Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

UNAM-CERT ha tenido la amabilidad de enviarnos un comunicado con diversas vulnerabilidades en el sietma operativo de internet CISCO IOS (Internet Operating System):

Se han descubierto varias vulnerabilidades de negación de servicio en el Sistema Operativo de Internet ó IOS (Internet Operating System) de Cisco. Un intruso remoto podría provocar que un dispositivo afectado recargue el sistema operativo.

Fecha de Liberación: 26 de Enero de 2005
Ultima Revisión: 26 de Enero de 2005
Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, as como Foros y Listas de Discusión.

Sistemas Afectados

# Ruteadores y switches Cisco
ejecutando IOS en diversas configuraciones

I. Descripción

Cisco ha publicado tres boletines describiendo fallas en IOS que podrían permitir a un intruso remoto provocar que un dispositivo afectado recargue el sistema. Se pueden encontrar mayores detalles en las siguientes notas de vulnerabilidad:

* VU#583638 - Cisco IOS contiene una vulnerabilidad de DoS en el procesamiento de paquetes MPLS.

La implementación de IOS de MPLS (Multi Protocol Label Switching) contiene una vulnerabilidad que permite que paquetes MPLS malformados provoquen que un dispositivo afectado recargue el sistema. Un intruso no autenticado puede enviar estos paquetes malformados a un segmento de red local que esté conectado a una interfase del dispositivo vulnerable.
* VU#472582 - Vulnerabilidad de negación de servicio en IPv6 de Cisco IOS

Una vulnerabilidad en la forma en que IOS maneja una secuencia de paquetes IPv6 creados de forma maliciosa podría provocar que un dispositivo afectado recargue el sistema, dando como resultado una negación de servicio. La vulnerabilidad está expuesta tanto en interfases físicas (interfases de hardware) e interfases lógicas (interfases definidas por software, como por ejemplo túneles) que están configuradas para IPv6.
* VU#689326 - Cisco IOS vulnerable a DoS a través de paquetes BGP malformados.

Un dispositivo IOS que esté habilitado para el protocolo BGP (Border Gateway Protocol) y configurado con la opción de bgp log-neighbor-changes es vulnerable a un ataque de negación de servicio a través de un paquete BGP malformado.

II. Impacto

Aunque las causas subyacentes de estas tres vulnerabilidades son diferentes, en cada caso un intruso remoto podría causar que un dispositivo afectado recargue el sistema operativo. Esto crea una condición de negación de servicio debido a que los paquetes no son enviados a través del dispositivo afectado mientras esté recargando el sistema operativo. La explotación repetida de estas vulnerabilidades podría resultar en una condición sostenida de negación de servicio.

Debido a que dispositivos ejecutando IOS pueden transportar tráfico de una red a otra, el impacto secundario de la negación de servicio puede ser severo.

III. Soluciones

* Actualizar o parchar la versión de IOS

Cisco tiene versiones actualizadas de su software de IOS para solucionar estas vulnerabilidades. Consulte las sección “Software Versions and Fixes” de cada uno de los boletines de seguridad de Cisco listados en el Apéndice A para mayor información sobre las actualizaciones
* Soluciones temporales

Cisco ha publicado soluciones prácticas temporales para VU#689326 y VU#583638. Consulte la sección “Workarounds” de cada boletín de seguridad de Cisco listados en el Apéndice A para mayor información.

A los sitios que no puedan instalar una actualización de la versión de IOS se les recomienda implementar estas soluciones temporales.

IV. Apendices
=============

Referencias.

* Boletin de Seguridad de Cisco: Paquetes creados de forma maliciosa causan una recarga en Ruteadores de Cisco - http://www.cisco.com/warp/public/707/cisco-sa-20050126-les.shtml

* Boletin de Seguridad de Cisco: Multiples paquetes IPv6 creados de forma maliciosa causan una recarga - http://www.cisco.com/warp/public/707/cisco-sa-20050126-ipv6.shtml

* Boletin de Seguridad de Cisco: Paquetes BGP malformados de IOS de Cisco causan recarga - http://www.cisco.com/warp/public/707/cisco-sa-20050126-bgp.shtml

* Nota de vulnerabilidad VU#583638 - http://www.kb.cert.org/vuls/id/583638

* Nota de vulnerabilidad VU#472582 - http://www.kb.cert.org/vuls/id/472582

* Nota de vulnerabilidad VU#689326 - http://www.kb.cert.org/vuls/id/689326

———————————————————————
Autores de la version original: Will Dormann, Chad Dougherty, y Damon Morda.
———————————————————————

El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la traduccion, elaboracion y revision de este Boletin de Seguridad a:

* Ruben Aquino Luna (raquino at seguridad.unam.mx)
* Fernando Zaragoza Hern‡ndez (fzaragoz at seguridad.unam.mx)
———————————————————————

Información
===========

Éste documento se encuentra disponible en su formato original en la siguiente dirección:

http://www.us-cert.gov/

La versión en español del documento se encuentra disponible en:

http://www.cert.org.mx

Phrack, probablemente el mayor clásico (empezó allá por el año 1985, cuando muchos de nosotros eramos jóvenes o ni siquiera habíamos nacido) en cuanto a publicaciones de seguridad informática en la red, será descontinuado en su próximo número. Son ya 62 números (el 63 será el último) los que ha publicado este ezine, el cual ellos mismos denominan: "…a Hacker magazine by the community, for the community….". Ciertamente los artículos que han lanzado han sido siempre de interés y realmente originales ( pueden descargarlos en su portal web http://www.phrack.org/ ).

El último número aparecerá en Julio de 2.005, en el cual explicarán el motivo de su desaparición, pero intuimos algo leyendo en su web:

"The best chance to arrest Phrack Staff is at BCS2005 Con ( http://www.bellua.com/bcs2005/ ) PHRACK FINAL scheduled for JULY 2005"

Sin duda es una grave pérdida para el mundo se la seguridad informática, sólo nos queda agradecerles todo lo que nos han aportado y admirarles.

UNAM-CERT nos ha comunicado la convocatoría de la segunda edición del "Reto forense" organizado por UNAM-CERT y RedIRIS, finalizando el plazo de inscripción el 31 de Enero:

I. Convocatoria
===============

Las dos principales entidades académicas de seguridad informática de
España y México, la UNAM a través de la DGSCA y el UNAM-CERT y la
empresa pública Red.es a través del Grupo de Seguridad de RedIRIS,
con el apoyo de empresas y organismos de seguridad informática
iberoamericanos y mundiales, invita a los responsables de seguridad
informática, administradores de redes y sistemas y cualquier persona
interesada a participar en el Concurso de Reto Forense V2.0 de un
sistema de cómputo Linux comprometido.

El objetivo de este Reto Forense V2,0 es motivar el desarrollo en el
área de cómputo forense en Iberoamérica, proporcionando los elementos
necesarios para realizar un análisis y a la par de que los resultados
sean evaluados por expertos reconocidos en el área.

II. Participación
==================

A los interesados en participar en el Reto Forense V2.0, se les
proporcionarán imágenes de un sistema comprometido. Deberán analizar
las imágenes y presentar un reporte respondiendo a preguntas
específicas planteadas. Estas preguntas serán similares a las que se
plantean en todo análisis forense:

* ¿El sistema ha sido comprometido?
* ¿Quién (desde dónde) se realizó el ataque?
* ¿Cómo se realizó el ataque?
* ¿Qué hizo el atacante en el sistema comprometido?

Los interesados deberán registrarse en el sitio:

http://www.seguridad.unam.mx/eventos/reto/registro.dsc

A través de sus datos de registro se les hará llegar la información
necesaria para el análisis:

* Fecha de distribución de las imágenes.
* Fecha de recepción de reportes.
* Fecha de entrega de resultados.

Éste año, la información contenida en la imagen de la máquina atacada
no será pública, por lo que se solicita un registro previo de los
participantes para tener un control en el acceso a la información.

Además, los participantes del Reto Forense V2.0 tendrán acceso a una
lista interna de correo electrónico para la discusión del reto.

El registro estará abierto a partir del día 8 de diciembre de 2004 y
hasta el 28 de enero de 2005 a las 23:59 hrs, tiempo del centro de
México (GMT -6).

III. Los premios
================

Se premiarán los tres mejores análisis de la siguiente manera:

1er. lugar. Licencia de Encase Forensic Edition.

2do. lugar. Asistencia con todos los gastos cubiertos al
congreso Seguridad en Cómputo 2005 (Incluye
inscripción a una línea de especialización). *

http://congreso.seguridad.unam.mx

3er. lugar. Curso en línea de SANS.

* Válido para España y países de Latinoamérica.

IV. Coordinadores del proyecto
==============================

El proyecto está coordinado por dos integrantes de cada institución:

* Francisco Jesus Monserrat Coll
RedIRIS
francisco.monserrat at rediris.es

* Juan Carlos Guel López
DGSCA-UNAM
Departamento de Seguridad en Cómputo/UNAM-CERT
cguel at seguridad.unam.mx

V. El jurado
============

El jurado del Reto Forense V2.0 estará compuesto por las siguientes
personas:

* Francisco Monserrat - RedIRIS, España.
* Jess Garcia - SANS Institute, USA
* Rubén Aquino Luna - DSC/UNAM-CERT, México.
* Alejandro Núñez Sandoval - DSC/UNAM-CERT, México.
* Jacomo Dimmit Boca Piccolini - CAIS, RNP, Brazil.
* Guillerme Venhere - CAIS, RNP, Brazil.
* Matias Bevilacqua - Cybex, España.

Informacion
============

http://www.seguridad.unam.mx/
http://www.rediris.es/cert/

Los ataques mediante la técnica de ‘phishing’ están incrementandose a pasos agigantados. Recordamos que el ‘phishing’ tiene como objeto recabar datos confidenciales del cliente; todos los meses se registran unos 3.000 millones de correos fraudulentos en todo el mundo. Según los datos de Anti-Phishing Working Group (APWG), los ataques de este tipo crecieron un 180 por ciento en tan sólo un mes durante 2004.

Ahora ha aparecido la noticia sobre la posibilidad de phishing mediante lel servicio de publicidad de Google, Adsense ( https://google.es/adsense/ ). Esta página, a pesar de estar cifrada mediante SSL (https) que se supone garantiza el cifrado de los datos, sufre de un problema de validación de páginas no existentes. Esto da la oportunidad a cualquiera de inyectar código en la URL que simule una página válida y desviar los datos al servidor de un tercero de una forma trivial.

El usuario atacado apenas notará diferencia y comprobando el certificado de seguridad será completamente válido porque la página en realidad es interpretada por el propio servidor real de Google.

Más información: http://www.infohacking.com/google/index.html

Ha aparecido un mensaje en un foro en el cual se explica cómo Movistar Activa (modalidad prepago de Telefónica en España para telefonía movil) tiene un problema de seguridad mediante el cual una persona malintencionada podría "robar" el número de teléfono y el saldo de la víctima. Esto es debido a un problema en las medidas de seguridad e identificación del propietario del número/tarjeta de teléfono. No queremos explicar el proceso completo, pero todo está basado en cierto modo en una especie de ingeniería social contra la operadora, mediante la recarga de saldo del número de la víctima y posterior suplantación de identidad consiguiendo un duplicado de tarjeta.

Telefónica aún no ha lanzado una solución oficial al respecto, pero parece ser que en algunas zonas, especialmente por la zona de Madrid, los distribuidores están dejando de hacer duplicados de tarjeta de Movistar Activa

Fuente de información: http://www.ciberseleccion.com/index.php?topic=27.0

Durante estos días ha aparecido la noticia sobre una vulnerabilidad en las ramas estables del kernel de Linux, 2.4 y 2.6, que pueden permitir a un usuario local la elevación de privilegios a superusuario (root), debido a un problema en las librerías de "uselib()".

Más información: http://isec.pl/vulnerabilities/isec-0021-uselib.txt

Una vez finalizado el año 2.004, conviene repasar uno de los problemas informáticos que más afectan a los usuarios desde el punto de vista de la seguridad informática, virus, gusanos, troyanos …

La empresa Trend Micro ha hecho públicos los datos que hacen referencia a 2.004. El más llamativo es un incremento en el número de infecciones de un 8% con respecto al ejercicio anterior, llegando a unas 37.822.000 infecciones durante el año 2.004. Estas infecciones se pueden agrupar principalmente en 30 epidemias, en las cuales han participado muy activamente (y perjudicialmente) los conocidos virus Bagle, Mydoom y Netsky en sus distintas variantes y versiones.

Trend Micro documentó un total de 16,800 nuevos ejemplares de malware en 2.004, donde los troyanos representan la mayoría de éstos con el 33% del total, y detectó más de 5,000 nuevos troyanos como los backdoors (troyanos de acceso remoto) que representaron el 22% de las nuevas detecciones.

Otras nuevas amenazas que están ganando mucha fuerza son los ataques mediante redes inalámbricas y los ataques mediante mensajes ‘phising’, de los cuales detectó 9,709 mensajes, siendo Citibank el principal objetivo de estos ataques.

Y para 2.005 … pues más de lo mismo, principal punto débil de los usuarios las redes de IRC, las redes P2P y como principales molestias el phising y el spam.