Ayer, los usuarios de American Express en todo el mundo, incluidos EE. UU., Reino Unido y Europa, experimentaron interrupciones generalizadas que duraron horas.

Y, el gigante de los servicios de pago advierte que algunos usuarios pueden continuar experimentando problemas en línea o por teléfono.

Los problemas informados por los usuarios incluían no poder iniciar sesión en sus cuentas de Amex, realizar pagos o comunicarse con un representante de servicio al cliente de Amex por teléfono.

BleepingComputer pudo reproducir brevemente los problemas justo antes de que Amex confirmara la restauración parcial de los servicios.

Autenticación de dos factores rota

Los clientes de American Express de todo el mundo se quedaron sin los medios para realizar pagos, ya que los apagones de horas impidieron que los usuarios iniciaran sesión en sus cuentas.

Los sistemas en línea del proveedor de servicios de tarjetas de pago dejaron de funcionar el viernes 1 de abril y siguieron funcionando mal durante horas, como también observó BleepingComputer.

Amex colocó un cartel en su página de inicio que decía que estaba "consciente de que las dificultades técnicas" estaban afectando las líneas telefónicas, los servicios de cuentas en línea y la aplicación móvil de Amex.


En múltiples pruebas realizadas por BleepingComputer, observamos que la pantalla de inicio de sesión solicitaba un "código de verificación único" varias veces; en cada intento de inicio de sesión exitoso, incluso si estábamos iniciando sesión desde el mismo dispositivo utilizado anteriormente para acceder a la cuenta. La aplicación móvil también exhibió este comportamiento:


A medida que los servicios comenzaron a volver a funcionar, BleepingComputer pudo pasar la pantalla del código de dos factores después de una autenticación exitosa solo para aterrizar en una página "no encontrada", donde debería estar el Tablero.


El tecnólogo Jacob Rothstein sospechaba si los problemas estaban relacionados con la función " un inicio de sesión para todas las cuentas " recientemente introducida por Amex. La nueva integración de funciones permitiría a los clientes acceder tanto a las cuentas de ahorro como a las tarjetas de crédito desde un solo panel, anunció previamente Amex.

Pero eso todavía no explica las interrupciones del servicio telefónico.

El analista de inteligencia de amenazas cibernéticas Anis Haboubi  conjeturó que si los recientes ataques a Okta ,  Sitel y Globant  por parte de Lapsus$ podrían haber influido, tanto Sitel como Globant incluyen a Amex entre sus clientes.

Sin embargo, BleepingComputer aún no ha visto pruebas sólidas que establezcan un vínculo entre estos incidentes.

'Agregar una tarjeta de débito' lo llevó al mapa del localizador de cajeros automáticos
BleepingComputer también reprodujo los reclamos de los usuarios que enfrentan dificultades para realizar pagos a los saldos de sus cuentas Amex.

Al navegar a la página 'Realizar un pago', el historial de pagos no se cargaba. Al hacer clic en el botón 'Agregar una tarjeta de débito' nos redirigió a un mapa de cajeros automáticos cercanos.


A partir de esta mañana, los servicios de cuentas en línea de Amex permiten pagos a través de cuentas bancarias, una característica recientemente introducida especialmente para los clientes del Reino Unido, además de aceptar pagos con tarjeta de débito.

Esto indica que es muy probable que el gigante de los pagos haya roto algo al implementar la nueva funcionalidad, en lo que respecta a la interrupción de los servicios en línea.

'No haga negocios sin él.®'

El 1 de abril, después de múltiples informes de problemas que enfrentaron los clientes, American Express confirmó que los servicios de cuentas en línea estaban respaldados tanto en la web como en el móvil:


Sin embargo, en su último tweet , American Express se ha retractado y explica que algunos clientes aún pueden tener problemas:

"Estamos experimentando un problema de sistemas que hace que algunos Titulares de tarjetas no puedan acceder a productos y servicios en la web y la aplicación móvil. La mayoría de los sistemas se han restaurado, pero algunos clientes pueden experimentar tiempos de espera más largos de lo habitual. Pedimos disculpas a nuestros clientes por cualquier inconveniencia."

La razón detrás de estas interrupciones de varias horas aún no se conoce. El impacto en las líneas telefónicas de Amex, además de las interrupciones de la web y las aplicaciones móviles, hace que este caso sea especialmente interesante.

Si bien esto podría ser solo otra instancia de interrupciones de la red o una integración de funciones rota, no es inusual que los centros de llamadas y los sitios web  de las empresas se caigan al mismo tiempo, luego de un ataque cibernético.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que una amenaza persistente china avanzada rastreada como Deep Panda explota la vulnerabilidad Log4Shell en los servidores VMware Horizon para implementar una puerta trasera y un novedoso rootkit en máquinas infectadas con el objetivo de robar datos confidenciales.

"La naturaleza de la focalización fue oportunista en la medida en que ocurrieron múltiples infecciones en varios países y varios sectores en las mismas fechas", dijeron Rotem Sde-Or y Eliran Voronovitch, investigadores de FortiGuard Labs de Fortinet, en un informe publicado esta semana. "Las víctimas pertenecen a las industrias financiera, académica, cosmética y de viajes".

Se dice que Deep Panda , también conocido por los apodos Shell Crew, KungFu Kittens y Bronze Firestone, ha estado activo desde al menos 2010, con ataques recientes "dirigidos a firmas legales para la exfiltración de datos y proveedores de tecnología para la construcción de infraestructura de comando y control". ", según Secureworks.

La firma de seguridad cibernética CrowdStrike, que asignó el nombre de panda al grupo en julio de 2014, lo llamó "uno de los grupos de intrusión cibernética de estado nación chino más avanzados".

El último conjunto de ataques documentado por Fortinet muestra que el procedimiento de infección involucró la explotación de la falla de ejecución remota de código Log4j (también conocida como Log4Shell) en servidores VMware Horizon vulnerables para generar una cadena de etapas intermedias, lo que finalmente condujo al despliegue de una puerta trasera denominada Milestone. ("1.dll").

Basado en el código fuente filtrado del infame Gh0st RAT pero con diferencias notables en el mecanismo de comunicación de comando y control (C2) empleado, Milestone también está diseñado para enviar información sobre las sesiones actuales en el sistema al servidor remoto.

Durante los ataques también se detectó un rootkit de kernel llamado "Fire Chili" que está firmado digitalmente con certificados robados de compañías de desarrollo de juegos, lo que le permite evadir la detección por parte del software de seguridad y ocultar operaciones de archivos maliciosos, procesos, adiciones de claves de registro y conexiones de red.


Esto se logra por medio de llamadas al sistema ioctl (control de entrada/salida) para ocultar la clave de registro del rootkit del controlador, los archivos de puerta trasera de Milestone y el archivo y el proceso de carga utilizados para iniciar el implante.

La atribución de Fortinet a Deep Panda surge de las superposiciones entre Milestone e Infoadmin RAT, un troyano de acceso remoto utilizado por el sofisticado colectivo de piratas informáticos a principios de la década de 2010, con pistas adicionales que apuntan a similitudes tácticas con las del grupo Winnti.

Esto está respaldado por el uso de firmas digitales comprometidas pertenecientes a empresas de juegos, un objetivo elegido por Winnti, así como un dominio C2 (gnisoft[.]com), que se vinculó previamente al actor patrocinado por el estado chino a partir de Mayo 2020.

"La razón por la que estas herramientas están vinculadas a dos grupos diferentes no está clara en este momento", dijeron los investigadores. "Es posible que los desarrolladores de los grupos compartieran recursos, como certificados robados e infraestructura C2, entre ellos. Esto puede explicar por qué las muestras solo se firmaron varias horas después de compilarse".

La divulgación se suma a una larga lista de grupos de piratería que han armado la vulnerabilidad Log4Shell para atacar la plataforma de virtualización de VMware.

En diciembre de 2021, CrowdStrike describió una campaña fallida realizada por un adversario denominado Aquatic Panda que aprovechó la falla para realizar varias operaciones posteriores a la explotación, incluido el reconocimiento y la recolección de credenciales en sistemas específicos.

Desde entonces, varios grupos se han unido a la refriega, incluido el grupo iraní TunnelVision , que se observó explotando activamente el defecto de la biblioteca de registro de Log4j para comprometer los servidores VMware Horizon sin parches con ransomware.

Más recientemente, la empresa de seguridad cibernética Sophos destacó una serie de ataques contra servidores Horizon vulnerables que han estado en curso desde enero y han sido montados por actores de amenazas para extraer criptomonedas de forma ilícita, instalar shells inversos basados ​​en PowerShell o implementar agentes Atera para entregar cargas útiles adicionales de forma remota. .

"Los intentos de comprometer los servidores de Horizon se encuentran entre las vulnerabilidades de Log4Shell más específicas debido a su naturaleza", dijeron los investigadores de Sophos, y agregaron que "las plataformas como Horizon son objetivos particularmente atractivos para todo tipo de actores maliciosos porque están muy extendidos y pueden (si aún vulnerable) fácil de encontrar y explotar con herramientas bien probadas".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se han revelado dos nuevas vulnerabilidades de seguridad en los controladores lógicos programables ( PLC ) y el software de estación de trabajo de ingeniería de Rockwell Automation que un atacante podría explotar para inyectar código malicioso en los sistemas afectados y modificar sigilosamente los procesos de automatización.

Las fallas tienen el potencial de interrumpir las operaciones industriales y causar daños físicos a las fábricas de manera similar a los ataques de Stuxnet y Rogue7 , dijo la empresa de seguridad de tecnología operativa Claroty.

"La lógica programable y las variables predefinidas impulsan estos procesos [de automatización], y los cambios en cualquiera alterarán el funcionamiento normal del PLC y el proceso que administra", señaló Sharon Brizinov de Claroty en un artículo publicado el jueves.


La lista de dos defectos está a continuación:

- CVE-2022-1161 (puntaje CVSS: 10.0): una falla explotable de forma remota que permite a un actor malicioso escribir un código de programa "textual" legible por el usuario en una ubicación de memoria separada del código compilado ejecutado (también conocido como código de bytes). El problema reside en el firmware del PLC que se ejecuta en los sistemas de control ControlLogix, CompactLogix y GuardLogix de Rockwell.

- CVE-2022-1159 (puntaje CVSS: 7.7): un atacante con acceso administrativo a una estación de trabajo que ejecuta la aplicación Studio 5000 Logix Designer puede interceptar el proceso de compilación e inyectar código en el programa del usuario sin el conocimiento del usuario.

La explotación exitosa de los defectos podría permitir que un atacante modifique los programas de usuario y descargue código malicioso al controlador, alterando efectivamente el funcionamiento normal del PLC y permitiendo que se envíen comandos no autorizados a los dispositivos físicos controlados por el sistema industrial.

"El resultado final de explotar ambas vulnerabilidades es el mismo: el ingeniero cree que se está ejecutando un código benigno en el PLC; mientras tanto, se está ejecutando un código completamente diferente y potencialmente malicioso en el PLC", explicó Brizinov.

La gravedad de las fallas también ha provocado un aviso de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) que describe los pasos de mitigación que los usuarios del hardware y software afectados pueden tomar para una "estrategia integral de defensa en profundidad".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

¿Se puede crear una tarjeta gráfica decente en 18 meses? Eso es precisamente lo que ha logrado la empresa china Moore Threads, que se creó en octubre de 2020 y que prometió ofrecer la primera GPU completamente desarrollada y creada allí en pocos meses.

Hoy la empresa ya tiene esa tarjeta gráfica: se llama MTT S60 y ofrece una potencia que parece equipararse a las de las RTX 2060 que NVIDIA presentó en septiembre de 2018. Puede que no estemos ante una gráfica revolucionaria, pero el logro es sin duda notable.

Modestas, pero aún así interesantes

El fundador de Moore Threads es Zhang Jianzhong, que anteriormente había sido vicepresidente global de NVIDIA y director general de la empresa en China: esa trayectoria deja claro que partía ya con una fuerte base que le ha permitido llevar a cabo esta singular misión.


Lo ha hecho con unas tarjetas gráficas que desde luego no son las más avanzadas del mercado, pero quizás no lo necesiten. Sus GPUs hacen uso de los llamados núcleos MUSA con arquitectura Sudi, y están fabricadas con fotolitografía de 12 nm, algo que ya supone un hándicap teniendo en cuenta que NVIDIA y AMD hacen uso de fotolitografías de 8 y 7 nm respectivamente en sus últimas generaciones.

Aún así la MTT S60 promete 6 TFLOPS de rendimiento, una cifra que es la que aproximadamente arrojan las RTX 2060 o las GTX 1070. Aquí habrá que ver el comportamiento real de esas gráficas en videojuegos. La gráfica está acompañada de 8 GB de memoria LPGDDR4X.

En la presentación solo se pudo ver una demo de League of Legends corriendo en 1080p, aunque no se desveló la tasa de FPS a la que conseguía moverlo ni el nivel de detalle gráfico con el que se ejecutó esa demo. También se realizaron varias demos con aplicaciones que aprovechaban sus funciones de inteligencia artificial, como por ejemplo la aceleración del procesado de audio, vídeo o lenguaje natural.

Moore Threads presentó además la MTT S2000, una gráfica orientada a servidores con una potencia de 12 TFLOPS y 12 GB de memoria. Se desconocen los precios o fechas de lanzamiento definitivos de estos modelos, pero habrá que ver entonces cuál es el comportamiento real de unas gráficas que pueden acabar siendo una interesante alternativa para quienes no quieren (o no pueden) acceder a lo último de NVIDIA, AMD... o Intel.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Durante seis meses, una falla en el sistema de clasificación masiva de Facebook generó un aumento en las vistas de "contenido dañino", de acuerdo con un informe interno de la compañía al que The Verge tuvo acceso.

El error, derivó en una gran cantidad de "información errónea" fuera mostrado en los feeds de los usuarios desde el pasado mes de octubre. En lugar de que el algoritmo suprimiera las publicaciones clasificadas como "dudosas" por la red de verificadores de la compañía, hizo que se terminaran distribuyendo, aumentando las vistas hasta en un 30% a nivel mundial.

De acuerdo con el documento los ingenieros fueron incapaces de encontrar la causa al problema, mientras observaban cómo el aumento cedía luego de unas semanas, pero se intensificaba en repetidas ocasiones hasta que pudieron solucionarlo, apenas el 11 de marzo de 2022.

Otras medidas anunciadas por la compañía tampoco se aplicaron

Junto a las publicaciones que ya habían sido clasificadas por los verificadores, en la investigación interna se descubrió que durante este periodo, los sistemas de Facebook tampoco suprimieron adecuadamente los contenidos relacionados con la desnudez, la violencia ni los medios estatales rusos, que se habían comprometido a dejar de recomendar, luego de la invasión a Ucrania.


Según Joe Osborn, portavoz de Meta, la compañía "detectó inconsistencias en  la reducción hasta en cinco ocasiones", mismas que tenían aumentos temporales en las vistas del contenido.

Aunque no generó un impacto en la exposición de contenidos hasta el año pasado, el documento interno de la compañía señalaba que el problema ya se había registrado en 2019, pero sin el alcance de este último, pero de acuerdo con Osborne, "el problema ya fue rastreado hasta un error de software y se aplicaron las correcciones necesarias".

La importancia de conocer cómo funcionan los sistemas

Sahar Massachi, exmiembro del equipo de Integridad Cívica de Facebook, señaló que si bien no hay indicios de intenciones maliciosas tras el error de clasificación, ni afectó al resto de herramientas de moderación, demuestra la necesidad de transparentar en las plataformas de internet los algoritmos y criterios que utilizan para clasificar el contenido.

Hasta ahora la compañía ha dado a conocer el tipo de contenido que limitan de su plataforma y los criterios que usan en la sección de noticias para las publicaciones que reciben una "distribución reducida", pero no se ha revelado exactamente la forma en que afecta esa degradación en la difusión.

El interés original, según el propio Mark Zuckerberg, radica en eliminar el contenido dañino de su plataforma, evitando la propagación de contenido "al límite" de violar las reglas, usando además de sistemas de IA cada que se encuentran con contenido sospechoso, revisión humana para verificar las publicaciones.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace poco se dio a conocer la noticia de una vulnerabilidad en la biblioteca zlib ya catalogada bajo CVE-2018-25032 que provoca un desbordamiento del búfer al intentar comprimir una secuencia de caracteres especialmente preparada en los datos entrantes.

En su forma actual, los investigadores demostraron la posibilidad de llamar a una terminación anormal del proceso, por lo que aún no se ha estudiado si el problema puede tener consecuencias más graves.

Se menciona que la vulnerabilidad se ha manifestado desde zlib 1.2.2.2 y afecta a la versión actual de zlib 1.2.11. Es de destacar que se propuso un parche que corrige la vulnerabilidad en 2018, pero los desarrolladores no le prestaron atención y no lanzaron una versión correctiva (la biblioteca zlib se actualizó por última vez en 2017).

Este error fue informado por Danilo Ramos de Eideticom, Inc que estuvo al acecho 13 años antes de ser encontrado! El error fue introducido en zlib 1.2.2.2, con la adición de la opción Z_FIXED. La opción fuerza el uso de códigos Huffman fijos. Para entradas raras con
una gran cantidad de partidos distantes, el búfer pendiente en el que los datos comprimidos se escriben pueden sobrescribir. Eso da como resultado una salida corrupta debido a distancias no válidas, y puede resultar en accesos fuera de límites, fallando la aplicación.

La vulnerabilidad se manifiesta si el flujo de entrada contiene una gran cantidad de coincidencias para empaquetar, a las que se aplica el empaque en función de los códigos Huffman fijos. En determinadas circunstancias, el contenido del búfer intermedio en el que se coloca el resultado comprimido puede superponerse con la memoria en la que se almacena la tabla de frecuencias de símbolos. Como resultado, se observa la formación de datos comprimidos incorrectos y un bloqueo debido a la escritura fuera del límite del búfer.

La vulnerabilidad solo puede explotarse mediante una estrategia de compresión basada en códigos fijos de Huffman. Se elige una estrategia similar cuando la opción Z_FIXED se incluye explícitamente en el código (un ejemplo de una secuencia que provoca un bloqueo al usar la opción Z_FIXED). A juzgar por el código la estrategia Z_FIXED también se puede elegir automáticamente si los árboles óptimos y estáticos calculados para los datos tienen el mismo tamaño.

La solución aquí combina el búfer de distancia y el literal/longitud búferes en un solo búfer de símbolo. Ahora tres bytes del espacio de búfer se abre para cada literal o longitud/distancia par consumido, en lugar de los dos bytes anteriores esto asegura
que el búfer pendiente no puede sobrescribir la tabla de símbolos, ya que la longitud/distancia máxima comprimida del código fijo es de 31 bits, y ya que hay cuatro bytes de espacio pendiente por cada tres bytes del espacio de símbolos.

Todavía no está claro si las condiciones para explotar la vulnerabilidad pueden coincidir con la estrategia de compresión Z_DEFAULT_STRATEGY, que se aplica de forma predeterminada.

De lo contrario, la vulnerabilidad se limitará a ciertos sistemas específicos donde se aplica explícitamente la opción Z_FIXED. En caso afirmativo, el daño de la vulnerabilidad puede ser muy significativo, ya que la biblioteca zlib es el estándar de facto y se usa en muchos proyectos populares, incluido el kernel de Linux, OpenSSH, OpenSSL, apache httpd, libpng, FFmpeg, rsync, dpkg. , rpm, Git, PostgreSQL, MySQL, etc.

Tambien se menciona que los parámetros seleccionados bajo los cuales se manifiesta la vulnerabilidad al elegir la estrategia de compresión por defecto Z_DEFAULT_STRATEGY. En condiciones reales, el ataque todavía se considera improbable, ya que la explotación utilizando la secuencia revelada requiere configurar el parámetro memLevel en 1, mientras que el nivel 8 está seleccionado por defecto.

Un ejemplo de una secuencia de bloqueo cuando se llama a «deflateInit2(&strm, 7, Z_DEFLATED, 15, 1, Z_DEFAULT_STRATEGY)» (level=7, windowBits=15, memLevel=1).

Finalmente cabe mencionar que la solución tampoco está incluida aún en los paquetes ofrecidos por las distribuciones, por lo que se puede realizar un seguimiento de la publicación de correcciones por distribuciones en estas páginas: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD  FreeBSD, NetBSD, ademas de que la biblioteca zlib-ng no se ve afectada por el problema.

Si estás interesado en conocer más al respecto, puedes consultar los detalles en el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se dio a conocer el lanzamiento de la nueva versión de 4MLinux 39.0, version en la cual se han realizado diversas actualizaciones de los paquetes del sistema, asi como tambien la adicion de nuevos paquetes de los cuales se destaca un servidor con una implementación de FSP, llega con  el Kernel de Linux 5.16 y mas.

Para quienes desconocen de 4MLinux deben saber que esta es una de esas distribuciones de Linux que requiere menos recursos del sistema e incluso puede ejecutarse en 128 MB de RAM.

4MLinux también se puede usar como un CD de rescate junto con un sistema de trabajo completo o como un mini servidor.

El escritorio de 4MLinux viene con JWM (Joe's Windows Manager) que es un gestor de ventanas de apilamiento liviano para X Window System. Mientras que para gestionar los fondos de escritorio, se usa un Feh un visor de imágenes ligero y potente. Utiliza PCMan File Manager, que también es un administrador de archivos estándar para LXDE.

La distribución es recomendada ampliamente como un sistema para la recuperación de desastres y una plataforma para ejecutar servidores LAMP (Linux, Apache, MariaDB y PHP).

Esta pequeña distribución de Linux que se centra en cuatro características (ya mencionadas) y de las cuales también proviene su nombre:

- mantenimiento (tales como la restauración de un CD)
- multimedia (para reproducir discos DVD de vídeo y otros archivos)
- miniserver (usando el demonio inetd)
- Mystery (proporcionando varios pequeños juegos de Linux).

Novedades de 4MLinux 39

En esta nueva versión que se dio a conocer de 4MLinux 39.0 se destaca que se incluye el paquete de un servidor con una implementación de FSP (File Service Protocol), un protocolo para transferir archivos a través de una red basada en UDP. El programa gFTP se puede utilizar como cliente.

Otro de los cambios que se destaca de esta nueva versión de 4MLinux 39.0 es el soporte mejorado para particiones de disco JBD (Journaling Block Device) en el script de instalación.

Ademas de ello, tambien se destaca el editor de texto Bluefish ,la herramienta de creación de medios USB Ventoy y el juego de estrategia TripleA se han agregado a la lista de aplicaciones disponibles para una instalación rápida.

Mientras que por la parte de la utilidad, youtube-dl ha sido reemplazada por un análogo de yt-dlp desarrollado más activamente.

Por la parte de los controladores graficos podremos encontrar a la version de Mesa 21.3.7, en el corazon del sistema podremos encontrar el Kernel de Linux 5.16, Wine 7.4 y la suite de ofimatica LibreOffice 7.3.1.

Tambien se han introducido diversas actualizaciones de software de los cuales se destacan las nuevas versiones de: AbiWord 3.0.5, GIMP 2.10.30, Gnumeric 1.12.51, DropBox 143.4.4161, Firefox 97.0.1, Chromium 98.0.4758, Thunderbird 91.6. 1, Audaz 4.1, VLC 3.0.16, mpv 0.34.0, Apache 2.4.53, MariaDB 10.7.3, PHP 7.4.28, Perl 5.34.0, Python 3.9.9. El kernel de Linux se ha actualizado a la versión 5.16.14.

Finalmente tambien se destaca que se ha trabajado para mejorar la representación de las fuentes, se han realizado algunas correcciones y mas.

De los demás paquetes actualizados en esta nueva versión de 4MLinux puedes consultarlos en el siguiente enlace. Si quieres conocer más al respecto de la distribución así como de esta nuevo lanzamiento, puedes visitar su sitio web oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los actores de phishing están abusando activamente de Calendly para iniciar una secuencia inteligente para engañar a los objetivos para que ingresen las credenciales de su cuenta de correo electrónico en la página de phishing.

Calendly es una aplicación de calendario gratuita muy popular con integración de Zoom, que se usa para programar reuniones y citas, y las organizaciones la usan comúnmente para enviar invitaciones para próximos eventos.

Como tal, usarlo para enviar enlaces maliciosos combina muy bien con el trabajo diario de la mayoría de las víctimas, por lo que es poco probable que estos intentos generen sospechas.

Además, los correos electrónicos generados y enviados por plataformas legítimas suelen ser considerados confiables por las herramientas de seguridad de correo electrónico, por lo que tienden a llegar a las bandejas de entrada específicas en lugar de a la carpeta de correo no deseado.

Finalmente, Calendly permite que los nuevos usuarios se registren en la plataforma sin ingresar la información de la tarjeta de crédito ni ninguna otra prueba de identificación, lo que la convierte en una plataforma fácil de abusar.

Los primeros signos de abuso de Calendly comenzaron a fines de febrero, según informaron los analistas de INKY, quienes compartieron su informe con Bleeping Computer antes de la publicación.

Abusar de Calendly para ataques de phishing

El ataque de phishing comienza con correos electrónicos de phishing generados en la plataforma Calendly que informan al destinatario que recibió nuevos documentos de fax.

Para crear estos correos electrónicos, los actores de amenazas abusaron de una función de Calendly que permite a los usuarios crear correos electrónicos de invitación personalizados y una función "Agregar enlace personalizado" para insertar un enlace malicioso en la página del evento.

Ese enlace está incrustado en un botón "Ver documentos" y se inyecta en la pantalla del calendario, por lo que si se hace clic, lleva al destinatario a la página de inicio de phishing real utilizada para robar las credenciales de inicio de sesión.


INKY descubrió que, independientemente de los atractivos de esta campaña de phishing, la página de destino siempre se hacía pasar por un formulario de inicio de sesión de Microsoft con el documento supuestamente borroso en el fondo.

Cualquier credencial ingresada en el cuadro de diálogo irá directamente a los actores de la amenaza, mientras que a la víctima se le pedirá que la ingrese nuevamente debido a que supuestamente ingresó una contraseña incorrecta.


Este es un truco generalizado en las campañas de phishing en la actualidad, ya que obligar al usuario a ingresar sus credenciales dos veces minimiza las posibilidades de robar contraseñas con errores tipográficos y, a veces, incluso ayuda a robar las credenciales de dos cuentas.

Después del segundo intento, la víctima es redirigida automáticamente al dominio de la cuenta de correo electrónico que ingresó para minimizar las posibilidades de que la víctima se dé cuenta del compromiso.


Qué tener en cuenta

Aunque esta es la primera vez que los actores de phishing abusan de la plataforma Calendly, todos los demás trucos empleados en esta campaña son bastante estándar.

Estos incluyen generar mensajes maliciosos enviados desde un servicio en línea legítimo , pedirle al usuario que inicie sesión para ver un documento borroso en segundo plano, obligar a las víctimas a ingresar sus credenciales dos veces y redirigir a un sitio web confiable al final.

Dos signos evidentes de fraude en esta campaña son el requisito de usar las credenciales de Microsoft SharePoint para ver el contenido alojado en Calendly y la URL en la página de phishing, que no está ni en los dominios de Microsoft ni en los de Calendly.

Finalmente, el uso de un administrador de contraseñas es una forma fácil de sortear todos estos trucos, particularmente beneficioso para los usuarios descuidados, ya que si la URL en la página de inicio de sesión no coincide con la almacenada en la bóveda, las credenciales no se completarán.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Spring lanzó actualizaciones de emergencia para corregir la vulnerabilidad de ejecución remota de código de día cero 'Spring4Shell', que se filtró prematuramente en línea antes de que se lanzara un parche.

Ayer, un exploit para una  vulnerabilidad de ejecución remota de código de día cero en Spring Framework  denominado 'Spring4Shell' se publicó brevemente en GitHub y luego se eliminó.

Sin embargo, como nada permanece oculto en Internet, el código se compartió rápidamente en otros repositorios y fue probado por investigadores de seguridad, quienes confirmaron que era un exploit legítimo para una nueva vulnerabilidad.


Hoy, Spring ha publicado un aviso de seguridad que explica que la vulnerabilidad ahora se rastrea como CVE-2022-22965 y afecta a las aplicaciones Spring MVC y Spring WebFlux en JDK 9.

La explotación de la vulnerabilidad también requiere Apache Tomcat, una aplicación empaquetada como WAR, y las dependencias spring-webmvco .spring-webflux

"La vulnerabilidad afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit específico requiere que la aplicación se ejecute en Tomcat como una implementación de WAR", se lee en el aviso de Spring .

"Si la aplicación se implementa como un archivo ejecutable de Spring Boot, es decir, el valor predeterminado, no es vulnerable al exploit. Sin embargo, la naturaleza de la vulnerabilidad es más general y puede haber otras formas de explotarla".

Spring dice que odeplutos, meizjm3i de AntGroup FG, les reveló responsablemente la vulnerabilidad el martes, y que habían estado desarrollando y probando una solución que se esperaba que se lanzara hoy.

Sin embargo, después de que un investigador de seguridad publicara los detalles completos en línea el miércoles, impulsaron el lanzamiento del parche antes del lanzamiento planificado.

Las versiones de Spring que corrigen la nueva vulnerabilidad se enumeran a continuación, con todas excepto Spring Boot disponibles en Maven Central:

- Spring Framework 5.3.18 y Spring Framework 5.2.20
- Arranque de primavera 2.5.12
- Spring Boot 2.6.6 (aún no disponible)
Spring Boot 2.6.6 debería lanzarse en las próximas horas.

Si bien la vulnerabilidad tiene requisitos específicos para ser explotada,  Will Dormann , analista de vulnerabilidades de CERT/CC, descubrió que incluso el código de muestra de You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login era vulnerable.

Dado que los desarrolladores suelen utilizar código de muestra como plantilla para sus propias aplicaciones, podría haber muchas aplicaciones vulnerables accesibles en línea.

Los administradores de Spring deben priorizar la implementación de estas actualizaciones de seguridad lo antes posible, ya que los escáneres Spring4Shell ya se han creado y hay informes de que la vulnerabilidad ya se está explotando activamente en la naturaleza.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado a un incipiente ladrón de información llamado Mars en campañas que aprovechan versiones descifradas del malware para robar información almacenada en navegadores web y billeteras de criptomonedas.

"Mars Stealer se distribuye a través de técnicas de ingeniería social, campañas de malspam, cracks de software malicioso y keygen", dijo el investigador de malware de Morphisec, Arnold Osipov , en un informe publicado el martes.

Basado en Oski Stealer y descubierto por primera vez en junio de 2021, se dice que Mars Stealer está constantemente en desarrollo y disponible para la venta en más de 47 foros clandestinos, sitios de darknet y canales de Telegram, con un costo de solo $ 160 por una suscripción de por vida.

Los ladrones de información permiten a los adversarios extraer información personal de los sistemas comprometidos, incluidas las credenciales almacenadas y las cookies del navegador, que luego se venden en mercados delictivos o se utilizan como trampolín para lanzar más ataques.

El lanzamiento de Mars Stealer el año pasado también estuvo acompañado por un aumento constante en las campañas de ataque, algunas de las cuales involucraron el uso de una versión descifrada del malware que se configuró de tal manera que expuso activos críticos en Internet. , filtrando inadvertidamente detalles sobre la infraestructura del actor de amenazas.


También es notable una campaña observada el mes pasado que desvió las contraseñas de estudiantes, miembros de la facultad y creadores de contenido que descargaron versiones troyanizadas de aplicaciones legítimas.

Además de eso, la compañía de seguridad cibernética señaló que "identificó credenciales que llevaron al compromiso total de un proveedor líder de infraestructura de atención médica en Canadá y varias compañías de servicios canadienses de alto perfil".

Si bien Mars Stealer se distribuye más comúnmente a través de mensajes de correo electrónico no deseado que contienen un ejecutable comprimido, un enlace de descarga o una carga de documentos, también se propaga a través de sitios web fraudulentos clonados que anuncian software conocido como OpenOffice que luego se enviaron a través de Google Ads.

El objetivo es aprovechar los anuncios orientados geográficamente para engañar a las víctimas potenciales que buscan el software original para que visiten un sitio malicioso, lo que en última instancia conduce a la implementación del malware.

Mars Stealer, por su parte, está diseñado para recopilar y extraer datos de autocompletado del navegador, información de tarjetas de crédito, detalles de la extensión del navegador, incluido el de las billeteras de criptomonedas como Metamask, Coinbase Wallet y Binance Wallet, y metadatos del sistema.

Pero debido a que el actor de amenazas comprometió su propia máquina con Mars Stealer durante la depuración, el error de OPSEC permitió a los investigadores atribuir la campaña a un hablante de ruso y descubrir detalles sobre el uso de GitLab por parte del adversario y las credenciales robadas para colocar anuncios de Google.

"Los ladrones de información ofrecen un punto de entrada accesible a la actividad delictiva", dijo Osipov, y agregó que tales herramientas "empoderan a los ciberdelincuentes novatos para construir una reputación que pueden aprovechar para adquirir malware más poderoso de actores más sofisticados".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La consultora de TI y software Globant ha confirmado que fueron violados por el grupo de extorsión de datos Lapsus$, donde los actores de amenazas filtraron datos que consisten en credenciales de administrador y código fuente.

Como parte de la filtración, el grupo de hackers publicó un archivo de 70 GB de datos robados de Globant, describiéndolo como "el código fuente de algunos clientes".

Código fuente y claves privadas

Globant es una empresa de desarrollo de software y TI con más de 16 000 empleados en todo el mundo y $1200 millones en ingresos para 2021.

Fundada en Buenos Aires, Argentina, Globant tiene actualmente su sede en Luxemburgo y cuenta con una conocida lista de clientes, que incluye a la Policía Metropolitana, SmileDirectClub, Autodesk, Electronic Arts, Santander, Interbank, Royal Caribbean y muchos más.

Tras la filtración de Lapsus$, Globant emitió un comunicado de prensa en el que confirma que parte del código fuente de la empresa ha sido expuesto a una parte no autorizada.

"Recientemente hemos detectado que una sección limitada del repositorio de códigos de nuestra empresa ha sido objeto de acceso no autorizado" - Globant

Entre los datos publicados por Lapsus$, hay una captura de pantalla que el grupo afirma ser de un directorio archivado de Globant, que contiene nombres de carpetas que parecen ser clientes de la empresa.

Algunas de las carpetas de código fuente enumeradas en la captura de pantalla incluyen Abbott, apple-health-app, C-span, Fortune, Facebook, DHL y Arcserve.


Los metadatos de las entradas muestran que las carpetas se modificaron el 29 de marzo, lo que podría indicar cuándo se robaron los datos.

En una publicación de seguimiento, Lapsus$ publicó un conjunto de credenciales que, según dicen, dan acceso de administrador a varias plataformas utilizadas por Globant para desarrollar, revisar y colaborar en el código del cliente (Jira, Confluence, GitHub, Crucible).

Una tercera publicación de la pandilla compartió hoy un archivo torrent con aproximadamente 70 GB de datos robados de Globant. La compañía dice que el intruso en sus sistemas accedió a "cierto código fuente y documentación relacionada con el proyecto para un número muy limitado de clientes".


El daño parece ser significativo.

Según la empresa de inteligencia de amenazas  SOS Intelligence , los datos filtrados contienen información del cliente, así como repositorios de códigos con una gran cantidad de claves privadas (cadena completa, certificados SSL de servidor web, servidor Globant, claves API).

Uno de los repositorios es para la aplicación de consultoría en el sector financiero Bluecap, que Globant adquirió a fines de 2020.


El caché que filtró Lapsus$ también incluye un poco más de 150 archivos de bases de datos SQL para varias aplicaciones de clientes, dice SOS Intelligence.

"En términos de legitimidad, solo por volumen es difícil fabricar esa cantidad de datos; sin embargo, se han cruzado muestras de los datos con sistemas en vivo y otros métodos que muestran que la filtración es legítima y muy significativa en lo que respecta a Globant y Globant. los clientes afectados están preocupados" - SOS Intelligence

Globant dijo hoy que su investigación sobre el incidente no reveló ninguna evidencia de que los piratas informáticos comprometieran otras partes de su sistema de infraestructura.

Lapsus$ en el radar LE

El grupo de extorsión de datos Lapsus$ ha estado constantemente en las noticias debido a sus ataques a grandes empresas tecnológicas, como  Microsoft ,  Nvidia ,  Samsung ,  Okta ,  Ubisoft , muchas de las cuales resultaron en grandes filtraciones de datos.

A pesar de los grandes nombres en su lista de víctimas, se cree que Lapsus$ está formado principalmente por adolescentes que ejercen sus habilidades de piratería impulsados ​​principalmente por hacerse un nombre en la escena de la piratería, no por una motivación financiera.

El grupo ha estado en el radar de las fuerzas del orden durante un tiempo y algunos individuos, todos  adolescentes que se cree que están conectados con Lapsus$ , han sido arrestados en el Reino Unido.

El FBI también está investigando las actividades del grupo y ha pedido al público cualquier información que conduzca a identificar a los miembros de Lapsus$ involucrados en el compromiso de las redes informáticas de empresas con sede en los EE. UU.


Sin embargo, no está claro cuántos miembros activos hay en el grupo y qué roles desempeñan.

Se cree que Lapsus$ tiene afiliados en todo el mundo, ya que sus  chats de Telegram parecen sugerir  que algunos de ellos hablan inglés, ruso, turco, alemán y portugués.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los analistas de amenazas han descubierto una nueva técnica de ofuscación utilizada por la pandilla de ransomware Hive, que involucra direcciones IPv4 y una serie de conversiones que eventualmente conducen a la descarga de una baliza Cobalt Strike.

La ofuscación del código es lo que ayuda a los actores de amenazas a ocultar la naturaleza maliciosa de su código de los revisores humanos o del software de seguridad para que puedan evadir la detección.

Existen numerosas formas de lograr la ofuscación, cada una con su propio conjunto de pros y contras, pero una novedosa descubierta en una respuesta a un incidente que involucra el ransomware Hive muestra que los adversarios están encontrando formas nuevas y más sigilosas de lograr su objetivo.

Los analistas de Sentinel Labs informan sobre la nueva técnica de ofuscación, a la que llaman "IPfuscation", y que es otro ejemplo de cuán efectivos pueden ser los métodos simples pero inteligentes en la implementación de malware en el mundo real.

De IP a shellcode

Los analistas descubrieron la nueva técnica mientras analizaban los ejecutables de Windows de 64 bits, cada uno con una carga útil que ofrece Cobalt Strike.

La carga útil en sí está ofuscada al tomar la forma de una matriz de direcciones IPv4 ASCII, por lo que parece una lista inocua de direcciones IP.

En el contexto del análisis de malware, la lista puede incluso confundirse con información de comunicación C2 codificada.


Cuando el archivo se pasa a una función de conversión ( ip2string.h ) que traduce la cadena a binario, aparece una gota de shellcode.

Una vez que se ha completado este paso, el malware ejecuta el shellcode ya sea a través de SYSCALL directos o mediante la ejecución de un proxy a través de una devolución de llamada en el enumerador de idioma de la interfaz de usuario ( winnls.h ), lo que da como resultado un escenario de Cobalt Strike estándar.

Este es un ejemplo del informe de Sentinel Labs:

La primera cadena codificada con formato IP es la cadena ASCII "252.72.131.228", que tiene una representación binaria de 0xE48348FC (big endian), y la siguiente "IP" que se traducirá es "240.232.200.0", que tiene una representación binaria. de 0xC8E8F0.

El desensamblaje de estas "representaciones binarias" muestra el inicio del código de shell generado por marcos de prueba de penetración comunes.


Los analistas han descubierto variantes adicionales de IPfuscation que, en lugar de direcciones IPv4, usan direcciones IPv6, UUID y MAC, todas funcionando de manera casi idéntica a la que describimos anteriormente.


La conclusión de esto es que confiar únicamente en firmas estáticas para la detección de cargas maliciosas no es suficiente en estos días.

La detección de comportamiento, el análisis asistido por IA y la seguridad holística de punto final que agrega elementos sospechosos de múltiples puntos tendrían una mejor oportunidad de levantar la tapa de IPfuscation, dicen los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Alguien robó 600 millones de dólares en Ethereum más otros 25 millones de dólares en USDC, una stablecoin asociada al dólar estadounidense. El robo se hizo del juego ascendente en popularidad 'Axie Infinity' cuyo funcionamiento se basa en NFTs y criptomonedas; ahora, el estudio que creó el juego, Sky Mavis, ha asegurado que reembolsará los fondos a todos los usuarios que fueron afectados.

Fue Aleksander Leonard Larsen, jefe de operaciones en Sky Mavis, quien dio la declaración a Bloomberg. "Estamos totalmente comprometidos con reembolsar a nuestros jugadores tan pronto como sea posible", dijo.

Ronin, la cadena de bloques detrás del juego, escribió a través del blog en el que explicó cómo es que fue hecho el robo, que ahora mismo se trabaja con criptógrafos forenses e inversores para asegurar que los fondos perdidos sean o recuperados o reembolsados.

La postura de Sky Mavis coincide con la de Ronin y confirma que los usuarios no se verán afectados por el que ahora es reconocido como el robo más grande en la historia de las criptomonedas.

El ataque ocurrió el 23 de marzo pero la compañía lo hizo público hasta ayer, 29 de marzo. 'Axie Infinity' es el juego más popular en la plataforma de ganar dinero jugando. Para iniciar en el juego hay que invertir comprando avatares que son NFTs y los jugadores son recompensados con dinero por invertir horas en el juego mejorando las capacidades de sus personajes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

SunCrypt, una operación de ransomware como servicio (RaaS) que alcanzó prominencia a mediados de 2020, aún está activa, aunque sea apenas, ya que sus operadores continúan trabajando para brindar nuevas capacidades a su cepa.

SunCrypt fue uno de los primeros pioneros de la triple extorsión, incluido el cifrado de archivos, la amenaza de publicar datos robados y los ataques DDoS (denegación de servicio distribuido) contra víctimas que no pagan.

A pesar de esto y de la falta de restricciones de orientación ética dentro del programa de afiliados, SunCrypt no ha logrado crecer más que un pequeño RaaS privado de un círculo cerrado de afiliados.

Según un informe de Minerva Labs , este estancamiento no ha impedido que los autores del malware trabajen en una nueva y mejor versión de su cepa, que los analistas analizaron para determinar qué cambió.

Nuevas características de SunCrypt
Las nuevas capacidades de la variante SunCrypt 2022 incluyen la terminación de procesos, la detención de servicios y la limpieza de la máquina para la ejecución de ransomware.

Estas características han existido durante mucho tiempo en otras cepas de ransomware, pero para SunCrypt, son adiciones muy recientes. Como comenta Minerva, esto hace que parezca que todavía está en una fase temprana de desarrollo.

La finalización del proceso incluye procesos con muchos recursos que pueden bloquear el cifrado de archivos de datos abiertos, como WordPad (documentos), SQLWriter (bases de datos) y Outlook (correos electrónicos).

La función de limpieza se activa al final de la rutina de cifrado, mediante dos llamadas a la API para borrar todos los registros. Aunque uno sería suficiente, el autor probablemente usó dos por redundancia. Una vez que se borran todos los registros, el ransomware se elimina del disco usando cmd.exe.


Una de las  características antiguas importantes  retenidas en la versión más reciente es el uso de puertos de finalización de E/S para un cifrado más rápido a través de subprocesos de proceso.

Además, SunCrypt continúa encriptando tanto los volúmenes locales como los recursos compartidos de red, y aún mantiene una lista de permitidos para el directorio de Windows, boot.ini, archivos dll, la papelera de reciclaje y otros elementos que hacen que una computadora no funcione si están encriptados.


Actividad y perspectiva

De acuerdo con las estadísticas de los envíos a ID Ransomware, que brindan una buena idea de la actividad de la variedad de ransomware, SunCrypt aún cifra a las víctimas, pero parece tener una actividad limitada.


El grupo puede estar apuntando a entidades de alto valor y manteniendo en privado las negociaciones del pago del rescate, sin llamar la atención de las fuerzas del orden ni la cobertura de los medios.

Minerva menciona a Migros como una de las víctimas recientes de SunCrypt, la cadena de supermercados más grande de Suiza que emplea a más de 100.000 personas.

En resumen, SunCrypt es sin duda una amenaza real que aún no ha sido descifrada, pero aún está por verse si RaaS se convertirá en algo más significativo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vulnerabilidad de la cámara de Internet Wyze Cam permite el acceso remoto no autenticado a videos e imágenes almacenados en tarjetas de memoria locales y ha permanecido sin reparar durante casi tres años.

El error, al que no se le ha asignado una ID de CVE, permitió a los usuarios remotos acceder al contenido de la tarjeta SD en la cámara a través de un servidor web que escucha en el puerto 80 sin necesidad de autenticación.

Al insertar una tarjeta SD en Wyze Cam IoT, se crea automáticamente un enlace simbólico en el directorio www, que es servido por el servidor web pero sin restricciones de acceso.

La tarjeta SD generalmente contiene grabaciones de video, imágenes y audio, pero puede incluir otra información que el usuario puede haber guardado en la tarjeta SD.

La tarjeta SD también almacena todos los archivos de registro del dispositivo, que contienen el UID (número de identificación único) y la ENR (clave de cifrado AES). Su divulgación puede resultar en conexiones remotas sin obstrucciones al dispositivo.

La falla fue descubierta e informada al proveedor por investigadores de Bitdefender en marzo de 2019, junto con otras dos vulnerabilidades, una omisión de autenticación y una falla de ejecución de control remoto.

El equipo de Wyze abordó la falla de omisión de autenticación rastreada como CVE-2019-9564 a través de una actualización de seguridad el 24 de septiembre de 2019.

La vulnerabilidad de ejecución remota, asignada CVE-2019-12266, se solucionó mediante una actualización de la aplicación el 9 de noviembre de 2020, 21 meses después de su descubrimiento inicial.

El peor tratamiento del grupo se reservó para el problema de la tarjeta SD, que se solucionó solo el 29 de enero de 2022, cuando Wyze impulsó una actualización de firmware de reparación.

Impacto y soluciones

Teniendo en cuenta que los dispositivos conectados a Internet generalmente se usan de acuerdo con la mentalidad de "configurar y olvidar", es posible que la mayoría de los propietarios de Wyze Cam aún estén ejecutando una versión de firmware vulnerable.

Para localizar actualizaciones de firmware confiables para su modelo de cámara, consulte las versiones disponibles en el portal de descarga oficial de Wyze .

Cabe señalar que las actualizaciones de seguridad están disponibles solo para Wyze Cam v2 y v3, lanzadas en febrero de 2018 y octubre de 2020, respectivamente, y no para Wyze Cam v1, lanzadas en agosto de 2017.

El modelo anterior llegó al final de su vida útil en 2020 y, dado que Wyze no solucionó el problema hasta entonces, esos dispositivos seguirán siendo vulnerables a la explotación para siempre.

Como advierte Bitdefender en su informe de divulgación :

Después de trabajar durante más de dos años en este problema, las limitaciones logísticas y de hardware por parte del proveedor provocaron la interrupción de la versión 1 del producto, lo que deja a los propietarios existentes en una ventana permanente de vulnerabilidad. Recomendamos a los usuarios que dejen de usar esta versión de hardware lo antes posible.

Si está utilizando un producto Wyze con soporte activo, asegúrese de aplicar las actualizaciones de firmware disponibles, desactive sus IoT cuando no se usen y configure una red separada y aislada exclusivamente para ellos.

El equipo de ciberseguridad de Wyze le dijo a BleepingComputer que las cámaras v2 y v3 son perfectamente seguras de usar con la última actualización de firmware, mientras que un portavoz compartió el siguiente comentario:

En Wyze, valoramos enormemente la confianza de nuestros usuarios en nosotros y nos tomamos muy en serio todas las preocupaciones de seguridad.

Evaluamos constantemente la seguridad de nuestros sistemas y tomamos las medidas adecuadas para proteger la privacidad de nuestros clientes. Agradecemos la divulgación responsable proporcionada por Bitdefender sobre estas vulnerabilidades. Trabajamos con Bitdefender y reparamos los problemas de seguridad en nuestros productos compatibles. Estas actualizaciones ya están implementadas en nuestra última aplicación y actualizaciones de firmware.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Elon Musk está sopesando construir una nueva red social, luego de cuestionar si Twitter se adhiere "rigurosamente" al principio de libertad de expresión, al que calificó como esencial para que una democracia funcione.

El CEO de Tesla y de SpaceX respondió en su perfil de Twitter a un cuestionamiento de parte del usuario @PPathole, quien le preguntó si aprovecharía para elaborar una nueva plataforma que integrara algoritmos de código abierto, con la libertad de expresión como máxima prioridad y propaganda mínima.

Esta no es la primera vez que Musk ha tanteado con la posibilidad de tener su propia red social. Ya la semana pasada generó una encuesta en Twitter para ver la opinión de la gente (donde votaron más de dos millones de usuarios) en la que preguntaba si consideraban que la red social respetaba la libertad de expresión y agregando que el resultado tendría "consecuencias importantes".

Recordemos que Twitter, cuenta con su propio código para defender y respetar los derechos de las personas que utilizan el servicio, donde mencionan que ellos se comprometen a la libertad de expresión y la privacidad dentro de su plataforma

El reto de construir una nueva plataforma

De acuerdo con Matt Navarra, consultor de redes sociales, para construir una red social "vibrante", Musk necesitaría de un gran capital financiero, así como un equipo de ingenieros y gerentes de producto experimentados, además de lo más importante: personas dispuestas a interactuar entre si dentro de esa plataforma.

Navarra también señala que las redes sociales que se proclaman como "hogar de la libertad de expresión", normalmente tienen usuarios con opiniones más extremas o politizadas, lo que significa en muchas ocasiones hay dificultades para atraer anunciantes e inversores para mantener el servicio a flote.

Por lo pronto Musk no ha dado más información sobre cuándo podrían presentar este nuevo producto, ni se compartieron detalles adicionales sobre cómo se vería la hipotética plataforma o la forma en que funcionaría, pero es posible, que al igual que con productos como la Cybertruck o el Tesla Bot, pronto veamos algún concepto de esta red social.

Imagen: NVIDIA Corporation
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hace pocos dias Jann Horn del equipo de Google Project Zero, que previamente identificó las vulnerabilidades de Spectre y Meltdown, dio a conocer una técnica para explotar una vulnerabilidad que encontró en el recolector de elementos no utilizados del kernel de Linux (CVE-2021-4083).

La vulnerabilidad es causada por una condición de carrera cuando se limpian los descriptores de archivo de socket de Unix y potencialmente permite que un usuario local sin privilegios ejecute su código en el nivel del kernel.

El problema es interesante porque la ventana de tiempo durante la cual ocurre la condición de carrera se evaluó como demasiado pequeña para crear vulnerabilidades reales, pero el autor del estudio demostró que incluso las vulnerabilidades inicialmente escépticas pueden convertirse en una fuente de ataques reales si el creador de la vulnerabilidad tiene las habilidades y el tiempo necesarios.

Yann Horn mostró cómo, con la ayuda de manipulaciones de filigrana, es posible reducir la condición de carrera que ocurre cuando se llama a las funciones close() y fget() al mismo tiempo a una vulnerabilidad de clase use-after-free totalmente explotada y lograr acceso a una estructura de datos ya liberada dentro del kernel.

Se produce una condición de carrera durante el proceso de cerrar un descriptor de archivo mientras se llama a las funciones close() y fget() al mismo tiempo. La llamada a close() puede ejecutarse antes de que se ejecute fget(), lo que confundirá al recolector de elementos no utilizados porque, según refcount, la estructura del archivo no tendrá referencias externas, pero permanecerá adjunta al descriptor del archivo, es decir el recolector de elementos no utilizados supondrá que tiene acceso exclusivo a la estructura, pero de hecho, durante un breve período de tiempo, la entrada restante en la tabla de descriptores de archivos seguirá indicando que la estructura se está liberando.

Para aumentar la probabilidad de entrar en una condición de carrera, se utilizaron varios trucos que permitieron aumentar la probabilidad de éxito de la explotación al 30 % al realizar optimizaciones específicas del sistema. Por ejemplo, para aumentar el tiempo de acceso a una estructura con descriptores de archivo en varios cientos de nanosegundos, los datos se expulsaron del caché del procesador al contaminar el caché con actividad en otro núcleo de CPU, lo que hizo posible devolver la estructura de la memoria y no de la memoria caché rápida de la CPU.

La segunda característica importante fue el uso de interrupciones generadas por un temporizador de hardware para aumentar el tiempo de carrera. El momento se eligió para que el controlador de interrupciones se disparara durante la ocurrencia de la condición de carrera e interrumpiera la ejecución del código por un tiempo. Para retrasar aún más el regreso del control, epoll generó alrededor de 50 mil entradas en la cola de espera, lo que requería una iteración en el controlador de interrupciones.

La técnica de explotación de la vulnerabilidad se reveló después de un período de no divulgación de 90 días. El problema

y se solucionó a principios de diciembre. La solución se incluyó en el kernel 5.16 y también se trasladó a las ramas LTS del kernel y los paquetes con el kernel suministrado en las distribuciones. Cabe señalar que la vulnerabilidad se identificó durante el análisis de un problema similar CVE-2021-0920, que se manifiesta en el recolector de basura al procesar el indicador MSG_PEEK.

Otra vulnerabilidad que fue encontrada hace poco en el kernel de Linux, fue la CVE-2022-0742 que puede agotar la memoria disponible y provocar de forma remota una denegación de servicio mediante el envío de paquetes icmp6 especialmente diseñados. El problema está relacionado con una fuga de memoria que ocurre al procesar mensajes ICMPv6 con tipos 130 o 131.

El problema ha estado presente desde el kernel 5.13 y se solucionó en las versiones 5.16.13 y 5.15.27. El problema no afectó a Debian, SUSE, Ubuntu LTS (18.04, 20.04) y las ramas estables de RHEL, se solucionó en Arch Linux.

Finalmente si estás interesado en poder conocer más al respecto de la nota, puedes consultar los detalles en el You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El sistema operativo de Google para los Chromebooks, ChromeOS, se ha transformado en una gran alternativa, especialmente para estudiantes. Con él tienes una plataforma robusta, segura y estable, además de ser compatible con las apps de Android. Ahora, este sistema Linux también podrá gozar del cliente Steam de Valve, por lo que se abrirán muchas posibilidades en cuanto al mundo gaming.

Ha sido la propia Valve la que ha hecho el anuncio con un comunicado que decía: «A partir del lunes de esta semana, se puso a disposición de los desarrolladores una primera versión de Steam para Chrome OS. Google y Valve han estado colaborando en este proyecto, que se enviará a los usuarios finales en el futuro. Debido a que Chrome OS es un sistema operativo basado en Linux, puede aprovechar gran parte del trabajo que Valve ha realizado recientemente para Steam Deck para permitir que los juegos funcionen bien incluso cuando no tienen una compilación nativa de Linux. Los ingenieros de Google han trabajado para expandir en gran medida la capacidad de Chrome OS para que esto sea posible.»

Al igual que ocurre con la videoconsola Steam Deck de Valve, los desarrolladores que creen los videojuegos no tendrán que probar sus títulos para ver si funcionan, sino que esto recae sobre la propia Google y Valve. La propia Valve lo ha aclarado: «depende de Google y Valve asegurarse de que la compatibilidad con Chrome OS sea lo más sólida posible«. No obstante, los desarrolladores son libres de probar sus compilaciones en Proton y en un escritorio Linux o en la Steam Deck.

Sin duda esto es una noticia bastante buena para el mundo de los videojuegos en plataformas Linux, ya que el sector de ChromeOS es bastante jugoso para los desarrolladores, y esto tendrá un impacto positivo también en otros títulos para distros GNU/Linux. Sin duda, parece que Proton ha sido todo un acierto, y que Steam Deck está ayudando bastante a todo esto. Son más y más razones para mantener Steam de Linux en desarrollo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Aún habrá que esperar para poder usarlo en la mayoría de distribuciones, pero ya lo tenemos aquí. El proyecto que hay detrás del escritorio más usado en Linux ha lanzado hoy GNOME 42. Este lanzamiento se ha producido después de seis meses de desarrollo, de su Alfa, su Beta y su Release Candidate, la que nos entregaron hoy hace justo una semana. Sobre si es un lanzamiento con cambios interesantes, lógicamente dependerá de donde vengamos, pero sí que hay cositas dignas de mención.

A diferencia de proyectos como KDE, que tiene un nombre para su entorno gráfico (Plasma) y otro para su set de apps (KDE Gear), cuando hablamos de GNOME bien podemos estar hablando del entorno gráfico, de las aplicaciones o del escritorio al completo. Por eso hay que destacar, al menos, dos aplicaciones que estarán disponibles a partir de hoy: una de ellas es la herramienta de capturas de pantalla, esa que nos permitirá hacer, además de las instantáneas fijas, grabaciones de todo lo que queramos; la otra es un editor de textos que sustituirá a Gedit como editor por defecto del proyecto. Será decisión de las distribuciones seguir con Gedit o cambiar el nuevo editor.

Novedades más destacadas de GNOME 42


- Nuevo editor de textos que sustituiría a Gedit.
- Mejoras en el tema oscuro.
- Mejoras en la herramienta de capturas de pantalla, que ahora también puede grabar el escritorio.
- Nuevo diálogo de preferencias en GNOME Boxes.
- GNOME Software ha recibido muchas mejoras.
- Nuevo widget de termómetro para la aplicación del tiempo.
- Muchas mejoras en Wayland y Mutter.
- Muchas mejoras relacionadas a GTK4 y libadwaita.
- Mejoras de rendimiento.
- Soporte para RPD.
- Se ha actualizado el estilo de la interfaz de usuario del sistema de GNOME. Muchos de estos cambios son sutiles, y dan como resultado una apariencia más pulida y elegante. Como parte de este cambio, el estilo de los iconos simbólicos de GNOME también se ha renovado.
- La aplicación Archivos tiene una nueva barra de ruta desplazable, una interfaz de renombrado actualizada e iconos actualizados.
- Boxes, la aplicación de máquina virtual de GNOME, tiene una vista de preferencias rediseñada y tiene mejor soporte para los sistemas operativos UEFI modernos.
- En Vídeos, la reproducción de medios puede ahora controlarse a través de los controles de medios integrados en la lista de notificaciones.

Como mencionábamos, GNOME 42 no es sólo un escritorio, sino que también forman parte de las nuevas versiones de las aplicaciones. Algunas de ellas aparecerán pronto en Flathub, y todo está ya disponible en forma de código. Sobre cuál será la primera distribución en adoptarlo, yo apostaría por Arch Linux, seguida de otras cuyo modelo de desarrollo también es Rolling Release. En las próximas semanas llegará a Ubuntu 22.04 y Fedora 36.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La última versión era la 4.11, más concretamente la 4.11.3, y ayer tarde lanzaron Parrot 5.0. Es una nueva actualización mayor, y, como tal, se esperan novedades destacadas, pero a mí me ha llamado más la atención una ausencia.

Tal y como leemos en este enlace, Parrot 5.0 está ahora disponible sólo en una edición, la que usa el entorno gráfico MATE. Ayer mismo se podía descargar la v4.11.3 en su edición KDE, puede que un poco más pesada pero, sin duda, más fácil de gestionar porque todas las opciones están más a la vista. Mencionada la ausencia, la lista de novedades más destacadas que han llegado junto a Parrot 5.0 es la siguiente.

Novedades más destacadas de Parrot 5.0

- Basado en Debian 11.
- Linux 5.16.
- Nueva versión «Arquitect», con la que se puede crear una instalación a la carta. Para usuarios.
- Versión experimental para Raspberry Pi.
- Nuevas herramientas de hacking ético.
- Rescrito el código base de AnonSurf. Este proyecto tiene ahora una mejor estructura de código con menos código malo. Deja de generar subprocesos para comprobar el estado de los servicios en ejecución/dirección dns que hacen que la GUI de AnonSurf sea menos molesta.
- Arreglados problemas en los lanzadores de parrot-menu.
- Añadido gns3-server y gns3-gui al repositorio así como sus dependencias ubridge.
- Rescrito update-reminder en parrot-update, que tiene mejor formato de código, proporciona un resultado más preciso.
- Creado exploitdb-tiny que contiene sólo searchsploit y el archivo de base de datos, que permite al usuario buscar exploits en iso en vivo sin comer el tamaño de iso.
- Añadidas nuevas herramientas: pocsuite3, ivy-optiv, jwtXploiter, pcodedmp, mimipenguin, ffuf, oletools, findmyhash 2.0, dirsearch, procmon-for-linux, pyinstxtractor.
- Añadido el paquete recon-ng-modules, que instala todos los plugins de recon-ng.
- Enorme mejora para linux-exploit-suggester.
- Faraday ya no está en la lista de herramientas pentest por defecto. El cliente GTK ya no está soportado, y el servidor trae muchos errores cuando se actualiza.

Para nuevas instalaciones, la ISO de Parrot 5.0 está disponible en su pagina oficial. Para actualizar desde instalaciones existentes, hay que abrir un terminal y escribir lo siguiente:


Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login