Más de dos meses y medio después de la v0.14.0, ya tenemos disponible una nueva entrega de la versión para móviles de GNOME. Se trata de Phosh 0.15.0, y aunque el primer número siga en el cero, estamos ante una actualización mayor. Entre las novedades, que no son pocas, quizá destaca el soporte completo para la autenticación por VPN. Con este cambio, ahora veremos un texto en la parte superior con el que sabremos que estamos conectados a una Red Privada Virtual.

Lo que también han introducido es un ajuste rápido para poder conectarnos al VPN desde el menú que aparece al deslizar desde la parte superior, siempre y cuando tengamos un VPN configurado en los ajustes. No menos importante es el dato de que soporta el protocolo WireGuard.

Novedades más destacadas de Phosh 0.15.0

- Soporte completo para VPN.
- Gesto de deslizar para eliminar las notificaciones.
- Ahora se pueden usar contraseñas arbitrarias en la pantalla de bloqueo, para lo que tendremos que acceder desde un nuevo botón que aparece en el teclado.
- El teclado virtual OSK tiene ahora una superficie que se anima cuando se muestra o se oculta.
- Los ajustes ahora ocultan el ajuste rápido de Docked (conectado a un teclado) cuando no lo usamos de este modo.
- Si nuestro dispositivo no tiene flash, el botón de la antorcha desaparece de los ajustes rápidos.
- Añadido el icono de un altavoz para el deslizador del volumen.
- Mejorado el modo de la vista general.
- Se ha aprovechado la ocasión para corregir muchos bugs y se han mejorado las traducciones.

Los usuarios interesados en usar Phosh 0.15.0 pueden descargarlo ya, aunque también se podría  esperar a que aparezcan los nuevos paquetes en el sistema de actualizaciones habitual, es decir, desde el mismo sistema operativo. Teniendo en cuenta que la mayoría de dispositivos están ahora con software beta, la nueva versión debería llegar en las próximas horas o días.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En RetroArch se admite el uso de emuladores de consolas como Atari 2600/7800/Jaguar/Lynx, Game Boy, Mega Drive, NES, Nintendo 64/DS, PCEngine, PSP, Sega 32X/CD, SuperNES, etc.

Se pueden usar gamepads de consolas de juegos existentes, incluidas Playstation 3/4, Dualshock 3, 8bitdo, XBox 1 y XBox360/One, así como gamepads de uso general como Logitech F710.

El emulador admite funciones avanzadas como juegos multijugador, estado de ahorro, mejora de la imagen de juegos antiguos mediante sombreadores, juegos de rebobinado, consolas de juegos de conexión en caliente y transmisión de video.

Principales novedades de RetroArch 1.10.0

En esta nueva versión que se presenta de RetroArch 1.10.0 se destaca que se ha implementado el soporte para alto rango dinámico (HDR, High Dynamic Range) para sombreadores Vulkan y Slang.

Otro de los cambios que se destaca de esta nueva versión es la compatibilidad mejorada con juegos en red (netplay), ya que el Código completamente rediseñado para admitir upnP.

Ademas de ello la implementación de los servidores de retransmisión se ha puesto en funcionamiento y se ha proporcionado la posibilidad de implementar sus propios retransmisores. Añadido chat de texto. En la interfaz de Lobby Viewer, las salas se dividen para jugar a través de Internet y una red local.

El menú XMB tiene un efecto para ocultar los elementos del menú cerca de la parte inferior y superior de la pantalla. En la configuración «Configuración -> Interfaz de usuario -> Apariencia» puede cambiar la intensidad del desvanecimiento vertical.

De los demás cambios que se destacan de esta nueva versión de

- Experiencia Retroarch significativamente mejorada en la plataforma UWP/Xbox.
- Se agregaron los complementos Jaxe, A5200 y WASM4 (para juegos en WebAssembly) al emulador de Nintendo 3DS.
- Soporte mejorado para Wayland: se agregó la capacidad de usar la rueda del mouse y se agregó la biblioteca libdecor para decorar ventanas en el lado del cliente.
- Se agregó soporte para Linux GameMode, que se puede activar o desactivar en los menús de configuración de administración de energía o Latencia.

Finalmente si quieres conocer más al respecto sobre esta nueva versión, puedes consultar los detalles en su página oficial.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft dice que su plataforma de protección Azure DDoS mitigó un ataque masivo de denegación de servicio distribuido (DDoS) de 3,47 terabits por segundo (Tbps) dirigido a un cliente de Azure de Asia en noviembre.

Dos ataques más de gran tamaño siguieron a este en diciembre, también dirigidos a clientes asiáticos de Azure, un ataque UDP de 3,25 Tbps en los puertos 80 y 443 y una inundación UDP de 2,55 Tbps en el puerto 443.

"En noviembre, Microsoft mitigó un ataque DDoS con un rendimiento de 3,47 Tbps y una tasa de paquetes de 340 millones de paquetes por segundo (pps), dirigido a un cliente de Azure en Asia. Creemos que este es el ataque más grande jamás informado en la historia". dijo Alethea Toh, gerente de productos de Azure Networking.

"Este fue un ataque distribuido que se originó en aproximadamente 10,000 fuentes y en varios países de todo el mundo, incluidos Estados Unidos, China, Corea del Sur, Rusia, Tailandia, India, Vietnam, Irán, Indonesia y Taiwán".

El ataque de 15 minutos utilizó varios vectores de ataque para la reflexión de UDP en el puerto 80, incluidos:

- Protocolo simple de detección de servicios (SSDP),
- Protocolo ligero de acceso a directorios sin conexión (CLDAP),
- Sistema de nombres de dominio (DNS),
- y protocolo de tiempo de red (NTP)

Los ataques DDoS anteriores récord informados públicamente fueron un  ataque a la capa de aplicación de 21,8 millones de solicitudes por segundo (rrps)  que golpeó al gigante ruso de Internet Yandex en agosto y un  ataque volumétrico de 2,3 Tbps detectado por Amazon Web Services Shield  durante el primer trimestre de 2020.

El ingeniero de confiabilidad de seguridad de Google, Damian Menscher, también reveló hace dos años que Google mitigó  un DDoS de 2,54 Tbps  en 2017.


Gaming, la industria más apuntada

El ataque de noviembre de 3,47 Tbps fue el más grande que la compañía tuvo que enfrentar hasta la fecha (y probablemente jamás registrado), luego de informar previamente que mitigó otro ataque récord de 2,4 Tbps . dirigido a un cliente europeo de Azure a fines de agosto.

Microsoft vio un aumento en los ataques que duraron más de una hora en la segunda mitad de 2021, mientras que los ataques multivectoriales como el récord mitigado en noviembre prevalecieron.

Estos ataques DDoS más prolongados generalmente se presentan como una secuencia de ataques de ráfaga repetidos y de corta duración que aumentan rápidamente (en segundos) a volúmenes de terabits.

"Los juegos continúan siendo la industria más afectada. La industria de los juegos siempre ha estado plagada de ataques DDoS porque los jugadores a menudo hacen todo lo posible para ganar", agregó Toh.

"La concentración de ataques en Asia puede explicarse en gran medida por la enorme huella de los juegos, especialmente en China, Japón, Corea del Sur, Hong Kong e India, que seguirán creciendo a medida que la creciente penetración de los teléfonos inteligentes impulse la popularidad de los juegos móviles en Asia. ."

Microsoft también defendió a los clientes contra nuevos ataques de inundación TCP PUSH-ACK (dominantes en la región de Asia Oriental) durante la temporada navideña de 2021.

"Observamos una nueva técnica de manipulación de opciones de TCP utilizada por los atacantes para descargar grandes cargas útiles, por lo que en esta variación de ataque, la longitud de la opción de TCP es más larga que el encabezado de la opción en sí", dijo Toh .

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de piratas informáticos respaldado por Corea del Norte, Lazarus, agregó el cliente de Windows Update a su lista de archivos binarios que viven fuera de la tierra (LoLBins) y ahora lo está utilizando activamente para ejecutar código malicioso en los sistemas de Windows.

El nuevo método de implementación de malware fue descubierto por el equipo de Malwarebytes Threat Intelligence mientras analizaba una campaña de phishing de enero que se hacía pasar por la empresa aeroespacial y de seguridad estadounidense Lockheed Martin.

Después de que las víctimas abren los archivos adjuntos maliciosos y habilitan la ejecución de macros, una macro incrustada suelta un archivo WindowsUpdateConf.lnk en la carpeta de inicio y un archivo DLL (wuaueng.dll) en una carpeta oculta de Windows/System32.

En la siguiente etapa, el archivo LNK se usa para iniciar el cliente WSUS/Windows Update (wuauclt.exe) para ejecutar un comando que carga la DLL maliciosa de los atacantes.

"Esta es una técnica interesante utilizada por Lazarus para ejecutar su DLL malicioso utilizando el cliente de actualización de Windows para eludir los mecanismos de detección de seguridad",  dijo Malwarebytes .

Los investigadores vincularon estos ataques con Lazarus en función de varias pruebas, incluidas superposiciones de infraestructura, metadatos de documentos y objetivos similares a campañas anteriores.


Método de evasión de defensa revivido en nuevos ataques

Como  informó BleepingComputer en octubre de 2020 , esta táctica la descubrió el investigador de MDSec, David Middlehurst, quien descubrió que los atacantes podían usar el cliente de Windows Update para ejecutar código malicioso en los sistemas Windows 10 (también  detectó una muestra  usándolo en la naturaleza).

Esto se puede hacer cargando una DLL arbitraria especialmente diseñada usando las siguientes opciones de línea de comandos (el comando que Lazarus usó para cargar su carga útil maliciosa):


MITRE ATT&CK clasifica este tipo de estrategia de evasión de defensa como  ejecución de proxy binario firmado y permite a los atacantes eludir el software de seguridad, el control de aplicaciones y la protección de validación de certificados digitales.

En este caso, los actores de amenazas lo hacen mediante la ejecución de un código malicioso desde una DLL maliciosa previamente descargada, cargada con el binario firmado por Microsoft del cliente de Windows Update.

Notorio grupo de hackers de Corea del Norte

El Grupo Lazarus (también rastreado como HIDDEN COBRA por las agencias de inteligencia de EE. UU.) es un grupo de piratería militar de Corea del Norte activo durante más de una década, al menos desde 2009.

Sus operadores coordinaron la campaña global de ransomware WannaCry de 2017 y han estado detrás de los ataques contra empresas de alto perfil como  Sony Films  y varios bancos en todo el mundo .

El año pasado, Google detectó a Lazarus  apuntando a investigadores de seguridad  en enero como parte de complejos ataques de ingeniería social y  una campaña similar  durante marzo.

También se les observó usando la puerta trasera ThreatNeedle, previamente no documentada, en una campaña de ciberespionaje a gran escala contra la industria de defensa de más de una docena de países.

El Tesoro  de los EE. UU . sancionó a tres grupos de piratería patrocinados por la RPDC  (Lazarus, Bluenoroff y Andariel) en septiembre de 2019, y el gobierno de los EE. UU  . ofrece una recompensa de hasta $ 5 millones  por información sobre la actividad de Lazarus.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Discord está sufriendo una "interrupción masiva" que impide que los usuarios inicien sesión en el servicio o usen chats de voz.

La interrupción comenzó a las 2:49 p. m. EST y originalmente fue causada por una interrupción generalizada de la API.

Sin embargo, después de resolver el problema, Discord informó que descubrieron un problema con uno de sus grupos de bases de datos, lo que provocó más problemas.

"Hemos identificado el problema subyacente con la interrupción de la API, pero estamos lidiando con un problema secundario en uno de nuestros grupos de bases de datos. Tenemos todo nuestro equipo de respuesta de guardia en línea y respondiendo al problema", explicó Discord en su página de estado .

Los usuarios que intentan iniciar sesión en Discord se encuentran con un logotipo giratorio, que finalmente muestra un mensaje sobre la interrupción.


Discord afirma que han comenzado a limitar la velocidad de inicio de sesión para evitar una sobrecarga de sus servidores mientras reparan el clúster de base de datos problemático.

Actualización  : la base de datos vuelve a estar en buen estado y nuestra tasa de error interno ha caído a niveles nominales. Estamos comenzando a aumentar el límite de frecuencia de inicio de sesión para permitir que los usuarios se vuelvan a conectar.
26 de enero  ,  12:29  PST

Actualización  : seguimos trabajando en algunos problemas con uno de nuestros grupos de bases de datos. Todavía estamos limitando la tasa de tráfico de inicio de sesión. Próxima actualización en 15 minutos.
26 de enero  ,  12:21  PST

Actualización  : hemos instituido un límite de velocidad en los inicios de sesión para administrar la carga de tráfico. Los usuarios que han iniciado sesión están usando Discord con éxito en este punto, y poco a poco iremos elevando los límites aquí para permitir el ingreso de más usuarios que podamos. Esperamos que esto se resuelva en los próximos 15 minutos.
26 de enero  ,  12:07  PST

Identificado  : hemos identificado el problema subyacente con la interrupción de la API, pero estamos lidiando con un problema secundario en uno de nuestros clústeres de bases de datos. Tenemos todo nuestro equipo de respuesta de guardia en línea y respondiendo al problema.
26 de enero  ,  12:03  PST

Investigando  : actualmente estamos investigando una interrupción generalizada de la API.
26 de enero  ,  11:49  PST

Si espera lo suficiente, debería poder obtener acceso a Discord a medida que continúan aumentando la cantidad de personas que inician sesión en el sistema.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los operadores de delitos cibernéticos detrás del notorio malware TrickBot una vez más han subido la apuesta al afinar sus técnicas mediante la adición de múltiples capas de defensa para burlar los productos antimalware.

"Como parte de esa escalada, las inyecciones de malware se han equipado con protección adicional para mantener alejados a los investigadores y pasar los controles de seguridad", dijo IBM Trusteer en un informe. "En la mayoría de los casos, estas protecciones adicionales se han aplicado a las inyecciones utilizadas en el proceso de fraude bancario en línea, la principal actividad de TrickBot desde su creación después de la desaparición del troyano Dyre ".

TrickBot , que comenzó como un troyano bancario, ha evolucionado hasta convertirse en un software delictivo como servicio (CaaS) multipropósito que es empleado por una variedad de actores para entregar cargas útiles adicionales, como ransomware. Hasta la fecha, se han identificado más de 100 variaciones de TrickBot, una de las cuales es un módulo " Trickboot " que puede modificar el firmware UEFI de un dispositivo comprometido.

En el otoño de 2020, Microsoft, junto con un puñado de agencias gubernamentales de EE. UU. y empresas de seguridad privada, se unieron para abordar la red de bots TrickBot , eliminando gran parte de su infraestructura en todo el mundo en un intento por obstaculizar sus operaciones.

Pero TrickBot ha demostrado ser inmune a los intentos de eliminación, ya que los operadores ajustaron rápidamente sus técnicas para propagar malware de múltiples etapas a través de ataques de phishing y malspam, sin mencionar la expansión de sus canales de distribución al asociarse con otros afiliados como Shathak (también conocido como TA551) para aumentar la escala y generar ganancias.


Más recientemente, las campañas de malware que involucran a Emotet se han aprovechado de TrickBot como un "servicio de entrega", desencadenando una cadena de infección que deja caer la herramienta de post-explotación Cobalt Strike directamente en los sistemas comprometidos. Hasta diciembre de 2021, TrickBot infectó a unas 140 000 víctimas en 149 países.

Las nuevas actualizaciones observadas por IBM Trusteer se relacionan con las inyecciones web en tiempo real utilizadas para robar credenciales bancarias y cookies del navegador. Esto funciona dirigiendo a las víctimas a dominios de réplica cuando intentan navegar a un portal bancario como parte de lo que se llama un ataque de hombre en el navegador (MitB).

También se pone en uso un mecanismo de inyección del lado del servidor que intercepta la respuesta del servidor de un banco y la redirige a un servidor controlado por el atacante, que, a su vez, inserta código adicional en la página web antes de que se reenvíe al cliente.

"Para facilitar la obtención de la inyección correcta en el momento adecuado, el malware TrickBot residente utiliza un descargador o un cargador de JavaScript (JS) para comunicarse con su servidor de inyección", dijo Michael Gal, investigador de seguridad web de IBM.

Otras líneas de defensa adoptaron la última versión de TrickBot que muestra el uso de comunicaciones HTTPS encriptadas con el servidor de comando y control (C2) para obtener inyecciones; un mecanismo anti-depuración para frustrar el análisis; y nuevas formas de ofuscar y ocultar la inyección web, incluida la adición de código redundante y la incorporación de representación hexadecimal para inicializar variables.

Específicamente, al detectar cualquier intento realizado para embellecer el script inyectado, la función anti-depuración de TrickBot desencadena una sobrecarga de memoria que bloquearía la página, evitando efectivamente cualquier examen del malware.

"El troyano TrickBot y la pandilla que lo opera han sido un elemento básico del crimen cibernético desde que asumieron cuando su predecesor, Dyre, quebró en 2016", dijo Gal. "TrickBot no ha descansado ni un día. Entre los intentos de derribo y una pandemia global, ha diversificado sus modelos de monetización y se ha fortalecido".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Quien se haya movido un poco por internet, y también el que no, sabe que lo más importante para las compañías como Google y Facebook es conocer nuestros hábitos. Por ese motivo, entre otros, existen las cookies. De un tiempo a esta parte, estas «galletitas» están siendo una molestia, por lo que a Google se le ocurrió diseñar FLoC. EFF dijo que esto era aún peor que las cookies a nivel de privacidad, y navegadores como Brave y Vivaldi lo tienen desactivado por defecto. A la compañía del buscador se le ha vuelto a encender una bombilla, y Topics es la nueva idea que han tenido.

No hace falta saber inglés para entender un poco de qué va o a qué se refieren con el nombre Topics. Si se es usuario de la red social Twitter, sabemos que «TT» o Trending Topic es un tema del que se está hablando mucho, el tema del momento. De hecho, Google Translate DeepL lo traduce directamente así, como Temas, pero, ¿qué hará esta nueva manera de espiarnos para conocer nuestros intereses?

Topics suena aún peor que FLoC


Hay un vídeo en YouTube que anuncia Topics como si fuera un nuevo servicio de Google, pero no. En cuanto a su funcionamiento, una vez activado será nuestro navegador el que recolecte y añada a categorías nuestros gustos y/o hábitos, como si estamos interesados en juegos, música, libros, etc, y nos «conocerá» por nuestro historial de navegación.

Cuando una empresa de publicidad lo pida, será el mismo navegador el que le proporcionará hasta tres Topics (temas) en los que estamos interesados, y se los dará de manera aleatoria. De esta manera, la empresa de publicidad seguirá mostrándonos anuncios que puedan interesándonos, pero sin las molestias de los avisos de las Cookies.

FLoC desaparece

Topics sustituirá a FLoC, que ye fue criticado por la EFF en su día por ser aún peor que las Cookies. Habrá que esperar a ver qué dicen sobre Topics, pero en lo personal y sin haberlo analizado, a mí me suena aún peor: ¿mi navegador almacenará todo lo que aprenda de mí? ¿Qué pasa si hay un fallo de seguridad en Chrome? ¿Y Google: no tendrá acceso a todo eso en todo momento? Eso sí, por lo menos dicen que será una tecnología Sandbox y que los podremos desactivar (insuficiente para dejarme tranquilo).

Si se quiere un «Chrome de código abierto», a la larga seria mejor  usar Brave, pero para el que decida quedarse como está, que sepa que Topics está en la agenda de Google, y puede poner los pelos de punta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Cuando un proyecto comparte un artículo en una cuenta oficial y no es de su propio blog, algo pasa. Y no, no ha sido para sacar pecho, sino para informar a la comunidad. Lo compartido por Fedora habla de un bug llamado PwnKit, y afecta a varias distribuciones Linux de las más usadas. En la lista está Fedora, la que muchos consideran el mejor ejemplo cuando queremos hablar de una distro con GNOME, pero también otras dos que pican un poco más.

No vamos a entrar en qué opción es mejor, pero que Debian y Ubuntu estén también entre los afectados nos permite afirmar que la mayoría de usuarios de Linux estarían expuestos ante PwnKit. Hay muchas distribuciones basadas en Debian, y muchas más que lo hacen ya en Ubuntu, como Linux Mint. La lista de afectados que se mencionan directamente la cerrarían CentOS y Red Hat, pero el resto de usuarios no debemos dejar de preocuparnos.

PwnKit expone a la mayoría de usuarios Linux

La vulnerabilidad se identifica como CVE-2021-4034 (aquí la información de Canonical) y está en el componente pkexec de Polkit, lo que está en la configuración por defecto de la mayoría de distribuciones Linux. Se publicó ayer 25 de enero, y el parche llegará pronto para el que no lo haya recibido ya.  Lo peor es lo que puede hacer el usuario malintencionado gracias a PwnKit: conseguir privilegios de súper usuario o root.

Ubuntu y Red Hat ya han lanzado un parche para corregir la vulnerabilidad en las versiones más recientes, y el resto de distribuciones más populares deberían hacerlo en breve. Teniendo en cuenta que los parches de este tipo son actualizaciones pequeñas, también cabe la posibilidad de que nuestra distribución Linux ya lo haya parcheado sin que nos hayamos dado cuenta, pero lo importante aquí es volver a recordar algo que debemos tener en cuenta: merece la pena tener bien actualizado cualquier sistema operativo, y aplicar sobre todo las actualizaciones de seguridad.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Un implante de firmware previamente no documentado implementado para mantener la persistencia sigilosa como parte de una campaña de espionaje dirigida ha sido vinculado al grupo de amenazas persistentes avanzadas Winnti de habla china ( APT41 ).

Kaspersky, que denominó en código al rootkit MoonBounce , caracterizó el malware como el "implante de firmware UEFI más avanzado descubierto en la naturaleza hasta la fecha", y agregó que "el propósito del implante es facilitar la implementación de malware en modo de usuario que organiza la ejecución de más cargas útiles". descargado de Internet".

Los rootkits basados ​​en firmware, que alguna vez fueron una rareza en el panorama de las amenazas, se están convirtiendo rápidamente en herramientas lucrativas entre los actores sofisticados para ayudar a lograr un punto de apoyo duradero de una manera que no solo es difícil de detectar, sino también difícil de eliminar.

El primer rootkit a nivel de firmware, denominado LoJax , se descubrió en la naturaleza en 2018. Desde entonces, hasta ahora se han descubierto tres instancias diferentes de malware UEFI, incluidos MosaicRegressor , FinFisher y ESPecter .


MoonBounce es preocupante por varias razones. A diferencia de FinFisher y ESPecter, que apuntan a la partición del sistema EFI ( ESP ), el rootkit recién descubierto, junto con LoJax y MosaicRegressor, apunta al flash SPI , un almacenamiento no volátil externo al disco duro.


Al colocar un malware bootkit altamente persistente dentro del almacenamiento flash que está soldado a la placa base de una computadora, el mecanismo hace que sea imposible deshacerse de él mediante el reemplazo del disco duro e incluso resistente a la reinstalación del sistema operativo.

La compañía rusa de ciberseguridad dijo que identificó la presencia del rootkit de firmware en un solo incidente el año pasado, lo que indica la naturaleza altamente dirigida del ataque. Dicho esto, el mecanismo exacto por el cual se infectó el firmware UEFI sigue sin estar claro.

A su sigilo se suma el hecho de que un componente de firmware existente fue manipulado para alterar su comportamiento, en lugar de agregar un nuevo controlador a la imagen, con el objetivo de desviar el flujo de ejecución de la secuencia de arranque a una secuencia de ataque malicioso que inyecta al usuario malware en modo durante el inicio del sistema, que luego llega a un servidor remoto codificado para recuperar la carga útil de la siguiente etapa.

"La cadena de infección en sí no deja ningún rastro en el disco duro, ya que sus componentes funcionan solo en la memoria, lo que facilita un ataque sin archivos con una huella pequeña", señalaron los investigadores, y agregaron que descubrieron otros implantes no UEFI en el objetivo. red comunicándose con la misma infraestructura que alojó la carga útil de ensayo.


Entre los principales componentes implementados en varios nodos de la red se incluyen una puerta trasera rastreada como ScrambleCross (también conocido como Crosswalk ) y una serie de implantes de malware posteriores a la explotación como Microcin y Mimikat_ssp, lo que sugiere que los atacantes realizaron un movimiento lateral después de obtener un acceso inicial para poder extraer datos de máquinas específicas.

Para contrarrestar dichas modificaciones a nivel de firmware, se recomienda actualizar regularmente el firmware UEFI y habilitar protecciones como Boot Guard , Secure boot y Trust Platform Modules ( TPM ).

La firma de seguridad cibernética Binarly, en un análisis independiente, señaló que el componente UEFI de MoonBounce se creó para un hardware de destino relacionado con un sistema MSI de 2014, y que el malware podría haberse entregado a la máquina comprometida ya sea a través del acceso físico o mediante modificaciones de software resultantes. de la falta de protecciones SPI adecuadas.

"MoonBounce marca una evolución particular en este grupo de amenazas al presentar un flujo de ataque más complicado en comparación con sus predecesores y un mayor nivel de competencia técnica por parte de sus autores, quienes demuestran una comprensión profunda de los detalles más finos involucrados en el proceso de arranque UEFI. " dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores han revelado detalles de dos vulnerabilidades de seguridad críticas en Control Web Panel que podrían abusarse como parte de una cadena de explotación para lograr la ejecución de código remoto preautenticado en los servidores afectados.

El problema, rastreado como CVE-2021-45467 , se refiere a un caso de vulnerabilidad de inclusión de archivos , que ocurre cuando se engaña a una aplicación web para que exponga o ejecute archivos arbitrarios en el servidor web.

Control Web Panel, anteriormente CentOS Web Panel, es un software de panel de control de Linux de código abierto que se utiliza para implementar entornos de alojamiento web.

Específicamente, el problema surge cuando dos de las páginas PHP no autenticadas utilizadas en la aplicación, "/user/login.php" y "/user/index.php", no logran validar adecuadamente una ruta a un archivo de script, según Octagon Networks. Paulos Yibelo , quien descubrió y reportó las fallas.

Esto significa que para explotar la vulnerabilidad, todo lo que un atacante tiene que hacer es alterar la declaración de inclusión , que se usa para incluir el contenido de un archivo PHP en otro archivo PHP, para inyectar código malicioso desde un recurso remoto y obtener código. ejecución.Específicamente, el problema surge cuando dos de las páginas PHP no autenticadas utilizadas en la aplicación, "/user/login.php" y "/user/index.php", no logran validar adecuadamente una ruta a un archivo de script, según Octagon Networks. Paulos Yibelo , quien descubrió y reportó las fallas.

Esto significa que para explotar la vulnerabilidad, todo lo que un atacante tiene que hacer es alterar la declaración de inclusión , que se usa para incluir el contenido de un archivo PHP en otro archivo PHP, para inyectar código malicioso desde un recurso remoto y obtener código. ejecución.


Curiosamente, si bien la aplicación tenía protecciones para marcar los intentos de cambiar a un directorio principal (indicado por "..") como un "intento de piratería", no hizo nada para evitar que el intérprete de PHP aceptara una cadena especialmente diseñada como ". $00". y logrando efectivamente un bypass completo.

Esto no solo permite que un mal actor acceda a puntos finales de API restringidos, sino que se puede usar junto con una vulnerabilidad de escritura de archivo arbitrario ( CVE-2021-45466 ) para obtener la ejecución remota completa del código en el servidor de la siguiente manera:

- Envíe una carga útil de inclusión de archivos alimentada por bytes nulos para agregar una clave de API maliciosa
- Use la clave API para escribir en un archivo (CVE-2021-45466)
- Use el paso 1 para incluir el archivo que acabamos de escribir (CVE-2021-45467)

Luego de la divulgación responsable, los mantenedores de CWP abordaron las fallas junto con las actualizaciones enviadas a principios de este mes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

OnlyOffice 7.0 ya ha llegado, la nueva versión de esta suite de ofimática de código abierto que puede ser una buena alternativa para Microsoft Office, así como para LibreOffice, OpenOffice, Calligra, etc. De hecho, poco a poco va siendo cada vez más popular por su enfoque, siendo creada como un reemplazo para Google Docs.

Si aún no conoces OnlyOffice, deberías saber que se divide en dos ediciones diferentes. Por un lado está OnlyOffice Docs, que es la que incluye todo el software de servidor para montar una suite ofimática en línea como un Google Docs particular. La otra es OnlyOffice Docs DE, que incluye las mismas aplicaciones, pero para el escritorio, al estilo de LibreOffice, aunque con la posibilidad de conectarse a instancias en línea.

Novedades de OnlyOffice Docs 7.0


Entre las novedades que se han incluido en OnlyOffice Docs 7.0 destacan las siguientes:

- Nuevo sistema de formularios para crear rápidamente formularios de admisión, cuestionarios, contratos, acuerdos legales, etc.
- Extensión de la protección por contraseña de libros y hojas de cálculo.
- Soporte para tablas de consulta con las que realizar informes y análisis combinados de datos.
- Más funciones novedosas para la edición de documentos, como la autocorrección de hiperenlaces, o la combinación de correspondencia.
- Encontrarás más recursos para las presentaciones, como nuevas transiciones y reproducciones de animaciones añadidas a las ya existentes.
- Nuevo historial de versiones para la hoja de cálculo para no perder la información con las ediciones.
- Opción novedosa para ordenar comentarios de forma automatizada.
- Modo oscuro para el procesador de texto.
- Nuevos modos de visualización para la revisión de documentos de texto.
- Corrección de errores con respecto a versiones anteriores.

En el caso de OnlyOffice Docs DE 7.0, las novedades son:

- Comparte muchas de las novedades introducidas en OnlyOffice Docs 7.0.

Y añade novedades propias como:

- Nuevas opciones de conexión de cuentas con kDrive y Liferay para trabajar con documentos en línea (como ahora sucede con ownCloud, Nextcloud y Seafile).
- Opción para abrir diferentes editores de la suite en una nueva ventana en vez de solo en pestañas como hasta el momento.
- Más opciones de escalado para aumentar el tamaño de interfaz hasta el 500%.
- Soporte de localización ampliado con nuevos idiomas.

Disponibilidad

La descarga de OnlyOffice Docs 7.0 está disponible para varios sistemas operativos, como Windows, macOS, e incluso dispositivos móviles, así como en imágenes para Docker, y paquetes para distribuciones GNU/Linux como Debian, Ubuntu y derivados, CentOS/RHEL y derivados, etc., tanto en paquetes RPM, DEB, así como paquetes universales como AppImage, FlatPak, y Snap.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

RetroArch anunció en febrero de 2021 sus planes para 2022. Esta popular comunidad que conocerás por los emuladores de juegos retro, ahora tiene su mira puesta también en proyectos de hardware abierto, un sector que está floreciendo últimamente, en especial tras la llegada de RISC-V, y que parece bastante prometedor.

La idea que tiene RetroArch es, no solo ofrecer el software como hasta el momento, sino también ofrecer productos físicos de hardware con sus emuladores para los usuarios. De esa forma, se dispondría de una plataforma en la que se integra perfectamente RetroArch y con la posibilidad de servir como consola retro y permitiendo conectar cartuchos de consolas de antaño para jugar (es decir, no solo con las ROMs).

Además, así se evitaría que los aficionados a los clásicos tuvieran que comprar en el mercado soluciones patentadas (consolas originales) difíciles de encontrar y, a veces, caras por ser casi piezas de museo. Sin embargo, estos planes de RetroArch han cambiado, según se ha podido ver en una publicación de su blog.

El cambio de dirección de RetroArch va en la dirección de no solo ofrecer este hardware abierto a los aficionados del DIY o makers, sino que están asociándose con un fabricante de hardware para lanzarlo de forma comercial, y permitir que otros muchos usuarios también puedan obtenerlo. Algo que podría hacer a la nueva plataforma de hardware más popular.

Otra cosa que se conoce de este proyecto de hardware libre es que será más modular, con una unidad base a la que se podrán conectar varios módulos complementarios. Cada uno para diferentes consolas antiguas. No obstante, el lanzamiento inicial apunta a que sería compatible con la Nintendo 64.

También se conoce que los planes marchan bien, y que la producción está planificada para mediados de 2022, para su lanzamiento al final de año (siempre que no se topen con problemas de suministro dada la situación de la industria en estos momentos).

Y finalizo comentando que, el equipo de RetroArch, ha pedido a los interesados que comenten en una encuesta para obtener un feedback.

Fuete: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Clonezilla Live es una distribución, basada en el repositorio  Debian Sid, de arranque en vivo bastante conocida, ya que aporta multitud de herramientas para la resolución de problemas, restauración, el clonado de imágenes de disco, particionamiento, etc. Esta distribución está mantenida por Steven Shiau, y recientemente ha anunciado el lanzamiento de la versión Clonezilla Live 2.8.1, que viene potenciada con el kernel Linux 5.15.5 LTS por defecto.

Tras un mes y medio de desarrollo, tras el lanzamiento de la versión 2.8, por fin ha llegado. Ahora podrás descargar y usar Clonezilla Live 2.8.1 con uno de los últimos kernel lanzados con soporte a largo plazo. La versión previa de esta suite estaba potenciada por Linux 5.14, que llegó al fin de su ciclo de vida en noviembre del 2021.

Este kernel no solo significa disponer de los últimos parches y novedades implementadas en el núcleo, también es una ventaja para Clonezilla Live, que verá cómo se mejora el soporte de hardware. Por otro lado, la integración de este kernel no es lo único nuevo en esta versión del Live, también se han incluido mejoras en el soporte de detección de discos hd1, hd2, etc., se ha agregado una nueva función para evitar que se divida el archivo de imagen de una partición cuando se guarda una imagen por el script ocs-sr.

Otra de las novedades de esta versión de Clonezilla Live es que ha añadido soporte para dracut para mejorar la restauración de sistemas CentOS Linux 6.x. Por otro lado, se han corregido varios bugs que estaban afectando a versiones anteriores, también hay actualizaciones para mejorar los scripts, se han actualizado también las traducciones de varios lenguajes en los que está disponible este sistema, etc.

Si te interesa, puedes descargarlo ahora de forma totalmente gratuita y quemarla ISO en un disco óptico o en una memoria USB.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola:

@AXCESS un gusto saludarle a usted y su gato, también a todos los usuarios que conforman nuestra querida comunidad les deseo muchas bendiciones así como mucho éxito en este año 2022 cabe resaltar también el agradecimiento hacia su persona @AXCESS pues también esta siempre apoyando con las noticias y otras cosillas más

¡Que vivan los gatos!

¡Hail Underc0de vamos por más!

Se están utilizando instaladores troyanos de la aplicación de mensajería Telegram para distribuir la puerta trasera Purple Fox basada en Windows en los sistemas comprometidos.

Eso es según una nueva investigación publicada por Minerva Labs, que describe el ataque como diferente de las intrusiones que normalmente aprovechan el software legítimo para lanzar cargas útiles maliciosas.

"Este actor de amenazas pudo dejar la mayor parte del ataque fuera del radar al separar el ataque en varios archivos pequeños, la mayoría de los cuales tenían tasas de detección muy bajas por parte de los motores [antivirus], y la etapa final condujo a la infección del rootkit de Purple Fox. ", dijo la investigadora Natalie Zargarov .

Descubierto por primera vez en 2018, Purple Fox viene con capacidades de rootkit que permiten plantar el malware más allá del alcance de las soluciones de seguridad y evadir la detección. Un informe de marzo de 2021 de Guardicore detalló su función de propagación similar a un gusano, lo que permite que la puerta trasera se propague más rápidamente.

Luego, en octubre de 2021, los investigadores de Trend Micro descubrieron un implante .NET denominado FoxSocket implementado junto con Purple Fox que aprovecha WebSockets para contactar sus servidores de comando y control (C2) para un medio más seguro de establecer comunicaciones.

"Las capacidades de rootkit de Purple Fox lo hacen más capaz de llevar a cabo sus objetivos de una manera más sigilosa", señalaron los investigadores. "Permiten que Purple Fox persista en los sistemas afectados, así como entregar más cargas útiles a los sistemas afectados".


Por último, pero no menos importante, en diciembre de 2021, Trend Micro también arrojó luz sobre las últimas etapas de la cadena de infección de Purple Fox, apuntando a las bases de datos SQL insertando un módulo SQL Common Language Runtime ( CLR ) malicioso para lograr una ejecución persistente y sigilosa y, en última instancia, un abuso. los servidores SQL para la minería ilícita de criptomonedas.

La nueva cadena de ataque observada por Minerva comienza con un archivo de instalación de Telegram, un script de AutoIt que suelta un instalador legítimo para la aplicación de chat y un descargador malicioso llamado "TextInputh.exe", el último de los cuales se ejecuta para recuperar el malware de la siguiente etapa de el servidor C2.

Posteriormente, los archivos descargados proceden a bloquear procesos asociados a diferentes motores antivirus, antes de avanzar a la etapa final que resulta en la descarga y ejecución del rootkit Purple Fox desde un servidor remoto ahora apagado.

"Encontramos una gran cantidad de instaladores maliciosos entregando la misma versión de rootkit de Purple Fox usando la misma cadena de ataque", dijo Zargarov. "Parece que algunos se enviaron por correo electrónico, mientras que otros asumimos que se descargaron de sitios web de phishing. La belleza de este ataque es que cada etapa se separa en un archivo diferente que son inútiles sin el conjunto de archivos completo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han propuesto un enfoque novedoso que aprovecha las emanaciones de campos electromagnéticos de los dispositivos de Internet de las cosas (IoT) como un canal lateral para obtener conocimientos precisos sobre los diferentes tipos de malware que se dirigen a los sistemas integrados, incluso en escenarios donde se han aplicado técnicas de ofuscación. obstaculizar el análisis.

Con la rápida adopción de dispositivos de IoT que presentan una superficie de ataque atractiva para los actores de amenazas, en parte debido a que están equipados con una mayor potencia de procesamiento y son capaces de ejecutar sistemas operativos completamente funcionales, la última investigación tiene como objetivo mejorar el análisis de malware para mitigar los posibles riesgos de seguridad.

Los hallazgos fueron presentados por un grupo de académicos del Instituto de Investigación en Ciencias de la Computación y Sistemas Aleatorios (IRISA) en la Conferencia Anual de Aplicaciones de Seguridad Informática ( ACSAC ) celebrada el mes pasado.

"La emanación [electromagnética] que se mide desde el dispositivo es prácticamente indetectable por el malware", dijeron los investigadores Duy-Phuc Pham , Damien Marion, Matthieu Mastio y Annelie Heuser en un artículo. "Por lo tanto, las técnicas de evasión de malware no se pueden aplicar directamente a diferencia del monitoreo dinámico de software. Además, dado que un malware no tiene control en el nivel de hardware externo, un sistema de protección que se basa en características de hardware no se puede eliminar, incluso si el malware posee el privilegio máximo en la máquina ".

El objetivo es aprovechar la información del canal lateral para detectar anomalías en las emanaciones cuando se desvían de los patrones observados anteriormente y generar una alerta cuando se registra un comportamiento sospechoso que emula el malware en comparación con el estado normal del sistema.

Esto no solo no requiere modificaciones en los dispositivos de destino, el marco ideado en el estudio permite la detección y clasificación de malware sigiloso, como rootkits a nivel de kernel, ransomware y botnets distribuidas de denegación de servicio (DDoS) como Mirai, contando variantes invisibles.


El enfoque de canal lateral, que se desarrolla en tres fases, implica medir las emanaciones electromagnéticas al ejecutar 30 binarios de malware diferentes, así como realizar actividades benignas relacionadas con videos, música, imágenes y cámaras para entrenar un modelo de red neuronal convolucional ( CNN ) para clasificar real- muestras de malware del mundo. Específicamente, el marco toma como entrada un ejecutable y genera su etiqueta de malware basándose únicamente en la información del canal lateral.

En una configuración experimental , los investigadores optaron por una Raspberry Pi 2B como dispositivo de destino con procesador ARM Cortex A7 de cuatro núcleos a 900 MHz y 1 GB de memoria, con las señales electromagnéticas adquiridas y amplificadas mediante una combinación de un osciloscopio y un PA 303 BNC. preamplificador, que predice eficazmente los tres tipos de malware y sus familias asociadas con una precisión del 99,82% y el 99,61%.

"[Por] medio del uso de modelos simples de redes neuronales, es posible obtener información considerable sobre el estado de un dispositivo monitoreado, observando únicamente sus emanaciones [electromagnéticas]", concluyeron los investigadores. "Nuestro sistema es robusto contra diversas transformaciones / ofuscaciones de código, incluida la inserción, el empaquetado y la virtualización de basura aleatoria, incluso cuando el sistema no conoce previamente la transformación".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los desarrolladores del sistema operativo de código abierto Haiku, el cual es un sistema operativo independiente que continúa evolucionando desde BeOS, dieron a conocer la noticia hace pocos dias de que han preparado una implementación inicial de la capa de compatibilidad Xlib, que le permite ejecutar aplicaciones X11 en Haiku sin usar un servidor X.

Los desarrolladores posicionan a la capa bajo sus propias palabras como una implementación mediante la emulación de funciones Xlib traduciendo las llamadas a la API gráfica Haiku de alto nivel. Tal como está, la mayoría de las API Xlib de uso común son proporcionadas por la capa, pero algunas de las llamadas permanecen inactivas por ahora.

La capa permite compilar y ejecutar aplicaciones basadas en la biblioteca GTK, pero la calidad del diseño de los elementos en las ventanas aún debe mejorarse. El procesamiento de la entrada mediante el teclado y los clics del mouse aún no se ha llevado a una vista de trabajo (solo se ha agregado el procesamiento del evento de movimiento del mouse).

Ahora, esto es todavía bastante temprano; presionar cualquier cosa en el teclado hace que se bloquee, hacer clic con el mouse dentro de la ventana causa un bloqueo y puede ver claramente extraños artefactos de redibujado. No obstante, los eventos de movimiento del mouse funcionan (los botones indican que se está colocando el cursor sobre ellos) y el cambio de tamaño de la ventana se comporta como uno esperaría. Pero, bueno, considerando que construí GTK apenas ayer, y tuve que solucionar un fallo y arreglar otros dos en mi propio código antes de que hiciera esto, diría que ya es un logro bastante considerable.

El soporte de la biblioteca Qt de Haiku se implementó previamente mediante la creación de un port Qt nativo que se ejecuta en la parte superior de la API de Haiku. Pero para el soporte de GTK, el uso de la emulación X11 se considera la opción preferida, ya que los componentes internos de GTK no están tan bien abstraídos y crear un backend GTK separado para Haiku requerirá recursos significativos. Como salida, se consideró la posibilidad de crear un port de servidor X11 para Haiku, pero este enfoque se consideró poco práctico en condiciones en las que la API X11 se puede implementar directamente sobre la API Haiku.

X11 fue elegido como un protocolo estable e invariable a largo plazo, mientras que los experimentos con Wayland aún están en curso, se requiere crear su propia implementación de servidor y finalmente no se aprueban todas las extensiones de protocolo necesarias. Cuando se ejecuta a través de una capa de aplicaciones más simples en Tcl/Tk y wxWidgets, se observan problemas aún sin resolver, pero la apariencia ya está más cerca de lo normal:

Para quienes desconocen de Haiku OS, puedo decirles que este sistema operativo se creó en 2001 como reacción a la reducción del desarrollo del sistema operativo BeOS y se desarrolló con el nombre de OpenBeOS, pero se renombró en 2004 debido a afirmaciones relacionadas con el uso de la marca BeOS en el nombre.

El sistema se basa directamente en tecnologías BeOS 5 y tiene como objetivo la compatibilidad binaria con aplicaciones para este sistema operativo. El código fuente de la mayor parte del sistema operativo Haiku se distribuye bajo la licencia gratuita MIT, con la excepción de algunas bibliotecas, códecs de medios y componentes tomados en préstamo de otros proyectos.

El sistema está enfocado en computadoras personales, utiliza su propio núcleo, construido sobre la base de una arquitectura híbrida, optimizada para una alta capacidad de respuesta a las acciones del usuario y la ejecución eficiente de aplicaciones multiproceso. OpenBFS se utiliza como un sistema de archivos, que admite atributos de archivo extendidos, registro en diario, punteros de 64 bits, soporte para almacenar metaetiquetas (para cada archivo, puede guardar atributos en la forma clave = valor, lo que hace que el sistema de archivos parezca un base de datos) e índices especiales para acelerar la selección en ellos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Intel está implementando una característica de soporte para las placas base que, al menos de momento, será exclusiva de Linux, un detalle que no suele ser lo habitual en el mundo del hardware, donde Windows es la máxima prioridad en casi el 100% de los casos, incluso para Intel, que es prácticamente el fabricante que mejor soporte da a Linux.

Siendo más concretos, Intel ha introducido un driver en el futuro Linux 5.17 llamado "pfr_update" que hará uso de la especificación Platform Firmware Runtime Update and Telemetry (PFRUT) de ACPI, la cual permite actualizar una BIOS o UEFI sin necesidad de reiniciar. Por ahora esta característica no va a llegar a Windows, pero quién duda que esta exclusividad apunta a ser efímera.

No hace falta ser un lince para percatarse que la prioridad de Linux sobre Windows por parte de Intel es debido a que el uso de PFRUT se centrará en los servidores, donde las cargas de trabajo muchas veces no pueden interrumpirse. La especificación de ACPI permitirá llevar a cabo actualizaciones de BIOS/UEFI sobre la marcha, eliminando así, al menos sobre el papel, un posible escenario de interrupción. Además, también incorpora un controlador para leer datos de telemetría del firmware de forma estandarizada.

Al parecer pfr_update ha sido diseñado para actualizar el firmware solo en casos de errores graves o problemas de seguridad, facilitando así la tarea a los administradores a la hora de parchear los servidores sin tener que detenerlos.

Desde que se permite actualizar el firmware de la placa base, ya sea BIOS "clásica" o UEFI, el proceso siempre ha requerido de reiniciar la computadora para completarlo. Con el propósito de enterrar ese requisito, Intel ha estado trabajando en implementar PFRUT, que anteriormente era conocida bajo el nombre de "Actualización sin interrupciones".


El procedimiento de actualización estándar de la BIOS/UEFI ha requerido y sigue requiriendo de reiniciar la computadora para cargar el nuevo firmware, ya que es en ese instante cuando el firmware se transfiere a la placa base para actualizar la BIOS o UEFI. Con PFRUT el paradigma cambia al ser el sistema operativo el que se encarga de todo el proceso de actualización, abriendo así la puerta a que no sea necesario reiniciar.

De momento parece que el soporte de Intel para PFRUT no solo será exclusivo de Linux, sino también de los entornos de servidor. Dicho con otras palabras, no parece que en un principio vaya a llegar a equipos de sobremesa y portátiles, aunque al ser una característica incorporada al kernel Linux no debería de haber ningún impedimento tecnológico sobre el papel.

Pero incluso si PFRUT llega a los equipos de sobremesa, habría que ver cuántos fabricantes deciden apoyarse en ella, porque desde hace bastantes años existen LVFS y FWUPD y la verdad es que un porcentaje muy pequeño de placas base permiten actualizar el firmware a través del mecanismo que forman, por lo que toca recurrir a la herramienta de la propia placa base para tal efecto o a Windows en muchos modelos de portátiles.

Los que quieran conocer más detalles sobre PFRUT y el mecanismo de actualización de firmware en tiempo de ejecución impulsado por Intel pueden consultar el correspondiente documento publicado por el gigante del chip.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se descubrió que un rootkit previamente desconocido estaba enfocado en la tecnología de administración de servidor Integrated Lights-Out ( iLO ) de Hewlett-Packard Enterprise para llevar a cabo ataques en la naturaleza que manipulan los módulos de firmware y borran por completo los datos de los sistemas infectados.

El descubrimiento, que es la primera instancia de malware del mundo real en el firmware de iLO, fue documentado por la firma iraní de ciberseguridad Amnpardaz esta semana.

"Hay numerosos aspectos de iLO que lo convierten en una utopía ideal para los grupos de malware y APT: privilegios extremadamente altos (por encima de cualquier nivel de acceso en el sistema operativo), acceso de muy bajo nivel al hardware, estar totalmente fuera de la vista de los administradores y las herramientas de seguridad, la falta general de conocimientos y herramientas para inspeccionar iLO y / o protegerlo, la persistencia que proporciona para que el malware permanezca incluso después de cambiar el sistema operativo y, en particular, estar siempre en ejecución y nunca apagarse, " dijeron los investigadores .

Además de administrar los servidores, el hecho de que los módulos iLO tengan un amplio acceso a todo el firmware, hardware, software y sistema operativo (SO) instalados en los servidores los convierte en un candidato ideal para violar organizaciones que utilizan servidores HP, mientras que también permite que el malware mantener la persistencia después de reiniciar y sobrevivir a las reinstalaciones del sistema operativo. Sin embargo, el modus operandi exacto utilizado para infiltrarse en la infraestructura de la red y desplegar el limpiaparabrisas sigue siendo desconocido.


Apodado iLOBleed , el rootkit se ha utilizado en ataques desde 2020 con el objetivo de manipular una serie de módulos de firmware originales para obstruir sigilosamente las actualizaciones del firmware. Específicamente, las modificaciones realizadas a la rutina del firmware simulan el proceso de actualización del firmware, al mostrar supuestamente la versión de firmware correcta y agregar registros relevantes, cuando en realidad no se realizan actualizaciones.

"Esto por sí solo muestra que el propósito de este malware es ser un rootkit con el máximo sigilo y esconderse de todas las inspecciones de seguridad", dijeron los investigadores. "Un malware que, al esconderse en uno de los recursos de procesamiento más poderosos (que siempre está activo), es capaz de ejecutar cualquier comando recibido de un atacante, sin que nunca sea detectado".


Aunque el adversario sigue sin ser identificado, Amnpardaz describió el rootkit como probablemente el trabajo de una amenaza persistente avanzada (APT), una designación de un estado-nación o grupo patrocinado por el estado que emplea técnicas de piratería continua, clandestinas y sofisticadas para obtener acceso no autorizado a un sistema y permanecer en el interior durante un período prolongado de tiempo sin llamar la atención.

En todo caso, el desarrollo vuelve a enfocar la seguridad del firmware, lo que requiere que las actualizaciones de firmware enviadas por el fabricante se apliquen rápidamente para mitigar los riesgos potenciales, las redes iLO se segmentan de las redes operativas y que el firmware se monitorea periódicamente para detectar signos de infección. .

"Otro punto importante es que existen métodos para acceder e infectar iLO tanto a través de la red como del sistema operativo del host", señalaron los investigadores. "Esto significa que incluso si el cable de red de iLO está completamente desconectado, todavía existe la posibilidad de infección con el malware. Curiosamente, no hay forma de apagar o deshabilitar iLO por completo en caso de que no sea necesario".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Apache Software Foundation (ASF) lanzó el martes nuevos parches para contener una falla de ejecución de código arbitrario en Log4j que podría ser abusada por los actores de amenazas para ejecutar código malicioso en los sistemas afectados, lo que la convierte en la quinta deficiencia de seguridad descubierta en la herramienta en el lapso de un mes.

Rastreada como CVE-2021-44832 , la vulnerabilidad tiene una severidad de 6.6 en una escala de 10 e impacta todas las versiones de la biblioteca de registro desde 2.0-alpha7 a 2.17.0 con la excepción de 2.3.2 y 2.12.4. Si bien las versiones 1.x de Log4j no se ven afectadas, se recomienda a los usuarios actualizar a Log4j 2.3.2 (para Java 6), 2.12.4 (para Java 7) o 2.17.1 (para Java 8 y posterior).

"Las versiones 2.0-beta7 a 2.17.0 de Apache Log4j2 (excluidas las versiones de corrección de seguridad 2.3.2 y 2.12.4) son vulnerables a un ataque de ejecución remota de código (RCE) en el que un atacante con permiso para modificar el archivo de configuración de registro puede construir una configuración mediante un JDBC Appender de una fuente de datos con referencia a un URI JNDI que pueden ejecutar código remoto ", la ASF dijo en un aviso. "Este problema se soluciona limitando los nombres de las fuentes de datos JNDI al protocolo java en las versiones 2.17.1, 2.12.4 y 2.3.2 de Log4j2".

Aunque la ASF no otorgó créditos por el problema, el investigador de seguridad de Checkmarx, Yaniv Nizry, reclamó el crédito por informar la vulnerabilidad a Apache el 27 de diciembre.

La complejidad de esta vulnerabilidad es mayor que la del CVE-2021-44228 original, ya que requiere que el atacante tenga control sobre la configuración", señaló Nizry . "A diferencia de Logback, en Log4j hay una función para cargar un archivo de configuración remota o para configurar el registrador a través del código, por lo que se podría lograr una ejecución de código arbitrario con [un] ataque MitM, la entrada del usuario termina en una variable de configuración vulnerable, o modificando el archivo de configuración ".

Con la última solución, los encargados del mantenimiento del proyecto han abordado un total de cuatro problemas en Log4j desde que la falla de Log4Shell salió a la luz a principios de este mes, sin mencionar una quinta vulnerabilidad que afecta a las versiones Log4j 1.2 que no se solucionará:

- CVE-2021-44228 (puntuación CVSS: 10.0): una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.14.1 (corregida en la versión 2.15.0)
- CVE-2021-45046 (puntuación CVSS: 9.0): una fuga de información y una vulnerabilidad de ejecución remota de código que afecta a las versiones de Log4j de 2.0-beta9 a 2.15.0, excluyendo 2.12.2 (corregido en la versión 2.16.0)
- CVE-2021-45105 (puntuación CVSS: 7.5): una vulnerabilidad de denegación de servicio que afecta a las versiones de Log4j de 2.0-beta9 a 2.16.0 (corregida en la versión 2.17.0)
- CVE-2021-4104 (puntuación CVSS: 8.1): una falla de deserialización no confiable que afecta a la versión 1.2 de Log4j (no hay solución disponible; actualice a la versión 2.17.1)

El desarrollo también se produce cuando las agencias de inteligencia de Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU. Emitieron una advertencia conjunta sobre la explotación masiva de múltiples vulnerabilidades en la biblioteca de software Log4j de Apache por parte de adversarios nefastos.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login