Friday 28 June 2019
LANZAN ALERTAS FALSAS USANDO VULNERABILIDADES EN LTE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/lanzan-alertas-falsas-usando-vulnerabilidades-en-lte/
Un grupo de especialistas en auditorías de sistemas se las arregló para engañar al sistema de alerta presidencial enviando un falso mensaje imposible de ser bloqueado a los teléfonos de los asistentes a un estadio de fútbol con capacidad para 50 mil personas.
El equipo, compuesto por investigadores de la Universidad de Colorado Boulder, encontró la forma de falsificar la alerta y enviarla usando radio definida por software, que está al alcance de cualquier usuario; además, los expertos realizaron algunas modificaciones a las bibliotecas de código abierto NextEPC y srsLTE. El experimento mostró una tasa de efectividad del 90%.
Acorde a especialistas en auditorías de sistemas, la Alerta Inalámbrica de Emergencia (WEA) es operada por la Agencia Federal de Manejo de Emergencias de E.U. y tiene como propósito garantizar una comunicación rápida y efectiva entre el presiente y los ciudadanos en caso de emergencia. Estas alertas presidenciales no pueden ser desactivadas o bloqueadas, en otras palabras, no importa si el peligro es real o es una falsa alarma, los teléfonos siempre recibirán estas alertas.
En su investigación, los especialistas mencionan que usaron estaciones base portátiles para imitar la señal LTE enviada por las torres de telefonía móvil. Las pruebas fueron realizadas en el Folsom Field de la Universidad de Colorado, con capacidad para 50 mil personas; aunque las alertas no llegaron a todo ese público, los expertos descubrieron que eran capaces de enviar estos mensajes tanto a usuarios de Android como de iOS.
“Usando cuatro estaciones base portátiles de solamente un watt de potencia pudimos enviar el mensaje a casi todos los espectadores en el estadio con una tasa de éxito de poco más del 90%”, explicaron los investigadores.
Acorde a los expertos en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) los actores de amenazas podrían emplear un ataque similar para engañar a decenas de miles de personas con mensajes falsos anunciando supuestos ataques terroristas hasta desastres naturales.
Los investigadores consideran que han descubierto una vulnerabilidad masiva en la red de telefonía móvil de E.U. y, aunque afirman que el problema se puede corregir, ninguna de las posibles soluciones será fácil de implementar.
NUEVO JAILBREAK DE PS VITA; CÓMO USAR EL EXPLOIT TRINITY
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/nuevo-jailbreak-de-ps-vita-como-usar-el-exploit-trinity/
Especialistas en análisis de vulnerabilidades reportan la aparición de un exploit par la consola PS Vta de Sony con el que los usuarios pueden desbloquear el dispositivo para ejecutar juegos, aplicaciones, emuladores, entre otras funciones más. Lanzada en 2012, PS Vita es una consola portátil con pantalla de 5 pulgadas, procesador de cuatro núcleos y que incluye soporte para cientos de juegos, incluyendo títulos de consolas anteriores, como PSP y PSOne.
El exploit Trinity fue lanzado por primera vez en mayo pasado, pero los desarrolladores acaban de lanzar una nueva versión junto con una explicación paso a paso para explotar una vulnerabilidad presente en la consola PS Vita. Trinity es compatible con la más reciente versión del firmware de la consola.
En realidad esta es la tercera versión del exploit que se publica, mencionan los expertos en análisis de vulnerabilidades. Aunque desde su lanzamiento hay usuarios buscando la forma de acceder al software de la consola, Sony había lanzado actualizaciones de firmware que inhabilitaban las herramientas empleadas por los hackers para desbloquear el PS Vita.
No obstante, esto cambió a principios de este año, pues Sony decidió descontinuar la producción de hardware de PS Vita a principios de este año, y los expertos consideran muy poco probable que la compañía siga lanzando actualizaciones de software para este dispositivo. En otras palabras, se puede hacer jailbreak a las versiones de firmware de PS Vita 3.69 y 3.60 y usar la consola liberada de manera indefinida.
Por otra parte, la decisión de la compañía también podría impactar la funcionalidad de este exploit. Como los desarrolladores comentan, una parte fundamental para desbloquear un PS Vita usando Trinity es la descarga de un juego de PSP o un demo desde PlayStation Store para instalar un emulador en el PS Vita, pues la explotación requiere un emulador de PSP, que podría dejar de estar disponible en el futuro cercano.
Acorde a los especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS), el hacker que descubrió la vulnerabilidad en PS Vita que explota Trinity decidió no hacer pública la falla hasta después de la decisión de Sony de dejar de dar soporte a la consola, esperando extender la vida útil de este exploit.
A pesar del poco éxito que tuvo en el mercado, aún es posible conseguir una consola PS Vita en algunas tiendas en línea.
FAKE EMERGENCY ALERTS ARE LAUNCHED VIA VULNERABILITY IN LTE
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/25/fake-emergency-alerts-are-launched-via-vulnerability-in-lte/
A group of IT system audit specialists managed to trick the presidential alert system by sending a fake message that is impossible to be blocked by the phones of attendees at a football stadium with capacity for 50,000 people.
The team, made up of researchers from the University of Colorado Boulder, found a way to spoof the alert and send it using software-defined radio, which is available to any user on any store; in addition, the experts made some modifications to the Open Source NextEPC and srsLTE libraries. The experiment showed an effectiveness rate of 90%.
According to IT system audit specialists, the Wireless Emergency Alert (WEA) is operated by the U.S. Federal Emergency Management Agency and aims to ensure rapid and effective communication between the US President and the citizen in the event emergency. These presidential alerts cannot be disabled or blocked, in other words, no matter if the danger is real or a fake alarm, phones will always receive these alerts.
In their research, specialists mention that they used portable base stations to mimic the LTE signal sent by mobile towers. The tests were conducted at the Folsom Field of the University of Colorado, with capacity for 50 thousand people; although the alerts didn’t reach that entire audience, experts found that they were able to send these messages to both Android and iOS users.
“Using four portable base stations of only a watt of power we were able to send the message to almost every spectator in the stadium with a success rate of just over 90%,” the researchers explained.
According to the International Institute of Cyber Security (IICS) IT system audit experts, threat actorscould use a similar attack to deceive tens of thousands of people with fake messages by announcing alleged attacks terrorists to natural disasters.
Researchers believe they have discovered a massive vulnerability in the U.S. mobile network and, while they claim that the problem can be fixed, none of the possible solutions will be easy to implement.
PS VITA JAILBREAK; HOW TO USE THE NEW TRINITY EXPLOIT
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/25/ps-vita-jailbreak-how-to-use-the-new-trinity-exploit/
Vulnerability testing specialists reported the emergence of an exploit for the Sony PS Vita console with which users can unlock the device to run games, apps, and emulators, among other functions. Launched in 2012, PS Vita is a 5-inch display portable console with 4 cores and includes support for hundreds of games, including titles from older consoles such as PSP and PSOne.
The Trinity exploit was first released last May, but the developers just released a new version along with a step-by-step explanation for exploiting the vulnerability present on the PS Vita console. Trinity supports the latest console firmware version.
Actually this is the third version of the exploit that is published, as mentioned by the vulnerability testing specialists. Although there have been users looking for ways to access the console software since its release, Sony had released firmware updates that disabled the tools used by hackers to unlock the PS Vita.
However, this changed earlier this year, as Sony decided to discontinue production of PS Vita hardware earlier this year, and experts find it highly unlikely that the company will keep releasing software updates for this device. In other words, you can jailbreak PS Vita firmware versions 3.69 and 3.60 and use the unlocked console indefinitely.
Moreover, the company’s decision could also impact the functionality of this exploit. As the developers comment, a key part of unlocking a PS Vita using Trinity is downloading a PSP game or demo from PlayStation Store to install an emulator on the PS Vita, as the exploit requires a PSP emulator, which could stop be available in the near future.
According to the International Institute of Cyber Security (IICS) vulnerability testing specialists, the hacker who discovered the vulnerability in PS Vita exploiting Trinity decided not to make the flaw public until after Sony’s decision to stop supporting the console, hoping to extend the lifespan of this exploit.
Despite the little success it had on the market, it is still possible to get a PS Vita console in some online stores.
Thursday 27 June 2019
HUAWEI USARÁ SISTEMA OPERATIVO RUSO EN SUS DISPOSITIVOS INTELIGENTES
CONTENIDO ORIGINAL: https://noticiasseguridad.com/tecnologia/huawei-usara-sistema-operativo-ruso-en-sus-dispositivos-inteligentes/
Acorde a especialistas en seguridad de aplicaciones web, estamos a un par de meses de que el bloqueo a Huawei impuesto por la administración del Presidente Donald Trump se concrete, por lo que la compañía ya no podrá instalar software de Google en sus dispositivos (a menos que la justicia de E.U. retrase la prohibición un par de años).
En otras palabras, la compañía tecnológica china deberá trabajar a marchas forzadas para encontrar una plataforma sólida sobre la cual implementar un nuevo sistema operativo; por el momento, la opción más viable para Huawei está en territorio ruso.
Desde que el gobierno de E.U. decidió colocar a Huawei en esta “lista negra comercial”, la firma tecnológica tiene prohibido trabajar con software y componentes de compañías con sede en E.U. Esto significa que, al concretarse la prohibición, Huawei también deberá dejar de trabajar con Android, la tienda de aplicaciones Play Store y los principales servicios de Google para móviles, como Gmail, YouTube, Google Drive, etc.
Recientemente, especialistas en seguridad de aplicaciones web comenzaron a reportar que Huawei podría estar considerando trabajar con Aurora, un sistema operativo desarrollado por especialistas rusos en la plataforma de código abierto Sailfish. Este sistema fue diseñado como una alternativa al uso de Android como principal sistema operativo para smartphones.
Además, Huawei ya ha puesto a disposición de los usuarios alrededor de un millón de smartphones con sistema operativo Hongmeng; la compañía espera la retroalimentación de aquellos que decidan probar esta opción de sistema operativo.
Guo Ping, vicepresidente de Huawei, se habría reunido con Konstantin Noskov, el ministro ruso de Desarrollo Digital y Comunicaciones, para hablar sobre la eventual implementación del sistema operativo Aurora en los dispositivos del fabricante chino. Según los reportes, Vladimir Putin también ha mostrado interés en que Rusia colabore directamente con Huawei, incluso podría ser arreglada una reunión entre Putin y Xi Jinping, presidente de China.
Acorde a los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS), la prioridad de Huawei es garantizar la operación de sus dispositivos inteligentes lo antes posible, lo que es en verdad posible en colaboración con el sector tecnológico ruso.
LAPTOPS DELL NO SON SEGURAS; ENCUENTRAN NUEVA VULNERABILIDAD EN SOFTWARE DE DELL
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/laptops-dell-no-son-seguras-encuentran-nueva-vulnerabilidad-en-software-de-dell/
Expertos en seguridad en redes de la firma SafeBreach reportaron una severa vulnerabilidad en el software SupportAssist del fabricante Dell. De acuerdo con el reporte, la falla afecta no sólo a los dispositivos de esta compañía, sino a otros fabricantes de equipos originales (OEM) que empleen este software. Dell acaba de lanzar un parche para corregir la vulnerabilidad, por lo que se recomienda a los usuarios actualizar lo antes posible.
La principal función de este software es la protección anti malware, no obstante, esta no es la primera ocasión en la que se descubre una vulnerabilidad de SupportAssist. En abril pasado, especialistas en seguridad en redes encontraron una falla que permitía a los actores maliciosos ejecutar código remoto abusando de este software.
SupportAssist debía actualizar los controladores a través del sitio web de Dell, pero en su lugar, expuso a los usuarios a diversas actividades maliciosas, como el robo de información confidencial y la ejecución de código en la máquina comprometida.
La primera vulnerabilidad encontrada fue corregida rápidamente por la compañía, aunque aún se desconoce el número total de usuarios afectados. El principal inconveniente es que este software usa derechos administrativos por defecto y, si SupportAssist es comprometido, puede proporcionar amplio acceso al dispositivo infectado. La última vulnerabilidad encontrada también es una escalada de privilegios.
En el reporte, los expertos en seguridad en redes mencionan que los actores de amenazas atacaron SupportAssist debido al acceso a hardware crítico con el que cuenta; “los hackers asumieron que abusando de una herramienta con amplio acceso al sistema objetivo se podría forzar una escalada de privilegios”, comentaron los expertos.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) comentan que este software está preisntalado en múltiples modelos de laptops Dell, por lo que su alcance potencial es considerable. Otros fabricantes también usan este software bajo el nombre de PC-Doctor Toolbox.
Los usuarios de equipos de cómputo que incluyan este software deben instalar los parches correspondientes, sin importar si usan o no esta herramienta. Habilitar la función de actualización automática también es una buena medida para mitigar los riesgos.
CÓMO LOCALIZAR E IMPEDIR EL USO DE UN TELÉFONO MÓVIL ROBADO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/como-localizar-e-impedir-el-uso-de-un-telefono-movil-robado/
El robo o extravío de smartphones, más que un problema económico para los propietarios, representa un severo riesgo de seguridad informática. Acorde a especialistas en protección de datos personales, cualquier actor de amenazas puede ser capaz de manipular el número IMEI de un smartphone empleando herramientas de hacking poco complejas.
El IMEI (International Mobile Equipment Identity) es un identificador único para cada smartphone existente en el mundo. Esta es una clave formada por 15 dígitos y es necesaria en casos de reparación, garantías, reporte de robo, etc. Este número se encuentra en cada dispositivo, sin importar el fabricante o el operador de telefonía móvil.
Acorde a los especialistas en protección de datos personales, el gobierno de India está planeando detener el robo de dispositivos móviles con la creación de una Central de Identidad de Dispositivos que integrará todos los números IMEI de los smartphones que operan en territorio de India en una sola base de datos.
La base de datos contendrá tres listas de IMEI diferentes:
- La lista blanca identifica los equipos que están habilitados para recibir y realizar llamadas
- La lista gris identifica los equipos que pueden hacer y recibir llamadas, pero que pueden ser supervisados para descubrir la identidad del usuario del smartphone
- La lista negra identifica a los equipos que han sido reportados como robados o con severos problemas técnicos que les impiden hacer o recibir llamadas
Cuando este sistema esté listo, el propietario de un smartphone robado puede presentar una queja en el Departamento de Telecomunicaciones de India (DoT) que, a su vez, pondrá en la lista negra el IMEI reportado, lo que impedirá que el smartphone robado pueda leer una tarjeta SIM, sin importar el proveedor.
Las autoridades esperan que al inhabilitar los smartphones reportados ante el DoT el índice de robo disminuya y, eventualmente, la práctica llegue a niveles mínimos.
Los especialistas en protección de datos personales del Instituto Internacional de Seguridad Cibernética (IICS) consideran que otro de los motivos por los que las autoridades han decidido implementar una base de datos única de claves IMEI es para facilitar el proceso de “intercepción legal basada en IMEI”. A través de este mecanismo, las autoridades o compañías fabricantes pueden bloquear un número IMEI en específico, inutilizando por completo el smartphone correspondiente.
Además de India, las autoridades de otros países ya han adoptado medidas similares. Los gobiernos de Australia, Turquía, Reino Unido, entre otros, ya cuentan con bases de datos centrales para el registro de IMEI, desarrolladas para los mismos objetivos.
HUAWEI TO USE RUSSIAN OPERATING SYSTEM ON ITS SMART PHONES
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/24/huawei-to-use-russian-operating-system-on-its-smart-phones/
According to web application security specialists, we are a couple of months away from the blockage on Huawei imposed by President Donald Trump’s administration being concreted, so the company will no longer be able to install Google software on its devices (unless U.S. justice delays the ban by a couple of years).
In other words, the Chinese technology company will have to work at forced marches to find a solid platform on which to implement a new operating system; for now, the most viable option for Huawei is on Russian territory.
Since the U.S. government decided to place Huawei on this “commercial blacklist”, the tech firm is prohibited from working with software and components of U.S.-based companies. This means that when the ban is made, Huawei will also need to stop working with Android, the Play Store app store and Google’s major mobile services, such as Gmail, YouTube, Google Drive, etc.
Recently, web application security specialists began to report that Huawei might be considering working with Aurora, an operating system developed by Russian specialists on the open source platform Sailfish. This system was designed as an alternative to using Android as the main operating system for smartphones.
In addition, Huawei has already made available to users around one million smartphones with Hongmeng operating system; the company expects feedback from those who decide to try this operating system option.
Guo Ping, Huawei’s vice president, would have met with Konstantin Noskov, the Russian Minister of Digital Development and Communications, to discuss the eventual implementation of the Aurora operating system on the Chinese manufacturer’s devices. Vladimir Putin has also reportedly shown interest in Russia collaborating directly with Huawei, even a meeting between Putin and Xi Jinping, China’s president, could even be arranged.
According to web application security specialists at the International Institute of Cyber Security (IICS), Huawei’s priority is to ensure the operation of its smart devices as soon as possible, which is really possible in collaboration with Russian technology sector.
DELL LAPTOPS ARE NOT SECURE; ANOTHER VULNERABILITY IN DELL SOFTWARE
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/24/dell-laptops-are-not-secure-another-vulnerability-in-dell-software/
Network security experts from the firm SafeBreach reported a severe vulnerability in Dell manufacturer’s SupportAssist software. According to the report, the flaw affects not only the devices of this company, but other OEMs that use this software. Dell has just released a patch to fix the vulnerability, so users are advised to update as soon as possible.
The main function of this software is malware protection; however, this is not the first time that vulnerabilities in SupportAssits are discovered. Last April, network security specialists found a flaw that allowed malicious actors to run remote code by abusing this software.
SupportAssist was supposed to update the drivers through the Dell website, but instead it exposed users to various malicious activities, such as sensitive information theft and code execution on the compromised machine.
The first vulnerability found was quickly corrected by the company, although the total number of affected users is still unknown. The main drawback is that this software uses administrative rights by default and, if SupportAssist is compromised, can provide extensive access to the infected device. The last vulnerability found is also a privilege escalation flaw.
In the report, network security experts mention that threat actors attacked SupportAssist because of the critical hardware access it has; “Hackers assumed that abusing a tool with broad access to the targeted system could force a privilege escalation”, the experts commented.
Specialists from the International Institute of Cyber Security (IICS) comment that this software is pre-installed on multiple Dell laptop models, so its potential scope is considerable. Other manufacturers also use this software under the name PC-Doctor Toolbox.
Users of computer equipment that includes this software must install the update patches, regardless of whether or not they use this tool. Enabling the auto-update feature is also a good measure to mitigate any vulnerability exploitation risks.
HOW TO TRACE AND PREVENT THE USE OF A STOLEN MOBILE PHONE
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/24/how-to-trace-and-prevent-the-use-of-a-stolen-mobile-phone/
The theft or loss of smartphones, rather than an economic problem for owners, poses a severe information security issue. According to personal data protection specialists, any threat actor may be able to manipulate the IMEI number of a smartphone using little complex hacking tools.
The International Mobile Equipment Identity (IMEI) is a unique identifier for every existing smartphone in the world. This is a key formed by 15 digits and is necessary in cases of repair, guarantees, theft report, etc. This number is found on each device, regardless of manufacturer or mobile operator.
According to personal data protection specialists, the Indian government is planning to stop the theft of mobile devices with the creation of a Device Identity Center that will integrate all IMEI numbers from the smartphones operating in India’s territory in a single database.
The database will contain three different IMEI lists:
- The white list identifies devices that are enabled to receive and make calls
- The gray list identifies devices that can make and receive calls, but can be monitored to discover the identity of the smartphone user
- The blacklist identifies devices that have been reported stolen or with severe technical problems that prevent them from making or receiving calls
When this system is ready, the owner of a stolen smartphone can file a complaint with the Indian Telecommunications Department (DoT) which, in turn, will blacklist the reported IMEI, preventing the stolen smartphone from reading a card SIM, regardless of the provider company.
The authorities hope that by disabling the smartphones reported to the DoT the rate of theft will decrease and, eventually, the practice will reach minimum levels.
The International Institute of Cyber Security (IICS) personal data protection specialists believe that another reason the authorities have decided to implement a single IMEI key database is to facilitate the process for “IMEI-based legal interception”. Through this mechanism, the authorities or manufacturer companies can block a specific IMEI number, completely disabling the corresponding smartphone.
Besides India, authorities in other countries have already taken similar measures. The governments of Australia, Turkey, the United Kingdom, among others, already have central databases for IMEI registration, developed for the same purposes.
Wednesday 26 June 2019
CISCO DNA PERMITIÓ A USUARIOS NO AUTORIZADOS ACCESO A REDES EMPRESARIALES POR LARGO TIEMPO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/cisco-dna-permitio-a-usuarios-no-autorizados-acceso-a-redes-empresariales-por-largo-tiempo/
Especialistas en auditorías de sistemas reportan una vulnerabilidad crítica en el Centro de Arquitectura de Red Digital (DNA) de Cisco que, de ser explotada, podría permitir que un actor de amenazas sin autenticación acceda a los servicios críticos internos del sistema.
En realidad la compañía lanzó 25 actualizaciones diferentes para varios de sus productos. Dos de los parches corrigen vulnerabilidades críticas, siete son errores de alto impacto y las fallas restantes son de severidad media. La vulnerabilidad que los expertos consideran más grave, CVE-2019-1848, existe debido a una restricción insuficiente en el acceso a los puertos necesarios para la operación del sistema del DNA de Cisco, que sirve para administrar y corregir errores de red. La vulnerabilidad ha recibido un puntaje de 9.3/10 en la escala del Common Vulnerability Scoring System (CVSS).
Los expertos en auditorías de sistemas afirman que esta vulnerabilidad podría ser explotada conectando un dispositivo no autorizado a la red. Las versiones de Cisco DNA impactadas son todas las anteriores a 1.3, por lo que los administradores de sistemas deberán actualizar a una versión segura.
Cisco SD-WAN, la arquitectura en la nube de la compañía, también tuvo que ser actualizada, pues presentaba severas fallas de seguridad. La más grave de estas fallas, identificada como CVE-2019-1625, es una vulnerabilidad de escalada de privilegios en la interfaz de línea de comandos de SD-WAN. Según los especialistas en auditorías de sistemas, la vulnerabilidad existe debido a una insuficiente autorización en CLI, por lo que los hackers podrían autenticarse en un dispositivo para ejecutar comandos arbitrarios y ganar altos privilegios. La vulnerabilidad impacta a la mayoría de las soluciones de Cisco que ejecutan una versión de SD-WAN anterior a 18.3.6, principalmente enrutadores para entornos industriales.
Otras dos vulnerabilidades críticas fueron encontradas en SD-WAN. CVE-2019-1624 permite que los hackers inyecten código arbitrario con privilegios de usuario root. Por otra parte, CVE-2019-1626 también existe en la interfaz web de usuario de SD-WAN y podría permitir que un hacker remoto obtenga privilegios elevados en un dispositivo Cisco vManage comprometido.
Acorde a especialistas del Instituto Internacional de Seguridad Cibernética (IICS), no existen pruebas de algún intento de explotación en escenarios reales de las vulnerabilidades corregidas, no obstante, los administradores deben actualizar sus sistemas a la brevedad.
APLICACIÓN DE OUTLOOK PODRÍA PERMITIR QUE UN HACKER ENTREN EN SU SMARTPHONE ANDROID
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-movil/aplicacion-de-outlook-podria-permitir-que-un-hacker-entren-en-su-smartphone-android/
Microsoft acaba de lanzar una versión actualizada de la app de Outlook para Android que, acorde a los especialistas en seguridad informática corrige una falla de seguridad de severidad considerable. La app de correo electrónico cuenta con alrededor de 100 millones de usuarios activos.
En un reporte de seguridad, Microsoft informa que la aplicación de Outlook versión 3.0.88 y anteriores contiene una vulnerabilidad de secuenciad de comandos entre sitios (XSS) identificada como CVE-2019-1105. La falla existe debido a la forma en la que la app analiza los correos electrónicos entrantes.
De acuerdo con los expertos en seguridad informática del IICS, de ser explotada, la vulnerabilidad puede ayudar a un actor de amenazas remoto a ejecutar código malicioso del lado del cliente en el dispositivo objetivo, el hacker sólo requiere enviar un correo electrónico especialmente diseñado.
“Después de explotar de forma exitosa esta vulnerabilidad, un hacker podría realizar ataques XSS en los sistemas comprometidos ejecutando scripts en el contexto de seguridad de cualquier usuario”, menciona el reporte de Microsoft.
Según el equipo de seguridad informática de la compañía, la vulnerabilidad fue descubierta por un grupo de investigadores independientes que notificó a la compañía siguiendo el debido procedimiento para el informe de vulnerabilidades. Los expertos que descubrieron la falla reportaron que ésta podría conducir a un ataque de suplantación de identidad.
Aún no están disponibles los detalles sobre el ataque o una prueba de concepto para la vulnerabilidad, asimismo, Microsoft informó que no cuenta con evidencia que demuestre que este ataque ha sido concretado en escenarios reales.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los usuarios de Outlook para Android verificar si su app se ha actualizado de forma automática. En caso contrario, el usuario deberá instalar la actualización manualmente desde la plataforma oficial de Google Play Store.
Múltiples vulnerabilidades día cero han sido reportadas recientemente en diversos productos de Microsoft, principalmente Windows 10. La investigadora conocida como Sandbox Escaper ha reportado al menos cinco errores de seguridad nuevos durante los últimos seis meses en servicios como Remote Desktop, Windows Server y Windows 10 Sandbox.
DATOS DE CASI 3 MILLONES DE CANADIENSES EXPUESTOS POR BRECHA DE DATOS EN COOPERATIVA FINANCIERA
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/datos-de-casi-3-millones-de-canadienses-expuestos-por-brecha-de-datos-en-cooperativa-financiera/
Acorde a especialistas en seguridad de redes, una brecha de datos ha expuesto la información de casi 3 millones de miembros de la cooperativa de crédito Desjardins Canada, incluyendo los datos de más de 170 mil organizaciones. Las autoridades ya se han puesto en contacto con la organización con sede en Quebec, que es la mayor federación de uniones de crédito en Norteamérica.
Entre la información comprometida se encuentran detalles como:
- Nombres completos
- Domicilio
- Dirección email
- Números de teléfono
- Número de seguridad social
- Detalles financieros
Los funcionarios de la cooperativa afirman que los detalles confidenciales, como contraseñas, claves PIN y preguntas de seguridad no han sido comprometidos en este incidente.
El CEO y presidente de Desjardins afirma que la filtración masiva de datos no fue a causa de un ataque cibernético, sino que se presentó por un empleado de seguridad de redes que intencionalmente accedió a la información y la compartió con terceros. La cooperativa despidió al empleado después de descubrirse el incidente.
Desjardins es la institución financiera con mayor presencia en la zona de Quebec y también está activa en Ontario. La organización fue calificada como una de las mejores 100 compañías para trabajar en Canadá. Es por esto que el CEO se dijo profundamente decepcionado de que un empleado que contaba con la confianza de la cooperativa haya tomado la decisión de robar información confidencial, “es una situación que lamentamos profundamente”, mencionó el funcionario de la compañía.
Asimismo, Desjardins es la única institución financiera canadiense con presencia en más de 200 localidades y cuenta con activos totales estimados en 295 mil millones de dólares, siendo acreedora también de múltiples distinciones y reconocimientos nacionales y en el extranjero.
Especialistas en seguridad de redes del Instituto Internacional de Seguridad Cibernética recomiendan a los miembros de la cooperativa que tengan dudas sobre el estado de seguridad de su información confidencial ponerse en contacto directamente con Desjardins Canada, pues la compañía les estará informando cualquier avance de la investigación, además de las medidas que se han implementado para prevenir mayores filtraciones.
CISCO DNA ALLOWED UNAUTHORIZED USERS ACCESS TO ENTERPRISE NETWORKS FOR A LONG TIME
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/21/cisco-dna-allowed-unauthorized-users-access-to-enterprise-networks-for-a-long-time/
IT systems audit specialists reported a critical vulnerability in the Cisco Digital Network Architecture Center (DNA) that, if exploited, could allow a non-authenticated threat actor to access critical internal system services.
Actually the company released 25 different updates for several of its products. Two of the patches fix critical vulnerabilities, seven are high-impact errors, and the remaining flaws are of medium severity. The vulnerability that experts consider most severe, CVE-2019-1848, exists due to insufficient restriction on access to the ports required for Cisco DNA system operation, which serves to manage and correct network errors. The vulnerability has received a score of 9.3/10 on the Common Vulnerability Scoring System (CVSS) scale.
IT systems audit experts say this vulnerability could be exploited by connecting an unauthorized device to the network. Impacted Cisco DNA versions are all earlier than 1.3, so system administrators will need to upgrade to a secure version.
Cisco SD-WAN, the company’s cloud architecture, also had to be updated as it had severe security flaws. The most severe of these failures, tracked as CVE-2019-1625, is privilege escalation vulnerability in the SD-WAN command-line interface. According to IT systems audit specialists, the vulnerability exists due to insufficient CLI authorization, so hackers could authenticate to a device to execute arbitrary commands and gain high privileges. The vulnerability impacts most Cisco solutions running an SD-WAN version earlier than 18.3.6, primarily routers for industrial environments.
Two other critical vulnerabilities were found in SD-WAN. CVE-2019-1624 allows hackers to inject arbitrary code with root user privileges. On the other hand, CVE-2019-1626 also exists in the SD-WAN web user interface and could allow a remote hacker to obtain elevated privileges on a compromised Cisco vManage device.
According to specialists from the International Institute of Cyber Security (IICS), there is no evidence of any in the wild exploitation attempt of these corrected vulnerabilities; however, administrators must update their systems as soon as possible.
YOUR OUTLOOK APP MAY BE ALLOWING HACKERS TO ENTER YOUR ANDROID SMARTPHONE
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/21/your-outlook-app-may-be-allowing-hackers-to-enter-your-android-smartphone/
Microsoft has just released an updated version of the Outlook app for Android that, according to information security specialists, fixes a significant severity security flaw. The email app has about 100 million active users.
In a security report, Microsoft reports that the Outlook application version 3.0.88 and earlier contains a cross-site scripting (XSS) vulnerability tracked as CVE-2019-1105. The flaw exists because of the way the app scans incoming emails.
According to the information security experts, if exploited, the vulnerability can help a remote threat actor to execute malicious client-side code on the target device; the hacker only needs to send a specially crafted email.
“After successfully exploiting this vulnerability, a hacker could perform XSS attacks on compromised systems by running scripts in the security context of any user,” the Microsoft report mentions.
According to the company’s information security team, the vulnerability was discovered by a group of independent researchers who notified the company in proper procedure for reporting vulnerabilities. Experts who discovered the flaw reported that it could lead to a identity spoofing attack.
Details about the attack or a proof of concept for the vulnerability are not yet available, and Microsoft reported that it has no evidence to prove that this attack has been exploited in the wild.
Specialists from the International Institute of Cyber Security (IICS) recommend Outlook for Android users check if their app has been updated automatically. Otherwise, the user must install the update manually from the official Google Play Store platform.
Multiple zero-day vulnerabilities have recently been reported in various Microsoft products, mainly Windows 10. The researcher known as Sandbox Escaper has reported at least five new security bugs over the past six months in services such as Remote Desktop, Windows Server and Windows 10 Sandbox.
FINANCIAL DATA OF 2.9 MILLION CANADIAN BREACHED IN CREDIT UNION HACK
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/21/financial-data-of-2-9-million-canadian-breached-in-credit-union-hack/
According to network security specialists, a data breach has exposed the information of nearly 3 million members of the Desjardins Canada credit union, including data from more than 170,000 organizations. Authorities have already contacted the Quebec-based organization, which is the largest federation of credit unions in North America.
Among the compromised information are details such as:
- Full names
- Address
- Email address
- Phone numbers
- Social Security numbers
- Financial details
Financial union officials say confidential details such as passwords, PIN keys and security questions have not been compromised during this incident.
The CEO and president of Desjardins states that the massive data breach was not due to a cyberattack, but was presented by a network security employee who intentionally accessed the information and shared it with third parties. The union fired the employee after the incident was discovered.
Desjardins is the financial institution with the largest presence in the Quebec area and is also active in Ontario. The organization was rated as one of the top 100 companies to work in Canada. That’s why the CEO said he was deeply disappointed that an employee with the trust of the cooperative has made the decision to steal confidential information, “it’s a situation we deeply regret”, the company’s official said.
Desjardins is also the only Canadian financial institution with a presence in more than 200 locations and has total assets estimated at $295 billion, and is also credited with multiple national distinctions and recognitions Foreign.
Network security specialists from the International Cyber Security Institute recommend cooperative members have questions about the security status of their confidential information by contacting Desjardins Canada directly, because the company will be informing them of any progress of the investigation, in addition to the measures that have been implemented to prevent further leaks.
Tuesday 25 June 2019
USAN UN DISPOSITIVO RASPBERRY PI PARA HACKEAR A LA NASA
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/usan-un-dispositivo-raspberry-pi-para-hackear-a-la-nasa/
El Laboratorio de Propulsión Jet de la NASA fue hackeado en abril del año pasado; acorde a expertos en auditorías de sistemas, los actores de amenazas consiguieron robar alrededor de 500 MB de datos acerca de las misiones desarrolladas en este laboratorio. Informes sobre el incidente revelados recientemente mencionan que los hackers emplearon una placa Raspberry Pi para acceder a los sistemas comprometidos.
Acorde a reportes del portal de noticias de seguridad informática Threatpost, la Oficina del Inspector General de E.U. rastreó el hack hasta un dispositivo Raspberry Pi conectado a la red del laboratorio de la NASA sin autorización. Los hackers descubrieron y explotaron el dispositivo para acceder a la red de la NASA y a múltiples sistemas de laboratorios, como el Deep Space Network (DSN), el sistema de radio telescopios de la agencia.
Los expertos en auditorías de sistemas consideran que aunque cualquier incidente de seguridad en la NASA debe ser tratado con delicadeza, los agentes del gobierno de E.U. actuaron de forma correcta al comenzar una auditoría para descubrir cuál fue el principal detonante de este problema. Para los expertos, es preocupante la facilidad con la que los hackers pudieron desplazarse a través de los diferentes sistemas de la NASA, principalmente por la gran cantidad de información confidencial resguardada por la agencia.
Acorde a especialistas en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) otra de las razones que pudo haber contribuido a la violación de seguridad en la NASA es la falta de visibilidad de los sistemas del Laboratorio; en otras palabras, los dispositivos de seguridad no siempre lograron identificar y verificar los nuevos dispositivos conectados a la red.
Además, no existían al interior del laboratorio los controles de seguridad necesarios para evitar que cualquier tercero se conectara a los sistemas de TI de la agencia. Por último, el incidente no fue corregido a tiempo, pues las vulnerabilidades fueron identificadas, pero permanecieron sin corregir por casi medio año.
La buena noticia es que la NASA parece haber aprendido la lección, ahora, la agencia se encuentra realizando las labores necesarias para reforzar sus sistemas informáticos para prevenir que un incidente similar vuelva a presentarse.
CIUDAD EN FLORIDA PAGA MÁS DE 500 MIL DÓLARES POR RANSOMWARE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/ciudad-en-florida-paga-mas-de-500-mil-dolares-por-ransomware/
Expertos en servicios de seguridad informática reportan que una ciudad de Florida acordó pagar un rescate de alrededor de 600 mil dólares a un grupo de hackers que tomó control de sus sistemas informáticos; recientemente se han reportado miles de incidentes similares en todo el mundo.
El ayuntamiento de Riviera Beach decidió, mediante una votación unánime, ceder a las exigencias de los hackers, pues no creyeron tener otras opciones para recuperar la información cifrada por los atacantes. Además, Riviera Beach aprobó un gasto de alrededor de un millón de dólares para comprar nuevos equipos de cómputo; los sistemas del gobierno local llevan alrededor de tres semanas fuera de servicio.
Acorde a los expertos en servicios de seguridad informática, lo más probable es que los actores de amenazas consiguieran acceso al sistema comprometido después de engañar a un empleado para que descargara malware en una de las computadoras de la red. Entre los problemas generados por el incidente está la pérdida de su servidor de correo y la caída de su servicio de emergencias.
Funcionarios del Departamento de Seguridad Nacional (NHS) de E.U. afirman que los ataques de ransomware se han convertido en la principal amenaza para individuos y organizaciones en los más recientes dos años. Cifras recolectadas por múltiples firmas de ciberseguridad respaldan tal afirmación, en 2018, el ransomware SamSam hizo colapsar sistemas de vuelo, monitores y servidores de correos en el aeropuerto Internacional Cleveland Hopkins, al tiempo que un ataque con el mismo malware infectó los sistemas del puerto de San Diego.
Recientemente los gobiernos de otras ciudades como Atlanta, Sarasota, entre otros, han sido afectados por ataques de malware; múltiples compañías de servicios de salud también se han convertido en un objetivo relevante para los hackers.
Acorde a los expertos en servicios de seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) el ransomware es desplegado principalmente a través de correos electrónicos de phishing o mediante descargas automáticas en sitios web maliciosos. “Es común que los operadores de las campañas de ransomware traten de hacer pasar sus correos electrónicos por contenido legítimo de compañías privadas o instituciones gubernamentales, los usuarios deben tener cuidado y aprender a distinguir un mensaje legítimo de uno sospechoso”, mencionan los expertos.
HACKER ROBA FOTOS ÍNTIMAS DE ACTRIZ ESTADOUNIDENSE BELLA THORNE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/hacker-roba-fotos-intimas-de-actriz-estadounidense-bella-thorne/
Tal vez muchos no lo han pensado, pero expertos en seguridad en sitios web afirman que los famosos son víctimas frecuentes de los hackers y extorsionadores en línea. Hace unos días la banda Radiohead fue víctima de un hacker que robó material inédito; ahora, la actriz Bella Thorne es quien ha sufrido un intento de extorsión. Un hacker la amenazó con publicar sus fotos íntimas, a lo que la actriz respondió publicándolas ella misma.
A través de su cuenta de Twitter, Thorne publicó las fotos, junto con una captura de pantalla del mensaje que el hacker le envió, mencionando que sus cuentas fueron hackeadas el viernes pasado. “Me siento asqueada. Me siento vigilada, siento que alguien me ha quitado algo muy personal”, publicó la actriz.
Al día siguiente la actriz declaró sentir algo de lástima por el responsable del robo de sus fotos, pues al parecer se trata de un adolescente no mayor de 17 años; “Sigue siendo un niño a pesar de lo que hizo, todos cometemos errores. No quiero que se arruine la vida de un niño por un momento de mal comportamiento”.
Expertos en seguridad en sitios web consideran que la constante evolución de prácticas como el deepfake representan un riesgo para cualquier persona, sea o no famosa, que tenga una imagen suya circulando por Internet. Esta forma elimina la necesidad de robar fotografías íntimas de las personas, pues esta clase de material puede ser generado automáticamente con software de inteligencia artificial suficientemente sofisticado.
Las víctimas nunca deben ser consideradas culpables de este tipo de incidentes, no obstante, es importante destacar algunos consejos de seguridad para evitar que esta clase de delitos dejen de ocurrir.
Una medida de seguridad primordial es la autenticación multi factor. Las credenciales de inicio de sesión de muchos usuarios son fácilmente obtenibles, usando autenticación multifactor se añade una nueva capa de seguridad que protegerá al usuario incluso si el hacker ya ha conseguido un nombre de usuario y contraseña.
Además, acorde a especialistas en seguridad en sitios web del Instituto Internacional de Seguridad Cibernética (IICS), medidas esenciales como el uso de contraseñas seguras y únicas para cada plataforma en línea que utilice es la medida de defensa principal para resguardar nuestras fotos, mensajes o archivos importantes almacenados en una plataforma web.
RANSOMWARE ATACA CINCO GRANDES COMPAÑÍAS DEL SECTOR SALUD
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/ransomware-ataca-cinco-grandes-companias-del-sector-salud/
Especialistas en auditorías de seguridad reportan que al menos cinco compañías de servicios médicos de E.U. han sufrido ataques de ransomware durante la última semana. Mientras que algunas de las organizaciones afectadas han estado operando sin sus sistemas informáticos, otras han decidido ceder a las exigencias de los hackers y pagar el rescate exigido.
NEO Urology, compañía de servicios médicos en Ohio, E.U., fue infectada con una variante de malware; en respuesta, los directores del hospital anunciaron su decisión de pagar el rescate de 75 mil dólares exigido por los atacantes. Los sistemas de la compañía fueron restablecidos por completo tres días después.
Tan solo unas horas después, Estes Park Health, establecida en Colorado, informó un incidente similar. Hace alrededor de dos semanas, el personal de auditorías de seguridad de la compañía detectó que algunos de sus sistemas informáticos presentaban algunas anomalías. Uno de los empleados de la compañía se conectó al sistema desde su hogar y descubrió que el ransomware había tomado control de los programas, archivos y datos de la compañía. Tras el descubrimiento, el sistema fue cerrado, incluyendo servidores y el acceso al centro de datos.
Otra de las compañías afectadas por ransomware es ResiDex Software, con sede en Boston y que desarrolla soluciones para ayudar a personas discapacitadas; esta firma ha comenzado a notificar a sus pacientes sobre la infección que ha cifrado una parte considerable de la información de salud resguardada por la compañía.
Funcionarios de la compañía mencionan que el ataque de ransomware fue descubierto el pasado 9 de abril e impacta toda su infraestructura de servidor. Acorde a los expertos en auditorías de seguridad de la compañía, ahora mismo se está llevando a cabo el proceso de restablecimiento de los sistemas usando copias de seguridad.
Por otra parte, los expertos también reportaron un incidente de ransomware contra Olean Medical Group, con sede en Nueva York. Un funcionario afirma que los hackers no lograron acceder a los más de 40 mil registros médicos que la compañía resguarda. Shingle Springs Health and Wellness Center es la víctima más reciente de esta campaña, pues hace alrededor de un mes reportó una infección de ransomware en sus servidores; los sistemas de TI de la compañía dejaron de funcionar y el acceso a sus bases de datos fue bloqueado.
Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS), los ataques de ransomware contra compañías privadas han incrementado un 195% durante la primera mitad de 2019; además, se estima que el 70% de todos los ciberataques registrados en el mundo son ataques de ransomware.
A RASPBERRY PI DEVICE WAS USED TO HACK NASA LABS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/20/a-raspberry-pi-device-was-used-to-hack-nasa-labs/
NASA’s Jet Propulsion Laboratory was hacked in April last year; According to IT system audit experts, threat actors managed to steal around 500 MB of data about the missions carried out in this lab. Recently revealed incident reports mention that hackers used a Raspberry Pi board to access compromised systems.
According to reports from the information security news portal Threatpost, the U.S. Office of Inspector General traced the hack to a Raspberry Pi device connected to NASA lab network without authorization. Hackers discovered and exploited the device to access NASA’s network and multiple laboratory systems, such as the Deep Space Network (DSN), the agency’s radio telescopes system.
IT system audit experts believe that while any security incident at NASA must be treated delicately, U.S. government agents acted correctly at the start of an audit to find out what was the main trigger of this problem. For experts, the ease with which hackers were able to navigate through NASA different systems is worrying, mainly because of the large amount of confidential information held by the agency.
According to IT system audit specialists of the International Cyber Security Institute (IICS) another reason that may have contributed to the security breach at NASA is the lack of visibility of the Laboratory’s systems; in other words, security devices did not always manage to identify and verify new devices connected to the network.
In addition, there were no security controls inside the lab to prevent any third party from connecting to the agency’s IT systems. Finally, the incident was not corrected in time, as the vulnerabilities were identified, but remained uncorrected for nearly half a year.
The good news is that NASA seems to have learned the lesson, now the agency is doing the necessary work to strengthen its computer systems to prevent a similar incident from reoccurring.
A CITY IN FLORIDA PAYS HACKERS A $600K USD RANSOM TO DECRYPT ITS SYSTEMS
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/20/a-city-in-florida-pays-hackers-a-600k-usd-ransom-to-decrypt-its-systems/
Information security service experts report that a Florida city agreed to pay a ransom of about $600,000 to a hacker group that took control of its computer systems; thousands of similar incidents have recently been reported around the world.
Riviera Beach City Council decided, by unanimous vote, to yield to the demands of hackers, as they did not believe they had other options to recover the information encrypted by the attackers. In addition, Riviera Beach approved an expense of about $1M USD to purchase new computer equipment; local government systems have been out of service for about three weeks.
According to information security service experts, threat actors would most likely get access to the compromised system after tricking an employee into downloading malware to one of the computers on the network. Among the issues generated by the incident are the loss of their mail server and the crash of their emergency call service.
Officials from the U.S. Department of Homeland Security (NHS) say ransomware attacks have become the main threat to individuals and organizations in the most recent two years. Figures collected by multiple cybersecurity firms support such claim; in 2018, the SamSam ransomware collapsed flight systems, monitors and mail servers at Cleveland Hopkins International Airport, as well as an attack with such malware infected Port of San Diego systems.
Recently governments in other cities such as Atlanta, Sarasota, among others, have been affected by malware attacks; multiple health service companies have also become a relevant target for hackers.
According to the information security service experts from the International Institute of Cyber Security (IICS) the ransomware is deployed mainly through phishing emails or by automatic downloads on malicious websites. “It is common for operators of ransomware campaigns to try to disguise their emails as legitimate content from private companies or government institutions, users should be careful and learn to tear apart a legitimate message from a suspect one”, the experts say.
HACKER STEALS INTIMATE PHOTOS OF AMERICAN ACTRESS BELLA THORNE
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/20/hacker-steals-intimate-photos-of-american-actress-bella-thorne/
Perhaps many have not thought about it, but websites security experts claim that celebrities are frequent victims of hackers and online extortionists. A few days ago the music group Radiohead was the victim of a hacker who stole unpublished material; now, it is actress Bella Thorne who has suffered an extortion attempt. A hacker threatened to post her intimate photos, to which the actress responded by posting them herself.
Through her Twitter account, Thorne posted the photos, along with a screenshot of the message the hacker sent him, mentioning that her accounts were hacked last Friday. “I feel gross. I feel watched, I feel like someone has taken something very personal from me”, she published.
The next day the actress stated that she felt some pity for the person responsible for the theft of her photos, as he appears to be a teenager no older than 17 years old; “He’s still a kid despite what he did, we all make mistakes. I don’t want a child’s life ruined by a moment of bad behavior.”
Websites security experts consider the constant evolution of practices such as deepfake poses a risk to anyone, whether famous or not, who has their image circulating on the Internet. Deepfake eliminates the need to steal intimate people’s intimate pics, as this kind of material can be automatically generated with sufficiently sophisticated artificial intelligence software.
Victims should never plead guilty of such incidents; however, it is important to highlight some safety tips to prevent such crimes from happening.
A primary security measure is multi-factor authentication. The login credentials of many users are easily obtainable, using multi-factor authentication is added a new layer of security that will protect the user even if the hacker has already obtained a username and password.
In addition, according to websites security specialists from the International Institute of Cyber Security (IICS), essential measures such as the use of strong and unique passwords for each online platform you use is the primary defense measure for safeguard our important photos, messages or files stored on a web platform.
RANSOMWARE ATTACKS FIVE MAJOR HEALTH COMPANIES IN THE US
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/20/ransomware-attacks-five-major-health-companies-in-the-us/
Security audit specialists report that at least five U.S. medical services companies have suffered ransomware attacks over the past week. While some of the affected organizations have been operating without their computer systems, others have decided to give in to the demands of hackers and pay the demanded ransom.
NEO Urology, a medical services company in Ohio, USA, was infected with a malware variant; in response, hospital directors announced their decision to pay the $75k USD ransom demanded by the attackers. The company’s systems were completely restored three days later.
Just hours later, Estes Park Health, based in Colorado, reported a similar incident. About two weeks ago, the company’s security audit staff detected that some of its computer systems had some anomalies. One of the company’s employees connected to the system from home and discovered that the ransomwarehad taken control of the company’s programs, files and data. After discovery, the system was shut down, including servers and access to the data center.
Another of the companies affected by ransomware is Boston-based ResiDex Software that develops solutions to help people with disabilities; this firm has begun notifying its patients of the infection that it has encrypted a significant portion of the health information held by the company.
Company officials mention that the ransomware attack was discovered on April 9 and impacts all of its server infrastructure. According to the company’s security audit experts, the process of resetting systems using backups is now underway.
On the other hand, the experts also reported a ransomware incident against New York-based Olean Medical Group. One official claims that hackers failed to access the more than 40,000 medical records the company safeguards. Shingle Springs Health and Wellness Center is the most recent victim of this campaign, as about a month ago it reported a ransomware infection on its servers; the company’s IT systems stopped working and access to their databases was blocked.
According to experts from the International Institute of Cyber Security (IICS), ransomware attacks against private companies increased by 195% during the first half of 2019; In addition, it is estimated that 70% of all registered cyberattacks in the world are ransomware attacks.
Monday 24 June 2019
VULNERABILIDAD CRÍTICA EN MOZILLA FIREFOX, ACTUALICE DE INMEDIATO
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/vulnerabilidad-critica-en-mozilla-firefox-actualice-de-inmediato/
Especialistas en auditorías informáticas afirman que los más de 500 millones de usuarios de Mozilla Firefox están expuestos a una vulnerabilidad crítica, por lo que deben actualizar a la versión más reciente del navegador lo más pronto posible. La actualización corrige las fallas de seguridad encontradas en las versiones 67.0.3 y ESR 60.7.1 de Firefox.
En su alerta de seguridad, Mozilla informa: “una vulnerabilidad se puede presentar al manipular objetos de JavaScript debido a algunos problemas existentes en Array.pop, por lo que se puede generar un colapso en el sistema”. Mozilla añadió: “Desafortunadamente existe evidencia que demuestra la explotación de esta falla en entornos reales”.
Los desarrolladores del navegador consideran que se trata de una vulnerabilidad crítica, pues es posible que un atacante la explote para ejecutar código, instalar software y otras tareas maliciosas que no requieren una interacción compleja del usuario del dispositivo comprometido.
Acorde a los especialistas en auditorías informáticas, la vulnerabilidad es tan seria que las agencias del gobierno de E.U. también han decidido publicar una alerta de seguridad. “Mozilla lanzó las actualizaciones de seguridad para corregir una severa falla en Firefox y Firefox ESR”, menciona la alerta de la Agencia de Seguridad Cibernética e Infraestructura (CISA).
Los usuarios de Firefox deben tener presente que esta vulnerabilidad, rastreada como CVE-2019-11707, es en verdad una falla de seguridad considerable, por lo que deben actualizar sus sistemas a la brevedad. Las actualizaciones están disponibles en el sitio web oficial de Mozilla.
Acorde a los expertos en auditorías informáticas del Instituto Internacional de Seguridad Cibernética (IICS), Firefox también ha actualizado automáticamente las correcciones en algunas versiones del navegador. Los usuarios pueden verificar si la actualización se instaló automáticamente entrando a Firefox y seleccionando la opción “Acerca de Firefox” en el menú; si la actualización no ha sido instalada, se abrirá una ventana nueva para descargar la versión más reciente del navegador.
Si usted es usuario de Firefox dedique cinco minutos a revisar la seguridad de su navegador, aunque la explotación de la falla, y de otras similares, es poco común en este navegador, no debe dejar pasar las actualizaciones de seguridad.
BRECHA DE DATOS MÉDICOS MASIVA LLEVA A LA BANCARROTA A AMCA
CONTENIDO ORIGINAL: https://noticiasseguridad.com/hacking-incidentes/brecha-de-datos-medicos-masiva-lleva-a-la-bancarrota-a-amca/
La compañía de cobro por servicios médicos American Medical Collection Agency (AMCA) acaba de declararse en bancarrota luego de los reportes por brecha de datos de hace algunos días, reportan especialistas en seguridad en aplicaciones web.
Según fue reportado, AMCA fue víctima de hacking por alrededor de nueve meses, hecho que comprometió la información confidencial de los clientes empresariales de AMCA, incluyendo a importantes compañías de la industria, como Quest Diagnostics, LabCorp, Carcentrix, entre otros.
Acorde a los expertos en seguridad en aplicaciones web, al menos 20 millones de personas fueron afectadas por este incidente; en el reporte se menciona que el hacker o grupo de hackers se infiltró en los sistemas de AMCA para extraer información confidencial, incluyendo nombres de los clientes de las compañías afectadas, números de seguridad social y detalles de tarjetas de pago.
La información extraída indebidamente de los sistemas de la compañía fue descubierta posteriormente para su venta en dark web. Múltiples demandas colectivas fueron presentadas contra la compañía después de que la brecha de datos fuera revelada. Los demandantes afirman que la compañía no les notificó a tiempo, por lo que no pudieron hacer nada por proteger su información personal por su cuenta.
Las autoridades reguladoras en materia de protección de datos en E.U. se encuentran investigando el incidente y podría establecer futuras sanciones; por otra parte, Retrieval-Masters Creditors Bureau Inc. compañía matriz de AMCA, presentó un recurso de protección por bancarrota.
Según la declaración de AMCA, la compañía detectó el incidente de seguridad después de que una gran cantidad de tarjetas de crédito comenzaran a ser relacionadas con actividades fraudulentas.
Acorde a expertos en seguridad en aplicaciones web, en los documentos de la corte puede leerse que LabCorp terminó su relación con AMCA inmediatamente después de que la brecha de datos fuera reportada; unos días después de esto, CareCentrix y Quest Diagnostics hicieron lo propio. “El incidente generó pérdidas enormes, la compañía no pudo sobreponerse a estos gastos”, menciona un portavoz de la corte.
Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS) los gastos por servicios de ciberseguridad y protección de datos que la compañía tuvo que absorber ascienden a más de 500 mil dólares, sin contar con los costos del proceso legal que tendrá que enfrentar la compañía.
PLUROX, EL MALWARE TODO EN UNO QUE ESTÁ INFECTANDO COMPUTADORAS DE TODO EL MUNDO
ORIGINAL CONTENT: https://noticiasseguridad.com/malware-virus/plurox-el-malware-todo-en-uno-que-esta-infectando-computadoras-de-todo-el-mundo/
Hace algunos meses, especialistas en análisis informático forense de la firma Kaspersky analizaron Plurox, un backdoor detectado en algunos ataques ocurridos a comienzos del 2019, descubriendo que este malware cuenta con algunas características con alto potencial nocivo.
En su investigación, los expertos descubrieron que el malware puede extenderse a través de una red local mediante un exploit, acceder a la red objetivo e instalar software de minería de criptomoneda, entre otras actividades maliciosas. Plurox está escrito en C y compilado con Mingw GCC; los expertos creen que el malware aún se encontraba en etapa de desarrollo cuando fue detectado.
Este backdoor usa el protocolo TCP para establecer comunicación con el servidor de comando y control, además, sus plugins se cargan y se interconectan usando dos puertos diferentes. Acorde a los expertos en análisis informático forense, al monitorear la actividad del malware, fueron detectadas dos sub redes. En una, Plurox recibe algunas variantes de software de minado, mientras que en la otra sub red, además de algunos programas mineros, son descargados varios plugins.
Esta variante de malware prácticamente no cuenta con cifrado, pues solamente se aplican unas pocas claves de 4 bytes para el cifrado XOR normal. El paquete para llamar al servidor de C&C luce como se muestra a continuación:
El búfer contiene una cadena XORed con la clave al comienzo del paquete. La respuesta del C&C contiene el comando que se ejecutará, así como los datos para su ejecución cifrados con XOR. Cuando el plugin se carga, el bot selecciona el bitness requerido y solicita tanto auto_proc como auto_proc64. En respuesta, el C&C envía el plugin cifrado MZ-PE.
En total, los expertos en análisis informático forense encontraron siete comandos diferentes en Plurox para realizar diversas tareas como:
- Descarga y ejecución de archivos utilizando WinAPI CreateProcess
- Actualización del bot
- Eliminar e interrupción del servicio
- Descarga y ejecución del plugins
- Interrupción de la conexión
- Actualización del plugins
- Eliminación del plugins
Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS) Plurox puede instalar uno de varios programas de minado de criptomoneda, la elección se hace dependiendo de las configuraciones del sistema objetivo. Esta información es enviada al servidor C&C y, en respuesta, se recibe información sobre el plugin ideal para instalar en ese sistema.
Otro módulo intrigante en Plurox es el plugin SMB, capaz de esparcir malware a través de la red comprometida usando el exploit de la falla EternalBlue.
NUEVAS VULNERABILIDADES EN DISPOSITIVOS LINUX Y FREEBSD
CONTENIDO ORIGINAL: https://noticiasseguridad.com/vulnerabilidades/nuevas-vulnerabilidades-en-dispositivos-linux-y-freebsd/
Investigadores en informática forense advierten que los sistemas operativos Linux y FreeBSD contienen vulnerabilidades que permiten a los hackers bloquear los servidores de forma remota e interrumpir las comunicaciones de los administradores.
Los distribuidores de sistemas operativos han recomendado a los usuarios instalar los parches de actualización apenas sean lanzados o, de lo contrario, modificar las configuraciones necesarias para reducir el riesgo de explotación.
Acorde a los expertos en informática forense, la más severa de las fallas, conocida como SACK Panic, puede ser explotada mediante el envío masivo de una secuencia TCP especialmente diseñada; como respuesta, el sistema comprometido colapsará (estado conocido como pánico del kernel). De tener éxito, el atacante generará una denegación de servicio remota (DoS).
La segunda falla encontrada también funciona enviando secuencias maliciosas que generan un alto consumo en el sistema. En algunas versiones del sistema operativo, los atacantes pueden causar lo que se conoce como una “lista costosa de enlaces vinculados para los SACK posteriores”, que puede resultar en una fragmentación adicional.
Las dos vulnerabilidades explotan la forma en la que los sistemas operativos administran el reconocimiento selectivo de TCP (abreviado como SACK); acorde a los expertos en informática forense, este es un mecanismo que permite a una computadora receptora en un proceso de comunicación informar al remitente los segmentos que ha enviado de forma exitosa para poder reenviar los segmentos perdidos. Los expertos también reportaron una vulnerabilidad en FreeBSD 12 que funciona de forma similar, pero interactuando con el mapa de envío de RACK en el sistema operativo.
Por último, los expertos encontraron una falla que puede ralentizar los sistemas impactados reduciendo el tamaño máximo de los segmentos de una conexión TCP. El tamaño máximo de estos segmentos es una configuración presente en el encabezado de un paquete TCP que especifica la cantidad de datos contenida en el segmento.
Acorde a los expertos del Instituto Internacional de Seguridad Cibernética (IICS) las distribuciones de Linux están por lanzar los parches para corregir estas fallas, que incluyen el bloqueo de conexiones con MSS bajo, inhabilitación del procesamiento de SACK o desactivación temporal de la pila TCP RACK.
WHATSAPP PODRÍA PERMITIR QUE LOS MENSAJES SEAN RASTREABLES; LOS GOBIERNOS PODRÍAN IDENTIFICAR EL ORIGEN DE UN MENSAJE
CONTENIDO ORIGINAL: https://noticiasseguridad.com/seguridad-informatica/whatsapp-podria-permitir-que-los-mensajes-sean-rastreables-los-gobiernos-podrian-identificar-el-origen-de-un-mensaje/
Acorde a especialistas en protección de datos personales, las autoridades de India han solicitado al popular servicio de mensajería WhatsApp que tome registros digitales de los mensajes enviados a través de la plataforma sin violar el cifrado, pues de esta manera los mensajes serían rastreables, lo que facilitaría algunas labores de inteligencia del gobierno.
El gobierno de India considera que WhatsApp debe tener la capacidad de identificar el origen de un mensaje en específico, el número de personas que lo han recibido y el número de veces que ha sido reenviado, todo sin necesidad de acceder al contenido del mensaje. Para el gobierno de India el rastreo de un mensaje de esta plataforma se ha vuelto prioridad después de que una serie de noticias falsas sobre secuestros de niños provocara múltiples linchamientos en diferentes territorios.
“Nuestra intención no es leer los mensajes de los usuarios, sólo pretendemos rastrear el origen de los mensajes reenviados a múltiples usuarios que generan esta clase de confusiones”, mencionó un funcionario del gobierno. India es uno de los mercados principales para WhatsApp, con más de 300 millones de usuarios activos registrados.
Por largo tiempo, las agencias del cumplimiento de la ley en diversos países se han manifestado a favor de este tipo de medidas, pues sostienen que los metadatos (nombre de usuario, número de participantes de un chat grupal, etc) no son información suficiente para labores de inteligencia.
No obstante, acorde a los especialistas en protección de datos personales, el cifrado de extremo a extremo de WhatsApp no permite que los mensajes sean rastreados sin ser leídos, por lo que es imposible rastrear un mensaje sin romper el cifrado, lo que consiste en una violación a la privacidad del usuario.
El servicio de mensajería, propiedad de Facebook, no almacena datos sobre los mensajes de los usuarios, pero según los expertos en protección de datos personales del Instituto Internacional de Seguridad Cibernética (IICS), en caso de acceder a las solicitudes de India, WhatsApp debería reestructurar su arquitectura. El principal inconveniente es el golpe contra la privacidad de los usuarios, si WhatsApp hiciera esto en India, seguramente otros gobiernos enviarían solicitudes similares a la compañía, lo que podría derivar en un escenario de espionaje y vigilancia masiva en contra de cualquier persona.
CRITICAL FIREFOX VULNERABILITY, UPDATE MOZILLA IMMEDIATELY
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/19/critical-firefox-vulnerability-update-mozilla-immediately/
IT audit specialists claim that the more than 500 million Mozilla Firefox users are exposed to a critical vulnerability, so they should update to the latest version of the browser as soon as possible. The update fixes security flaws found in Firefox versions 67.0.3 and ESR 60.7.1.
In its security alert, Mozilla reports: “A vulnerability may arise when manipulating JavaScript objects due to some existing issues in Array.pop, so a system crash can be generated”. Mozilla added, “Unfortunately there is evidence to demonstrate the exploitation of this flaw in the wild.”
Browser developers consider it to be a critical vulnerability, as it is possible for an attacker to exploit it to execute code, install software, and other malicious tasks that do not require complex interaction of the compromised system user.
According to IT audit specialists, the vulnerability is so serious that U.S. government agencies have also decided to issue a security alert. “Mozilla released security updates to fix a severe flaw in Firefox and Firefox ESR”, mentions the Cybersecurity and Infrastructure Security Agency (CISA) alert.
Firefox users should keep in mind that this vulnerability, tracked as CVE-2019-11707, is indeed a significant security flaw, so they should update their systems as soon as possible. Updates are available on Mozilla’s official website.
According to IT audit experts from the International Institute of Cyber Security (IICS), Firefox has also automatically updated fixes in some browser versions. Users can check if the update was installed automatically by logging into Firefox and selecting the “About Firefox” option from the menu; if the update has not been installed, a new window will open to download the latest version of the browser.
If you are a Firefox user you should take five minutes to check the security of your browser, although exploiting the flaw, and similar ones, is rare in this browser, you should not miss security updates.
THE BIGGEST MEDICAL DATA BREACH EVER LED AMCA TO BANKRUPTCY
ORIGINAL CONTENT: https://www.securitynewspaper.com/2019/06/19/the-biggest-medical-data-breach-ever-led-amca-to-bankruptcy/
Medical services collection company American Medical Collection Agency (AMCA) has just filed for bankruptcy after data breach reported a few days ago, web applications security audits specialists report.
Reportedly, AMCA was hacked for about nine months, a fact that compromised the confidential information of AMCA’s business customers, including major industry companies such as Quest Diagnostics, LabCorp, Carcentrix, among others.
According to web applications security audits experts, at least 20 million people were affected by this incident; the report mentions that the hacker or hacker group infiltrated AMCA’s systems to extract sensitive information, including affected companies’ customer names, social security numbers and payment card details.
Information improperly extracted from the company’s systems was subsequently discovered for sale on dark web forums. Multiple class actions were filed against the company after the data breach was publicly disclosed. The plaintiffs claim that the company did not notify them in time, so they could do nothing to protect their personal information on their own.
Data protection regulators in the U.S. are investigating the incident and could impose future sanctions; moreover, Retrieval-Masters Creditors Bureau Inc. parent company of AMCA filed an application for bankruptcy protection.
According to AMCA’s statement, the company detected the security incident after a large number of credit cards began to be related to fraudulent activities.
According to web applications security audits experts, court documents mention that LabCorp ended its relationship with AMCA immediately after the data breach was reported; a few days after this, CareCentrix and Quest Diagnostics did the same. “The incident resulted in huge losses, the company could not overcome these expenses,” a court spokesman says. According to experts from the International Cyber Security Institute (IICS) the costs of cybersecurity and data protection services that the company had to absorb amount to more than $500k USD, without the costs of the legal process that the company
