Boletin mensual de seguridad con lo mas destacado del mes de Marzo, incluye listado con los parches de seguridad liberados este mes, informacion sobre eventos de seguridad, recursos tecnicos, herramientas, etc.

Ciberdelincuentes podrían obtener control de los televisores inteligentes de Philips y alterar la programación del aparato- e incluso hasta cambiar los canales en vivo- a través del adaptador Wi-Fi, ya que cuenta con una contraseña fija y no modificable por los usuarios. Además de cambiar los canales o la imagen en pantalla a su elección (algo útil para ataques de phishing, por ejemplo), los atacantes también podrían acceder al contenido de los dispositivos USB que estén conectados al televisor.

En total Apple ha corregido 27 vulnerabilidades, entre las que se incluyen las presentadas en el evento Pwn2Own (dos semanas después de su celebración). Todos los problemas están relacionados con WebKit, el motor de navegador de código abierto que es la base de Safari. 26 de ellas podrían llegar a permitir la ejecución remota de código arbitrario y otra que podría permitir a un atacante que ejecute código en WebProcess leer archivos arbitrarios fuera de las restricciones de la sandbox.

Nuevo bug en iOS 7.1 que permite a una persona con acceso al terminal deshabilitar el servicio de Find My iPhone sin necesidad de tener la contraseña de Apple iCloud. Hay que recordad que en iOS 7 se añadió como forma de fortificar la seguridad anti-robo de los dispositivos que no se pudiera deshabilitar Find My iPhone sin tener la contraseña de la cuenta de Apple iCloud que se usa para hacer tracking del dispositivo, pero en iOS 7.4 se encontró una forma de borrar la cuenta y ahora en iOS 7.1 ha aparecido otra forma.

Esta alerta es para proporcionarle una visión general de los nuevos boletines de seguridad que se publicó el 08 de abril de 2014. Los boletines de seguridad se publican mensualmente para resolver las vulnerabilidades de problemas críticos.

Comprueba si tu servidor web está afectado por el fallo de seguridad HeartBleed en la libreria OpenSSL. Para comprobar si un determinado servicio está afectado, basta con realizar un test online. Sin embargo, si además de comprobar que vuestro servidor es vulnerable queréis ver qué información se podría filtrar a un usuario malicioso, podéis visitar este GitHub donde encontraréis un programa en python que se encarga de descargar esta información.

Desde que se publicó el bug de Heartbleed ha sido un día duro en Eleven Paths, como en muchas otras compañías de Internet para conseguir tener los sistemas actualizados sin sufrir interrupciones de servicio, para lo que hubo que tensar los procedimientos de emergencia y trabajar muchas horas y con intensidad. Si no te has enterado aún de qué este fallo, voy a intentar hacerte entender la magnitud del fallo para que tomes tus medidas de seguridad.

La vulnerabilidad CVE-2014-0160 es ya considerada como uno de los mayores fallos de seguridad en Internet conocidos hasta la fecha y ya están apareciendo algunos PoC que facilitan su explotación de forma masiva.

Adobe ha publicado una nueva actualización para Adobe Flash Player, en esta ocasión para evitar cuatro nuevas vulnerabilidades que afectan al popular reproductor. Dos de las vulnerabilidades podrían permitir a un atacante tomar el control de los sistemas afectados.

Con frecuencia escuchamos la frase célebre “las paredes oyen”. Ahora, parece que tu computadora también lo hace: se ha descubierto una vulnerabilidad en Google Chrome que permite a los atacantes escuchar lo que dices sin permiso, incluso si el micrófono está deshabilitado. La falla fue advertida por el investigador de seguridad israelí Guy Aharonovsky, quien escribió en su blog: “Ni siquiera bloqueando el acceso al micrófono a través de chrome://settings/content se solucionará”.

A principios de semana se destapó al mundo posiblemente una de las vulnerabilidades más graves de la historia de Internet tanto por importancia como por alcance. Heartbleed es un agujero de seguridad encontrado en algunas versiones de OpenSSL, concretamente desde la 1.0.1 y la 1.0.1f, que permitiría a un atacante acceder a parte de la memoria del proceso del mismo; algo que se vuelve aún más delicado al tener en cuenta que OpenSSL juega un papel clave en el cifrado de las comunicaciones en Internet.

El 8 de abril de 2014, los investigadores de seguridad anunciaron un defecto en la biblioteca OpenSSL software de cifrado utilizado por muchos sitios web para proteger los datos de los clientes. La vulnerabilidad conocida como "Heartbleed", podría permitir potencialmente a un cyberattacker para acceder a un sitio web, de los datos del cliente junto con el tráfico las claves de cifrado. Tras una minuciosa investigación la mayoría de los Servicios de Microsoft no se ven afectados por la vulnerabilidad "Heartbleed".

En Cloudflare admitieron que la vulnerabilidad conocida como HeartBleed es muy grave, sin embargo, pensaban que conseguir la clave privada del servidor sería muy difícil haciendo uso de esta vulnerabilidad. Conseguir esta clave tendría como consecuencia revocar los certificados SSL y volver a crear unos nuevos ya que de lo contrario el atacante podría descifrar todo el tráfico.

Se ha publicado la versión 3.8.2 de Wordpress que soluciona dos vulnerabilidades e incluye tres implementaciones de seguridad. Las vulnerabilidades son un fallo que podría permitir a un atacante falsificar la cookie de autenticación y posible elevación de privilegios al permitir a un usuario con el rol de Colaborador publicar entradas de forma indebida.

En esta entrada voy a intentar explicar como pasar del exploit que desarrollamos en la entrada anterior “Mini HTTPD Server 1.2” a un módulo de Metasploit, el cual nos permitirá tener mucha más flexibilidad a la hora de elegir payloads y otras opciones que iremos incorporando en un futuro.

Durante mucho tiempo WhatsApp no implementaba ningún tipo de cifrado en las comunicaciones, y cuando lo hizo, tampoco fue un portento de diseño. Yo mismo he identificado y publicado dos vulnerabilidades que permitían secuestrar cualquier número de teléfono en la red de WhatsApp.

Buenas a todos, ahora que estamos de vacaciones y tenemos algo más de tiempo, queremos dar comienzo a una cadena de posts en la que construiremos nuestra propia máquina virtual vulnerable, para ayudar a toda la gente que esté aprendiendo seguridad de la información y que tenga un sistema al que poder atacar "sin meterse en lios".

La gravedad de la vulnerabilidad Heartbleed ha provocado que innumerables sitios web y servidores aborden la cuestión. Y con razón: un examen llevado a cabo en Github demostró que más de 600 de los 10.000 sitios (basados en el ranking de Alexa ) eran vulnerables . En el momento de la exploración, algunos de los sitios afectados incluían Yahoo , Flickr, OkCupid , la revista Rolling Stone y Ars Technica. Todo esto plantea la siguiente pregunta: ” ¿Están los dispositivos móviles afectados?” La respuesta es sí.

Se ha confirmado una vulnerabilidad en IBM SPSS Analytic Server que podría permitir a usuarios autenticados obtener todas las contraseñas. El problema reside en que IBM SPSS Analytic Server escribe las contraseñas en texto plano en archivos de "log", de tal forma que cualquier usuario autenticado puede obtener dichas contraseñas.

Buenas a todos, continuando con la cadena de artículos sobre la creación de un entorno vulnerable, hoy vamos a construir una página web sencilla vulnerable a SQL Injections. En esta entrega crearemos una BBDD en Mysql, a la que llamaré "cursoseguridad" y una sencilla aplicación en PHP.

McAfee ha presentado una herramienta gratuita que ayuda a medir fácilmente su susceptibilidad a los efectos potencialmente peligrosos del bug Heartbleed, una vulnerabilidad en OpenSSL que ha puesto en situación de riesgo la información personal de millones de internautas. Al introducir los nombres de dominio en la herramienta Heartbleed Checker, se puede determinar de inmediato si los sitios web que frecuentan se han visto afectados por Heartbleed, comprobando si éstos se han actualizado a la versión de OpenSSL que no es susceptible al fallo.

Siguiendo su ritmo de publicación trimestral de actualizaciones, Oracle publica suboletín de seguridad de abril. Contiene parches para 104 vulnerabilidades diferentes en cientos de productos pertenecientes a diferentes familias, que van desde el popular gestor de base de datos Oracle Database hasta Solaris o MySQL.

El fallo CVE-2014-0092, detectado durante una auditoría de seguridad de Red Hat, afecta a la forma en la que la librería GnuTLS verifica los certificados digitales X.509, pudiendo dar por válido un certificado digital que no lo es. Esta vulnerabilidad, para que pueda ser explotada, necesita un atacante actuando de forma activa como MitM "man-in-the-middle". La mejor forma de solucionar el problema, es actualizar GnuTLS a las versiones (3.2.12 o 3.1.22) o aplicar el parche y compilar de Nuevo.

En un artículo anterior ya hablamos del origen y de las consecuencias para la seguridad del fallo en la librería GnuTLS, ahora nos centraremos en la forma de solucionarlo centrándonos en las distintas estrategias en función de la situación en la que se encuentre nuestra distribución.

Apache ha confirmado que un problema solucionado de forma incompleta en el proyecto Apache Struts podría seguir aprovechándose para ejecutar código remoto en el servidor. Struts es un entorno de trabajo de código abierto para el desarrollo de aplicaciones web en Java EE bajo el patrón MVC (Modelo Vista Controlador). Desarrollado por la Apache Software Foundation, en un primer momento formaba parte del proyecto Jakarta, convirtiéndose en proyecto independiente en 2005. En la actualidad la versión 2 es la única soportada.