Download Una vulnerabilidad en Graphite afecta a Linux
Document related concepts
Transcript
02-2016 Una vulnerabilidad en Graphite afecta a Linux, LibreOffice/OpenOffice y Firefox, entre otros En ocasiones la seguridad de un sistema operativo no solo depende del usuario, sino también de bibliotecas de terceros, estando expuestas las aplicaciones a sufrir algún tipo de problema que afecte el equipo o a las mismas. En esta ocasión ha sido Graphite la afectada, la biblioteca encargada del procesamiento de fuentes, que actualmente posee cuatro vulnerabilidades que podrían permitir el control del equipo de forma remota. El problema se origina ya que esta biblioteca es una de las mas utilizadas y no sólo por el sistema operativo, sino también por otras aplicaciones. Entre las aplicaciones que están siendo afectadas por estas vulnerabilidades se encuentran OpenOffice y LibreOffice, WordPad o Pale Moon, además del navegador Firefox y clientes de correo Thunderbird, siendo estos algunos ejemplos de la cantidad de aplicaciones que hacen uso de dicha biblioteca y estando afectadas de igual forma. Además que dicha biblioteca sirve como intérprete de fuentes, posee una herramienta que permite crear otras fuentes utilizando un editor gráfico. Los encargados de Cisco Talos han catalogado las cuatro vulnerabilidades como CVE-2016-1521, las cuales podrían permitir a un ciberdelincuente provocar un mal funcionamiento del equipo y la ejecución remota de código. Si se hace uso de la biblioteca Graphite que esta incluida por defecto en el navegador web, el atacante tendría un amplio campo de posibilidades para poder consolidar un ataque. Cabría destacar que en caso del navegador web la biblioteca esta incluida desde la versión 11, eso quiere decir desde el año 2012. Se toma como ejemplo el caso del navegador web Firefox, que aunque son muchos los programas afectados, el navegador es el único que permite al usuario contacto con Internet. Si el usuario accede a una página web que sea maliciosa, este permitiría la ejecución de un código en su equipo y así permitir descargar otros archivos que pondrían en peligro la funcionalidad de diversos programas como por ejemplo OpenOffice y LibreOffice. Fuente: http://www.redeszone.net/ @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - incidentes@vencert.gob.ve 02-2016 Fysbis, otra puerta trasera que afecta a Linux En las ultimas semanas se han detectado actividades en aumento de ciberdelincuentes creando amenazas que afectan distribuciones Linux, expertos en seguridad de la empresa Palo Alto Networks han detectado la presencia de una puerta trasera llamada Fysbis. Algunos de los que han tenido contacto con la amenaza, mencionaron que la primera vez que se logro saber de esta fue en el año 2014, pero en ese momento no se le prestó la debida atención. Además anuncian que desde ese año han sido muy pocos los casos de infecciones y su actividad no ha sido destacada. Los expertos presumen que, dadas las características de la amenaza, se debió utilizar en algún departamento de seguridad para realizar labores de espionaje. Cabe destacar que todo apunta que dicho software tiene origen ruso, como en su mayoría son los que se encuentran en la actualidad en Internet. Además la empresa Palo Alto presume que los responsables detrás del desarrollo de la amenaza fue el grupo de hackers conocidos como Sednit o Sofacy. En la actualidad el software malicioso es utilizado por sus propietarios para poder robar credenciales, distribuir adware, entre otras cosas.. Fysbis puede trabajar con y sin derechos de administrador en el sistema Actualmente un tema resaltante es que las amenazas posean permiso de administrador, indistintamente del sistema operativo al cual nos referimos. Esto no sólo hace que los ciberdelincuentes puedan acceder con un mayor control sobre el equipo, sino que también le permite realizar muchos mas cambios o tareas sin que el usuario intervenga. El virus puede acceder por ataques Phishing o a tráves de ataques de fuerza bruta a puertos de red que se encuentren desprotegidos. Este virus tiene versiones de 32 bits así como también de 64 bits. Una vez que ya se ha instalado en su equipo, realiza varias pruebas para comprobar cual es el estado en el que se encuentra el sistema. Después que ya se hicieron las pruebas y se han enviado a un servidor remoto, empieza el proceso de recolección de datos, tanto de teclado como de archivos que se copien o que se eliminen. Los expertos en seguridad recomiendan para protegerse de este tipo de amenaza desconectar el equipo de Internet y después proceder a eliminarlo. Fuente: http://www.redeszone.net/ @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - incidentes@vencert.gob.ve 02-2016 Vulnerabilidad altamente crítica en glibc Se ha detectado una vulnerabilidad altamente critica en la biblioteca GNU (glibc) la cual es un componente de la mayoría de las distribuciones de Linux. Cabe destacar que esta amenaza deja vulnerables una gran cantidad de equipos que poseen Linux, además de incontables aplicaciones y dispositivos electrónicos, de forma que los atacantes pueden tener completo control sobre ellos. La biblioteca GNU (glibc) es una biblioteca de C que proporciona y define las llamadas al sistema y otras funciones básicas, es utilizada por casi todos los programas. Es muy usada en los sistemas GNU y sistemas basados en el núcleo Linux. Gracias a su portabilidad, soporta gran cantidad de plataformas de hardware. Esta vulnerabilidad esta siendo comparada con la del año pasado conocida como GHOST (CVE2015-0235) la cual dejó un gran número de máquinas vulnerables a ataques de ejecución remota de código (RCE). La actual vulnerabilidad también permite que con solo hacer clic en un enlace o conexión a un servidor se realice una ejecución remota de código (RCE). La falla aprovecha el momento en que una aplicación o dispositivo afectado realiza consultas a un servidor DNS malicioso, este a su vez devuelve una gran cantidad de información en la petición, ocasionado una “inundación” memoria con código enviado por el atacante. Este código luego compromete la aplicación vulnerable e intenta tomar el control sobre todo el sistema. Todas las versiones de la biblioteca glibc posteriores a la versión 2.9 son vulnerables. Por lo tanto, cualquier software o aplicación que se conecta a la red y utilice glibc está en riesgo. La vulnerabilidad se podría extender a casi todos el software del mundo de código abierto, incluyendo: ● Prácticamente todas las distribuciones de Linux ● Lenguajes de programación como Python, PHP y Ruby on Rails ● Código de Linux que buscan la dirección IP de un dominio en Internet ● La mayoría del software Bitcoin al parecer también son vulnerables. ● Cabe destacar que los usuarios de Android no son vulnerables por la falla, ya que google no utiliza Glibc sino tiene un sustituto llamado Bionic que no es vulnerable. Fuente: http://blog.segu-info.com.ar/ @vencert VenCERT Oficial Team VenCERT http://www.vencert.gob.ve/ 0800-VenCERT (8362378) - incidentes@vencert.gob.ve