Continuando con la primera parte de este post, donde se explicó detalladamente en qué consistía la vulnerabilidad cuando se utilizaba tecnologías CGI, se explicará el alcance crítico que tiene esta grave falla y cómo a partir de ciertas funcionalidades que el propio módulo CGI brinda se puede lograr comrprometer un servidor. Finalmente se explicará cómo se debe mitigar esta vulnerabilidad.

Muchas veces surge la pregunta de cómo es posible que se comprometan ciertos sitios de prestigio incluso alojando malware en el propio servidor con el fin de poder diseminarlo aprovechando la reputación y el alcance del sitio infectado. Si bien no es posible decir que  solo a través de esta vulnerabilidad, si es posible pensar que es viable debido a que, como se mencionó anteriormente, está vigente hace más de ocho años.

¿Cómo es posible la ejecución de código remoto?

Nuevamente, esto recae sobre la inyección de parámetros aprovechando las funcionalidades de CGI. Existe otro tipo de parámetro, específicamente “-d”, el cual permite la habilitación de ciertas opciones de PHP especificándolas directamente en el comando. Además utilizando esto junto con el parámetro “-n” se puede indicar que se ignore el archivo de configuración “php.ini”. De esta forma, es posible de alguna manera establecer las opciones según se requiera a través de parámetros.

Alguna de las opciones más llamativas para el contexto de esta vulnerabilidad son:

• Allow_url_include: Permite el uso de fopen con algunas funciones como include, include_once,require, require_once.
• Auto_prepend_file: Permite especificar un archivo que será interpretado antes del fichero principal.

A través de estos parámetros sería posible realizar lo que se conoce como RFI (remote file inclusion), es decir, ejecutar código desde un sitio remoto en el propio servidor. En la siguiente imagen se puede observar cómo a través de RFI se puede ejecutar el comando “phpinfo()”, el cual permite ver toda la información detallada sobre el PHP instalado en el servidor.

Entonces, de esta forma, es posible la ejecución de comandos de forma remota, ya que en este caso es posible ejecutar phpinfo(), por lo tanto será posible ejecutar cualquier código que soporte ejecución mediante CGI. Los resultados de estos comandos pueden comprometer seriamente la seguridad e integridad del servidor. Por ejemplo, si se desarrolla un script en PHP que permita ver las contraseñas del servidor y se lo ejecuta remotamente se puede tener una idea del daño que realizaría esta acción. A continuación, vemos unas capturas al respecto:

Ver m�s… »

Categories: Vulnerabilidades
3 Comments »

El siguiente post es una traducción de la publicación Could your next new car be hacked (should you be scared)? de nuestro investigador de ESET Norteamérica, Cameron Camp.

La ola de nuevas tecnologías están implementándose lenta pero de forma segura en las próximas generaciones de automóviles, los que actualmente incorporan capacidades como la conducción de forma semiautónoma, estacionarse casi por si solos, y de recibir y transmitir información en tiempo real, datos que luego son mostrados en pantallas ubicadas en los asientos con fines de entretención y asistencia.

En el último evento Blackhat del año pasado, pudimos observar una demostración en donde se vulneró la seguridad de un automóvil que utilizaba tecnología inalámbrica. En esa ocasión se pudo desbloquear las puertas y encender el motor de forma exitosa. ¿Qué sucedería si estos investigadores hubiesen optado por el “lado oscuro” con el fin de desbloquear automóviles y robarlos? Afortunadamente, esta pregunta queda sin respuesta ya que las personas detrás de esta demostración pusieron en conocimiento del fabricante de dicho automóvil, los antecedentes necesarios con el fin que se pudieran adoptar las medidas necesarias para solucionar esta falla de seguridad y evitar que personas menos nobles y con más tiempo libre, se dediquen a abrir puertas y conviertan esto en un negocio ilícito.

Tradicionalmente, la mayoría de los automóviles poseen sistemas informáticos integrados pero muy rudimentarios, que sólo cumplen funciones muy determinadas como medir la cantidad de combustible restante, hacer la transmisión más suave cuando se presiona el pedal de aceleración o para optimizar el rendimiento y consumo de gasolina.

Considerando que la industria automotriz tiene planeado lanzar al mercado autos con navegadores capaces de determinar la ubicación del mismo o que incluyan sistemas de información embebidos, ¿Qué tan lejos estamos de observar fraudes electrónicos o scams que se aprovechen de esta situación? Para responder esto, primero hay que mencionar que los exploits de navegadores en plataformas más tradicionales tienen un largo y amplio prontuario de fallos y vulnerabilidades que han sido explotados por ciberdelincuentes. Si pensamos que estos autos estarán dotados de altas prestaciones informáticas capaces de asistir en la conducción con información relevante, ¿Podría ser esta una nueva y fecunda plataforma  para fines delictuales? Como se ha podido observar en este último tiempo, los exploits que utilizan Java y que muchas veces funcionan independiente del sistema operativo utilizado, podrían perfectamente afectar un automóvil que utilice alguna aplicación desarrollada en ese lenguaje, lo que podría facilitar el robo de información almacenada en la computadora del vehículo o incluso traer consecuencias mucho más graves.

Por lo general, la industria automotriz suele ser muy cuidadosa llevando a cabo variadas pruebas exhaustivas con el fin de determinar y solucionar posibles fallas en sus sistemas. Sin embargo, los autos suelen ser utilizados por diez o más años, lo que dificultaría la solución de una eventual vulnerabilidad dada la cantidad de modelos que aparecerían en ese lapso. Aunque es posible implementar un ciclo de actualizaciones para solucionar estas fallas, cualquier inconveniente que ocurra durante ese proceso podría traer serias consecuencias.

Ver m�s… »

Categories: Curiosidades
No Comments »

Es conocida ya la repercusión y el impacto que tuvo Flashback en las últimas semanas. La afamada botnet ya tiene un gran número de sistemas Mac infectados a lo largo del mundo. Sin embargo, el tema que llama la atención estos días, es como se propagó. Unos de los vectores principales fue la plataforma de blogging WordPress.

No es casualidad que WordPress haya sido seleccionado como un medio para propagar este malware. Esta plataforma de blogging es ampliamente utilizada en la red y además de su facilidad de uso, cuenta con módulos disponibles para todo tipo de funcionalidades. Sin embargo, la desventaja de este sistema es que muchas veces, estos módulos son desarrollados por terceros y suelen contener bugs o vulnerabilidades que, en caso de que se exploten, pueden llegar a comprometer el sitio web.

Existen casos de plugins que permiten la inyección de código, los cuales pueden ser aprovechados por los ciberdelincuentes para incorporar código al sitio original de manera que cuando el usuario visite el sitio, ejecute el código inyectado. Se ha observado que el código inyectado, por lo general, es un script que se conecta a un sitio remoto y descarga el archivo .jar (Java) que contiene el código malicioso. A continuación se intenta ejecutar este archivo en el contexto de un applet para así lograr la infección del sistema.

Como puede observarse en la imagen anterior, el código intenta ejecutar dos archivos de extensión .jar cargándolos en un applet de dimensiones de apenas un píxel, posiblemente con la intención de no generar sospechas en el usuario que se encuentra navegando en el sitio web. Cabe destacar que la infección solo se producirá en caso de que se cuente con una versión de Java vulnerable.

¿Que debe hacer un administrador de un sitio web que utiliza WordPress?

Es importante tomar algunos recaudos. Como método de prevención no se deben instalar plugins que no sean de confianza y es de gran importancia actualizar tanto el software de WordPress como el conjunto de plugins instalados regularmente. Si se tienen dudas sobre si el sitio está infectado con este tipo de código, se puede realizar un análisis del sitio para verificar que se encuentre limpio. En caso de que se detecte que el sitio se encuentra infectado, se debe eliminar el código inyectado.

¿Qué debe hacer el usuario para navegar por la red y no infectarse?

Es importante que el usuario se encuentre protegido a la hora de navegar por la red, para evitar infectarse por el simple hecho de ingresar a un blog. Es por esto, que se le recomienda contar con un software antivirus que cuente con capacidad de detección proactiva, tal como es ESET NOD32 Antivirus, el cual bloquea el sitio remoto impidiendo la ejecución del código. Además se debe actualizar la versión  de Java a la última disponible en la cual ya se encuentra reparada la grave vulnerabilidad.

Fernando Catoira
Analista de Seguridad

Categories: Malware, Vulnerabilidades
2 Comments »

Una vez más tenemos el agrado de compartir con ustedes el reporte mensual de amenazas y tendencias correspondientes a febrero,  mes que año tras año les recuerda y hace presente a las personas, un tema cuyo significado o vivencia varía considerablemente en base al individuo, pero que sin embargo, no ha cambiado para los ciberdelincuentes: el rédito económico explotando el día de San Valentín como técnica de Ingeniería Social para propagar códigos maliciosos.

• No había pasado ni una semana desde el inicio del mes y los cibercriminales ya estaban utilizando el día de los enamorados como temática para infectar a  usuarios más incautos. Simulando ser un boletín informativo de una conocida aerolínea chilena, en donde se le afirmaba al lector que había resultado ganador de dos pasajes a Punta Cana, el gusano Dorkbot fue de acuerdo a nuestro laboratorio, el primer código malicioso en ser propagado durante ese mes utilizando el día de San Valentín 2012 como táctica para reclutar una vez más, computadoras zombis. Luego, y conforme se iba acercando el 14 de febrero, apareció otra campaña de difusión de malware en la que se hacía alusión a un supuesto video erótico que recibía la víctima de parte de una mujer. Este correo cuyo formato utilizado era similar al de Facebook cuando se recibe un mensaje, intentaba seducir al usuario mencionando que el material multimedia estaba originado exclusivamente para el destinatario y que contenía algo “muy íntimo”. Por otro lado, los ciberdelincuentes emplearon la técnica de Black Hat SEO y algunas palabras claves relacionadas con esa fecha para posicionar dentro de los primeros resultados de búsqueda, un sitio malicioso que ofrecía falsos cupones de descuentos para una conocida marca de ropa interior femenina a cambio de datos personales de la víctima.

• Este mes también se caracterizó por la utilización de la imagen de la popular cantante colombiana Shakira para expandir amenazas informáticas. El primer caso reportado ocurrió el segundo día de febrero, en donde se envió masivamente por Facebook, un supuesto video indigno en el que aparecería la cantante realizando actos reprochables en público. Sumado a la propagación por la red social, los cibercriminales emplearon la técnica Black Hat SEO para posicionar resultados relacionados a la artista colombiana. Siguiendo la misma línea, a finales de mes apareció otro correo electrónico que en esta oportunidad, intentaba hacerse pasar por un portal noticioso en el que se le ofrecía al usuario un video que afirmaba contener escenas íntimas de Shakira.

• En otros aspectos, y como forma de entregar soluciones de seguridad informáticas integrales que minimicen algunos riesgos como los ataques que combinan vulnerabilidades, nuestra compañía lanzó durante febrero, una nueva unidad de negocios denominada ESET Security Services, cuyo objetivo es la correcta gestión de seguridad en ambientes corporativos. En su primera etapa, el servicio constará de tres opciones: Vulnerability Assesment que consistente en encontrar vulnerabilidades conocidas. Después está Penetration Testing, análisis que permite determinar fehacientemente el peligro asociado a una determinada vulnerabilidad si es explotada. Finalmente contamos con GAP Analysis, evaluación que determina si una empresa cumple con ciertos estándares de seguridad. En complementación con ESET Security Services, es importante que el usuario corporativo esté consciente del ciclo de vida de una vulnerabilidad con el fin de otorgar una solución eficiente ante eventuales problemas.

• Finalmente podemos afirmar que este fue un mes indicativo en cuanto a los resultados que arrojaron algunas investigaciones como el Estado actual de la seguridad en América Latina, o nuestra encuesta mensual que trató sobre las redes sociales y qué comparten los usuarios. En ambas se puede apreciar que aún falta concientización, interés y conocimiento por parte de los usuarios sobre los riesgos inherentes al uso inadecuado de las tecnologías brindadas por la informática.

Para obtener mayor información sobre las amenazas destacadas de febrero, pueden visitar nuestro ranking de propagación de amenazas destacadas del mes.

André Goujon
Especialista de Awareness & Research

Categories: Reportes mensuales
2 Comments »

La seguridad de la información en la empresa tiene tres pilares fundamentales: las tecnologías, la educación y la gestión. Mientras que las tecnologías siempre estuvieron ligadas a la seguridad, o al menos de forma intuitiva para el usuario (es fácil asociar un antivirus, un firewall o una contraseña a la seguridad), también hace muchos años se insiste (e insistimos) con la importancia de la educación en seguridad, dada la cantidad de amenazas informáticas basadas en la Ingeniería Social. No obstante, asociar la seguridad de la información a la gestión es un concepto relativamente moderno, y los especialistas en seguridad de la información están pidiendo mayor foco en este aspecto para una eficiente protección en entornos corporativos.

En ese contexto, el año pasado lanzamos ESET Security Services, la nueva unidad de ESET Latinoamérica a través de la cual brindaremos servicios de seguridad a las empresas de la región.

En esta primer etapa, hemos decidido comenzar brindando servicios orientados a la auditoría de la seguridad, lo que implica poder evaluar cuál es el estado actual de determinados aspectos, de forma tal de poder proponer un plan de acción correctivo para el cliente.

¿Cuáles son los servicios que se brindan?

En primer lugar, el servicio de Vulnerability Assesment, que consiste en realizar análisis sobre los sistemas y servicios disponibles a fin de encontrar vulnerabilidades conocidas. Una vulnerabilidad es un error que permite que se realicen acciones no deseadas sobre un sistema. Dichas acciones pueden ser una interrupción del servicio, acceso a funciones o  información sin tener autorización, escalamiento de privilegios sobre la misma o ejecución de código en el sistema; entre otros. Es decir que, al existir una vulnerabilidad en una aplicación, un atacante (malintencionado o involuntario) podría causar un problema que afecte la seguridad de la información de una empresa, afectando alguno de los principios de protección de los datos: su disponibilidad, integridad o confidencialidad.

Ver m�s… »

Categories: Corporativo, Vulnerabilidades
1 Comment »