Esta semana en ciberseguridad – Agosto, Semana 2

Vulnerabilidad grave en millones de routers (AR y MX incluidos) – CVE-2021-20090

Un grave fallo de seguridad pone en riesgo a millones de routers en todo el mundo, incluidos algunos modelos distribuidos en Argentina y México. Se trata de una vulnerabilidad crítica que evita la autenticación y afecta a dispositivos domésticos que utilizan el firmware Arcadyan. Esto permite a un atacante controlarlos y llevar a cabo ataques mediante la botnet Mirai. Este problema afecta a muchos modelos y operadoras de telefonía.

Este fallo de seguridad ha sido registrado como CVE-2021-20090 y calificado con 9,9 puntos sobre 10 por su gravedad. Estos ataques fueron descubiertos por investigadores de seguridad de Juniper Threat Labs. El problema, que afecta al firmware de los dispositivos, puede ser explotado de forma remota.

Hay que indicar que afecta a una gran cantidad de modelos. De hecho, se calcula que pueden ser millones los routers afectados en todo el mundo. Afecta a múltiples proveedores internacionales como son British Telecom, Deutsche Telecom, Orange, O2 (Telefónica) o Vodafone. Afecta tanto a modelos de ADSL como de fibra.

Desde Tenable (ver fuente) publicaron una lista con todos los modelos y proveedores afectados. Además, la semana pasada lanzaron una prueba de concepto para explotar el error. Se trata de una vulnerabilidad que ha existido al menos durante 10 años y, apenas un par de días después de lanzar la prueba de concepto, han detectado ataques.

El problema principal, es que existen muchos routers desactualizados, lo que es un problema importante, ya que esta vulnerabilidad no será corregida y los atacantes van a tener una gran cantidad de routers susceptibles de ser explotados.

Para solucionar este problema, los usuarios deben actualizar lo antes posible sus routers. Desde Juniper Threat Labs (ver fuentes -2-) han emitido un documento informativo donde explican detalladamente cómo funciona este ataque y de qué manera podrían aprovecharse de los modelos afectados.

Esta vulnerabilidad también afecta a dispositivos IoT que utilizan el mismo código base. Esto hace que muchos equipos domésticos, como pueden ser televisiones, bombillas inteligentes y otros muchos de lo que se conoce como el Internet de las Cosas puedan ser vulnerables.

Nuestro consejo, es mantener todo correctamente actualizado. Actualizar el firmware del router y de cualquier otro equipo que tengamos conectado a la red es vital. Esto nos permite corregir vulnerabilidades cómo esta que mencionamos y que pueden ser la vía de entrada de los hacker informáticos.

FUENTE:
(1) https://es-la.tenable.com/security/research/tra-2021-13?tns_redirect=true
(2) https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wilUd

Un error crítico en equipos CISCO, permite tomar el control Remoto de estos.

Los investigadores de seguridad advirtieron que al menos 8.800 sistemas vulnerables están expuestos a ser comprometidos

Una vulnerabilidad de seguridad crítica en un subconjunto de los enrutadores VPN para pequeñas empresas de Cisco Systems podría permitir que un atacante remoto no autenticado se apodere de un dispositivo, y los investigadores dijeron que hay al menos 8.800 sistemas vulnerables abiertos al peligro.

Cisco abordó los errores (CVE-2021-1609) como parte de una gran cantidad de parches implementados esta semana. En total, las soluciones y los productos afectados son los siguientes:

  • Cisco RV340, RV340W, RV345 y RV345P Dual WAN Gigabit VPN Routers Vulnerabilidades de administración web (advertencia)
  • Vulnerabilidad de ejecución remota de comandos de los routers VPN de las series RV160 y RV260 de Cisco Small Business (advertencia)
  • Vulnerabilidad de inyección de DLL de Cisco Packet Tracer para Windows (advertencia)
  • Vulnerabilidad de escalamiento de privilegios del servidor Secure Shell de Cisco Network Services Orchestrator CLI (advertencia)
  • ConfD CLI Secure Shell Server Privilege Escalation Vulnerability (advertencia)

Esta vulnerabilidad ha sido clasificada con un 9.8 según la CVSS sobre 10 y podría permitir a un atacante remoto no autenticado ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) a través del envío de peticiones HTTP. Dicha interfaz de administración web es accesible localmente de manera predeterminada y no se puede deshabilitar, aunque el acceso remoto debe ser configurado por el usuario, se encuentra desactivada por defecto.

FUENTE:
(1) https://unaaldia.hispasec.com/2021/08/graves-vulnerabilidades-en-productos-cisco.html
(2) https://threatpost.com/critical-cisco-bug-vpn-routers/168449/

Apple reaviva debate sobre privacidad de datos

En su lucha contra la explotación sexual de menores la empresa Apple volvió a poner sobre la mesa el debate en torno a la privacidad de datos. Luego de que la empresa revelara cuáles son las herramientas que utilizará para detectar con mayor eficacia las imágenes sexuales que involucran a menores de edad, se reavivó el debate sobre el cifrado de datos y la privacidad de los usuarios ya que hay quienes temen que estas nuevas tecnologías puedan ser utilizadas para espionaje por parte de los gobiernos.

En ese sentido, según el fabricante de iPhone, iPad e iMac, la iniciativa tiene como objetivo proteger a los más jóvenes de los depredadores que operan en Internet.

Sin embargo, este anuncio supone para el empresa un punto de inflexión muy importante: hasta ahora Apple se resistía a cualquier esfuerzo que debilitara su sistema de encriptado, que previene que terceras partes accedan a datos privados de los usuarios de los productos de la manzanita.

En ese contexto, Apple difundió una nota técnica en la que aseguró que una de sus herramientas fue desarrollada por expertos en criptografía, y que además de ser “segura”, “fue diseñada expresamente para preservar la privacidad del usuario”.

Esa herramienta es la que comparará las fotos cargadas en iCloud con las almacenadas en un archivo administrado por el Centro Nacional para Niños Desaparecidos y Explotados de Estados Unidos (US National Center for Missing and Exploited Children o NCMEC), una corporación privada estadounidense que combate la explotación sexual infantil. Apple asegura que no tiene acceso directo a esas imágenes.

“Este tipo de herramienta puede ser muy útil para encontrar pornografía infantil en los teléfonos de las personas, pero imagínense lo que podría hacer en manos de un gobierno autoritario”.

tuiteó Matthew Green, criptógrafo de la Universidad Johns Hopkins.

Según denunció Blaze, Apple no solo escaneará los datos alojados en sus servidores sino también los almacenados en el propio teléfono, por lo tanto, “tendrá potencialmente acceso a todos nuestros datos”.

Anteriormente, Apple se había negado categóricamente a ayudar a la policía a acceder al contenido encriptado del teléfono celular de uno de los perpetradores de un ataque en el que murieron 14 personas, en 2015 en California. A raíz de este tipo de hechos, para el FBI, que los mensajes estén encriptados de un extremo a otro y solo puedan ser leídos por remitentes y destinatarios protege a delincuentes y terroristas.

Quien criticó la nueva política de Apple fue Will Cathcart, director de la aplicación de mensajería WhatsApp que es propiedad de Facebook. Según el ejecutivo, el enfoque de la empresa de tecnología es “malo y un revés para la privacidad de las personas en todo el mundo” ya que este sistema “no es confidencial porque puede escanear todas las fotos privadas en un teléfono”.

FUENTE: https://www.bbc.com/mundo/noticias-58115848