afectaron las versiones de Python existentes y provocaron graves consecuencias.

Uno de ellos, CVE-2021-3177, es una vulnerabilidad de desbordamiento de búfer que técnicamente podría conducir a la ejecución remota de código en aplicaciones Python.

Según la descripción de la vulnerabilidad,

"Python 3.xa 3.9.1 tiene un desbordamiento de búfer en PyCArg_repr en _ctypes / callproc.c, que puede llevar a la ejecución remota de código en ciertas aplicaciones de Python que aceptan números de punto flotante como entrada no confiable, como lo demuestra un argumento 1e300 para c_double .desde_param. Esto ocurre porque sprintf se usa de manera insegura."

Sin embargo, Python Software Foundation (PSF), en su publicación de blog, afirma que este error puede no desencadenar exactamente RCE en la explotación práctica, porque la explotación exitosa requiere que se cumplan muchas otras condiciones.

Sin embargo, esto aún podría conducir a ataques de denegación de servicio.

Respaldando esta observación, RedHat también ha declarado lo mismo en su aviso.

"Las aplicaciones que usan ctypes sin validar cuidadosamente la entrada que se le pasa pueden ser vulnerables a esta falla, lo que permitiría a un atacante desbordar un búfer en la pila y bloquear la aplicación. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema."

Además de este, una vulnerabilidad de envenenamiento de caché web, CVE-2021-23336, también afectó el idioma.

Lanzamiento de PSF "The Fixes"

PSF ha abordado recientemente ambos errores con el lanzamiento de Python 3.8.8 y 3.9.2.

Tuvieron que acelerar el lanzamiento debido a la presión de los usuarios que solicitaban una solución de seguridad para CVE-2021-3177.

Esto tomó un poco por sorpresa, ya que se creía que el contenido de seguridad lo seleccionan los distribuidores posteriores de la fuente de cualquier manera, y las versiones de RC proporcionan instaladores para todos los demás interesados en actualizar.

Resulta que los candidatos de lanzamiento son en su mayoría invisibles para la comunidad y, en muchos casos, no se pueden usar debido a los procesos de actualización que tienen los usuarios.

De todos modos, los usuarios ahora deberían actualizar a las últimas versiones de Python para obtener las correcciones de seguridad.

En cuanto a las versiones futuras, PSF ha confirmado que la versión final de Python 3.8 llegará en mayo de 2021.
Mientras que Python 3.9.3 llegará también en mayo de 2021.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GitHub ha parcheado recientemente una vulnerabilidad que potencialmente amenazaba a todas las cuentas de usuario.
Sin embargo, en realidad solo afectó a un subconjunto de cuentas.

Tras la explotación, esta vulnerabilidad de GitHub podría exponer los tokens de sesión de los usuarios.

Es posible que los usuarios de GitHub necesiten iniciar sesión en sus cuentas nuevamente, ya que el servicio los desconectó como medida de precaución.

Tokens de sesión que exponen vulnerabilidades de GitHub

En una publicación de blog reciente, GitHub ha explicado por qué tuvieron que cerrar la sesión de los usuarios de sus cuentas por la fuerza.
Como se reveló, existía una vulnerabilidad grave en la plataforma GitHub que podría exponer los tokens de sesión de los usuarios.

En palabras simples, los tokens de sesión expuestos permiten que un adversario se haga cargo sin problemas de cuentas vulnerables.
Básicamente, el error existía debido a un manejo inadecuado de las sesiones autenticadas.

En circunstancias extremadamente raras, una condición de carrera en un proceso de manejo de solicitudes de backend podría haber desviado la sesión de un usuario al navegador de otro usuario autenticado, dándoles la cookie de sesión válida y autenticada para otro usuario.

GitHub denominó a esto un problema "raro y aislado" que no surgió debido a ninguna otra vulnerabilidad. Además, el error no se pudo activar intencionalmente.

"Es importante tener en cuenta que este problema no fue el resultado de contraseñas de cuentas comprometidas, claves SSH o tokens de acceso personal (PAT) y no hay evidencia que sugiera que esto fue el resultado de un compromiso de cualquier otro sistema GitHub. "

Las investigaciones de GitHub revelaron que el error existió aproximadamente dos semanas en la plataforma, entre el 8 de febrero de 2021 y el 5 de marzo de 2021. Además, tuvo un impacto muy bajo en los usuarios durante este tiempo.

"No hay indicios de que otras propiedades o productos de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se hayan visto afectados por este problema, incluido GitHub Enterprise Server. "

"Creemos que el enrutamiento de esta sesión se produjo en menos del 0,001% de las sesiones autenticadas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login."

Parche implementado

Al detectar el error, GitHub trabajó para desarrollar una solución para este problema.

Por lo tanto, implementaron el parche por primera vez en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, el 5 de marzo de 2021, seguido de un segundo parche el 8 de marzo de 2021.

Aunque no afectó a muchos usuarios, como precaución, tuvieron que invalidar todas las sesiones autenticadas.
Por lo tanto, todos los usuarios salieron de sus cuentas.

Sin embargo, los usuarios pueden volver a iniciar sesión fácilmente en sus cuentas en cualquier momento sin temer por el error, ya que la invalidación de la sesión les ha resuelto el problema.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Team unc0ver ha aprovechado una vez más una vulnerabilidad de iOS para facilitar a los usuarios rebeldes.

El último jailbreak de iPhone no descubierto está disponible y funciona contra casi todos los iPhones existentes. Como se reveló, esta versión no descubierta puede incluso hacer jailbreak a los últimos dispositivos con iOS 14.3.

En concreto, la nueva herramienta aprovecha una de las tres vulnerabilidades que Apple ha solucionado recientemente con iOS 14.4.
Han desarrollado su "propio exploit" contra CVE-2021-1782, una vulnerabilidad de escalada de privilegios en Kernel.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Apple ya confirmó que las vulnerabilidades fueron explotadas activamente.

Parece que una de esas explotaciones fue desarrollar unc0ver v6.0.0.
Según su sitio web, unc0ver v6.0.0 puede hacer jailbreak de iOS 11 a iOS 14. También admite jailbreak de iOS 12.4.9 a 12.5.1 y 13.5.1 a 13.7.
En cuanto a los dispositivos, han probado una amplia gama de iPhones y iPads tan antiguos como iPhone 5s y iPhone 6, iPad Mini 5, iPad Pro, iPad 7th Gen y iPod Touch.

Sin embargo, no está claro si esta última herramienta también hará jailbreak a iOS 12.3-12.3.2 y 12.4.2-12.4.5.

¿Qué sigue?

El último unc0ver v5.0.0 apareció el año pasado cuando funcionó con éxito contra iOS 13.5, el más reciente.

Esa vez también, aprovechó un día cero para hacer jailbreak a iPhones y iPads. Si bien también funcionó con una variedad de dispositivos, no era compatible con iOS 12.3-12.3.2 y 12.4.2-12.4.5.

Sin embargo, dado que funcionó contra la versión anterior y posterior a estas versiones de iOS no compatibles, los usuarios aún podían hacer jailbreak a sus dispositivos actualizando el software de iOS.

No obstante, Apple corrigió el error con iOS 13.5.1 haciéndolo inútil para los dispositivos más recientes.

Sin embargo, una vez más, está disponible un nuevo jailbreak que incluso funciona con iOS 14.3. Así que ahora, los usuarios interesados pueden proceder a hacer jailbreak a sus dispositivos (bajo su propio riesgo) si no se han actualizado a iOS 14.4.

Fuente:
Latest hacking news
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Index de paquetes de Python destruye bibliotecas maliciosas, al descubrir fallo de seguridad

Concretamente, 3 653 paquetes maliciosos, fueron eliminados del índice de paquetes de Python poco después de que se identificara el fallo de seguridad. Entre estos paquetes se encontraban versiones no autorizadas de CuPy y otros proyectos de PyPI.

Ataque al sistema de confianza con paquetes de Python maliciosos

Los desarrolladores de código malicioso se han aprovechado del sistema de confianza empleado en algunos sistemas de administración de paquetes como pueden ser npm, PyPI o RubyGems.

Es bastante convencional que los desarrolladores de Python empleen PyPI para agregar en sus proyectos librerías de software escritas por terceros.

Este sistema de gestión de paquetes se basa en la confianza que el desarrollador tiene en los autores de las bibliotecas usadas.
Por este motivo, se aconseja que revisen cualquier código que importen de una librería externa. No obstante, no siempre se sigue este consejo.

Por lo tanto, no es la primera vez que los sistemas de administración de paquetes tienen que eliminar paquetes maliciosos.
El investigador de seguridad Alex Birsan ya demostró el mes pasado la facilidad con que un desarrollador de malware puede abusar del sistema.

Para ello era suficiente con incluir su código malicioso en librerías populares, obteniendo de este modo la distribución gratuita y la confianza de los distintos repositorios. Concretamente, el abuso del sistema de confianza se realizaba aprovechándose de las erratas en los nombres de los paquetes públicos y privados (typosquatting).

Entre la multitud de paquetes maliciosos de Python eliminados durante la semana pasada se descubrieron versiones no autorizadas de proyectos como CuPy, una implementación de una matriz multidimensional compatible con NumPy en CUDA (la plataforma de computación paralela de Nvidia).

En este caso, uno de los responsables del proyecto, Kenichi Maehashi, informó sobre la detección del fallo de seguridad.
La versión afectada se era cupy-cuda112 (CuPy para CUDA 11.2) que se subió el 25 de febrero de 2021.
No obstante fue eliminada al día siguiente gracias a la política de Python diseñada para este tipo de incidentes (PEP 541).

Posibles interpretaciones del ataque

La cuenta implicada en el incidente utiliza el nombre de «RemindSupplyChainRisks», por lo que parece tratarse de un intento de llamar la atención sobre los riesgos de seguridad asociados a este sistema de confianza.

Además, en una línea de comentarios de uno de los paquetes maliciosos aparecía el aviso: "El propósito es que todo el mundo preste atención a la cadena de desarrollo del software, porque el riesgo es demasiado alto".

No obstante, el director de de infraestructuras de la Fundación Python, Ee W. Durbin III, expresó sus reticencias a suspender la cuenta del infractor alegando que no serviría de nada puesto que podría crearse una cuenta nueva con suma facilidad.

Sin embargo, el hecho de que el autor haya dejado una dirección de correo electrónico inoperativa y que permanezca en el anonimato, hace sospechar que pudiera tratarse de un ataque de malware encubierto.

Aunque resulta difícil de imaginar que un atacante auténtico cargase miles de paquetes en un corto período de tiempo, sabiendo que tal actividad se notaría. Aparte de que el código malicioso en cupy-cuda112 no es tan malicioso, puesto que solo envía una solicitud GET a una dirección IP con sede en Tokio (101.32.99.28) con el nombre del paquete adjunto.


Fuente:
The Register
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Hacking Land
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tres vulnerabilidades encontradas en el subsistema iSCSI del kernel de Linux podrían permitir a los atacantes locales con privilegios de usuario básicos obtener privilegios de root en sistemas Linux sin parches.

Estos errores de seguridad solo pueden explotarse localmente, lo que significa que los atacantes potenciales tendrán que obtener acceso a dispositivos vulnerables explotando otra vulnerabilidad o utilizando un vector de ataque alternativo.

Los errores del kernel de Linux de 15 años

Los investigadores de GRIMM descubrieron los errores 15 años después de que se introdujeran en 2006 durante las etapas iniciales de desarrollo del subsistema del kernel iSCSI.

Según el investigador de seguridad de GRIMM, Adam Nichols, las fallas afectan a todas las distribuciones de Linux, pero afortunadamente, el módulo del kernel scsi_transport_iscsi vulnerable no se carga por defecto.

Sin embargo, dependiendo de la distribución de Linux a la que puedan apuntar los atacantes, el módulo se puede cargar y explotar para escalar privilegios.

"El kernel de Linux carga módulos porque se detecta nuevo hardware o porque una función del kernel detecta que falta un módulo", dijo Nichols.

"Es más probable que se abuse del último caso de carga automática implícita y un atacante lo activa fácilmente, lo que le permite aumentar la superficie de ataque del kernel".

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

"En los sistemas CentOS 8, RHEL 8 y Fedora, los usuarios sin privilegios pueden cargar automáticamente los módulos requeridos si el paquete rdma-core está instalado", agregó Nichols.

"En los sistemas Debian y Ubuntu, el paquete rdma-core solo cargará automáticamente los dos módulos del kernel requeridos si el hardware RDMA está disponible. Como tal, la vulnerabilidad tiene un alcance mucho más limitado".

Obtener privilegios de root a través de la omisión de KASLR

Los atacantes pueden abusar de los errores para evitar las funciones de seguridad de bloqueo de exploits, como la aleatorización del diseño del espacio de direcciones del kernel (KASLR), la protección de ejecución en modo supervisor (SMEP), la prevención de acceso al modo supervisor (SMAP) y el aislamiento de tabla de páginas del kernel (KPTI).

Las tres vulnerabilidades pueden conducir a la elevación local de privilegios, fugas de información y denegaciones de servicio:

    CVE-2021-27365: desbordamiento del búfer de pila (escalamiento de privilegios locales, fuga de información, denegación de servicio)
    CVE-2021-27363: fuga de puntero del kernel (fuga de información)
    CVE-2021-27364: lectura fuera de límites (fuga de información, denegación de servicio)

Las tres vulnerabilidades están parcheadas a partir de 5.11.4, 5.10.21, 5.4.103, 4.19.179, 4.14.224, 4.9.260 y 4.4.260, y los parches estuvieron disponibles en el kernel principal de Linux el 7 de marzo. No se lanzarán parches para versiones de kernels no compatibles con EOL como 3.xy 2.6.23.

Si ya ha instalado una de las versiones del kernel de Linux, su dispositivo no puede verse comprometido en ataques que exploten estos errores.

Si no ha parcheado su sistema, puede usar el diagrama anterior para averiguar si su dispositivo es vulnerable a intentos de explotación.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MOSCÚ (Reuters)

Rusia acusó el sábado a Estados Unidos de utilizar las oportunidades de IT para participar en la competencia desleal y de que las plataformas de redes sociales censuran contenido de manera arbitraria e indiscriminada.

Rusia dijo esta semana que estaba reduciendo la velocidad de Twitter en represalia por lo que describió como una falla en la eliminación del contenido prohibido. Amenazó con bloquear la plataforma estadounidense por completo, una medida que intensificó la disputa entre Moscú y las empresas de medios sociales estadounidenses.

Twitter actualmente etiqueta a algunos medios rusos como "medios afiliados al estado", una medida criticada por Moscú. El presidente Vladimir Putin firmó leyes en diciembre que otorgan a Rusia nuevos poderes para restringir a los gigantes de las redes sociales estadounidenses.

"[Las plataformas], en principio, no tienen estándares unificados para administrarse a sí mismas. Este es un estancamiento semántico y tecnológico ", escribió la portavoz del Ministerio de Relaciones Exteriores de Rusia, Maria Zakharova, en Facebook el sábado.

"El contenido digital es censurado arbitraria e indiscriminadamente por ciertos moderadores sin la decisión de un tribunal o una autoridad competente relevante".

Twitter dijo el martes que estaba profundamente preocupado por el aumento de los intentos de bloquear y acelerar la conversación pública en línea y que estaba preocupado por el impacto en la libertad de expresión de la acción rusa para ralentizar su servicio.

"El objetivo de Washington es obvio: utilizar las oportunidades de IT para la competencia desleal en todas las esferas", dijo Zakharova.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Bitcoin, la criptomoneda más grande del mundo, cruzó este sábado un récord de 60.000 dólares.

Bitcoin ha aumentado considerablemente este año, superando ampliamente a las clases de activos convencionales, en parte debido a una mayor aceptación como forma de pago.

En las últimas semanas, las empresas han aprovechado su fortaleza para recaudar cientos de millones de dólares en fondos, capitalizando la mejora del sentimiento del mercado.

Una apuesta de $ 1.5 mil millones en bitcoins realizada el mes pasado por Tesla Inc hizo que la compañía de automóviles eléctricos de Elon Musk se uniera a la firma de software empresarial MicroStrategy Inc y a la compañía de pagos del jefe de Twitter Jack Dorsey Square Inc para intercambiar algunas reservas de efectivo tradicionales por la moneda digital.

Coinbase, el mayor intercambio de criptomonedas de EE. UU., se presentó el mes pasado para cotizar en Nasdaq. La aprobación regulatoria representaría una victoria histórica para los defensores de las criptomonedas que buscan el respaldo general.

En medio de la creciente demanda de los clientes de poseer e invertir en bitcoins, Goldman Sachs Group Inc. dijo esta semana que está explorando cómo atender a esos clientes sin dejar de estar en el lado correcto de la regulación. Recientemente reinició una mesa de operaciones de criptomonedas y este mes comenzó a negociar futuros de bitcoin y forwards no entregables.

Fuente:
Reuters
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login