Una entidad de habla turca llamada Nitrokod ha sido atribuida a una campaña activa de minería de criptomonedas que implica hacerse pasar por una aplicación de escritorio para Google Translate para infectar a más de 111,000 víctimas en 11 países desde 2019.

"Cualquiera puede usar las herramientas maliciosas", dijo Maya Horowitz, vicepresidenta de investigación de Check Point, en un comunicado compartido con The Hacker News. "Se pueden encontrar mediante una simple búsqueda en la web, se pueden descargar desde un enlace y la instalación es un simple doble clic".

La lista de países con víctimas incluye Reino Unido, Estados Unidos, Sri Lanka, Grecia, Israel, Alemania, Turquía, Chipre, Australia, Mongolia y Polonia.

La campaña implica servir malware a través de software gratuito alojado en sitios populares como Softpedia y Uptodown. Pero en una táctica interesante, el malware pospone su ejecución durante semanas y separa su actividad maliciosa del software falso descargado para evitar la detección.


A la instalación del programa infectado le sigue la implementación de un ejecutable de actualización en el disco que, a su vez, inicia una secuencia de ataque de cuatro etapas, con cada cuentagotas pavimentando para la siguiente, hasta que el malware real se elimina en la séptima etapa. .

Tras la ejecución del malware, se establece una conexión a un servidor remoto de comando y control (C2) para recuperar un archivo de configuración para iniciar la actividad de extracción de monedas.

Un aspecto notable de la campaña de Nitrokod es que el software falso que se ofrece de forma gratuita es para servicios que no tienen una versión de escritorio oficial, como Yandex Translate, Microsoft Translate, YouTube Music, MP3 Download Manager y Pc Auto Shutdown.

Además, el malware se elimina casi un mes después de la infección inicial, cuando se elimina el rastro forense, lo que dificulta descifrar el ataque y rastrearlo hasta el instalador.

"Lo más interesante para mí es el hecho de que el software malicioso es tan popular, pero pasó desapercibido durante tanto tiempo", dijo Horowitz. "El atacante puede elegir fácilmente alterar la carga útil final del ataque, cambiándolo de un criptominero a, por ejemplo, ransomware o troyano bancario".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Atlassian ha implementado correcciones para una falla de seguridad crítica en Bitbucket Server and Data Center que podría conducir a la ejecución de código malicioso en instalaciones vulnerables.

Registrado como CVE-2022-36804 (puntaje CVSS: 9.9), el problema se ha caracterizado como una vulnerabilidad de inyección de comandos en múltiples puntos finales que podría explotarse a través de solicitudes HTTP especialmente diseñadas.

"Un atacante con acceso a un repositorio público de Bitbucket o con permisos de lectura a uno privado puede ejecutar código arbitrario enviando una solicitud HTTP maliciosa", dijo Atlassian en un aviso.

La deficiencia, descubierta e informada por el investigador de seguridad @TheGrandPew , afecta a todas las versiones de Bitbucket Server y Datacenter lanzadas después de la 6.10.17, incluida la 7.0.0 y posteriores.

- Servidor Bitbucket y centro de datos 7.6
- Bitbucket Server y centro de datos 7.17
- Bitbucket Server y centro de datos 7.21
- Bitbucket Server y Centro de datos 8.0
- Servidor Bitbucket y centro de datos 8.1
- Bitbucket Server y Datacenter 8.2, y
- Servidor Bitbucket y centro de datos 8.3

Como solución temporal en escenarios en los que los parches no se pueden aplicar de inmediato, Atlassian recomienda desactivar los repositorios públicos usando "feature.public.access=false" para evitar que los usuarios no autorizados aprovechen la falla.

"Esto no puede considerarse una mitigación completa, ya que un atacante con una cuenta de usuario aún podría tener éxito", advirtió, lo que significa que podría ser aprovechado por los actores de amenazas que ya están en posesión de credenciales válidas obtenidas por otros medios.

Se recomienda a los usuarios de las versiones afectadas del software que actualicen sus instancias a la última versión lo antes posible para mitigar las posibles amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

GNOME 43 en versiones preliminares hace tiempo que está disponible. Ahora mismo ya se puede probar la beta, pero no se recomienda usarlo, ni es un camino sencillo, en equipos de los que dependamos. Lo que recomienda el proyecto es que se instale GNOME OS, un pseudo-sistema operativo que recibe todas las novedades tan pronto en cuanto están listas, pero también se puede probar si se instala una versión preliminar de algunos sistemas operativos.

Uno de los que usará GNOME 43 es Ubuntu 22.10, quien esta semana ha subido a sus repositorios la versión Beta de GNOME 43. Cabe mencionar que en mi caso (GNOME Boxes en Manjaro KDE) dejó de funcionar, no inicia y se queda todo en negro, por cosas como estas no hay que usarlo en la instalación principal, pero sí funcionan las Live Sessions en la misma configuración, (y en nuevas instalaciones si no se instala el software extra).

GNOME 43 llegará en septiembre

Aunque hay más novedades, de lo que más llama la atención son los ajustes rápidos de GNOME 43. En la captura de cabecera vemos el actual a la izquierda y el futuro a la derecha. Poco podemos decir del actual, es lo que hace tiempo que venimos viendo y tiene un diseño que queda normal en el escritorio. Sin embargo, el de la derecha es muy diferente. El de GNOME 43 también nos permite acceder a la conexión de Internet, al perfil de energía, y al deslizador del volumen, pero se han añadido también alternadores para el color nocturno y el modo claro/oscuro. A la configuración y la gestión de sesión también podemos acceder, pero los botones se han movido a la parte superior.

En cuanto al diseño en sí, el nuevo se parece más a lo que vemos en dispositivos móviles, y es probable que se haya diseñado así pensando en ellos. Aunque GNOME no lleva tanto tiempo en móviles como otros proyectos como KDE, sí trabaja para mejorar las cosas en este tipo de dispositivos, y como prueba tenemos el nuevo Nautilus que ahora es más responsivo.

GNOME 43 llegará en septiembre, y aún hay tiempo para que introduzcan más novedades antes de la congelación final. Ubuntu y Fedora lo incluirán de salida, y otras distribuciones le seguirán. Las Rolling Release podrían recibirla la misma semana del lanzamiento.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Tal y como se esperaba, aunque un par de días más tarde de lo que es habitual, WineHQ ha lanzado una nueva versión de desarrollo de su software para ejecutar aplicaciones de Windows en otros sistemas operativos que no tienen nada que ver con Microsoft. En esta ocasión, y tras la versión de hace dos semanas, lo que nos han entregado ha sido WINE 7.16, otra actualización de verano con la que no se ha batido ningún récord.

WineHQ dice que han corregido 20 bugs, pero han realizado un total de 225 cambios. No son muchos, pero que entre dentro de la media-baja es más que suficiente cuando está claro que muchos desarrolladores están ahora descansando. Con toda probabilidad, el ritmo empezará a subir coincidiendo con el lanzamiento de la próxima versión de desarrollo.

Novedades más destacadas de WINE 7.16

De todos los cambios introducidos, WineHQ ha destacado esta semana el soporte para WoW64 en el driver X11, almacenamiento de la sesión en MSHTML, correcciones en el regexp Unicode en MSXML y mejoras de IME en el control de edición. A esas tres mejoras se le suma un cuarto punto, el habitual varias correcciones de errores. Es en este cuarto punto en donde se cuentan los más de 200 cambios introducidos en esta versión de WINE.

WINE 7.16 en la página de descargas hay información sobre cómo instalar esta y otras versiones en sistemas operativos como Debian y Ubuntu, pero también se puede instalar en Android y macOS.

La próxima versión será un WINE 7.17 que llegará el 9 de septiembre, siempre y cuando no haya retrasos como en las dos últimas ocasiones. No sabemos a cuánto ascenderla la lista de cambios, pero no debe quedar muy por debajo de lo introducido en esta última versión de desarrollo. Ya en septiembre, los que están ahora en horas bajas empezarán a trabajar a mayor ritmo, y podríamos volver a ver una lista con más de 300 mejoras.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El actor de amenazas detrás de los ataques a Twilio y Cloudflare a principios de este mes se ha relacionado con una campaña de phishing más amplia dirigida a 136 organizaciones que resultó en un compromiso acumulado de 9931 cuentas.

La actividad ha sido condenada como 0ktapus por Group-IB porque el objetivo inicial de los ataques era "obtener las credenciales de identidad de Okta y los códigos de autenticación de dos factores (2FA) de los usuarios de las organizaciones objetivo".

Al calificar los ataques de bien diseñados y ejecutados, la empresa con sede en Singapur dijo que el adversario señaló a los empleados de las empresas que son clientes del proveedor de servicios de identidad Okta.

El modus operandi consistía en enviar mensajes de texto a los objetivos que contenían enlaces a sitios de phishing que se hacían pasar por la página de autenticación de Okta de las respectivas entidades objetivo.

"Este caso es interesante porque, a pesar de usar métodos de baja habilidad, pudo comprometer a una gran cantidad de organizaciones conocidas", dijo Group- IB . "Además, una vez que los atacantes comprometieron una organización, rápidamente pudieron girar y lanzar ataques posteriores a la cadena de suministro, lo que indica que el ataque se planeó cuidadosamente con anticipación".

Se dice que se han creado al menos 169 dominios de phishing únicos para este propósito, con organizaciones de víctimas ubicadas principalmente en los EE. UU. (114), India (4), Canadá (3), Francia (2), Suecia (2) y Australia (1), entre otros. Estos sitios web estaban unidos por el hecho de que hacían uso de un kit de phishing previamente no documentado.


La mayoría de las organizaciones afectadas son empresas de software, seguidas de las que pertenecen a los sectores de telecomunicaciones, servicios empresariales, finanzas, educación, comercio minorista y logística.

Lo notable de los ataques es el uso de un canal de Telegram controlado por un actor para eliminar la información comprometida, que incluía credenciales de usuario, direcciones de correo electrónico y códigos de autenticación multifactor (MFA).

Group-IB dijo que pudo vincular a uno de los administradores del canal, que se conoce con el alias X, a una cuenta de Twitter y GitHub que sugiere que la persona puede tener su sede en el estado estadounidense de Carolina del Norte.

Los objetivos finales de la campaña aún no están claros, pero se sospecha que es de espionaje y tiene una motivación financiera, lo que permite al actor de amenazas acceder a datos confidenciales, propiedad intelectual y bandejas de entrada corporativas, así como a desviar fondos.

Además de eso, los intentos de piratear las cuentas de Signal implican que los atacantes también están tratando de obtener conversaciones privadas y otros datos confidenciales. Todavía no se sabe cómo los piratas informáticos obtuvieron los números de teléfono y los nombres de los empleados.

"Si bien el actor de amenazas puede haber tenido suerte en sus ataques, es mucho más probable que haya planeado cuidadosamente su campaña de phishing para lanzar ataques sofisticados a la cadena de suministro", dijo Roberto Martínez, analista de Group-IB.

"Aún no está claro si los ataques se planificaron de principio a fin o si se tomaron medidas oportunistas en cada etapa. Independientemente, la campaña 0ktapus ha sido increíblemente exitosa, y es posible que algunos no conozcan su escala completa". tiempo."

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La privacidad es uno de los factores más importantes, pero no siempre está a salvo en Internet. Hay muchos tipos de ataque que podrían comprometer nuestra información persona. En este artículo nos hacemos eco de cómo hay malware en determinados dispositivos Android que pueden robar y filtrar la conversaciones de WhatsApp. Explicamos en qué consiste este problema y a qué usuarios puede afectar. Es un problema que sin duda puede poner en riesgo muchos datos personales.

Modelos de móviles con malware

Cuando compramos un teléfono móvil tenemos una gran cantidad de opciones. Hay muchas marcas y modelos. Los hay más baratos y más caros. Sin embargo hay que tener en cuenta que no todos van a ser igual de seguros. Se han dado muchos casos de móviles económicos, que incluso simulan ser modelos superiores, que están cargados con software malicioso. Y ese es el problema que tratamos en este artículo, ya que algunos modelos pueden robar conversaciones de WhatsApp.

Este problema lo ha detectado un grupo de investigadores de seguridad de Doctor Web. Han encontrado puertas traseras en los sistemas de diferentes modelos de Android. Son teléfonos que tienen como denominador común que son económicos. Esta amenaza permite que los piratas informáticos puedan ejecutar el malware para realizar diferentes actividades maliciosas, como es interceptar las conversaciones de WhatsApp, además del robo de información confidencial.

Según los investigadores de seguridad, este problema está presente debido a una versión obsoleta que cuenta con múltiples vulnerabilidades. Se dieron cuenta del problema después de que algunos usuarios reportaran fallos en sus teléfonos Android y notaran algo raro. De esta forma se pusieron manos a la obra para encontrar cuál es el problema.

Vieron que había algunos modelos afectados:

P48pro
Radmi note 8
Note30u
Mate40

Todos estos dispositivos utilizaban versiones de Android obsoletas. Estos modelos no corresponden con la marca oficial, sino que eran falsificaciones que simulaban ser esos aparatos. De ahí que los nombres puedan ser similares a los originales, pero realmente son teléfonos totalmente distintos.

Lo que hacen los piratas informáticos es explotar estos sistemas vulnerables y colar un troyano que puede robar las conversaciones de WhatsAp. Por tanto, si tienes algún modelo de móvil de los que hemos mencionado, podrían estar leyendo tus conversaciones sin que te des cuenta.


Consejos para evitar este problema

Como has podido ver, este error que puede exponer las conversaciones de WhatsApp en teléfonos Android afecta a modelos que en realidad son falsificaciones. Es importante que tengas cuidado con el lugar donde compras un dispositivo, ya que podrías estar adquiriendo un modelo que en realidad es falso y, más allá de no funcionar igual de bien, podría ser un problema de seguridad.

Para evitar problemas de este tipo es fundamental que siempre tengas la versión del sistema actualizada. Así podrás corregir vulnerabilidades que puedan aparecer. Tendrás también las mejoras que hayan introducido y evitarás problemas de rendimiento. No importa si utilizas Android u otro sistema, siempre debes tener las últimas versiones.

Además, es buena idea contar con programas de seguridad. Existen muchos antivirus para todo tipo de equipos. El objetivo es detectar amenazas que puedan comprometer los dispositivos. Si por error descargas un archivo malicioso, por ejemplo, lo eliminará automáticamente antes de que actúe.

En definitiva, como ves hay determinados modelos de móviles falsos que pueden exponer las conversaciones de WhatsApp. Es esencial evitar adquirir dispositivos de este tipo e igualmente tener siempre las últimas versiones instaladas. Mejorar Internet en el móvil o lograr que funcione mejor, es posible si mantienes ciertos cuidados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se dio a conocer el lanzamiento de la nueva versión del proyecto «Cosmopolitan 2.0», que desarrolla una biblioteca C estándar y un formato de archivo ejecutable universal que se puede usar para distribuir programas para diferentes sistemas operativos sin el uso de intérpretes y máquinas virtuales.

El contenedor para generar archivos ejecutables universales se basa en combinar segmentos y encabezados específicos de diferentes sistemas operativos en un archivo, combinando varios formatos diferentes utilizados en Unix, Windows y macOS.

Para garantizar que un solo ejecutable se ejecute en sistemas Windows y Unix, se usa un truco para codificar archivos de Windows PE como un script de shell, aprovechando el hecho de que Thompson Shell no usa el marcador de script «#!».

Para crear programas que incluyan varios archivos (combinando todos los recursos en un solo archivo), se admite generar un archivo ejecutable en forma de un archivo ZIP especialmente diseñado. Esquema del formato propuesto (ejemplo aplicación You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ):

La llamada qemu-x86_64 se proporciona para una portabilidad adicional y permite que el código compilado para la arquitectura x86_64 se ejecute en plataformas que no sean x86, como placas Raspberry Pi y dispositivos Apple equipados con procesadores ARM. El proyecto también se puede utilizar para crear aplicaciones independientes que funcionan sin un sistema operativo (bare metal). En tales aplicaciones, se adjunta un gestor de arranque al archivo ejecutable y el programa actúa como un sistema operativo de arranque.

Principales novedades de Cosmopolitan 2.0

En esta nueva versión se destaca que se ha cambiado el esquema para acceder a los recursos internos dentro de un archivo zip (al abrir archivos, ahora se usan las rutas habituales /zip/... en lugar de usar el prefijo zip:..). De manera similar, para acceder a los discos en Windows, es posible usar rutas como «/c/...» en lugar de «C:/...».

Se propone un nuevo cargador APE (Actually Portable Executable), que define el formato de los archivos ejecutables universales. El nuevo gestor de arranque utiliza mmap para asignar el programa a la memoria y ya no cambia el contenido sobre la marcha. Si es necesario, el ejecutable universal se puede convertir en ejecutables regulares vinculados a plataformas individuales.

En Linux, es posible usar el módulo del kernel binfmt_misc para ejecutar programas APE. Se observa que el uso de binfmt_misc es el método de inicio más rápido, ademas de que se propone una implementación de la funcionalidad de las llamadas al sistema pledge() y unveil(), desarrolladas por el proyecto OpenBSD, asi como tambien se destaca que se proporciona una API para usar datos de llamadas en programas C, C++, Python y Redbean, así como una utilidad de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para aislar procesos arbitrarios.

Tambien podremos encontrar que para Linux, el rendimiento de las llamadas clock_gettime y gettimeofday se ha incrementado hasta 10 veces debido al uso del mecanismo vDSO (objeto compartido dinámico virtual), que permite transferir el controlador de llamadas del sistema al espacio del usuario y evitar el contexto de interruptores.

La compilación utiliza Landlock Make, una edición de GNU Make con una verificación de dependencias más estricta y el uso de la llamada al sistema Landlock para aislar el programa del resto del sistema y mejorar la eficiencia del almacenamiento en caché. Como opción, se conserva la capacidad de compilación y el GNU Make habitual.

Por otra parte, tambien se destacan las funciones implementadas para subprocesos múltiples: _spawn() y _join(), que son enlaces universales sobre API específicas para diferentes sistemas operativos. También se está trabajando para implementar soporte para subprocesos POSIX.

De los demás cambios que se destacan:

- Se agregó soporte para las opciones «–ftrace» y «–strace» a los archivos ejecutables para enviar a stderr información sobre todas las llamadas a funciones y llamadas al sistema.
- Se agregó soporte para la llamada al sistema closefrom() compatible con Linux 5.9+, FreeBSD 8+ y OpenBSD.
- Las funciones matemáticas para trabajar con números complejos se han movido de la biblioteca Musl.
- Muchas funciones matemáticas se han acelerado.
- Se propone la función nointernet(), que desactiva las capacidades de red.
- Se agregaron nuevas funciones para agregar cadenas de manera eficiente: appendd, appendf, appendr, appends, appendw, appendz, kappendf, kvappendf y vappendf.
- Se ha agregado una versión protegida de la familia de funciones kprintf(), diseñada para trabajar con privilegios elevados.
- Rendimiento significativamente mejorado de las implementaciones de SSL, SHA, curve25519 y RSA.

si estás interesado en poder conocer más al respecto debes saber que el código del proyecto se distribuye bajo la licencia ISC (versión simplificada de MIT/BSD).

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco, los desarrolladores de Red Hat dieron a conocer mediante un anuncio la disponibilidad de la herramienta «gnome-info-collect», la cual tiene la finalidad de recopilar telemetría sobre los sistemas que ejecutan el entorno GNOME.

Se menciona que como tal «gnome-info-collect» es una nueva herramienta que «recopila datos anónimos» sobre cómo se configuran los sistemas GNOME y luego envía esa información a los servidores GNOME, donde se puede analizar.

El objetivo de esta herramienta es ayudar a mejorar GNOME, al proporcionar datos que pueden informar las decisiones de diseño, influir en dónde se invierten los recursos y, en general, ayudar a GNOME a comprender mejor a sus usuarios.

CitarLa información facilitada nos permitirá analizar las preferencias de los usuarios de GNOME y tenerlas en cuenta a la hora de tomar decisiones relacionadas con la mejora de la usabilidad y desarrollo de la shell. Con la ayuda de los datos obtenidos, los desarrolladores podrán comprender mejor las necesidades de los usuarios y resaltar las áreas de actividad a las que se debe dar prioridad.

Sobre gnome-info-collect

Gnome-info-collect es una sencilla aplicación cliente/servidor que recopila datos del sistema y los pasa al servidor GNOME. Los datos se procesan de forma anónima, sin almacenar información sobre usuarios y hosts específicos, pero para evitar duplicados, se adjunta un hash con sal a los datos, creado en función de la ID de la máquina (/etc/machine-id) y el nombre de usuario.

Antes del envío, se muestran al usuario los datos preparados para la transmisión para confirmar la operación. Los datos que se pueden utilizar para identificar el sistema, como la dirección IP y la hora exacta del lado del usuario, se filtran y no se registran en el servidor.

CitarLos datos recopilados son completamente anónimos y se utilizarán únicamente con el fin de mejorar la usabilidad y la experiencia del usuario de GNOME. No se registra información personal, como nombres de usuario o direcciones de correo electrónico. Cualquier información potencialmente identificable, como la dirección IP del remitente y la hora precisa de recepción de los datos, se descarta del lado del servidor. Para evitar que el mismo cliente envíe datos varias veces, se usa un hash salteado de la ID de la máquina y el nombre de usuario.

Todo esto garantiza que los datos recopilados sean confidenciales e imposibles de rastrear.

La información recopilada incluye: distribución utilizada, configuración de hardware (incluido el fabricante y el modelo), lista de aplicaciones instaladas, lista de aplicaciones favoritas (que se muestran en el panel), compatibilidad con flatpak y acceso a Flathub en el software GNOME, tipos de cuentas utilizadas en GNOME en línea, servicios compartidos habilitados (DAV, VNC, RDP, SSH), configuración de escritorio virtual, número de usuarios por sistema, navegador web utilizado, extensiones GNOME habilitadas.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en elYou are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Vaya que Gitlab ha dado de que hablar durante los últimos días y tal parece que el encontrar la forma en como reducir costos no solo ha tratado de modificar algunos aspectos en las cuentas de los usuarios, pues hace poco tenía en mente el eliminar repositorios con más de un año de inactividad, decisión que causo que la comunidad se dividiera.

Pero esto no es para preocuparse, pues a los pocos días GitLab se retractó de su apuesta y decidió tratar de reducir costos de otra forma más inteligente.

Y ahora, otro movimiento por parte de Gitlab ha sorprendido a muchos, pues antes de pandemia la plataforma ya tenía implementado el trabajo remoto entre varios de sus empleados, a lo cual ya con más de dos años trabajado de esta forma se ha visto reflejado en sus bolsillos.

Ya que la disposición en relación con la gestión de las computadoras del equipo de TI que despierta la decisión de GitLab de prohibir el uso de Windows para estos últimos.

La empresa cita varias razones, incluido el costo de las licencias y el aspecto de seguridad. Dado que Gitlab es una plataforma basada en la web, las contradicciones se relacionan con las posibilidades de prueba disponibles para los miembros del equipo de TI en varios navegadores, incluido Microsoft Edge.

"Debido al dominio de Windows en los sistemas operativos de escritorio, Windows es la plataforma más atacada por spyware, virus y ransomware. macOS viene preinstalado en las computadoras Apple y Linux está disponible de forma gratuita.

Para aprobar el uso de Windows, GitLab debe comprar licencias de Windows Professional, ya que Windows Home Edition no cumple con las pautas de seguridad de GitLab. Dado que muchas compras de computadoras portátiles fueron realizadas por empleados que luego fueron reembolsados ​​por GitLab, un empleado remoto generalmente compra una computadora portátil preinstalada con Windows Home Edition. Windows Home Edition es notoriamente difícil de proteger",

La maniobra tiene sentido para algunos que creen que permite a los miembros del equipo de TI de Gitlab centrarse en su trabajo en lugar del aspecto de seguridad. Otros son más de la opinión de que Gitlab también podría haber optado por la provisión (de miembros de su equipo de TI) de computadoras más adecuadas para uso corporativo.

Nuestro único proveedor de computadoras portátiles con Linux aprobado en este momento es Dell . Estas computadoras portátiles generalmente vienen precargadas con Ubuntu Linux para ahorrar dinero en licencias de Windows no utilizadas. Dell actualmente no vende computadoras portátiles con Linux preinstalado en Australia y Nueva Zelanda; el personal deberá instalar Linux ellos mismos.

Los desarrollos actuales también mencionan la posibilidad de que los miembros del equipo de TI de Gitlab utilicen una máquina virtual de Windows dentro de un host de Linux.

De hecho, la decisión de Gitlab no es nada nuevo. Google debe haberse abierto a macOS y Linux de la misma manera en el pasado. La decisión siguió después del hackeo de las instalaciones de Google China (basadas en PC con Windows) en 2010.

«Abandonamos las PC con Windows en favor del sistema operativo macOS luego de los ataques de piratas informáticos en China», dijo un gerente que agregó que «los empleados tienen la opción de usar ordenadores con Linux como sistema operativo.

Por la parte de los navegadores web cabe mencionar que tambien hay diferentes puntos de vista sobre los existentes, pero básicamente son Chrome, navegadores basados en Chromium (chrome) y Firefox. La cuestión de tocar el tema de los navegadores es que en Chrome, por ejemplo, no se muestra los elementos del menú de manera idéntica en diferentes sistemas operativos. Además, algunas reglas de estilo de selección se interpretan de manera diferente según la plataforma en la que se ejecuta el navegador.

Por último cabe mencionar que GitLab aprueba el uso de Mac o Linux entre los empleados de sus filas, ademas de que de momento menciona que solo Dell es el único proveedor aprobado para poder adquirir equipos con Linux preinstalado.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Anteriormente compartimos la noticia sobre que GitLab planeaba modificar sus términos de servicio para el próximo mes (en septiembre), según los cuales los proyectos alojados en cuentas gratuitas de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se eliminarán automáticamente si sus repositorios permanecen inactivos durante 12 meses.

Y ahora GitLab ha revertido su decisión de eliminar automáticamente los proyectos que han estado inactivos durante más de un año y pertenecen a sus usuarios de nivel gratuito y que planeaba introducir la política a finales de septiembre. La empresa esperaba que la medida le permitiera ahorrar hasta un millón de dólares al año y ayudar a que su negocio de SaaS fuera sostenible.

Geoff Huntley, un defensor del código abierto, describió la política como «absolutamente descabellada». «El código fuente no ocupa mucho espacio en disco», dijo. "Que alguien elimine todo este código es la destrucción de la comunidad. Destruirán su marca y su buena voluntad".

«La gente aloja su código allí porque existe la idea de que estará disponible para el público en general para reutilizarlo y mezclarlo», agregó. «Por supuesto, no hay garantía de que siempre estará alojado allí, pero las reglas no escritas del código abierto son que el código está disponible y no lo eliminas».

«Tuvimos mantenedores que extrajeron el código y hubo una gran indignación de la comunidad por eso», dijo, señalando que otros proyectos que dependen de un producto eliminado sufrirán.

"No todas las dependencias pueden compilar", lamentó.

Sobre el caso GitLab se ha negado repetidamente a comentar sobre su plan de eliminación, y hace unas horas, la empresa, que no desmintió la información de The Register, pero no menciono nada al respecto, solo tuiteó que archivaría los proyectos inactivos en el almacenamiento de objetos:

«Hemos discutido internamente qué hacer con los repositorios inactivos. Tomamos la decisión de trasladar los depósitos no utilizados al almacenamiento de elementos. Una vez implementados, seguirán siendo accesibles, pero tardará un poco más en acceder después de un largo período de inactividad".

El almacenamiento de objetos es una estrategia para administrar y manipular el almacenamiento de datos como unidades separadas denominadas «objetos». Estos objetos se guardan en un almacén, sin adjuntarse a archivos ubicados en otras carpetas. El almacenamiento de objetos combina los datos que componen los archivos, luego procesa todos los metadatos relevantes antes de asignarles un identificador personalizado.

"Los documentos que hemos visto informaron al personal de una reunión interna programada para el 9 de agosto. La agenda de la reunión describe el plan para eliminar repositorios de códigos inactivos, describiéndolo de la siguiente manera*:

Mencionan que después del 22 de septiembre de 2022, se implementara la política de retención de datos para usuarios gratuitos. Esta rutina limitará la cantidad de meses que un proyecto gratuito puede permanecer inactivo antes de que se elimine automáticamente junto con los datos que contiene.

Se menciona que el tweet de GitLab puede, a los ojos de algunos internautas, contradecir su propia notificación del personal:

"Otros documentos internos que hemos visto mencionan el posible uso de almacenamiento de objetos para archivar proyectos, pero les preocupa que esto aumente los costos de GitLab al crear la necesidad de múltiples copias de seguridad redundantes.

"También vimos discusiones internas que confirmaron que el código de automatización para eliminar proyectos inactivos estaba completo a fines de julio y estaba listo para implementarse después de meses de discusión y trabajo de desarrollo.

"Una de nuestras fuentes nos dijo esta tarde que fue la presión en línea, liderada por nuestros informes, lo que obligó al rival de GitHub a repensar drásticamente su forma de pensar. La noticia de la política de eliminación como un ejercicio para ahorrar dinero provocó furor en Twitter y Reddit".

De todos modos, el tweet de GitLab fue bien recibido pero también planteó algunas otras preguntas*:

"Si solo el propietario puede recuperarlo, ¿ha pensado en el caso profundamente desafortunado en el que muere un gerente de proyecto y su código se vuelve inaccesible un año después de que cesa su actividad en el sitio*? »

El CEO de GitLab, Sid Sijbrandij, ofreció más información sobre sus planes en el siguiente tweet:


Sin embargo, la empresa se negó a responder a las solicitudes de información de los medios estadounidenses que publicaron esta información.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Palo Alto Networks ha emitido una advertencia de seguridad sobre una vulnerabilidad de alta gravedad explotada activamente que afecta a PAN-OS, el sistema operativo utilizado por los productos de hardware de red de la empresa.

El problema, rastreado como CVE-2022-0028 (CVSS v3 – 8.6), es una configuración incorrecta de la política de filtrado de URL que podría permitir que un atacante remoto no autenticado lleve a cabo ataques de denegación de servicio (DoS) TCP amplificados.

Las versiones de PAN-OS vulnerables a esta vulnerabilidad son las siguientes:

PAN-OS antes de 10.2.2-h2 (parche ETA: la próxima semana)
PAN-OS anterior a 10.1.6-h6 (parche disponible)
PAN-OS antes de 10.0.11-h1 (parche ETA: la próxima semana)
PAN-OS antes de 9.1.14-h4 (parche ETA: la próxima semana)
PAN-OS antes de 9.0.16-h3 (parche ETA: la próxima semana)
PAN-OS antes de 8.1.23-h1 (parche ETA: la próxima semana)

Usando la vulnerabilidad, un pirata informático podría utilizar un dispositivo PAN-OS de Palo Alto Networks para ataques DDoS, ofuscando la IP original del actor de la amenaza y haciendo que la remediación sea más desafiante. Los actores de amenazas podrían usar estos ataques para diversos comportamientos maliciosos, como la extorsión o para interrumpir las operaciones comerciales de una empresa.

Palo Alto Networks afirma que descubrieron esta vulnerabilidad después de que se les notificó que uno de sus dispositivos se estaba utilizando como parte de un intento de ataque de denegación de servicio reflejado (RDoS), lo que significa que el error se usa activamente en los ataques.

Sin embargo, el proveedor afirma que CVE-2022-0028 no afecta la confidencialidad, integridad o disponibilidad de los productos, por lo que el potencial de ataque se limita a DoS.

Requisitos previos de vulnerabilidad

Las versiones vulnerables de PAN-OS se ejecutan dentro de dispositivos PA-Series, VM-Series y CN-Series, pero el exploit solo funciona cuando se aplican las siguientes tres condiciones:

1. La política de seguridad en el firewall que permite que el tráfico pase de la Zona A a la Zona B incluye un perfil de filtrado de URL con una o más categorías bloqueadas.

2. La protección contra ataques basada en paquetes no está habilitada en un perfil de Protección de zona para la Zona A, incluidos ambos (Protección contra ataques basada en paquetes > Descarte de TCP > Sincronización de TCP con datos) y (Protección contra ataques basada en paquetes > Descarte de TCP > Eliminar opciones de TCP > Apertura rápida de TCP ).

3. La protección contra inundaciones a través de cookies SYN no está habilitada en un perfil de Protección de zona para la Zona A (Protección contra inundaciones > SYN > Acción > Cookie SYN) con un umbral de activación de 0 conexiones.

Como comenta el aviso de seguridad, la primera configuración del cortafuegos es inusual y, por lo general, se debe a un error de administración, por lo que la cantidad de puntos finales vulnerables debería ser pequeña.

"Las políticas de filtrado de URL están destinadas a activarse cuando un usuario dentro de una red protegida solicita visitar sitios peligrosos o no permitidos en Internet en el tráfico destinado a Internet", explica el aviso.

"Tal filtrado de URL no está destinado a usarse en la otra dirección para el tráfico que proviene de Internet a la red protegida".

"El filtrado de URL en esa dirección no ofrece beneficios. Por lo tanto, cualquier configuración de firewall que esté haciendo esto probablemente no sea intencional y se considere una configuración incorrecta".

Si bien se requiere una configuración incorrecta para usar de forma remota un dispositivo PAN-OS para realizar ataques RDoS, Palo Alto Networks está solucionando el error para evitar que se abuse tanto de forma remota como interna.

Dado que una actualización de seguridad no está disponible para la mayoría de las sucursales de la versión PAN-OS, se recomienda a los administradores del sistema que se aseguren de que no se cumpla al menos uno de los tres requisitos previos.

El proveedor recomienda aplicar una solución alternativa de protección contra ataques basada en paquetes para mitigar el problema, para lo cual tienen una guía técnica detallada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La mayoría de las aplicaciones de redes sociales incluyen un navegador interno que se abre automáticamente cuando pulsamos sobre un link. De esta forma, si estamos en Instagram o Facebook, no tenemos que dirigirnos al navegador de nuestro teléfono para visitar una web externa. Sin embargo, parece que hacer uso del navegador interno de estas apps es como visitar una ciudad sin ley.
Tal y como se ha podido descubrir, los navegadores internos de las apps de Meta inyectan código de JavaScript en cualquier página que visitemos con ellos, permitiendo que la compañía pueda monitorizar nuestra actividad.

Otra manera más para sugerirnos "anuncios personalizados"

Ha sido Felix Krause, investigador independiente, quien ha descubierto el funcionamiento de los navegadores internos de dichas apps. Tal y como comenta en su blog, se dio cuenta de que la app de Instagram inyecta código para rastrear nuestra actividad en cualquier sitio web que abramos con el navegador interno de la app. De esta forma, cualquier enlace que abramos, selección de texto, capturas de pantalla, o formularios, pueden ser monitorizados por la compañía.

Su investigación la ha llevado a cabo a partir de la versión de Facebook e Instagram para iOS. Desde iOS 14.5, este sistema operativo advierte a los usuarios de que las apps pueden monitorizar nuestra actividad a través de una notificación cuando abrimos la app por primera vez. Es en el propio mensaje que nos aparece al inicio cuando podemos obligar a la aplicación que no rastree nuestra actividad. De hecho, Facebook admitió que esta simple notificación les hizo perder unos 10.000 millones de dólares solo este año.

El hecho de que Meta monitorice la actividad del usuario a través del navegador interno de sus apps es una medida más para obtener información del usuario y utilizarla "para fines publicitarios o de medición dirigida," según comentó un portavoz de la compañía al medio The Guardian.

El código inyectado permite a Meta agregar eventos de conversión desde los propios píxeles de la pantalla, para así poder recopilar toda la información. Según afirman desde la compañía, necesitan el consentimiento del usuario cuando se está realizando una compra desde el navegador interno de la aplicación y así autocompletar con los datos guardados para futuras ocasiones.

Evita usar el navegador interno de las apps

Tal y como afirma Krause en su blog, El hecho de que Meta inyecte código en el navegador no tiene por qué significar que recopilen información privada del usuario. Eso sí, en caso de que nos preocupen este tipo de medidas, siempre podemos optar a utilizar el navegador propio del teléfono, ya que de esta forma no es posible inyectar código de la manera en la que lo hace Meta.

Lo interesante de todo es que WhatsApp no inyecta código JavaScript de la forma en la que lo hacen Instagram y Facebook, y debido a esto, Kreuse sugiere que Meta debería hacer lo mismo con estas apps.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Es sorprendente la cantidad de Remixes que están apareciendo en los últimos años. El primer Remix que conocí fue Ubuntu MATE, que no recuerdo tener ese "apellido". Sí, lo llevó el último en entrar a la familia Ubuntu, Ubuntu Budgie, y desde entonces han aparecido Ubuntu Cinnamon, UbuntuDDE, Ubuntu Unity, Ubuntu Web y Ubuntu Lumina (de este último nunca se supo). Ahora hay otro nuevo remix: Ubuntu Sway .

Los administradores de ventanas son muy populares entre quienes los prueban. Uno de los más utilizados es i3wm , pero es de esperar que acaben abandonándolo cuando Wayland tome más protagonismo. La evolución del mismo es Sway, otro "administrador de ventanas" que es en su mayoría compatible con i3, pero se diferencia de él principalmente en que usa Wayland y no X11 . Además, tiene una estética un poco más cuidada, pero hace tanto tiempo que no existe y hay cosas que tiene que mejorar.

Ubuntu Sway Remix, ya disponible

Ubuntu Sway, del que ya está disponible la versión Jammy Jellyfish, lleva el apellido "Remix", lo que significa que pretende entrar en la familia Canonical. Pero no lo parece. Es gratuito , incluso Firefox está en la versión DEB que ofrece Mozilla desde su repositorio oficial. Aunque otros sabores ya lo hacen, su instalador es Calamares, una buena decisión por su parte.

Muchas de las aplicaciones incluidas en Ubuntu Sway son para el terminal, lo que se conoce como CLI. Entre ellos podemos encontrar Htop, que nos ayuda a ver el consumo de recursos, entre otras cosas. También incluye otros como MPV, LibreOffice, Thunar o Thunderbird. Es Ubuntu por dentro, pero con el administrador de ventanas Sway y una selección de aplicaciones con el rendimiento en mente Sin olvidar la productividad.

Al igual que i3, el administrador de ventanas Ubuntu Sway funciona principalmente (si no todo) con el teclado. Este es un problema para aquellos que no lo saben, pero el problema se minimiza cuando tenemos una chuleta como parte del fondo de pantalla (se puede quitar). En ella vemos que podemos abrir una terminal con GOAL+ Intro, cerrar cualquier app con GOAL++ o cambiar entre escritorios con Shift+ Números. Entre los atajos también vemos cómo hacer capturas de pantalla, tanto de fotos como de vídeos.Q GOAL.

Ubuntu Sway no tiene una base ni nada por el estilo, pero tiene algo así como un panel superior. Desde él podemos acceder a algunos widgets, como el de volumen, o cambiar de escritorio con el ratón, algo que no sé si será necesario cuando le cojas el truco. Para iniciar aplicaciones , simplemente búsquelas presionando GOAL+ Do haga clic en el ícono del cohete, que abre el cajón de la aplicación.

No tiene centro de software , sino "Paquetes", el gestor de paquetes de GNOME (varias apps son de GNOME), con ciertas similitudes con lo que vemos en Synaptic o en lo que usa el sistema operativo Raspberry Pi. Y hablando del plato de frambuesa, hay una imagen para que se use en él.

Lo mejor para usuarios avanzados

Aunque, para ser fiel a la verdad, nos hemos encontrado con un bug que no nos ha gustado mucho. Al intentar instalarlo en una máquina virtual, aunque se elige el teclado español y vemos arriba su distribución, no aplica en Calamares, por lo que después hay que tirar de terminal para ponerlo en español . Esto es lo que tienen este tipo de gestores de ventanas, que hay configuraciones que no están hechas con herramientas con interfaz de usuario, por lo que pueden desanimar a algunos usuarios.

Lo bueno de Ubuntu Sway es que está basado en Ubuntu, y que ahora mismo estamos ante la primera versión que ya ha salido con la numeración 20.04.1. Es seguro que mejorará con el tiempo . Por otro lado, hay que tener en cuenta cuáles son este tipo de remixes: aunque los hay que tienen un equipo completo detrás y ofrecen un buen soporte, también los hay con equipos pequeños, y podrían abandonar el proyecto en cualquier momento. tiempo. Un ejemplo es el de Lumina, y otro que pende de un hilo es el de UbuntuDDE, que aún no ha sacado su versión Jammy Jellyfish. Eso sí, para los que formatean cada seis meses, son una alternativa, y quién sabe, podrían hacerse oficiales.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Recientemente se dio a conocer información sobre un nuevo ataque a los procesadores Intel, denominado «AEPIC Leak» (ya catalogado bajo CVE-2022-21233), este nuevo ataque conduce a la fuga de datos sensibles de enclaves aislados de Intel SGX (Software Guard eXtensions).

A diferencia de los ataques de la clase Spectre, una fuga en AEPIC Leak ocurre sin el uso de métodos de recuperación de terceros, ya que la información sobre datos confidenciales se transmite directamente al obtener el contenido de los registros reflejados en la memoria MMIO (Memory Mapped I/O). página.

En general, el ataque permite determinar los datos transferidos entre las cachés del segundo y último nivel , incluidos los contenidos de los registros y los resultados de las operaciones de lectura de memoria, que previamente se procesaban en el mismo núcleo de la CPU.

El escaneo de direcciones de E/S en las CPU Intel basadas en la microarquitectura Sunny Cove reveló que el controlador local de interrupción programable avanzado (APIC) en memoria de los registros asignados no
se inicializó correctamente.Como resultado, la lectura arquitectónica de estos registros devuelve datos obsoletos de la microarquitectura, por lo que no se pueden leer datos transferidos entre L2 y el caché de último nivel a través de estos registros.

Como el espacio de direcciones de E/S solo es accesible para usuarios privilegiados , ÆPIC Leak Targets Intel's TEE, SGX . ÆPIC puede filtrar datos de enclaves SGX que se ejecutan en el mismo núcleo físico. Si bien ÆPIC Leak representaría una inmensa amenaza en entornos virtualizados, los hipervisores generalmente evitan que los registros locales de APIC se expongan a las máquinas virtuales, lo que elimina la amenaza en escenarios basados ​​en la nube.

Similar al ataque de ejecución transitoria anterior dirigido a SGX, ÆPIC Leak es más efectivo cuando se ejecuta en paralelo al enclave en el hiperproceso hermano. Sin embargo, la fuga de ÆPIC no requiere hiperprocesamiento y también puede filtrar datos de enclave si el hiperprocesamiento no está disponible o está deshabilitado.

Presentamos dos nuevas técnicas para filtrar datos en uso, es decir, valores de registro de enclave y datos en reposo, es decir, datos almacenados en la memoria de enclave. Con Cache Line Freezing, presentamos una técnica que ejerce presión específica sobre la jerarquía de caché sin sobrescribir los datos obsoletos...
Estas líneas de caché aún parecen viajar a través de la jerarquía de caché, pero no sobrescriben los datos obsoletos. Para ello, registramos fugas de valores de línea de caché en el área de estado seguro (SSA).

La segunda técnica, Enclave Shaking, aprovecha la capacidad del sistema operativo para intercambiar páginas de enclave de forma segura. Al intercambiar alternativamente las páginas del enclave, las páginas almacenadas en caché fuerzan los datos a través de la jerarquía de caché, lo que permite que ÆPIC filtre valores sin siquiera continuar con la ejecución del enclave. Aprovechamos ÆPIC Leak en combinación con
Cache Line Freezing y Enclave Shaking para extraer claves AES-NI y RSA de la biblioteca Intel IPP e Intel SGX. Nuestro ataque filtra la memoria del enclave a 334,8 B/s y una tasa de aciertos del 92,2 %.

Dado que el ataque requiere acceso a las páginas físicas del APIC MMIO , es decir, se requieren privilegios de administrador, el método se limita a atacar enclaves SGX a los que el administrador no tiene acceso directo .

Los investigadores han desarrollado un conjunto de herramientas que permite, en pocos segundos, determinar las claves AES-NI y RSA almacenadas en SGX, así como las claves de atestación de Intel SGX y los parámetros del generador de números pseudoaleatorios. El código del ataque está publicado en GitHub.

Intel anunció que está preparando una solución en forma de una actualización de microcódigo que agrega soporte para el lavado de búfer y agrega medidas adicionales para proteger los datos del enclave.

También se ha preparado una nueva versión del SDK para Intel SGX con cambios para evitar fugas de datos. Se alienta a los desarrolladores de SO e hipervisores a usar el modo x2APIC en lugar del modo xAPIC heredado, que usa registros MSR en lugar de MMIO para acceder a los registros APIC.

El problema afecta a las CPU Intel de 10.ª, 11.ª y 12.ª generación (incluidas las nuevas series Ice Lake y Alder Lake) y se debe a una falla arquitectónica que permite el acceso a los datos no inicializados que quedan en las CPU. Registros APIC (Advanced Programmable Interrupt Controller) de operaciones anteriores.


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hasta 29 modelos diferentes de enrutadores de DrayTek han sido identificados como afectados por una nueva vulnerabilidad crítica de ejecución remota de código no autenticado que, si se explota con éxito, podría comprometer completamente el dispositivo y el acceso no autorizado a la red más amplia.

"El ataque se puede realizar sin la interacción del usuario si la interfaz de administración del dispositivo se ha configurado para estar orientada a Internet", dijo Philippe Laulheret, investigador de Trellix . "También se puede realizar un ataque con un solo clic desde dentro de la LAN en la configuración predeterminada del dispositivo".

Archivada bajo CVE-2022-32548, la vulnerabilidad recibió la calificación de gravedad máxima de 10.0 en el sistema de puntuación CVSS, debido a su capacidad para permitir que un adversario tome el control de los enrutadores por completo.

En esencia, la deficiencia es el resultado de una falla de desbordamiento de búfer en la interfaz de administración web ("/cgi-bin/wlogin.cgi"), que puede ser armada por un actor malicioso al proporcionar información especialmente diseñada.

"La consecuencia de este ataque es la adquisición del llamado 'DrayOS' que implementa las funcionalidades del enrutador", dijo Laulheret. "En los dispositivos que tienen un sistema operativo Linux subyacente (como el Vigor 3910), es posible pasar al sistema operativo subyacente y establecer un punto de apoyo confiable en el dispositivo y la red local".


Se dice que más de 200,000 dispositivos del fabricante taiwanés tienen el servicio vulnerable actualmente expuesto en Internet y no requerirían la interacción del usuario para ser explotados.

La violación de un dispositivo de red como Vigor 3910 no solo podría dejar una red abierta a acciones maliciosas como el robo de credenciales y propiedad intelectual, actividad de botnet o un ataque de ransomware, sino que también podría causar una condición de denegación de servicio (DoS).

La revelación se produce poco más de un mes después de que surgiera que los enrutadores de ASUS, Cisco, DrayTek y NETGEAR están siendo atacados por un nuevo malware llamado ZuoRAT que tiene como objetivo las redes de América del Norte y Europa.

Si bien hasta el momento no hay signos de explotación de la vulnerabilidad en la naturaleza, se recomienda aplicar los parches de firmware lo antes posible para protegerse contra posibles amenazas.

"Los dispositivos de borde, como el enrutador Vigor 3910, viven en el límite entre las redes internas y externas", señaló Laulheret. "Como tales, son un objetivo principal para los ciberdelincuentes y los actores de amenazas por igual. La violación remota de dispositivos de borde puede llevar a un compromiso total de la red interna de las empresas".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una vulnerabilidad de alta gravedad recientemente revelada en la suite de correo electrónico Zimbra a su Catálogo de Vulnerabilidades Explotadas Conocidas , citando evidencia de explotación activa .

El problema en cuestión es CVE-2022-27924 (puntuación CVSS: 7,5), una falla de inyección de comandos en la plataforma que podría conducir a la ejecución de comandos arbitrarios de Memcached y al robo de información confidencial.

"Zimbra Collaboration (ZCS) permite que un atacante inyecte comandos memcached en una instancia específica, lo que provoca una sobrescritura de entradas arbitrarias en caché", dijo CISA.

Específicamente, el error se relaciona con un caso de validación insuficiente de la entrada del usuario que, si se explota con éxito, podría permitir a los atacantes robar credenciales de texto sin formato de los usuarios de las instancias de Zimbra específicas.


El problema fue revelado por SonarSource en junio, con parches lanzados por Zimbra el 10 de mayo de 2022, en las versiones 8.8.15 P31.1 y 9.0.0 P24.1.

CISA no ha compartido los detalles técnicos de los ataques que explotan la vulnerabilidad en la naturaleza y aún tiene que atribuirla a un determinado actor de amenazas.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen las actualizaciones al software para reducir su exposición a posibles ataques cibernéticos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

A principios de julio se publicó un artículo que se parecía mucho a este, pero no es exactamente igual. En aquel  se decía que Fedora 37 soportaría a la Raspberry Pi, pero todo giraba en torno a una propuesta. La diferencia con la noticia que les traemos hoy es que se ha hecho oficial, y ya se han firmado los acuerdos para que todo esto vaya adelante, con lo que también se podría conseguir la certificación que hace tiempo que tiene Ubuntu.

Fedora Workstation tenía varios problemas importantes cuando se intentaba ejecutar en una Raspberry Pi 4. Varios de esos problemas ya han sido resueltos, y cuando Fedora 37 sea lanzado, el proyecto empezará a anunciar a bombo y platillo el soporte para la Rasbperry Pi 4 Model B, el Raspberry Pi 400 y la Rasbperry Pi CM4, un poco como lo que hizo Canonical tras el lanzamiento de Ubuntu 20.10 Groovy Gorilla.

Fedora 37 llegará después del verano

La Raspberry Pi 4 es un dispositivo ampliamente disponible y de precio razonable. Ha funcionado bien en Fedora durante algún tiempo en casos de uso de IoT y servidores, y ahora con una pila de gráficos totalmente acelerada disponible es un gran dispositivo desde una perspectiva de precio por rendimiento, y tiene un amplio ecosistema, por lo que el soporte completo de esto en Fedora es un caso convincente.

El cambio más importante y lo que no les permitía mejorar las cosas en la Raspberry Pi era la aceleración de la pila de gráficos. Linux 6.0 soportará el driver Rasbperry Pi 4 V3D DRM/KMS, y ese es el primer paso. Aún quedan cosas por pulir, como problemas con el WiFi, pero se espera que todo vaya mejorando con el paso de los meses, ahora que el proyecto puede centrarse en la famosa placa.

Fedora 37 llegará después del verano, sobre octubre, y lo hará con GNOME 43 entre sus novedades más destacadas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco se dio a conocer la noticia de que GitLab planea modificar sus términos de servicio para el próximo mes (en septiembre), según los cuales los proyectos alojados en cuentas gratuitas de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login se eliminarán automáticamente si sus repositorios permanecen inactivos durante 12 meses.

El cambio tiene como objetivo reducir los costos de mantenimiento del alojamiento al liberar recursos para almacenar y procesar proyectos abandonados y bifurcaciones que no están en desarrollo.

Se estima que el mantenimiento de la infraestructura para proyectos abandonados representa hasta una cuarta parte de todos los costos de alojamiento de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, y la purga automática de dichos proyectos podría ahorrar hasta un millón de dólares al año.

The Register se enteró de que dichos proyectos representan hasta una cuarta parte de los costos de alojamiento de GitLab, y que la eliminación automática de proyectos podría ahorrarle al servicio de colaboración de codificación en la nube hasta $ 1 millón al año. Por lo tanto, se ha sugerido la política para ayudar a que las finanzas de GitLab sigan siendo sostenibles.

Las personas con conocimiento de la situación, que solicitaron el anonimato ya que no están autorizadas a discutirlo con los medios, dijeron a The Register que la política entrará en vigor en septiembre de 2022.

Antes de la eliminación real, dentro de semanas o meses, se enviarán notificaciones a los propietarios de los repositorios que solicitan la eliminación con una advertencia para confirmar la relevancia del proyecto. Solo se prevé eliminar los proyectos abandonados, cuyos autores no responden a las advertencias, no se registraron cambios en el repositorio durante el año, no se publicaron nuevos números y no se enviaron comentarios.

Sin embargo, algunos miembros en la comunidad consideran que la eliminación propuesta es una mala práctica, ya que el código de los repositorios inactivos puede usarse como dependencia en otros proyectos que permanecen activos.

También se observa que los cambios permanentes no son el objetivo de algunos autores, quienes bien pueden considerar que el estado actual de su proyecto ha alcanzado un nivel óptimo, y el código es lo suficientemente bueno y no requiere mejoras, o descubrir inicialmente que no están planeados para ser desarrollados, pero que pueden resultar útiles para quienes te rodean.

Geoff Huntley, un defensor del código abierto y participante de la comunidad abierta .Net, describió la política como «absolutamente salvaje».

"El código fuente no ocupa mucho espacio en disco, que alguien elimine todo ese código es destrucción de la comunidad. Van a destruir su marca y buena voluntad. La gente aloja su código allí porque existe la idea de que estará disponible para el público en general para reutilizarlo y mezclarlo.

Por supuesto, no hay garantías de que siempre estará alojado allí, pero las reglas no escritas en código abierto son que haces que el código esté disponible y no lo eliminas. Tuvimos mantenedores que extrajeron el código y hubo una gran indignación en la comunidad al respecto», dijo, señalando que otros proyectos que dependen de un producto eliminado sufrirán.

«Todas las dependencias no se pueden compilar», lamentó.

Además, los recursos externos pueden hacer referencia al código de los proyectos inactivos y, al eliminarlo, se perderá una copia maestra verificada a la que se puede hacer referencia (no se garantiza que las copias no oficiales estén libres de actividad maliciosa), por lo que en lugar de eliminar, probablemente sería más óptimo archivar el estado manteniendo la capacidad de acceder al código en modo de solo lectura.

Para ahorrar espacio en disco al almacenar bifurcaciones basura, puede usar métodos más eficientes para manejar duplicados, por ejemplo, GitHub almacena todos los objetos del repositorio principal y sus bifurcaciones asociadas juntas para evitar la duplicación de datos, separando lógicamente la propiedad de las confirmaciones.

Por último cabe mencionar que los cambios de reglas aún no se han anunciado oficialmente y se encuentran en la etapa de planificación interna.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han compartido detalles sobre una vulnerabilidad de seguridad en la implementación estándar del Open Network Video Interface Forum ( ONVIF ) de Dahua, que, cuando se explota, puede llevar a tomar el control de las cámaras IP.

Rastreado como CVE-2022-30563 (puntaje CVSS: 7.4), "los atacantes podrían abusar de la vulnerabilidad para comprometer las cámaras de red olfateando una interacción ONVIF anterior sin cifrar y reproduciendo las credenciales en una nueva solicitud hacia la cámara", dijo Nozomi Networks en un informe del jueves.

El problema, que se solucionó en un parche publicado el 28 de junio de 2022, afecta a los siguientes productos:

- Dahua ASI7XXX: Versiones anteriores a v1.000.0000009.0.R.220620
- Dahua IPC-HDBW2XXX: Versiones anteriores a v2.820.0000000.48.R.220614
- Dahua IPC-HX2XXX: Versiones anteriores a v2.820.0000000.48.R.220614

ONVIF rige el desarrollo y el uso de un estándar abierto sobre cómo los productos de seguridad física basados ​​en IP, como las cámaras de videovigilancia y los sistemas de control de acceso, pueden comunicarse entre sí de manera independiente del proveedor.

El error identificado por Nozomi Networks reside en lo que se llama el mecanismo de autenticación " WS-UsernameToken " implementado en ciertas cámaras IP desarrolladas por la firma china Dahua, lo que permite a los atacantes comprometer las cámaras reproduciendo las credenciales.

En otras palabras, la explotación exitosa de la falla podría permitir que un adversario agregue de forma encubierta una cuenta de administrador malicioso y la explote para obtener acceso sin restricciones a un dispositivo afectado con los privilegios más altos, incluida la visualización de transmisiones de cámaras en vivo.

Todo lo que un actor de amenazas necesita para montar este ataque es poder capturar una solicitud ONVIF sin cifrar autenticada con el esquema WS-UsernameToken, que luego se usa para enviar una solicitud falsificada con los mismos datos de autenticación para engañar al dispositivo para que cree la cuenta de administrador.


Esta divulgación sigue al descubrimiento de fallas similares en los dispositivos Reolink , ThroughTek , Annke y Axis , lo que subraya los riesgos potenciales que plantean los sistemas de cámaras de seguridad IoT dada su implementación en instalaciones de infraestructura crítica.

"Los actores de amenazas, en particular los grupos de amenazas de los estados nacionales, podrían estar interesados ​​en piratear cámaras IP para ayudar a recopilar información sobre el equipo o los procesos de producción de la empresa objetivo", dijeron los investigadores.

"Esta información podría ayudar en el reconocimiento realizado antes de lanzar un ataque cibernético. Con más conocimiento del entorno objetivo, los actores de amenazas podrían crear ataques personalizados que pueden interrumpir físicamente los procesos de producción en la infraestructura crítica".

En un desarrollo relacionado, los investigadores de NCC Group documentaron 11 vulnerabilidades que afectan a los productos de cerraduras inteligentes de Nuki que podrían armarse para obtener la ejecución de código arbitrario y abrir puertas o causar una condición de denegación de servicio (DoS).

También es notable un aviso del sistema de control industrial (ICS) emitido por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. esta semana, que advierte sobre dos fallas de seguridad graves en los servidores MOXA NPort 5110 que ejecutan la versión de firmware 2.10 .

"La explotación exitosa de estas vulnerabilidades podría permitir que un atacante cambie los valores de la memoria y/o haga que el dispositivo deje de responder", dijo la agencia.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) agregó el viernes la falla de seguridad de Atlassian recientemente revelada a su Catálogo de Vulnerabilidades Explotadas Conocidas, con base en evidencia de explotación activa.

La vulnerabilidad, rastreada como CVE-2022-26138 , se refiere al uso de credenciales codificadas cuando la aplicación Questions For Confluence está habilitada en instancias de Confluence Server y Data Center.

"Un atacante remoto no autenticado puede usar estas credenciales para iniciar sesión en Confluence y acceder a todo el contenido accesible para los usuarios en el grupo de usuarios de confluence", señala CISA en su aviso.


Según las restricciones de la página y la información que una empresa tiene en Confluence, la explotación exitosa de la deficiencia podría conducir a la divulgación de información confidencial.

Aunque la compañía de software Atlassian abordó el error la semana pasada en las versiones 2.7.38 y 3.0.5, desde entonces ha estado bajo explotación activa , según reveló esta semana la firma de ciberseguridad Rapid7.

"Los esfuerzos de explotación en este momento no parecen estar muy generalizados, aunque esperamos que eso cambie", dijo a The Hacker News Erick Galinkin, investigador principal de IA en Rapid7.

"La buena noticia es que la vulnerabilidad está en la aplicación Questions for Confluence y no en Confluence en sí, lo que reduce significativamente la superficie de ataque".

Con la falla ahora agregada al catálogo, el Poder Ejecutivo Civil Federal (FCEB) en los EE. UU. tiene la obligación de aplicar parches antes del 19 de agosto de 2022 para reducir su exposición a los ataques cibernéticos.

"En este punto, la vulnerabilidad ha sido pública durante un período de tiempo relativamente corto", señaló Galinkin. "Junto con la ausencia de actividad significativa posterior a la explotación, todavía no tenemos ningún actor de amenazas atribuido a los ataques".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login