| Ya es oficial, uad360 regresa en junio de 2020. La segunda edición del Congreso de Ciberseguridad de Málaga llega promovida por Una al día y cuenta con la organización de la Universidad de Málaga, Hispasec y Cajamar, además de los apoyos institucionales de Extenda y Diputación de Málaga y los patrocinios actualmente de Sofistic, Buguroo y Virustotal. uad360 reunió en su primera edición a cerca de 300 participantes en el Campus de Teatinos de la UMA), los pasados 7 y 8 de junio de 2019. El objetivo final de este evento no era otro que el fomento de la cultura de la ciberseguridad. También sirvió de punto de encuentro entre profesionales, empresas e instituciones, a los que hay que sumar estudiantes y medios de comunicación interesados en las ponencias y talleres. Durante dos días, Málaga fue la verdadera capital de la ciberseguridad en España. Y en unos meses, todo esto volverá a ocurrir, y con novedades. |
| Lo que volvió en enero fueron las sorpresas, como la que nos dieron los desarrolladores de Starbucks al dejar expuesta la clave de una de sus API. La clave fue expuesta en un repositorio público de GitHub y permitía acceder a sistemas de la compañía y modificar la lista de usuarios autorizados. La vulnerabilidad fue clasificada como «crítica», ya que permitía acceder a la API de JumpCloud de Starbucks y desde ahí eliminar usuarios o añadir nuevos que podrían permitir acceder a sistemas internos de la compañía o secuestrar infraestructuras de AWS. El Internet de las Cosas (IoT), esa interconexión digital de objetos cotidianos con internet, nos hizo empezar enero con un sobresalto. Así, una cámara Xiaomi nos exponía al acceder a la transmisión de la cámara configurada en Google Nest porque se mostraba en su lugar el vídeo de otra cámara aleatoria de Xiaomi. El modelo afectado parece ser el Xiaomi Mijia 1080p Smart IP con el firmware 3.5.1_00.66. El error sólo se producía si la cámara había sido configurada para funcionar con Google Nest, quedando a salvo los usuarios que utilizaban en su lugar la aplicación oficial de Xiaomi. Google, que está solucionando el problema junto con Xiaomi, ha desactivado dichas cámaras de su ecosistema de forma preventiva. |
| Allá por el 3 de julio de 2010 Python lanzó la versión 2.7 de su lenguaje de programación y, después de 10 años, el 1 de enero de 2020 ha finalizado el soporte para esta versión. Ahora han avisado de que, incluso si se detectase un problema serio en el software de Python 2, los voluntarios de la fundación no buscarán soluciones para ayudar a arreglarlo ya que estarán trabajando en el desarrollo de Python 3. Adiós, y gracias por todo, Python 2. Un fallo en PayPal permitía obtener la contraseña en plano. La vulnerabilidad, la cual ha sido catalogada con un CVSS 8.0, permitía a un atacante obtener las credenciales del usuario desde el servidor. Indagando sobre el funcionamiento de PayPal, el investigador de seguridad Alex Birsan descubrió el pasado año un fichero Javascript dinámico en la plataforma de pagos online que contenía dos valores relevantes (el ‘csrf’ y el ‘_sessionId’). Dichos valores, al encontrarse en un JavaScript, eran accesibles mediante un XSSI, un tipo de ataque que incluyendo el fichero en una etiqueta ‘<script>’ los hace accesibles. El error, que fue informado a PayPal el 18 de noviembre, fue resuelto 24 horas después tras ser confirmado. El descubrimiento le ha valido una recompensa de 15.300$ al investigador. |
| Vulnerabilidad en TikTok permitía a los atacantes secuestrar cualquier cuenta. La seguridad de millones de usuarios está en tela de juicio ya que, investigadores de seguridad de Check Point han descubierto que la famosa aplicación china contenía una serie de vulnerabilidades potencialmente peligrosas que permitían secuestrar la cuenta de cualquier usuario simplemente conociendo su número de teléfono. Entre las vulnerabilidades encontradas han sido reportadas algunas como por ejemplo suplantación de enlaces SMS, redirección abierta, e inyecciones XSS que, combinadas, permitían a los atacantes hacerse con el control de la cuenta. El pasado 25 de diciembre avisamos de una vulnerabilidad en los sistemas Citrix que podría permitir a un atacante remoto hacerse con el control del sistema. No fue hasta finales de enero que Citrix parchéo este problema del que se ha hizo pública una PoC fácilmente reproducible como exploit. El lapso de tiempo transcurrido desde la detección del fallo hasta implementar una solución, ha permitido que, al menos durante una semana, la vulnerabilidad haya sido aprovechada por docenas de grupos, tras la publicación del exploit que permitía automatizar la ejecución de código arbitrario en los objetivos vulnerables. La mitigación de la vulnerabilidad pasa por actualizar todos los productos afectados por CVE-2019-19781, algo que desde Hispasec Sistemas instamos a realizar de inmediato. |
| La NSA comunicó en enero a Microsoft la existencia de una grave vulnerabilidad en el módulo Crypt32.dll que afecta a las versiones Windows 10, Windows Server 2016 y Windows Server 2019. Como viene siendo habitual en Microsoft la corrección de vulnerabilidades se realiza los segundos martes de cada mes. En este caso, Microsoft solucionó hasta 49 vulnerabilidades en varios de sus productos. Lo especial de esta ocasión es que una de las actualizaciones ha sido indicada por la Agencia de Seguridad Nacional estadounidense (NSA). Además, el pasado 18 de enero de 2020 Microsoft lanzó un comunicado en el que avisaba sobre una emergencia de seguridad que afecta a millones de usuarios de Windows, a quienes daba a conocer una nueva vulnerabilidad en el navegador Internet Explorer (IE), la cual estaba siendo explotada activamente por atacantes. Se cree que estos ataques son parte de una campaña más grande por la que también se han visto afectados usuarios del navegador web Firefox. La vulnerabilidad, con código CVE-2020-0674, se ha evaluado como riesgo moderado y consiste en la ejecución de código remoto facilitada por la forma en la que el motor de scripts del navegador hace uso de los objetos en la memoria de IE, lanzando el proceso mediante la librería JScript.dll. |
| Cisco Systems solucionó una vulnerabilidad de gran gravedad en su popular plataforma de videoconferencia WebEx que podría permitir la intervención de extraños en reuniones privadas protegidas por contraseña, sin necesidad de autentificación. Aunque Cisco ha corregido esta vulnerabilidad y no se requiere interacción del usuario para la actualización, desde Hispasec Sistemas recomendamos verificar que la plataforma Cisco Webex utilizada se encuentre actualizada. También en enero supimos de un fallo crítico en SMTPD que expone servidores de correo en Linux y OpenBSD. Según Qualys Research Labs, responsables de haber descubierto el fallo, la vulnerabilidad estriba en el modo en que OpenSMTPD valida la dirección del remitente a través de una función defectuosa llamada smtp_mailaddr(). Esta función puede ser explotada para ejecutar código arbitrario con permisos de root en un servidor vulnerable, sólo con enviar un mensaje SMTP especialmente elaborado para ello. El fallo parece afectar a la versión 6.6 de OpenBSD y funciona contra la configuración por defecto tanto de la interfaz local como del servicio habilitado a la escucha. |
| Se cerró un enero complicado en Microsoft tras saberse que han quedado expuestos 250 millones de registros de asistencia al cliente de Microsoft. Quien se haya puesto en contacto con Microsoft para solicitar asistencia técnica en los últimos 14 años, ha visto puesto en peligro tanto los datos de la consulta técnica como alguna información personal identificable. Microsoft ha admitido este incidente de seguridad que ha puesto al descubierto casi 250 millones de registros de «Servicio y soporte técnico al cliente» en Internet debido a un servidor mal configurado que contiene registros de conversaciones entre su equipo de soporte técnico y los clientes. Y en otro asalto a la privacidad de nuestros datos, un hacker publicó en enero una lista con las credenciales de telnet de más de 515.000 servidores, routers domésticos y dispositivos IoT. |
blog.hispasec.com 