Archivo mensual: Junio 2017

Ataque a OneLogin Password Manager, datos de usuarios podrían ser desencriptados

Si utiliza OneLogin inmediatamente cambie todas sus contraseñas. La compañía de administración de contraseñas basada en cloud admitió que ha sufrido una filtración de datos mediante un acceso no autorizado en su datacenter de Estados Unidos.

Mientras la compañía no ha entregado mayores detalles acerca de la naturaleza del ciber ataque, la declaración emitida por la firma sugiere que la filtración es extensa.

OneLogin aún no revela la debilidad potencial en su servicio que a expuesto los datos de usuarios, tampoco está claro que tipo de datos fueron extraídos. Existe una publicación detallada disponible sólo para sus clientes, aparentemente los datos que se alojaban en los servidores de EEUU fueron afectados.

¿Que debe hacer el usuario? Primero que todo cambiar las contraseñas de todas las cuentas que tiene asociadas con OneLogin.

La empresa entregó a sus usuarios una larga lista de acciones para protegerse y minimizar el riesgo a sus datos, entre estas:

  • Forzar un reinicio de contraseña a todos sus clientes.
  • Generar nuevas credenciales de seguridad, tokens 0Auth y certificados para aplicaciones y sitios web.
  • Reciclar secretos guardados en las notas seguras de OneLogin.

Para cualquier consulta, los clientes de OneLogin se pueden contactar con la empresa en el correo security-support@onelogin.com

El usuario también debe estar alerta de los correos de phising, los cuales usualmente son el siguiente paso de los ciber criminales luego de una filtración de esta naturaleza. los ataques de phishing están diseñados para engañar a usuarios a que entreguen información como claves e información bancaria.

Fuente: https://www.onelogin.com/blog/may-31-2017-security-incident

Vulnerabilidad en Linux, falla en Sudo permite a usuarios obtener privilegios de root

Una falla de alta severidad en Linux permitiría a un atacante con bajos privilegios obtener acceso completo como administrador de un sistema afectado. Esta vulnerabilidad se encuentra en el proceso “get_process_ttyname()”.

Sudo significa “superuser do!” (ejecutar como superusuario), es un programa de Linux y UNIX que permite a usuarios normales ejecutar comandos como superusuario (“root”), tal como agregar usuarios o realizar actualizaciones de sistema.

La falla reside en la forma que Sudo convierte la información “tty” desde el archivo de estatus de proceso en el sistema de archivos.

En equipos linux, sudo convierte el archivo /proc/[PID]/stat para determinar el numero de dispositivo tty del proceso.

Mientras los campos en el archivo son delimitados por espacios, es posible incluir un espacio en blanco en el campo 2 (inclusive un salto de linea) lo cual no es esperado por Sudo.

Para explotar esta falla, el usuario puede escoger un número de dispositivo que no exista actualmente en /dev. Si Sudo no encuentra el terminal bajo el directorio /dev/pts, ejecuta una busqueda BFS (en ancho) del /dev, el atacante entonces crea un link simbólico al nuevo dispositivo creado en un directorio con permisos de escritura como /dev/shm.

Este archivo será usado como el punto de entrada y salida estandard de comandos, es posible sobre-escribir un archivo arbitrario. Esto puede ser escalado para tener privilegios completos de root al sobre-escribir un archivo de confianza como /etc/shadow o /etc/sudoers.

Afecta a Sudo 1.8.6p7 hasta 1.8.20 y se le ha otorgado una severidad alta, ya está parchado en Sudo 1.8.20p1 y se aconseja actualizar a la última versión.

Ya existen parches para Red Hat, Debian y Suse.

Fuentes:

http://www.openwall.com/lists/oss-security/2017/05/30/16

https://www.sudo.ws/alerts/linux_tty.html

https://access.redhat.com/security/cve/cve-2017-1000367

https://security-tracker.debian.org/tracker/CVE-2017-1000367

https://www.suse.com/security/cve/CVE-2017-1000367/