CEVICAS GROUP - Centro Virtual de Capacitación en Seguridad Informática -el Conocimiento Fácil-

Inglés Frances Alemán Español Italiano Holandés Ruso Portugués Japonés Koreano Arabe Chino Simplificado

En nuestro "CEVICAS Group" nos abocamos a la enseñanza personalizada sobre Seguridad Informática, capacitamos a las personas para entender todos los aspectos que atenten contra dicha Seguridad y luego de forma muy clara y sin apresurarse, las guiamos hacia la instrumentación de las "Contra-medidas" necesarias para la Securización de la Información, el Hardware asociado y el factor Humano circundante."

En esta sección se presentan las últimas noticias sobre Ciberseguridad


|News Julio 2k20 (4)| |News Agosto 2k20 (5)| |News Septiembre 2k20 (4)|

Google advierte sobre fallas Zero-Click en dispositivos de Bluetooth basados ​​en Linux

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 16/10/2020

Investigadores de seguridad de Google están advirtiendo sobre un nuevo set de vulnerabilidades Zero-Click (sin click) en la pila de software de Bluetooth Linux que puede permitir que un atacante remoto no autenticado ejecute código arbitrario con privilegios de kernel en dispositivos vulnerables.

Según el ingeniero en seguridad Andy Nguyen, las tres fallas (denominadas BleedingTooth), residen en la pila de protocolo BlueZ de código abierto que ofrece soportes para muchas de las capas y protocolos centrales de Bluetooth para sistemas basados ​​en Linux tales como notebooks y dispositivos IoT.

El primero y más grave es una confusión de tipo heap-based (CVE-2020-12351, CVSS score 8.3) que afecta al kernel de Linux 4.8 y superior y está presente en el Protocolo de Adaptación y Control de Enlace Lógico (L2CAP) del estándar Bluetooth, el cual provee multiplexación de datos entre diferentes protocolos de capa superior.

"Un atacante remoto a corta distancia, conociendo la dirección del (dispositivo Bluetooth) de la víctima, puede enviar un paquete L2CAP malicioso y causar denegación de servicio o posiblemente código de ejecución arbitrario con privilegios de kernel." Señaló Google en su aviso. "Los chips Bluetooth maliciosos también pueden desencadenar la vulnerabilidad."

La vulnerabilidad, que aún no se ha abordado, parece haber sido introducida con un cambio respecto al módulo "l2cap_core.c" realizado en 2016.

Intel, que ha invertido significativamente en el proyecto BlueZ, también emitió un alerta caracterizando el CVE-2020-12351 como un defecto de escalada de privilegios.

La segunda vulnerabilidad no parcheada (CVE-2020-12352) se refiere a una falla en la divulgación de información basada en pilas que afecta al kernel 3.6 de Linux y superior.

Una consecuencia de un cambio de 2012 realizado en el núcleo Alternate MAC-PHY Manager Protocol (A2MP), un enlace de transporte de alta velocidad utilizado en Bluetooth HS (High Speed) para permitir la transferencia de grandes cantidades de datos, la falla le permite a un atacante remoto a corta distancia recuperar información de la pila del kernel, utilizando esto para predecir la capa de memoria y derrotar la aleatorización del diseño del espacio de direcciones (KASLR)

Por último, una tercera falla (CVE-2020-24490) descubierta en HCI (Host Controller Interface), una interfaz estandarizada de Bluetooth para el envío de comandos, recibir eventos y transmisión de datos, es un desbordamiento de búfer heap-based que afecta al kernel de Linux 4.19 y superior, permitiéndole al atacante remoto "causar denegación de servicio o posiblemente ejecutar código arbitrario con privilegios de kernel en máquinas victimas si están equipadas con chip Bluetooth 5 y están en modo escáner"

La vulnerabilidad, que ha sido accesible desde el 2018, ha sido parcheada en las versiones 4.19.137 y 5.7.13.

Por su parte, Intel ha recomendado instalar las correcciones del kernel para el riesgo asociado a dichas fallas.

"Posibles vulnerabilidades de seguridad en BlueZ podrían permitir escalada de privilegios o divulgación de información" Dijo Intel sobre las fallas. "BlueZ está lanzando correcciones del kernel de Linux para abordar estas posibles vulnerabilidades"

Fuente: The Hacker News

Comparte en twitter Comparte en Facebook Comparte en Whatsapp Comparte en LinkedIn Comparte por mail



¡ALERTA! Hackers acosan a dispositivos IoT con un nuevo botnet malware P2P

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 07/10/2020

Investigadores en ciberseguridad han descubierto un nuevo botnet que secuestra dispositivos inteligentes conectados a Internet para realizar tareas nefastas, mayormente ataques DDoS y minería ilícita de criptomonedas.

Descubierto por el equipo de seguridad de Netlab, Qihoo 360, el HEH Botnet, escrito en lenguaje Go y protegido con un protocolo propietario peer-to-peer (P2P), se propaga a través de un ataque de fuerza bruta del servicio Telnet en los puertos 23/2323 y puede ejecutar comandos shell arbitrarios.

Los investigadores dijeron que las muestras descubiertas del botnet HEH hasta ahora soportan una amplia variedad de arquitecturas de CPU, incluidas x86(32/64), ARM(32/64), MIPS(MIPS32/MIPS-III), y PowerPC (PPC).

El botnet, a pesar de estar en sus primeras fases de desarrollo, viene con tres módulos funcionales: un módulo de propagación, un módulo de servicio local HTTP y un módulo P2P.

Inicialmente descargado y ejecutado por un script en Shell malicioso llamado "wpqnbw.txt", la muestra HEH entonces utiliza el script en Shell para descargar programas deshonestos para todo tipo de arquitecturas de CPU desde un sitio web ("pomf.cat"), antes, eventualmente, terminando con una serie de procesos de servicio en función de sus números de puerto.

La segunda fase comienza con la muestra de HEH iniciando un servidor HTTP que exhibe la Declaración Universal de los Derechos Humanos en ocho idiomas diferentes y, subsecuentemente, inicia un módulo P2P que realiza el seguimiento de los peer infectados y le permite al atacante ejecutar comandos arbitrarios en shell, incluyendo la habilidad para borrar todos los datos desde el dispositivo comprometido activando un comando de autodestrucción.

Otros comandos permiten reiniciar un bot, actualizar la lista de peers y finalizar la ejecución del bot, aunque los autores del botnet aún no han implementado un comando de "Ataque".

"Después de que el bot haya ejecutado el módulo P2P, ejecutará la tarea de fuerza bruta contra el servicio Telnet en los puertos 23 y 2323 de forma paralela, y entonces finaliza su propia propagación." Dijeron los investigadores.

En otras palabras, si el servicio Telnet está abierto en los puertos 23 y 2323, este intenta un ataque de fuerza bruta utilizando un diccionario de contraseñas consistiendo en 171 usuarios y 504 contraseñas. En caso de éxito, la nueva víctima infectada es agregada al botnet, ampliándolo de esa manera.

"El mecanismo operativo del botnet aún no está maduro, (y) algunas funciones importantes tales como el módulo de ataque aún no han sido implementadas." concluyeron los investigadores.

"Habiendo dicho eso, la nueva y en desarrollo estructura P2P, el soporte de arquitectura de CPU múltiple, las caracteristicas embebidas de autodestrucción, todo eso hace que esta botnet sea potencialmente peligrosa"

Fuente: The Hacker News

Comparte en twitter Comparte en Facebook Comparte en Whatsapp Comparte en LinkedIn Comparte por mail



Atención: se ha encontrado un nuevo Spyware para Android que se hace pasar por aplicaciones de Telegram y Threema

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 01/10/2020

Un grupo de hackers conocidos por sus ataques en medio oriente, al menos desde el 2017, han sido encontrados, recientemente, haciéndose pasar por aplicaciones de mensajería legítimas tales como Telegram y Threema para infectar dispositivos Android con un nuevo malware hasta hoy no identificado.

"Comparada a las versiones documentadas del 2017, Android/SpyC23.A ha extendido funcionalidades espías, incluyendo notificaciones de lectura de aplicaciones de mensajería, grabaciones de llamadas y pantalla, y nuevas funciones de sigilo, tales como descartar notificaciones de las aplicaciones de seguridad incorporadas en Android." dijo, el miércoles, la firma de ciberseguridad de ESET

Detallado primero por Qihoo 360, en 2017, bajo el apodo de "escorpión de dos colas" (alias APT-C-23 o Desert Scorpion), el malware móvil ha sido considerado como "software de vigilancia" por sus habilidades para espiar en dispositivos de los individuos apuntados, exfiltrar registros de llamadas, contactos, localizaciones, mensajes, fotos y otros documentos sensibles en el proceso.

En el 2018, Symantec descubrió una variante más nueva de la actividad que empleó un malicioso reproductor multimedia como un señuelo para obtener información de dispositivos y engañar a las victimas instalando malware adicional.

Luego, a principios de este año Check Point Research detalló nuevos signos de actividad APT-C-23 cuando los operadores de Hamas se hicieron pasar por jóvenes adolescentes en Facebook, Instagram, y Telegram para atraer a soldados israelíes a instalar aplicaciones infectadas con malware en sus celulares.

La ultima versión del spyware detallado por ESET expande todas esas caracteristicas, incluyendo la habilidad para recolectar información de las redes sociales y aplicaciones de mensajería via fotos y grabación de pantalla, e incluso obtiene las llamadas entrantes y salientes de Whatsapp y lee el texto de las notificaciones de las aplicaciones de redes sociales, incluyendo, WhatsApp, Viber, Facebook, Skype, y Messenger.

La infección comienza cuando la victima visita una falsa app store de Android llamada "DigitalApps", y descarga aplicaciones tales como Telegram, Threema, y weMessage, sugiriendo que la motivación del grupo para hacerse pasar por aplicaciones de mensajería es para "justificar los varios permisos requeridos por el malware"

Además de requerir permisos invasivos para leer notificaciones, desactiva el Google Play Protect, y grabar la pantalla de un usuario bajo el disfraz de la seguridad y privacidad, el malware se comunica con su servidor command-and-control (C2) para registrar a la victima recientemente infectada y transmitir la información del dispositivo

Los servidores C2, que comúnmente se disfrazan como sitios web en mantenimiento, son también responsables de transmitir los comandos al celular comprometido, el cual puede ser utilizado para grabar audio, resetear WiFi, desinstalar cualquier aplicación instalada en el dispositivo, entre otras cosas

Además, el malware también viene equipado con una nueva característica que le permite hacer, de manera sigilosa, una llamada mientras crea una pantalla negra para enmascarar la llamada.

"Nuestra investigación muestra que el grupo APT-C-23 está todavía activo, mejorando sus herramientas móviles y ejecutando nuevas operaciones. Android/SpyC32.A (la nueva versión del spyware del grupo) agrega nuevas mejoras haciéndolo más peligroso para sus víctimas" dijo ESET

Las aplicaciones descargadas de app store fraudulentas hechas por terceras partes han sido un conducto para malware en Android en los últimos años. Siempre es esencial atenerse a las fuentes oficiales para limitar el riesgo y examinar los permisos solicitados por las aplicaciones antes de instalarlas en el dispositivo.

Fuente: The Hacker News

Comparte en twitter Comparte en Facebook Comparte en Whatsapp Comparte en LinkedIn Comparte por mail



¡ESPERA NO TE RETIRES AUN¡ ANTES QUIERO ¡REGALARTE UN LIBRO!

TU INFORME GRATIS YA


AUTOR: Ing. Diego Barrientos

Quien los capacita en Seguridad Informática

FORMACION DEL AUTOR: Ing.Sistemas (UTN) - CCNA/CCNP (Cisco) -Ethical Hacker (Cortech) - MCSA (Microsoft) - Tec. en Electronica (Rep-Francesa) - Diplomado en Seguridad (Next-Vision) - Docente, Instructor y Amigo


E-MAIL DE CONTACTO: info@cevicas.com

PAGINA PRINCIPAL: www.cevicas.com

REDES SOCIALES: www.facebook.com/CevicasGroup https://twitter.com/cevicas https://youtube.com/cevicas Suscripción Gratuita y REGALO

¡Quieres saber mas de mí, mira este video!




Argentina - Mar del Plata - 2020 | Designed by -785 & M!L- | |Powered by FREE Software|

Protected by Copyscape Website Copyright Protection