jueves, 28 de junio de 2018

Un error en instalaciones estándar permite la eliminación de archivos en wordpress core.



By @raulrenales


En una instalación estándar de WordPress, cualquier usuario que haya iniciado sesión con un rol de autor o superior tiene la capacidad de cargar archivos multimedia adjuntos y editar sus metadatos, como imágenes y sus descripciones. Un error en el proceso de actualización de los metadatos de archivos adjuntos permite que un usuario malintencionado envíe datos no optimizados al definir una miniatura para el archivo multimedia. Al definir rutas relativas a archivos específicos como la "miniatura" de una imagen, estos archivos se eliminarían junto con las miniaturas reales cuando se elimine la imagen de la biblioteca multimedia.

El problema mas importante que causa es que se puede eliminar el archivo wp-config.php de un sitio. Sin wp-config.php en su lugar, WordPress se ve obligado a asumir que se está llevando a cabo una nueva instalación. A partir de este punto, el atacante puede configurar su propia instalación de WordPress consigo mismo como administrador, que luego puede usar para cargar y ejecutar cualquier otro script que desee.

¿Que hacer?

Inicialmente se esta esperando una actualización de urgencia que solucione el problema, por lo que hasta que esta llegue el trabajo de mitigar el problema ha caído en manos de los Firewalls. Algunos de los mas famosos como Wordfence ya han incluido reglas que solucione este problema.

Recuerde también que el error se produce para usuarios con permisos de autor o editor, con lo que una buena opción es revisar los permisos de nuestros usuarios temporalmente.

Recomiendo ver el informe de RIPSTECH para entender el problema en profundidad, puede acceder a él en los enlaces de las fuentes que muestro a continuación.





lunes, 15 de enero de 2018

AMT… funcionalidad y vulnerabilidad.


By SamuPA

Recientemente están dando mucho que hablar las vulnerabilidades aparecidas a primeros de año tanto para Intel, como también para AMD y ARM.  

No era poco lo que habíamos visto a lo que se une AMT en Intel.

¿Qué es AMT?

AMT (Active Management Technology) es una característica que nos ofrece Intel Core en procesadores con Intel vPro y algunos procesadores Intel Xeon, que fue creada para gestión remota. Pudiendo gestionar estos equipos tras un fallo de sistema operativo e incluso sin alimentación. 
Visto de esta forma, es una característica para poder facilitar la gestión, por ejemplo, en los equipos de una gran empresa que esté extendida a lo largo del mundo.


¿Cuál es problema?

Como hemos visto, AMT es más una característica para facilitar la labor de administración de equipos en una empresa, que, a su vez, es una funcionalidad que siendo mal ‘utilizada’ o ‘gestionada’ podría convertirse en una vulnerabilidad bastante dañina.

En mayo del 2017 se detectó una vulnerabilidad en algunas series del firmware, por la que sin conocer la contraseña del usuario admin de AMT, se podía bypasear la contraseña (CVE-2017-5689). Llevaba unos 10 años en los sistemas hasta que se detectó. Es vulnerable el firmware de la versión 6.0 a la 10.0 y podemos ver una PoC en:


Nuevamente el 12 de enero de 2018, F Secure ha hecho pública una nueva alerta. La mayoría de equipos portátiles corporativos podrían ser vulnerables, ya que por defecto llevan habilitada la funcionalidad AMT y la contraseña por defecto en todos los equipos es ‘admin’.


AMT se puede habilitar/deshabilitar en BIOS, por lo que para habilitarla la primera vez, suponiendo que no esté ya habilitada, necesitaremos un acceso físico al equipo y acceso a la BIOS. Lo que sucede normalmente, en los equipos portátiles corporativos, es que tienen habilitada esta característica y, a su vez, no se les ha cambiado la contraseña que viene por defecto desde Intel, esta contraseña es ‘admin’.

El ataque de por sí no es sencillo, ya que un atacante tendría que tener acceso físico a al equipo para poder configurar AMT, sin el cual no podría configurarlo.
¿Cómo se si tengo habilitado AMT?

Al arrancar el equipo, pulsando las teclas ‘ctrl’ + ‘p’ Accederemos al menú de Intel Management Engine BIOS (MEBx), esto ya es un indicativo de que AMT está habilitado. 


Otra forma para poder comprobar si AMT está habilitado es accediendo a nuestro BIOS.







¿Qué debo hacer si tengo habilitado AMT?

Si se va a hacer uso de AMT debe de configurarse el usuario con una contraseña ‘Fuerte’ y nuestro Firmware debe estar actualizado a uno que no haya sido detectado como vulnerable.

Como norma general, suponiendo que no se hace uso de esta característica, las recomendaciones son poner una contraseña fuerte y a su vez deshabilitar AMT desde BIOS, si nuestro BIOS está configurado con contraseña, mejor que mejor.

viernes, 15 de diciembre de 2017

Mamá, mi web me mina !!!



By @RaulRenales

Estos días se está hablando mucho de unas 5000 webs que al visitarlas minan a favor de los dueños de las mismas. Se estima que existen unos 1.65 millones de equipos afectados por esta práctica. El objetivo de este artículo es revisar los aspectos técnicos que rodean a esta situación y poner un poco de luz sobre el asunto.

jueves, 14 de diciembre de 2017

AutoIT, creando un señuelo para los malos


By @RaulRenales


Tras dos artículos previos presentando el lenguaje AutoIt y realizando algunos ejemplos para ver la panorámica del lenguaje llegamos a la tercera entrega en la que crearemos una pequeña aplicación que nos permite crear puertos y permanecer a la espera de si son utilizados, básicamente intentaremos vigilar algunos puertos comunes y permitir crear puertos a medida.

lunes, 11 de diciembre de 2017

AutoIT, segundo asalto


By @RaulRenales


En artículos anteriores presentamos que es AutoIT y creamos nuestro primer ejemplo para ver como funciona este lenguaje de script que está orientado a administradores de sistemas y que es uno de los lenguajes utilizados en la creación de Malware.


En esta segunda entrega vamos a dar una vuelta por la panorámica del lenguaje realizando algunos ejemplos, el objetivo es coger algo de soltura de cara al tercer artículo en el que realizaremos un script que levante puertos y gestione eventos sobre ellos a modo de HoneyPot.

jueves, 7 de diciembre de 2017

AutoIT, ¿Que es?¿Como funciona? ... y ¿Por que lo usa el Malware Bancario Brasileño?


By @RaulRenales


Recientemente me pareció curiosa la siguiente noticia, “AutoIt Scripting utilizado por Overlay Malware para eludir la detección AV”, en la que se explicaba como el equipo X-Force de IBM había detectado el uso de scripts de AUTOIT en malware usado para el robo de sesiones de acceso a bancos brasileños, el objetivo de usar este tipo de scripts es simple y llanamente emular las acciones humanas para evadir el control de los Antivirus.

domingo, 3 de diciembre de 2017

Talleres avanzados sobre Bases de Datos

Talleres de formación sobre bases de datos

El próximo 16 de diciembre arrancará un nuevo curso de formación relacionada con Bases de datos y su importancia desde el punto de vista de la seguridad. La formación constara  de 4 semanas y se realizará los sábados por la mañana en el CMI Eduardo Guitián.


Los talleres, que se repartirán entre diciembre y enero, tratarán de guiar a sus asistentes en la instalación y configuración de servidores de bases de datos, el manejo de los lenguajes SQL y las connotaciones de seguridad que este tipo de sistemas conlleva.