You are here: Home » None

Vulnerabilidad en el protocolo UPnP.

by Esteban on January 30, 2013 0 Comments

La empresa Rapid7 ha publicado un whitepaper [PDF] donde se explican detalladamente todas y cada una de las vulnerabilidades encontradas en el protocolo UPnP.

Las vulnerabilidades que se han detectadado son:

 

  • Errores de programación en el protocolo SSDP (UPnP discovery Protocol) que puede ser utilizado por los atacante para provocar una DoS o ejecutar un código arbitrario.
  • Existe una vulnerabilidad en  la interfaz de control de UPnP (SOAP) que expone la red privada a ataques desde Internet o incluso a la capacidad de extraer información sensible de la red privada.
  • Las Vulnerabilidades encontradas en las implementaciones de UPnP HTTP y SOAP permiten a los atacantes llevar a cabo DoS o ejecución de código arbitrario.
  •  

Estas vulnerabilidades ya han sido solucionadas en la versión 1.6.18 del kit de desarrollo de UPnP, sin embargo son muchos los dispositivos y fabricantes que implementan este protocolo y que por tanto tardarán cierto tiempo en actualizar.

 

Los router que instalan las operadores de telecomunicaciones tiene activado por defecto al protocolo UPnP, por lo que es muy probable que prácticamente todas las línea de ADSL se vean afectadas por estas vulnerabilidades.

 

Es por ello que existe un elevado grado de exposición lo que establece estas vulnerabilidades en una alta probabilidad de ataque, existiendo un alto impacto.

 

M’as detalles sobre las vulnerabilidades:

  • Exploitable Stack Overflow in the MiniUPnP SOAP Handler | CVE-2013-0230.
  • Denial of Service Flaws in the MiniUPnP SSDP Parser | CVE-2013-0229.
  • Exploitable Vulnerabilities in the Portable SDK for UPnP Devices SSDP Parser | CVE-2012-5965

 

Soluciones al problema:

 1. Esperar la actualización del fabricante, o

 2. La opción más recomendada, es desactivar inmediatamente el protocolo UPnP en el dispositivo de comunicaciones.

Rapid7  ha creado una aplicación que permite descubrir si nuestra red es vulnerable o no, se llama ScanNow UPnP y se puede descargar en el siguiente enlace:

http://updates.metasploit.com/data/ScanNowUPnP.exe

 

Fuente:

http://threatpost.com/



 

Vulnerabilidad en Mega permite obtener contraseñas.

by Esteban on January 27, 2013 2 Comments

Con menos de una semana de haber sido lanzado, Mega esta siendo analizado por multitud de usuarios y expertos que tratan de averiguar sus secretos, ventajas y vulnerabilidades y comprobar si cumple las enormes expectativas creadas.

Uno de estos investigadores es Steve “Sc00bz” Thomas, experto en seguridad que al parecer ha descubierto una posible vulnerabilidad en el sistema de registro de Mega que permitiría a un atacante hacerse con las contraseñas de acceso de una cuenta y tomar su control.

Suena grave, pero para que esto suceda deben darse varias condiciones. En realidad, el problema parece radicar en el e-mail de confirmación de las cuentas que envía Mega a los usuarios y en el enlace en el que debemos hacer click para verificar que lo hemos recibido.

Este enlace incluiría un hash de nuestra contraseña así como la clave maestra, cifrada, que luego se usará para descifrar los archivos que almacenemos en nuestro espacio en Mega.

Steve Thomas lo que ha hecho es elaborar una herramienta que ha llamado MegaCracker y que básicamente recoge esta información del e-mail de confirmación y trata de descifrar nuestra contraseña por fuerza bruta.

 

Hacerse con el control de una cuenta no es, por lo tanto, algo inmediato. Para que un atacante pueda hacerse con nuestra contraseña debe en primer lugar tener acceso a nuestro correo para hacerse con el e-mail de verificación enviado por Mega, y en segundo lugar averiguar la contraseña que está cifrada con AES.

Desde Mega todavía no han hecho una declaración oficial sobre si cambiarán el formato del enlace, aunque desde varios medios como Twitter y su blog oficial se ha comentado la importancia de elegir una contraseña con un nivel de seguridad adecuado y que siguen trabajando para mejorar el funcionamiento de un servicio que se ha visto claramente desbordado en estos primeros días de funcionamiento.

 

Trojan.Stabuniq ataca Instituciones financieras de Estados Unidos.

by Esteban on January 2, 2013 0 Comments

En el mes de diciembre pasado se ha descubierto el Trojan.Stabuniq,  hasta el momento sus ataques han sido focalizados a instituciones financieras de Estado Unidos.

Este trojano usa un conjunto de sofisticados exploits que penetran los equipos vulnerables  con ataques por medio de spam email phishing.

En estudios realizados se ha determinado que un 40% de los sistemas infectados corresponden a instituciones bancarias, principalmente en la región noreste de los Estados Unidos.

El trojano se ha encontrados en mail servers, firewalls, proxy servers y gateways de las instituciones financieras. El trojano recolecta información de los sistemas infectados y lo envía a un command-and-control server (C&C).

Esta diseñado para atacar sistemas Windows 2000, Windows NT y Windows XP.  El malware es fácil de remover, por lo que pone a pensar a los investigadores sobre el objetivo final de los diseñadores del malware.

Según los investigadores el objetivo principal es el de obtener información, lo que no se sabe es el propósito de obtener esa información, si se trata de robo de identidad, fraudes, transferencias de fondos, ataques coordinados en contra de la infraestructura etc.

A pesar de que por el momento Symantec ha catalogado esta amenaza como de bajo riesgo,  se ha encendido la alerta e investigadores se encuentran estudiando a detalle el comportamiento del mismo de este malware, por lo que estamos pendientes de noticias.

 

Fuentes:

http://www.symantec.com/security_response/writeup.jsp?docid=2012-121809-2437-99

http://www.securitybistro.com/blog/?p=4643

http://www.digitaltrends.com/web/beware-trojan-stabuniq-a-new-malware-targeting-american-banks/

www.estebanrojas.com