Download Una vulnerabilidad en Graphite afecta a Linux

Document related concepts

Malware en Linux wikipedia , lookup

Seguridad del navegador wikipedia , lookup

UClibc wikipedia , lookup

Ataque de día cero wikipedia , lookup

Transcript
02-2016
Una vulnerabilidad en Graphite afecta a Linux,
LibreOffice/OpenOffice y Firefox, entre otros
En ocasiones la seguridad de un sistema operativo no solo depende del usuario, sino también de
bibliotecas de terceros, estando expuestas las aplicaciones a sufrir algún tipo de problema que afecte el
equipo o a las mismas. En esta ocasión ha sido Graphite la afectada, la biblioteca encargada del
procesamiento de fuentes, que actualmente posee cuatro vulnerabilidades que podrían permitir el control del
equipo de forma remota.
El problema se origina ya que esta biblioteca es una de las mas utilizadas y no sólo por el sistema
operativo, sino también por otras aplicaciones. Entre las aplicaciones que están siendo afectadas por estas
vulnerabilidades se encuentran OpenOffice y LibreOffice, WordPad o Pale Moon, además del navegador
Firefox y clientes de correo Thunderbird, siendo estos algunos ejemplos de la cantidad de aplicaciones que
hacen uso de dicha biblioteca y estando afectadas de igual forma. Además que dicha biblioteca sirve como
intérprete de fuentes, posee una herramienta que permite crear otras fuentes utilizando un editor gráfico.
Los encargados de Cisco Talos han catalogado las cuatro vulnerabilidades como CVE-2016-1521, las
cuales podrían permitir a un ciberdelincuente provocar un mal funcionamiento del equipo y la ejecución
remota de código.
Si se hace uso de la biblioteca Graphite que esta incluida por defecto en el navegador web, el atacante
tendría un amplio campo de posibilidades para poder consolidar un ataque. Cabría destacar que en caso del
navegador web la biblioteca esta incluida desde la versión 11, eso quiere decir desde el año 2012.
Se toma como ejemplo el caso del navegador web Firefox, que aunque son muchos los programas
afectados, el navegador es el único que permite al usuario contacto con Internet. Si el usuario accede a una
página web que sea maliciosa, este permitiría la ejecución de un código en su equipo y así permitir
descargar otros archivos que pondrían en peligro la funcionalidad de diversos programas como por ejemplo
OpenOffice y LibreOffice.
Fuente: http://www.redeszone.net/
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]
02-2016
Fysbis, otra puerta trasera que afecta a
Linux
En las ultimas semanas se han detectado
actividades en aumento de ciberdelincuentes
creando amenazas que afectan distribuciones
Linux, expertos en seguridad de la empresa Palo
Alto Networks han detectado la presencia de una
puerta trasera llamada Fysbis.
Algunos de los que han tenido contacto con la
amenaza, mencionaron que la primera vez que se
logro saber de esta fue en el año 2014, pero en ese
momento no se le prestó la debida atención.
Además anuncian que desde ese año han sido muy
pocos los casos de infecciones y su actividad no ha
sido destacada.
Los expertos presumen que, dadas las
características de la amenaza, se debió utilizar en
algún departamento de seguridad
para realizar
labores de espionaje. Cabe destacar que todo
apunta que dicho software tiene origen ruso, como
en su mayoría son los que se encuentran en la
actualidad en Internet. Además la empresa Palo Alto
presume que los responsables detrás del desarrollo
de la amenaza fue el grupo de hackers conocidos
como Sednit o Sofacy.
En la actualidad el software malicioso es utilizado
por sus propietarios para poder robar credenciales,
distribuir adware, entre otras cosas..
Fysbis puede trabajar con y sin derechos
de administrador en el sistema
Actualmente un tema resaltante es que las
amenazas posean permiso de administrador,
indistintamente del sistema operativo al cual nos
referimos. Esto no sólo hace que los
ciberdelincuentes puedan acceder con un mayor
control sobre el equipo, sino que también le
permite realizar muchos mas cambios o tareas sin
que el usuario intervenga.
El virus puede acceder por ataques Phishing o a
tráves de ataques de fuerza bruta a puertos de
red que se encuentren desprotegidos. Este virus
tiene versiones de 32 bits así como también de 64
bits. Una vez que ya se ha instalado en su equipo,
realiza varias pruebas para comprobar cual es el
estado en el que se encuentra el sistema.
Después que ya se hicieron las pruebas y se han
enviado a un servidor remoto, empieza el proceso
de recolección de datos, tanto de teclado como
de archivos que se copien o que se eliminen.
Los expertos en seguridad recomiendan para
protegerse de este tipo de amenaza desconectar
el equipo de Internet y después proceder a
eliminarlo.
Fuente:
http://www.redeszone.net/
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]
02-2016
Vulnerabilidad altamente crítica en glibc
Se ha detectado una vulnerabilidad altamente critica en la biblioteca GNU (glibc) la cual es un
componente de la mayoría de las distribuciones de Linux. Cabe destacar que esta amenaza deja
vulnerables una gran cantidad de equipos que poseen Linux, además de incontables aplicaciones y
dispositivos electrónicos, de forma que los atacantes pueden tener completo control sobre ellos.
La biblioteca GNU (glibc) es una biblioteca de C que proporciona y define las llamadas al sistema y
otras funciones básicas, es utilizada por casi todos los programas. Es muy usada en los sistemas GNU y
sistemas basados en el núcleo Linux. Gracias a su portabilidad, soporta gran cantidad de plataformas de
hardware.
Esta vulnerabilidad esta siendo comparada con la del año pasado conocida como GHOST (CVE2015-0235) la cual dejó un gran número de máquinas vulnerables a ataques de ejecución remota de
código (RCE). La actual vulnerabilidad también permite que con solo hacer clic en un enlace o conexión
a un servidor se realice una ejecución remota de código (RCE).
La falla aprovecha el momento en que una aplicación o dispositivo afectado realiza consultas a un
servidor DNS malicioso, este a su vez devuelve una gran cantidad de información en la petición,
ocasionado una “inundación” memoria con código enviado por el atacante. Este código luego
compromete la aplicación vulnerable e intenta tomar el control sobre todo el sistema.
Todas las versiones de la biblioteca glibc posteriores a la versión 2.9 son vulnerables. Por lo tanto,
cualquier software o aplicación que se conecta a la red y utilice glibc está en riesgo.
La vulnerabilidad se podría extender a casi todos el software del mundo de código abierto, incluyendo:
●
Prácticamente todas las distribuciones de Linux
●
Lenguajes de programación como Python, PHP y Ruby on Rails
●
Código de Linux que buscan la dirección IP de un dominio en Internet
●
La mayoría del software Bitcoin al parecer también son vulnerables.
●
Cabe destacar que los usuarios de Android no son vulnerables por la falla, ya que google no
utiliza Glibc sino tiene un sustituto llamado Bionic que no es vulnerable.
Fuente: http://blog.segu-info.com.ar/
@vencert
VenCERT Oficial
Team VenCERT
http://www.vencert.gob.ve/
0800-VenCERT (8362378) - [email protected]