Daboweb | Seguridad y ayuda informática |

Los lectores habituales de Daboweb y otros blogs dedicados a estas cuestiones, ya estaréis al tanto del bug que afectaba a temas y plugins de WordPress con versiones de «Timthumb» vulnerables. Esta herramienta tan utilizada, hace posible la redimensión de imágenes en WP y se reportó una vulnerabilidad que permitía subir cualquier fichero PHP al directorio «cache» de Timthumb, pudiendo ejecutar código y comprometiendo al sitio web afectado.

Hecha esta aclaración, nos hacemos eco de una noticia publicada hoy en «SC Magazine» (ENG), en la que se dan datos acerca de los miles de blogs afectados hasta la fecha, además de recordar que desde hace meses hay una versión de Timthumb corregida.

Como se puede ver, nuevos problemas en viejas vulnerabilidades. Esta es seria y fácil de solventar, os recomendamos revisar vuestras instalaciones de WordPress y reemplazar versiones vulnerables del script caso de haberlas, por otra actualizada (guardadlo en texto plano y renombrarlo como timthumb.php).

Se ha hecho público ahora un incidente que tuvo lugar en los años 2007 y 2008, en el cual, unos ciberatacantes al parecer procedentes de China, se hicieron con el control de los satélites estadounidenses  Landstat-7 y Terra AM-1 en al menos cuatro ocasiones, los cuales son utilizados para conocer datos del terreno y de su clima, si bien no hicieron uso alguno de ellos, limitándose simplemente a «apoderarse» de ellos. No se puede afirmar que el gobierno chino esté detrás de este suceso.

Ambos satélites, son dirigidos desde la estación noruega de Svalbard y mediante estos ataques, de entre aproximadamente dos y doce minutos de duración, tuvieron acceso también a todos los archivos que estos manejan. Estos datos han salido a la luz mediante un informe de la Comisión de Revisión de Economía y Seguridad entre EEUU y China.

Acaba de ser liberada una nueva versión del navegador Opera (11.52) que entre otras correcciones, solventa una vulnerabilidad de gran impacto que se reportó por José Antonio Vázquez (más info desde EnRed).

Está disponible para Windows, GNU/Linux y Mac OS X. Descarga | Lista de cambios. Más info en H Security News.

Dentro del sistema de actualizaciones trimestral de Oracle, en este mes de Octubre se han publicado 57 parches que afectan a la seguridad de múltiples productos Oracle por lo que urge actualizar. Más info en INTECO-CERT.

También se han liberado 20 parches, siendo muchos de ellos catalogados críticos que corrigen múltiples vulnerabilidades en Java SE. Del mismo modo, se recomienda actualizar a la mayor brevedad posible debido al impacto de los bugs solventados. Más info en INTECO-CERT. Para usuarios «no técnicos» y la actualización de Java, se recomienda leer esta información (y actualizar en todos los sistemas operativos, incluso móviles).

Nos hacemos eco en Daboweb de una noticia publicada por INTECO-CERT, sin duda preocupante y que vuelve a incidir en la importancia de tener las aplicaciones web debidamente actualizadas, así como el servidor en donde se alojan correctamente configurado. Lo de «ataque Lizamoon» es por el nombre de uno de los dominios en donde a primeros de año se llevó a cabo un ataque de este tipo.

Este es el tercero en lo que va de año. El primero se  detecto en Marzo y siguiente en Agosto, con un resultado devastador para los miles de servidores y webs bajo osCommerce que fueron comprometidos.

Desde INTECO-CERT se habla de 600.000 sitios web afectados que están además propagando malware. El método es muy común, pero hay muchos usuarios que siguen cayendo en este tipo de engaños. Mientras se visita la URL en cuestión, se realiza una redirección a una web maliciosa que se intenta aprovechar de plugins o versiones vulnerables de Flash, Java, etc, descargando desde un Javascript ofuscado un fichero (scandsk.exe) que resulta ser un troyano.

Hablando de otro gestor de contenidos muy utilizado, WordPress y seguridad en Apache, he publicado una entrada en DaboBlog recomendando 20 plugins para aumentar su seguridad, además varios enlaces que serán de interés para quienes se preocupen por estas cuestiones. No está de más descargarse también la guía en PDF de INTECO-CERT «Seguridad Website».

Tener tu firewall activado es algo que te ayudará frente a muchos tipos de ataque que llegan a través de Internet. Pero que esté activado no quiere decir que la protección que te pueda ofrecer sea la óptima. Es por ello que no está de más comprobar «cómo te ven» desde fuera de tu red.

Muchas veces, se abren ciertos puertos para programas de mensajería, juegos, etc. También, hay servicios en el router a los que se da acceso cuando no debería ser así (SSH, Telnet, Web, etc). Si hace un tiempo os recomendábamos «Nmap Online Scanner«, hoy os sugerimos poner a prueba vuestro firewall con otro servicio que cumple muy bien su función.

Se trata de http://www.whatsmyip.org/ports/

Además, como veréis en la barra de la izquierda, hay otras herramientas que pueden ser de vuestro interés. Buen (y seguro) fin de semana -;)

Gran actualización de software y correcciones de seguridad por parte de Apple. Además de incluir para OS X Lion la actualización de seguridad 2011-006, se lanza la nueva versión 5 de IOS que además de incluir nuevas funcionalidades, corrige una larga lista de bugs en versiones anteriores.

También otros productos como el navegador Safari, Pages, Numbers y Apple TV reciben sendas actualizaciones de seguridad. Se recomienda a todos los usuarios actualizar a la mayor brevedad posible vía el menú «Actualización de Software» o desde iTunes.

Apple acaba de publicar a través de su lista de correo la disponibilidad de iTunes 10.5 que solventa múltiples vulnerabilidades en versiones anteriores para Windows 7, Vista y XP SP 2 y posteriores (ataques «man-in-the-middle«, ejecución arbitraria de código, etc).

Aclarar que estos bugs no afectan a Mac OS X 10.6x, ya que se solventaron en la actualización de seguridad 2011-006. La nueva versión de iTunes para Windows o Mac OS X está disponible desde el sitio web de Apple. Más información sobre actualizaciones de seguridad en Apple (ENG).

Hace unos días, he sido testigo de algo que hemos repetido en varias ocasiones dentro de nuestro apartado «Seguridad básica» en Daboweb. Durante cuatro ocasiones, he podido ver como un usuario en un portátil con Windows 7, le daba a «cerrar ventana« (cuadro de diálogo) cuando veía un aviso de actualización.

Se trataba de las (no) actualizaciones de Windows, el antivirus (más bien de su activación ya que no había cumplimentado el registro y protección «cero» por no tener sus firmas de virus actualizadas), del navegador web y el reproductor «Flash Player»… (no recuerdo si también había alguna de Java).

Estamos hablando de cuatro posibles vías de ataque muy directas hacia su equipo (hay que añadir que el firewall estaba desactivado, por lo que serían cinco) y estando junto a él, comprobé que ni siquiera miraba los cuadros de diálogo, simplemente le daba a cerrar. No pude ver mucho más pero todo eso ocurrió estando yo delante de ese equipo ya que me pidió que le echase un cable con él.

Cuando le pregunté el motivo de actuar así, me respondió que; «Le daba pereza hacerlo porque tendría que reiniciar y que además, sólo usaba el ordenador para navegar y poco más«, sobre lo del registro del antivirus «es que es un rollo» (pero sí tenía configurada su cuenta en FaceBook).

Estos ejemplos vividos en primera persona, lo que hacen es reafirmarte más en que realmente, tenemos que seguir intentando concienciar al usuario de lo que implica usar un ordenador hoy en día con unas mínimas garantías de privacidad y seguridad. También, te hacen pensar en que si el hijo de esa persona, el día de mañana usa el ordenador de su padre «como su padre», estoy convencido que tendrán problemas «de familia».

Así que amigos, no perdamos la esperanza ni las ganas de seguir aportando algo de luz en un panorama muy oscuro.

Nuestro compañero Dabo (que también participa de nuevo en el FIMP, hablando de «(IN) Seguridad, PYMES y Webs«), participará en el «Encuentro Bloggers de Seguridad 2011».

El evento está incluido dentro de las actividades programadas en León, que se llevarán a cabo los días 26, 27 y 28 de Octubre en el 5º ENISE (Encuentro Internacional de Seguridad de la Información) promovido por INTECO-CERT.

Y acompañado nada menos que por José Selvi (pentester.es), Manuel Benet (securityartwork.es) y Yago Jesús (securitybydefault.com), como moderador de la mesa, estará Javier Berciano (Coordinador del Área de Operaciones de INTECO-CERT).

Según se puede leer en la web de este «Encuentro Bloggers de Seguridad 2011»;

Una mesa redonda para debatir en torno al lema central del evento: «Hacia una sociedad conectada más confiable».

Los ponentes son destacados bloggers del mundo de la Seguridad. Tras una introducción individual de cada ponente, se procederá a un turno de debate con preguntas abiertas del público presente.

El evento se retransmitirá en directo en la web desde @intecocert con el hashtag #5Ebloggers y desde la web de 5Enise.

Un evento de seguridad de mucho peso al que os recomendamos ir si tenéis la ocasión de hacerlo. En nombre de toda la comunidad de Daboweb, le deseamos mucha suerte a Dabo en su ponencia, así como al resto de participantes. También damos las gracias a la organización por invitarle a ir y a ver si cuando regrese, nos pone al día de lo aprendido esos días, porque el programa es muy potente (no olvides llevar papel y boli 😉 .

Un mes más, te recomendamos el recopilatorio de entradas publicadas en Daboweb en Septiembre de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte, se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Aprovechamos la ocasión para felicitar, tal y como nos informan hoy nuestros compañeros de Cajón Desastres (sus creadores) a un proyecto tan necesario para los que empiezan como es «Básico y fácil«, son 3 años en la La Red y que sean muchos más -;).

Septiembre 2011

Día |  Artículo

• 30: En Intypedia. Lección 10. Ataques al protocolo SSL
• 29: Mozilla publica diez boletines de seguridad
• 27: Comprometido mysql.com (con posibles consecuencias para sus visitantes).
• 26: [Breves] Firefox 7 versión final, descarga disponible (Windows, GNU/Linux y Mac OS X).
• 23: Windows 8 sí permitirá ejecutar Linux
• 23: [Breves] Actualización de filtros Nauscópicos para AdBlock Plus, (Firefox y Chrome)
• 21: Disponible actualización crítica de seguridad para Adobe Flash Player (Windows, GNU/Linux, Mac y Android)
• 21: Cómo proteger Mac OS X Lion frente a un ataque local contra la contraseña de usuario.
• 21: Disponibles Foros SMF 2.0.1 y 1.1.15 (solventan vulnerabilidades críticas).
• 19: Linux Mint Debian 201109
• 16: PostgreSQL 9.1
• 15: Nociones teórico-prácticas sobre auditorías de seguridad y SSL.
• 14: Windows 8 pre-beta, descarga disponible. Información y guía en PDF con las novedades
• 13: Actualizaciones de Microsoft Septiembre 2011
• 10: Comprometidas cuentas de usuario en BuyVip, cambia ya tu contraseña
• 10: [Breves] Mac OS X, Actualización de seguridad 2011-005
• 09: “Seguridad informática básica” para los que empiezan. Resumen de lo publicado.
• 06: Nueva versión (1.5.16) de Coppermine Photo Gallery (Actualización de seguridad).
• 06: Disponible OpenSSH versión 5.9
• 05: openSUSE 12.1 Milestone 5 dice adios al Java de Oracle
• 02: Sobre el ataque a kernel.org ¿Debo preocuparme? Hablemos de Git.
• 01: Pubicado en Daboweb. Agosto de 2011

Al igual que en anteriores ocasiones, os recomendamos una nueva lección de Intypedia (Enciclopedia de Seguridad de la Información). En este caso, está orientada a los ataques al protocolo SSL, (Interesante también esta información sobre la última vulnerabilidad en SSL y TLS desde Inteco).

Según podemos leer en el resumen de esta lección;

Alicia explica a Bernado los ataques más famosos al protocolo SSL/TLS y como protegerse de ellos. En el vídeo se recomiendan acciones básicas para una navegación más segura utilizando dicho protocolo.

Información de apoyo

Guión [PDF][415KB]
Diapositivas [PDF][134KB]
Ejercicios [PDF][908KB]

La Fundación Mozilla ha publicado hasta diez boletines de seguridad sobre productos suyos acerca de vulnerabilidades que en algunos casos han sido clasificadas como críticas y que en algunos casos ni requerirían la colaboración del usuario afectado. Ejecución de código a través de archivos .ogg, elevación de privilegios a través de JSSubScriptLoader, corrupción de memoria o incluso problemas de instalación de software al presionar la tecla «Intro», son algunos de los fallos encontrados y motivo principal de estos boletines.

Los responsables del proyecto Mozilla recomiendan la actualización inmediata del cliente de correo Thunderbird, de SeaMonkey y del popular y utilizado navegador opensource Firefox para mayor seguridad de sus usuarios. Mas información aquí.

Según leemos en Hack Players, la web de MySQL ha sido víctima de un ataque  cuyo resultado, a falta de más datos sobre los contenidos que aloja, es la posible infección por malware de quienes lo visiten. Es la segunda vez este año que mysql.com sufre un ataque (no ponemos el enlace ya que ahora mismo, no es seguro visitar su web). En Slashdot se ha publicado que vendieron el exploit por 3.000 $.

Se trata de un «iframe» ofuscado en su código, que realiza una redirección a un servidor localizado en Alemania, para acto seguido, llevar al visitante a otro servidor desde donde se ejecuta un exploit. Recomendamos extremar las precauciones si se ha visitado recientemente y realizar un análisis del equipo en busca de posibles rastros de malware.

Adobe acaba de publicar una nueva versión de su reproductor Flash Player que solventa varias vulnerabilidades catalogadas como críticas para los sistemas afectados. En Windows, GNU/Linux, Mac OS X o Solaris, si tienes la versión 10.3.183.7 o una anterior, debes actualizar a la 10.3.183.10. En plataformas Android, si tienes la versión 10.3.186.6 o una anterior, debes actualizar a la versión 10.3.186.7.

Si quieres saber la versión de Flash Player que utilizas, puedes comprobarlo desde este enlace.

Concretamente, los bugs corregidos son los siguientes; CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430, CVE-2011-2444. Hablamos de vulnerabilidades serias caso de ser explotadas, como puede ser la ejecución de código arbitrario en los equipos afectados (AVM stack overflow), ataques cross-site scripting a través de webs o e-mails previamente manipulados para tal fin, en funciones de streaming, etc.

Información detallada en Adobe de los parches incluidos y bugs (ENG) | Descarga de Flash Player.