- sistema & mantenimiento -

EST. 1991

** CONTACTO **
www./sysmain.es/sysmain.com
/sysmain.info/sysmain.eu
/sysmain.net/sysmain.com.es
/sysmain.org.es/sysmain.org
SySmain | Fallos Seguridad
72
archive,category,category-fallos-seguridad,category-72,ajax_updown_fade,page_not_loaded,boxed,select-theme-ver-3.2.3,side_area_uncovered,,wpb-js-composer js-comp-ver-4.12,vc_responsive

Más routers afectados y las conexiones seguras en riesgo: la amenaza de VPN Filter se agrava

A finales de mayo se avisó sobre la amenaza que suponía VPN Filter. Un malware que ataca a los dispositivos para convertirlos en bots, y así controlar de forma remota para lanzar ataques masivos coordinados. En ese momento eran 14 los modelos afectados.

Parecía entonces que la amenaza estaba restringida a un número concreto de routers, algo que no evitó que desde el FBI se recomendará tomar medidas con todos los modelos existentes en el mercado. Además, las páginas seguras parecían estar a salvo… Y puede que algo más supieran por aquel entonces, pues ahora nos enteramos que el problema es más extenso de lo que creíamos en un principio.

No se libran ni las conexiones seguras

Los hackers rusos podrían haber llegado a infectar hasta 500.000 routers antes que el FBI tomara medidas. Motivos más que suficientes para pensar en que el malware podría haber infectado en ese lapso de tiempo a un indeterminado número de routers mediante ataques man-in-the-middle.

El malware se habría encargado de inyectar código malicioso para lograr extraer información de carácter sensible de los usuarios afectados mediante el análisis del tráfico web. El proceso se llevaría a cabo mediante el análisis de las URL de las páginas y la información que se transmite, la cual sería enviada a servidores que los hackers aún controlan.

El problema se agrava porque el malware sería capaz de vulnerar las conexiones que consideramos seguras, esto es, las HTTPS. En este sentido no se librarían ni siquiera comunicaciones que se envían a sitios cómo Google, Facebook, Twitter o YouTube, los cuales hacen uso de funcionalidades de seguridad extra.

“Inicialmente, cuando vimos esto, pensamos que estaba hecho principalmente para capacidades ofensivas como ataques de enrutamiento en Internet”

Todos los datos que por lo tanto, circulan cuando visitamos una web supuestamente segura, pueden estar al descubierto. Pensemos en páginas web de entidades bancarias, médicas… un abanico enorme y con muchos puntos débiles que pueden ser atacados.

Y si esto no es suficiente, además se ha descubierto que el número de modelos afectados por el malware es mayor del que se tenía pensado en un principio. Por marcas, el listado completo de los routers amenazados a estas alturas es este:

  • Modelos afectados de ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
  • Modelos afectados de D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
  • Modelos afectados de Huawei: HG8245
  • Modelos afectados de Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • Modelos afectados de Mikrotik: CCR1009, CCR1016,CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
  • Modelos afectados de Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • Modelos afectados de QNAP: TS251, TS439 Pro, otros NAS de QNaP que usen software QTS
  • Modelos afectados de TP-Link: R600VPN, TL-WR741ND, TL-WR841N
  • Modelos afectados de Ubiquiti: NSM2, PBE M5
  • Modelos afectados de Upvel: modelos desconocidos
  • Modelos afectados de ZTE: ZXHN H108N

Fuente | Ars Technica
En Xataka

Descubren un agujero en Intel y la solución podría ralentizar tu ordenador hasta un 30%

Intel se corona como responsable de la primera pifia tecnológica del año. Después de que  el pasado mes de noviembre pusieran en riesgo a millones de ordenadores de todo el mundo por un agujero, inauguran enero con otro fallo masivo en sus procesadores. En este caso, se trata de una vulnerabilidad de seguridad en los chips desarrollados durante la última década, sin importar la marca de ordenador ni el sistema operativo utilizado.

 

Como indican en The Register, el error se solucionaría con una actualización que tampoco está exenta de consecuencias negativas. Aunque aún están evaluando los efectos, los primeros indicios estiman que arreglarlo provocaría pérdidas de rendimiento entre el 5 y el 30%, dependiendo de la tarea realizada y del modelo de procesador. Este periódico ha contactado con Intel y Microsoft, pero por el momento no ha recibido respuesta sobre los datos del defecto.

Entonces, ¿cuál es exactamente la vulnerabilidad? “Los detalles de Intel son secretos, pero un embargo debe salir a la luz a principios de este mes, a tiempo para que Microsoft lance su parche la próxima semana”, indican en el medio británico de tecnología. Ni siquiera son públicos en un software libre como Linux, ya que el código fuente del parche ha sido ha sido modificado para ocultar el problema.

A pesar de ello, en The Register sí que han descubierto algunos elementos de la vulnerabilidad y ya conocen algunas de las consecuencias que tendrían para los usuarios. Concretamente el fallo estaría en el hardware de Intel con tecnología x86-64, que es la versión 64 bits de los microchips desarrollados por la compañía y que llegaron para sustituir a los procesadores de 32 bits. Al adoptar la nueva arquitectura, los ordenadores permitían a los programas almacenar una mayor cantidad de memoria y, por ello, aumentar el rendimiento.

Pero lo que era una ventaja en el plano teórico, ha terminado siendo un inconveniente en la práctica. Ahora, los microprocesadores de Intel con esas características que  soportan la ejecución fuera de orden tienen un agujero de seguridad que incluso podría ser aprovechado por terceros para acceder a contenido cifrado.

El error, según el medio inglés, está relacionado con el modo en que los chips de Intel gestionan los procesos en el kernel (o núcleo), que es una de las partes más importantes de los sistemas operativos, ya sea Android, iOS o Windows. Es la encargada dar acceso a los programas para garantizar un funcionamiento óptimo entre hardware y software. Si no funcionara el kernel, entonces no podrían habría comunicación entre los periféricos y ni siquiera podría usarse el ratón o el teclado.

Todos los procesos que gestiona el kernel están protegidos, ya que ahí es donde se almacenan datos que comprometen la estabilidad del sistema y la seguridad del usuario (como contraseñas y caché). Sin embargo, a raíz del fallo de Intel, algunos programas podrían acceder a ciertas áreas protegidas del núcleo. Esto permitiría que aplicaciones de terceros, desde bases de datos hasta el JavaScript ejecutado en el navegador, dispongan de una puerta abierta al corazón de los ordenadores.

¿Qué consecuencias podría tener? Como explican en la web de noticias británica, existen dos posibilidades: el mejor de los casos, donde la vulnerabilidad es aprovechada por piratas informáticos para introducir malware en el dispositivo; y el peor de los casos, en el que podrían emplear el agujero para leer todo el contenido oculto almacenado en el núcleo. “Imagine una pieza de JavaScript ejecutándose en un navegador o software malicioso que se ejecuta en un servidor público en la nube”, indican en The Register.

Una solución, pero con consecuencias

Al ser un inconveniente con el hardware de Intel, este no podría solucionarse fácilmente con una actualización que modifique su código interno. Hay que ir más allá. El remedio pasa por lo que definen como Kernel Page Table Isolation, que, en otras palabras, es separar la memoria kernel del resto de procesos que esté haciendo el usuario para ofrecer una capa extra de protección.

Gracias a esto, la memoria protegida del núcleo solo sería accesible cuando un programa del usuario necesite acceder a ella. De esta manera, ya sea para escribir en un archivo o abrir una conexión de red, el procesador tiene que ceder temporalmente el control al núcleo. La parte negativa es que esto conlleva un trabajo extra para el ordenador, que ahora debe cambiar constantemente entre el “modo kernel” y el “modo usuario” para no poner en riesgo la seguridad del sistema. Como consecuencia, un ordenador con una CPU Intel tendrá más sobrecarga e irá más lento.

El periódico inglés sostiene que el problema no solo afecta a ordenadores domésticos, también a servicios de datos en la nube como Microsoft Azure o Amazon EC2. Por ello, las grandes compañías responsables ya tienen planeadas tareas de mantenimiento y actualizaciones para solucionar el error.

El problema no aparece en dispositivos con AMD, marca que junto a Intel lidera el mercado de procesadores. Según The Register, Tom Lendacky, ingeniero de software de AMD, comunicó vía email que la microarquitectura de sus chips establece otro tipo de relación entre este y la memoria del kernel. A pesar de ello,  el parche de Linux se aplica a todos los procesadores de 64 bits, asumiendo que todos son inseguros independientemente de su marca. Debido a ello, el mismo Lendacky recomienda no habilitarlo.

Aunque aún se desconocen las consecuencias exactas,  las primeras pruebas de rendimiento tras el parche en Linux ya reflejan un descenso del 18%. A falta de un comunicado oficial de Intel, las dudas no paran de crecer. Y mientras llega una explicación, si lo hace, la recomendación para los usuarios de dichos procesadores es solo una: actualiza en cuanto puedas.

 

Fuente: Eldiario

Descubren grave fallo de seguridad en protocolo WPA2 de redes Wi-Fi

La vulnerabilidad permite interceptar las conversaciones aprovechando un fallo en los four-way handshakes.

Un fallo de seguridad en el protocolo WPA2 ha sido explotado para conseguir escuchar el tráfico de los dispositivos que se comunican mediante Wi-Fi. Se trata de una vulnerabilidad en la administración de los llamados four-way handshake, verdaderos “apretones de mano virtuales” que llevan a cabo los dispositivos electrónicos que desean entablar una comunicación.

La investigación se basó en KRACK (abreviado de Key Reinstallation Attacks), un software desarrollado específicamente para probar el exploit por Mathy Vanhoef y Frank Piessens en la universidad belga KU Leuven. La vulnerabilidad fue celosamente guardada durante semanas antes de la divulgación hoy lunes 16 de octubre.

Acorde con la investigación, el método funciona explotando los four-way handshakes que se utilizan para establecer una clave para encriptar el tráfico de los sistema Wi-Fi. En la terminología del protocolo WPA (largamente presente en los routers de Wi-Fi que se encuentran en todos lados), un four-way handshake es un paquete de datos que se intercambian entre un punto de acceso y un cliente cuando es necesario realizar un proceso de autenticación.

Durante el tercer paso de ese proceso, la clave puede ser reenviada múltiples veces. Y cuando es reenviada, se puede reutilizar un “nonce criptográfico” (o número arbitrario) para debilitar el cifrado.

Esta debilidad en el protocolo deja una puerta abierta para espiar el tráfico Wi-Fi (sniffing) mediante la información que se traspasa entre las computadora personales y los puntos de acceso.

Tras nuestra investigación inicial, descubrimos que Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros, se ven afectados por alguna variante de los ataques. Para obtener más información sobre productos específicos, puedes consultar la base de datos de CERT / CC o comunicarse con su proveedor.

En tanto, las vulnerabilidades ya han sido indexadas como: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088. Es importante considerar que el prefijo CVE (Common Vulnerabilities and Exposures), es utilizado para identificar mediante una lista las vulnerabilidades que han sido publicadas, aunque de momento se están esperando parches oficiales de seguridad.

Por su parte, el centro de investigación informática CERT consignó en un comunicado que:

Se han descubierto varias vulnerabilidades de administración en el ‘4way-handshake’ del protocolo de seguridad Wi-Fi Protected Access II (WPA2). El impacto de la explotación de estas vulnerabilidades incluye poder realizar descifrados, repetición de paquetes, ‘hijacking’ de conexión TCP, inyecciones a contenido HTTP, entre otros. Es importante tener en cuenta que la mayorías de las implementaciones del estándar se verán afectadas.

Fuente: FayerWayer