Esta semana en ciberseguridad – Noviembre semana 1

Vulnerabilidades en productos Cisco podrían dar acceso “root” a Hackers.

Cisco Systems ha publicado actualizaciones de seguridad para abordar las vulnerabilidades en varios productos de Cisco que un atacante podría aprovechar para iniciar sesión como usuario “root” y tomar el control de los sistemas vulnerables.
Denominada como CVE-2021-40119, la vulnerabilidad ha sido calificada con una severidad de 9.8 sobre un máximo de 10 en el sistema de puntuación CVSS y se debe a una debilidad en el mecanismo de autenticación SSH de Cisco Policy Suite.

“Un atacante podría aprovechar esta vulnerabilidad conectándose a un dispositivo afectado a través de SSH”… “un exploit exitoso podría permitir que el atacante inicie sesión en un sistema afectado como usuario root”.

explicó el especialista en redes.

Las versiones 21.2.0 y posteriores de Cisco Policy Suite también crearán automáticamente nuevas claves SSH durante la instalación, al tiempo que requieren un proceso manual para cambiar las claves SSH predeterminadas para los dispositivos que se actualizan desde 21.1.0.

Cisco también aborda múltiples vulnerabilidades críticas que afectan la interfaz de administración basada en web de la Terminal de red óptica (ONT) de switches de la serie Cisco Catalyst Passive Optical Network (PON) que podrían permitir que un atacante remoto no autenticado inicie sesión utilizando una cuenta de depuración inadvertida existente en el dispositivo y tome el control, realice una inyección de comando y modifique la configuración de este.
Las vulnerabilidades afectan a los siguientes dispositivos:

  • Conmutador PON de catalizador CGP-ONT-1P
  • Conmutador PON de catalizador CGP-ONT-4P
  • Conmutador PON de catalizador CGP-ONT-4PV
  • Conmutador PON de catalizador CGP-ONT-4PVC
  • Conmutador PON de catalizador CGP-ONT-4TVCW

Marco Wiorek de Hotzone GmbH ha recibido el crédito de informar las tres vulnerabilidades a las que se les han asignado los identificadores CVE-2021-34795 (puntuación CVSS: 10,0), CVE-2021-40113 (puntuación CVSS: 10,0) y CVE-2021-40112 (puntuación CVSS: 8.6).

Por último, Cisco ha corregido dos fallas más de alta gravedad en los switches Cisco Small Business Series y Cisco AsyncOS que podrían permitir que adversarios remotos no autenticados obtengan acceso no autorizado a la interfaz de administración basada en web de los switches y lleven a cabo una denegación de servicio (DoS ):

  • CVE-2021-34739 (puntuación CVSS: 8.1) – Vulnerabilidad de reproducción de credenciales de sesión de los switches Cisco Small Business Series
  • CVE-2021-34741 (puntuación CVSS: 7.5) – Vulnerabilidad de denegación de servicio del dispositivo de seguridad de correo electrónico de Cisco (ESA)

FUENTE: https://thehackernews.com/2021/11/hardcoded-ssh-key-in-cisco-policy-suite.html

Google advierte sobre una nueva vulnerabilidad de día 0 de Android que esta bajo ataque

Google ha implementado sus parches de seguridad mensuales para Android con correcciones para 39 fallas, incluida una vulnerabilidad de día cero que, según dijo, se está explotando activamente.
Denominada como CVE-2021-1048, el error de día cero se describe como una vulnerabilidad del tipo “use-after-free” en el kernel que puede explotarse para escalar privilegios. Los problemas de este tipo de vulnerabilidad son peligrosos, ya que podrían permitir que un hacker acceda o haga referencia a la memoria después de que se haya liberado, lo que lleva a una condición del tipo “write-what-where” que da como resultado la ejecución de código arbitrario para obtener el control de un sistema de la víctima.

“Hay indicios de que CVE-2021-1048 puede estar bajo una explotación limitada y dirigida”,la compañía señaló en su aviso de noviembre sin revelar detalles técnicos de la vulnerabilidad, la naturaleza de las intrusiones y las identidades de los atacantes que pueden haber abusado de la falla.

También se corrigen en el parche de seguridad dos vulnerabilidades críticas de ejecución remota de código (RCE), CVE-2021-0918 y CVE-2021-0930, en el componente del sistema que podrían permitir a los adversarios remotos ejecutar código malicioso dentro del contexto de un proceso privilegiado por enviar una transmisión especialmente diseñada a dispositivos específicos.
Dos fallas críticas más, CVE-2021-1924 y CVE-2021-1975, afectan a los componentes de código cerrado de Qualcomm, mientras que una quinta vulnerabilidad crítica en Android TV (CVE-2021-0889) podría permitir a un atacante cercano emparejarse silenciosamente con un televisor y ejecutar código arbitrario sin privilegios o interacción del usuario requerido.
Con la última ronda de actualizaciones, Google ha abordado un total de seis Vulnerabilidades de día cero en Android desde el comienzo del año:

  • CVE-2020-11261 (puntuación CVSS: 8.4) – Validación de entrada incorrecta en el componente de gráficos Qualcomm
  • CVE-2021-1905 (Puntaje CVSS: 8.4) – Use-after-free en el componente Qualcomm Graphics
  • CVE-2021-1906 (puntaje CVSS: 6.2) – Detección de condición de error sin acción en el componente Qualcomm Graphics
  • CVE-2021-28663 (puntaje CVSS: 8.8) – Mali GPU Kernel Driver permite operaciones incorrectas en la memoria de GPU
  • CVE-2021-28664 (puntuación CVSS: 8.8) – Mali GPU Kernel Driver eleva las páginas de CPU RO a escritura.

FUENTE: https://thehackernews.com/2021/11/google-warns-of-new-android-0-day.html

Por qué no es seguro usar SMS como segundo factor de autenticación

Siempre es una buena idea activar un segundo factor de autenticación en todos los servicios a los que tienes acceso. Más allá de una contraseña fuerte, esta capa de seguridad adicional es mucho más efectiva a la hora de garantizar que solo tú puedes acceder a tus datos. La clave está en requerir un segundo factor (2FA) para poder confirmar la identidad del usuario: algo que se sabe, algo que se tiene o algo que se es.

Los mensajes de texto suelen ser el paso más débil en la verificación en dos pasos, son fáciles de interceptar y nunca debería asumirse su seguridad. Con simple ingeniería social un tercero malintencionado puede convencer a tu operador de re-dirigir tus mensajes a una tarjeta SIM diferente interceptando todos tus códigos de acceso. Ha pasado antes.

A día de hoy se obliga, en multitud de servicios, a la utilización de un segundo factor de autenticación, siendo entre ellos el más común y cómodo el SMS. Pero este método no es tan seguro como pueda parecer, como ya se comprobó tras el incidente de seguridad de Reddit en 2018, en el que la vía principal de ataque fue interceptando los SMS de autenticación de sus empleados.

Un SMS no es algo que tienes, es algo que te envían”

Este tipo de autenticación por medio de SMS conlleva riesgos, ya que puede ser superada por los atacantes de diversas y sofisticadas formas:

  • A través de ingeniería social se puede conseguir un cambio de tarjeta SIM.
  • Descarga de aplicaciones maliciosas en el dispositivo que realicen la lectura de los SMS recibidos.
  • Si el atacante consigue el dispositivo móvil, y este está con la configuración por defecto en la que las notificaciones se pueden previsualizar sin desbloquear el dispositivo, el atacante puede llegar a obtener el código SMS.

Aunque utilizar los SMS como un segundo paso es mejor que nada, en realidad no puede clasificarse como un factor correcto para ser considerado verificación en dos pasos. Un SMS no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es. Es solo información que llega a un dispositivo que posee, siempre y cuando el operador los envíe a la persona correcta.

De hecho, a mediados de 2016, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos declaró inseguros a los SMS como método de autenticación en dos pasos y dicen que deberían ser prohibidos en el futuro debido a varias preocupaciones.

Es muy fácil para cualquiera obtener un teléfono y el operador de un sitio web no tiene forma de verificar que quien recibe el código a través de SMS sea la persona correcta. No solo eso, sino que la autenticación en dos factores basada en SMS también es susceptible de ser secuestrada si el individuo utiliza un servicio VoIP.

Todo esto sin contar el grave defecto en Signaling System Number 7 (SS7), el protocolo que utilizan la mayoría de los operadores de telecomunicaciones para conectarnos unos a otros cuando hacemos llamadas, enviamos mensajes o compartimos datos por internet. Su infraestructura desactualizada hace fácil que los hacekrs pueden redirigir llamadas y mensajes a sus propios dispositivos.

Esto no quiere decir que haya que evitar usar el doble factor de autenticación por SMS, de hecho, es una muy buena opción, si no existe otra alternativa más segura, ya que muchos servicios aún no disponen de otros métodos de 2FA.
La alternativa más segura y que realmente podemos recomendar para mantener tus cuentas seguras, es reemplazar el segundo factor de autenticación de SMS por aplicaciones tales como Authy, Microsoft Authenticator o Google Authenticator.

FUENTE: https://blog.segu-info.com.ar/2021/10/por-que-no-es-seguro-usar-sms-como.html