Nueva vulnerabilidad 0-day en los servidores apache

19 de octubre de 2021 Por

En esta entrada vamos a comentar la nueva vulnerabilidad descubierta hace tan solo unos días, que afecta a los servidores Apache que se encuentren en la versión 2.4.49.

Esta vulnerabilidad, del tipo Path traversal, o salto de directorio en castellano, se basa en un fallo a la hora de la normalización de rutas en el servidor, permitiendo a un atacante externo leer cualquier archivo incluso fuera del Document Root, aunque para esto, se tiene que dar la situación en la que los archivos fuera del Document Root no estén protegidos por la directiva ‘require all denied‘. Este fallo puede ser utilizado para filtrar el código fuente de archivos interpretados como scripts CGI.

Esta vulnerabilidad ha sido registrada con el CVE-2021-41773.

La explotación de esta vulnerabilidad es relativamente sencilla, tal y como puede verse en la siguiente prueba de concepto:

[Read more…]

Omnium contra Omnes (II): Hacia el realismo político

8 de octubre de 2021 Por

En el anterior artículo comentábamos el impacto que ha tenido la posibilidad de anonimato en el ciberespacio. En este post vamos a indagar en esta cuestión y exponer los detalles que explican la existencia del anonimato, así como las consecuencias en el contexto geopolítico.

Anonimato

Los cinco factores imposibilitan la atribución directa de una acción de ciberguerra a una nación son los siguientes:

1. Que el medio virtual esté conformado por información permite a todo tipo de usuarios disponer de la posibilidad de la creación y modificación de artefactos, únicamente limitado por los permisos. Esto conduce a que no exista una traslación completa del elemento físico al virtual y, por tanto, no se dispone del control total del mismo. En consecuencia, no es posible garantizar la inmutabilidad de los elementos del entorno, es decir, qué acciones se han realizado o quién las realiza.

2. Existe la imposibilidad fáctica de la asignación de un perfil virtual de una nación. Los problemas vinculados a la atribución, fundamentados en el punto anterior, imposibilitan la relación de dos campañas separadas en el tiempo solo a partir de sus tácticas, técnicas y procedimientos. Incluso a pesar de contar con un indicador como el hash, no existe garantía al 100% de que se trata exactamente del mismo actor, pues el código podría haber sido robado o manipulado con anterioridad.

[Read more…]

10 consejos para asegurar los datos alojados en Amazon S3

4 de octubre de 2021 Por

El uso de Amazon Simple Storage Service S3 está cada vez más extendido, utilizándose en multitud de casos de uso: repositorios de datos sensibles, almacenamiento de logs de seguridad, integración con herramientas de backups…, por lo que debemos tener especial atención en la forma en la que configuramos nuestros buckets y como los exponemos a internet.

En este post hablaremos sobre 10 buenas prácticas de seguridad que nos permitirán gestionar de una forma correcta nuestros buckets S3.

Empecemos.

1 – Bloquea el acceso público a los buckets de S3 en toda la organización

Por defecto los buckets son privados y únicamente pueden ser utilizados por los propios usuarios de nuestra cuenta, siempre que tengan establecido correctamente los permisos para ello.

Adicionalmente, los buckets tienen una opción “S3 Block Public Access” que impide que los buckets puedan ser considerados públicos. Esta opción se puede activar o desactivar en cada bucket de la AWS Account. Para prevenir que un usuario pueda desactivar dicha opción, podemos crear una política SCP en nuestra organización para que ninguna AWS Account miembro de la organización pueda hacerlo.

[Read more…]

TrustedInstaller, parando Windows Defender

27 de septiembre de 2021 Por

A menudo, durante un proceso de intrusión puede sernos de utilidad disponer de la capacidad de deshabilitar las medidas de defensa del equipo objetivo. Para aquellos pentesters que ya hayan probado las mieles de la solución de seguridad embarcada por defecto en los sistemas operativos de Microsoft, Windows Defender, estarán de acuerdo conmigo que ha mejorado sustancialmente desde sus primeras releases, en especial las últimas versiones con capacidad en nube para Windows 10. Por lo tanto, es muy probable que nos enfrentemos a este antivirus durante un proceso de intrusión, más pronto o más tarde.

De forma muy resumida, el componente principal de Windows Defender es el servicio “WinDefend”, encargado de lanzar el proceso de monitorización continua “MsMpEng.exe” y cargar su motor “mpengine.dll”, por lo tanto si somos capaces de parar ese servicio, estaremos deteniendo su ejecución en gran medida.

[Read more…]

Riesgos y Resiliencia de Internet ante una Tormenta Solar

22 de septiembre de 2021 Por
Fuente Goddard Space Flight Center Scientific Visualization Studio y el Solar Dynamics Observatory.

Imaginemos. Hace dos años un amigo flipao te pregunta; “tú (como trabajador, como empresario, como ciudadano o como simple “persona humana”),  ¿si viene una pandemia mundial y nos encierran en casa y no podemos ir  a la oficina, ni viajar, ni dar un abrazo a nuestros amigos,  que harías? ¿Qué harías ahora (hace dos años) para minimizar este riesgo?”

Sigamos imaginando. ¿Y si en vez de un amigo, esa pregunta te la hace un consultor en un análisis de riesgos o de impacto?

No hace falta que sigamos imaginando. Si es un amigo seguramente te hubieras atragantado de la risa, le hubieras dado una palmadita en la espalda y le hubieras dicho “eres un flipao”.

Si eres un empresario (Responsable de TI, de infraestructuras, de CPD, CISO, CIO, CEO, etc.) “sufriendo” un análisis de riesgos, habrías levantado los ojos al cielo y pensado “con la de cosas urgentes e importantes que tengo que hacer… “.

Y así nos ha ido.

[Read more…]

Omnium contra omnes (I): Foucault en la ciberguerra

17 de septiembre de 2021 Por

No cabe duda de que, durante los últimos años, el número de operaciones en el ciberespacio con una motivación política ha ido en aumento. Bajo el análisis del contexto geopolítico, podemos encontrar una de las causas del auge de este nuevo modelo de guerra.

Desde la II Guerra Mundial no ha habido un conflicto bélico entre dos naciones del primer mundo. Esto evidencia cómo las grandes naciones han trasladado el choque de intereses a metodologías menos clásicas, como puede ser la utilización de guerras subsidiarias, la guerra comercial y, desde hace algunos años, la ciberguerra.

Sin embargo, es la utilización de la ciberguerra lo que permite interpretar el contexto geopolítico actual, pues ofrece una serie de particularidades como conflicto que permiten adecuarse de manera acorde a las relaciones internaciones contemporáneas.

[Read more…]

Sincronización de navegadores en equipos corporativos… that is the question!

8 de julio de 2021 Por

La lucha por la cuota de mercado de los navegadores web es un relato tan viejo como la propia internet. A lo largo de esta crónica, distintos protagonistas han pugnado por atraer a los usuarios con nuevas y diferenciadoras funcionalidades que, cuando han resultado exitosas, han sido posteriormente adoptadas también por los competidores.

La publicidad, la privacidad, la explotación de los datos del usuario, la incorporación de nuevas extensiones, el consumo de recursos, vienen siendo, entre otros, algunos de los diferentes argumentos en esa confrontación.

En los últimos tiempos una nueva funcionalidad ha emergido en el terreno de los navegadores web: la sincronización de datos. De manera genérica, esta función permite acceder a los mismos favoritos, contraseñas, historial, extensiones,… desde cualquier dispositivo del usuario; es decir, estará disponible la misma información independientemente del dispositivo utilizado.

Así pues, por ejemplo, si usted sincronizara los “Favoritos” de su navegador entre el ordenador de casa y el de la empresa, accedería a los mismos “Favoritos” en ambos equipos.

[Read more…]

La cadena de suministro y el elefante en la habitación

6 de julio de 2021 Por

Hace unos días, a raíz de los ataques de ransomware “relacionados” con el producto Kaseya de gestión remota de TI, publiqué en LinkedIn una breve publicación en la que decía lo siguiente:

La cadena de suministro es el elefante en la habitación y tenemos que hablar más de ello.

Sí, hablemos un poco de prevención y dejemos la detección y gestión para otro momento. Como dice el dicho, mejor prevenir que curar. Para desarrollarlo un poco más, añadí que:

 

deberíamos empezar a pensar que el software y el hardware de terceros son inseguros por defecto y que se debería imponer la obligación a los fabricantes de software de realizar y publicar, hasta cierto punto, pentestings serios, regulares y profundos para las aplicaciones críticas que venden (y sus actualizaciones). E incluso entonces, cualquier software o dispositivo de terceros debería considerarse inseguro por defecto, a menos que se demuestre lo contrario.

 

En un comentario, Andrew (David) Worley hizo referencia a los informes SOC 2, que deberían ser capaces de prevenir mínimamente este tipo de “problemas”, y comentó un par de iniciativas que yo desconocía: el Software Bill of Materials (SBoMs) y el Digital Bill of Materials (DBoMs).

Me comprometo a hablar de ello en otro post, pero de momento sigamos.

[Read more…]

La certificación OSEP (Offensive Security Experienced Penetration Tester)

29 de junio de 2021 Por
PEN-300 and the OSEP Certification | Offensive Security

En esta entrada vamos a hablar de una de las nuevas certificaciones ofrecidas por Offensive Security, en concreto de OSEP (Offensive Security Experienced Penetration Tester).

Esta certificación forma parte del nuevo OSCE junto con las, también nuevas, OSED (Offensive Security Exploit Developer) y OSWE (Offensive Security Web Expert).

Como todas las certificaciones de Offensive Security, es obligatorio realizar el curso asociado a la certificación, denominado “Evasion techniques and breaching defenses” del que hablaremos más adelante también.

A día de hoy, el precio del curso es de 1299$, el cual incluye 2 meses de acceso al laboratorio y la convocatoria del examen (de 48 fantásticas horas :P).

Supongo que, si estás leyendo esta entrada, todo lo anterior ya lo conocías, así que ¡vamos a profundizar en lo que probablemente no sabes!

[Read more…]

La operación Escudo de Troya: cómo las fuerzas y cuerpos de seguridad están a la caza de los delincuentes en el ciberespacio.

23 de junio de 2021 Por
Operación encubierta de ANOM - Wikipedia, la enciclopedia libre
Fuente: FBI

En un mundo altamente hiperconectado, la tecnología avanza con una rapidez sin precedentes, que obliga tanto a policía como investigadores a innovar constantemente. Los ataques resultan ser cada vez más agresivos, al igual que la propia ciberdelincuencia evoluciona a un ritmo que puede resultar muy difícil seguir.

La guerra digital ha llegado para quedarse, y las nostálgicas persecuciones de película entre delincuentes y policías por las calles de la ciudad se han trasladado al ciberespacio. Esto hace que “los buenos” deban ser creativos a la hora de perseguir el crimen y establecer nuevos métodos de investigación.

Por todo ello, las trampas tecnológicas son ahora una realidad, especialmente dirigidas a identificar y capturar a miembros del crimen organizado, cibercriminales y terroristas, convirtiéndose esto en una nueva táctica de represión muy presente en la actualidad.

La Operación Escudo de Troya ejemplifica bien esta nueva modalidad de lucha contra el crimen en la red. Esta ofensiva policial ha contado con la colaboración de más de una decena de países, donde miembros de las fuerzas del orden se han infiltrado en bandas delictivas que operan online. Así, aquellos individuos interceptados resultaron ser usuarios de una aplicación concreta de comunicaciones cifradas, la cual había sido pinchada por el FBI, interceptando así todos los mensajes que los cibercriminales circulaban a través de la aplicación.

[Read more…]