Security News for Everyone

#Apache #Dos #Http2

Se ha identificado una vulnerabilidad crítica en la implementación del protocolo HTTP/2 por varios proyectos de servidores web, que podría ser explotada para causar una denegación de servicio (DoS) mediante el crasheo de los sistemas afectados. Esta vulnerabilidad se debe a que algunas implementaciones no limitan la cantidad de tramas CONTINUATION que pueden ser enviadas en un mismo flujo de datos dentro de HTTP/2. Los atacantes pueden aprovechar esta debilidad para enviar una secuencia de tramas CONTINUATION sin establecer el flag END_HEADERS, lo que podría resultar en un bloqueo del servidor por agotamiento de memoria o por el consumo excesivo de recursos de CPU al procesar tramas codificadas con HPACK Huffman. Entre los productos afectados se encuentran amphp/http, Apache HTTP Server, Apache Tomcat, Apache Traffic Server, Envoy proxy, Golang, la biblioteca h2 Rust crate, nghttp2, Node.js, y Tempesta FW.

Os dejamos a continuación los CVES detallados:

amphp/http (CVE-2024-2653)
Apache HTTP Server (CVE-2024-27316)
Apache Tomcat (CVE-2024-24549)
Apache Traffic Server (CVE-2024-31309)
Envoy proxy (CVE-2024-27919 y CVE-2024-30255)
Golang (CVE-2023-45288)
h2 Rust crate, nghttp2 (CVE-2024-28182)
Node. js (CVE-2024-27983)
Tempesta FW (CVE-2024-2758)

Se aconseja actualizar los productos afectados a la última versión disponible o, en caso de no disponer de una actualización, considerar la desactivación temporal de HTTP/2 en el servidor.

Fuentes:
https://kb.cert.org/vuls/id/421644
https://thehackernews.com/2024/04/new-http2-vulnerability-exposes-web.html

#Linux #Kernel #SSH

Detectadas dos graves vulnerabilidades en Linux: escalada de privilegios y puerta trasera en el kernel

Se han descubierto dos graves vulnerabilidades en Linux. La primera es una escalada de privilegios, CVE-2024-1086, afectando a versiones del kernel de Linux entre 5.14 y 6.6.14, que permite obtener acceso root. La segunda vulnerabilidad, identificada como CVE-2024-3094, no es una puerta trasera en el kernel, sino en la utilidad de compresión xz Utils, afectando las conexiones SSH cifradas. Aunque las versiones comprometidas no se han incorporado ampliamente en lanzamientos de producción, se insta a aplicar parches de seguridad de inmediato

Fuentes:
https://unaaldia.hispasec.com/2024/03/dos-graves-vulnerabilidades-en-linux-escalada-de-privilegios-y-puerta-trasera-en-el-kernel.html
Escalada de privilegios: https://www.theregister.com/2024/03/29/linux_kernel_flaw/
https://nvd.nist.gov/vuln/detail/CVE-2024-1086
https://github.com/Notselwyn/CVE-2024-1086
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f342de4e2f33e0e39165d8639387aa6c19dff660
Debian: https://security-tracker.debian.org/tracker/CVE-2024-1086
Ubuntu: https://ubuntu.com/security/CVE-2024-1086
Red Hat: https://bugzilla.redhat.com/show_bug.cgi?id=2262126
Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7LSPIOMIJYTLZB6QKPQVVAYSUETUWKPF/
https://pwning.tech/nftables/
https://yanglingxi1993.github.io/dirty_pagetable/dirty_pagetable.html
Puerta trasera en el kernel: https://arstechnica.com/security/2024/03/backdoor-found-in-widely-used-linux-utility-breaks-encrypted-ssh-connections/
https://www.openwall.com/lists/oss-security/2024/03/29/4
Backdoor en el upstream xz/liblzma que compromete el servidor ssh: https://news.ycombinator.com/item?id=39865810
https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
https://lists.debian.org/debian-security-announce/2024/msg00057.html
https://github.com/orgs/Homebrew/discussions/5243#discussioncomment-8954951
https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

#Podcast #SecNews #Whihax

Capítulo 4
Titulo: Navegación Segura: Descargas Confiables y Prevención de Phishing

Descripción: En este episodio de Whihax, profundizamos en la crucial necesidad de asegurar nuestras descargas desde fuentes oficiales y cómo protegernos de las siempre presentes amenazas de phishing. Desde identificar sitios web fiables hasta adoptar prácticas seguras en línea, te guiamos a través de estrategias esenciales para mantenerte a salvo en el vasto mundo digital.

Podéis escucharlo aquí:
https://www.ivoox.com/navegacion-segura-descargas-confiables-prevencion-phishing-audios-mp3_rf_126761211_1.html

Y en Spotify: https://open.spotify.com/show/5CB77tPvoakpSpAuVE4zPx

#Podcast #SecNews #Whihax

Capítulo 3
Titulo: Entrevista a David Marzal, KDE, Plasma 6 y otras curiosidades. ¿Posible bloqueo de Telegram?

Descripción: En el podcast de hoy tenemos a un invitado especial, David Marzal miembro de KDE España donde aprovechamos la ocasión para aprender más sobre la comunidad, su nuevo escritorio Plasma 6 y algunos debates interesantes sobre el futuro del software libre, asi como otras inquietudes, dudas y curiosidades. Posteriormente analizamos en un debate abierto, el posible bloqueo de Telegram y lo que significa en materia de privacidad y de censura en Internet.

Podéis escucharlo aquí:
https://go.ivoox.com/rf/126405406

Y en Spotify: https://open.spotify.com/show/5CB77tPvoakpSpAuVE4zPx

Os pedimos disculpas por la calidad del audio y el ruido en este episodio, estamos trabajando en ello.

Por otro lado, en el anclado del canal os iremos dejando la lista de cada uno de los capítulos, para que podáis consultarla.

#Microsoft #Leak #Fix #Updates

Microsoft publica actualizaciones fuera de banda para corregir las fugas de memoria de LSASS en Windows Server

A principios de esta semana, Microsoft confirmó problemas con las fugas de memoria de LSASS (Local Security Authority Subsystem Service) en varias versiones de Windows Server, que podían provocar un reinicio no programado de los controladores de dominio. Poco después, la empresa lanzó una actualización fuera de banda para resolver el problema.

Una serie de actualizaciones no programadas está ahora disponible en el Catálogo de Microsoft Update para varias versiones de Windows Server. Windows Server 2022 recibió KB5037422, Windows Server 2016 recibió KB5037423 y Windows Server 2012 R2 recibió KB5037426. Microsoft dice que la actualización para Windows Server 2019 llegará "a corto plazo".

Fuentes:
https://www.neowin.net/news/microsoft-releases-out-of-band-updates-to-fix-lsass-memory-leaks-in-windows/

#Telegram #Bloqueo #Alternativas

El juez Pedraz suspende, por el momento, el bloqueo de Telegram.

Igualmente, las recomendaciones lanzadas con anterioridad son buenas prácticas para mejorar la privacidad y son extensibles para otros bloqueos que pudieran venir en un futuro.

Fuentes:
https://www.europapress.es/nacional/noticia-juez-pedraz-suspende-bloqueo-telegram-espera-informe-comisaria-general-informacion-20240325110608.html

#Telegram #Bloqueo #Alternativas

Como sabéis, existen muchas noticias en relación a un posible bloqueo de Telegram en España mañana Lunes, 25 de marzo de 2024.

Por lo que a raíz de ello, vamos a dejaros algunas de nuestras recomendaciones:

1. Instalar únicamente el cliente oficial de Telegram desde su web oficial:

https://telegram.org/apps?setln=es

Es muy posible que si se lleva a cabo el bloqueo se eliminen en algún momento las aplicaciones de las tiendas de Apple Store y Google Play.

2. Recomendamos el uso de algún tipo de servicio VPN.

Desconfiar de aquellas que sean gratuitas y que no ofrezcan una confianza, soporte o respaldo que las avale en el tiempo, momentos como este son aprovechados por los ciberdelincuentes para ofrecer "soluciones gratis" y rápidas que pueden costarnos caras para nuestra privacidad y para el acceso a nuestras sesiones de la aplicación sin consentimiento.

Nosotros particularmente recomendamos: Proton VPN.

3. Existe también el protocolo ProxyMTProto:

La aplicación tiene soporte para diferentes tipos de servidores proxy: un servidor proxy SOCKS5 estándar y un servidor proxy MTProto.

https://github.com/TelegramMessenger/MTProxy
https://core.telegram.org/mtproto

Aquí tenéis una solución de código abierto para poder montar uno a quien le interese.

4. Cambiar DNS

Normalmente los ISPS llevan a cabo los bloqueos a través del servidor de nombres de dominio (DNS), por lo que una posible solución es utilizar los de CloudFlare o Google.

Cloudflare:

IPv4:
1.1.1.1
1.0.0.1

IPv6:
2606:4700:4700::1111
2606:4700:4700::1001

Google:

IPv4:
8.8.8.8
8.8.4.4

IPv6:
2001:4860:4860::8888
2001:4860:4860::8844

Fuentes:
https://www.adslzone.net/reportajes/internet/mejores-dns/
https://miguelms-es.medium.com/c%C3%B3mo-saltar-el-bloqueo-de-telegram-en-espa%C3%B1a-1f310eb3ded5

#Bloqueo #Telegram #Mediaset

La Audiencia Nacional ordena bloquear Telegram en España (temporalmente)

Recientemente se ha emitido una orden judicial para bloquear la aplicación Telegram en España temporalmente. Esta medida se toma en respuesta a una demanda presentada por Mediaset, Atresmedia y Movistar Plus+. Dichas compañías alegan que la aplicación ha utilizado sin permiso sus contenidos audiovisuales. Tras denunciarlo a la aplicación y no obtener respuesta por su parte, se ha solicitado dicho bloqueo a los diferentes ISPS de España.

De hecho, en las últimas horas se han registrado caídas de servicio en España: https://downdetector.es/problemas/telegram/

La decisión ha generado debate sobre la censura y la libertad en internet.
--------------------------------------------------------------------------------------------
National Court orders blocking of Telegram in Spain (temporarily)

Spain's National Court has issued a temporary injunction to block the Telegram app in response to a lawsuit filed by Mediaset, Atresmedia and Movistar Plus+. These companies allege that Telegram has used their audiovisual content without permission. After denouncing it to the app without receiving a response, they requested blocking from several ISPs in Spain.

In fact, in the last few hours there have been service outages in Spain: https://downdetector.es/problemas/telegram/

This decision has sparked a debate on censorship and Internet freedom.

Fuentes/Sources:
https://www.cuatro.com/noticias/espana/20240322/juez-santiago-pedraz-orden-bloquear-telegram-espana_18_012052327.html
https://www.lavanguardia.com/andro4all/telegram/la-audiencia-nacional-ordena-bloquear-telegram-en-espana
https://www.elmundo.es/espana/2024/03/22/65fdfe52e9cf4afa138b458a.html
https://www.xatakandroid.com/aplicaciones-android/audiencia-nacional-pide-bloqueo-telegram-espana-pronto-no-podras-usarla-telegram-tiene-opcion-para-esquivarlo
https://www.gearrice.com/update/the-national-court-orders-to-block-telegram-in-spain/

#Podcast #Whihax #SecNews

¡Inauguramos nuestra nueva sección de Podcast (By Whihax)!

Whihax nace de la visión de crear un ecosistema de aprendizaje y discusión, donde la complejidad de la ciberseguridad se desglosa en conversaciones accesibles y enriquecedoras.

Es por ello que hoy os presentamos los siguientes episodios:

1. "Descubriendo las Profundidades del Phishing: Una Conversación Esclarecedora en Whihax"

En este episodio nos sumergiremos en este complejo mundo de la mano de nuestro compañero: Manuel S. Lemos Foncubierta, compañero y experto en el campo de la Inteligencia Artificial.

Como sabéis, las suplantaciones de identidad y estafas representan la mayoría de amenazas diarias que recibimos diariamente en Internet. Es un arte oscuro que se perfecciona constantemente aprovechándose del desconocimiento y donde los ciberdelincuentes utilizan técnicas nuevas cada día con el objetivo de engañarnos.

En este episodio, se profundizará sobre todo ello, desde los fundamentos básicos, hasta las últimas tendencias y amenazas emergentes. Además, Manu nos comentará una propuesta y solución basada en IA muy interesante, en la que ha estado trabajando recientemente para mejorar la detección de todos ellos.

2. "La ciberdefensa desde el desconocimiento del ataque"

En este episodio nuestro compañero: José Mor, experto en ciberdefensa y en gestión de incidentes nos presenta su charla de la última Hack&beers Valencia Vol. 12 donde, desde su experiencia, nos explica porqué es necesario conocer tecnicas de ataque tanto como las herramientas para defendernos. Además, se abre un debate sobre IA y ciberseguridad muy interesante.

Os invitamos a sumergiros en estos diálogos esenciales, no solo como oyentes, sino como participantes activos en la construcción de un futuro digital más seguro.

¿Nos acompañas?

Os aseguramos que merecerá la pena el viaje.

El Podcast está disponible en los siguientes medios:

Ivoox:
https://play.google.com/store/apps/details?id=com.ivoox.app&hl=es&gl=US (Android)
https://apps.apple.com/es/app/podcast-y-radio-ivoox/id542673545 (Apple)
https://www.ivoox.com/escuchar-canal-whihax_nq_1685550_1.html (online)

Spotify: https://open.spotify.com/show/5CB77tPvoakpSpAuVE4zPx

Agradeceríamos que por favor nos enviarais vuestras dudas, sugerencias, feedbacks y preguntas a: podcast@whihax.com con el fin de mejorar el programa.

PD: Iremos publicando progresivamente los diferentes episodios.
--------------------------------------------------------

#ransomware #lockbit #takedown

Cae Lockbit! O gran parte de ellos.

Tras una operación internacional y multicontinental, han conseguido ya detenciones en Europa, intervenido infraestructura crítica de la organización, obtenido claves de descifrado y se están identificando a los afiliados.

Uno de los grupos más peligrosos y rentables si no los que más y durante muchos años, superando la vida media de este tipo de organizaciones.

Se dice que el panel web fue comprometido explotando la vuln en PHP 8.x CVE-2023-3824... Así que a actualizar esos PHPs!

Capturas de su webpanel: https://x.com/elhackernet/status/1759905816595898655?s=20

Ultima hora: https://x.com/DailyDarkWeb/status/1759913446139711745?s=20

#MorterueloCon #Con #Ctf

Congreso de Ciberseguridad: MorterueloCON

Los próximos días: 22, 23, 24 de Febrero de 2024 se celebrará en Cuenca unas Jornadas de Seguridad Informática donde se impartirán muchas ponencias y talleres para concienciar a los estudiantes, empresas etc.

Podéis consultar la información del congreso aquí:
https://www.morteruelo.net/
https://www.morteruelo.net/3/horarios-morteruelocon
https://www.twitch.tv/morteruelocon

¡No os lo perdáis!

#Bitlocker #TPM #Windows

Cómo romper el cifrado Bitlocker de Windows con un ataque de 15€. El bug en la comunicación entre TPM y CPU.

Recientemente ha aparecido una vulnerabilidad que permite eludir el cifrado BitLocker de Windows mediante un ataque que explota deficiencias en la comunicación entre el TPM y la CPU. Requiere acceso físico y un desembolso aproximado de 15 euros en hardware. Este bug subraya la importancia de revisar y fortalecer los protocolos de seguridad en sistemas que dependen de esta interacción hardware-software para la protección de datos.
------------------------------------
How to break Bitlocker encryption with an attack and only a 15€ budget. The bug in the communication between TPM and CPU.

A recent vulnerability has been discovered that allows the circumvention of Windows' BitLocker encryption through an attack exploiting flaws in the communication between the TPM and CPU. It requires physical access and approximately €15 in hardware. This bug highlights the need for reviewing and strengthening security protocols in systems reliant on this hardware-software interaction for data protection.

Fuentes/Sources:
https://www.elladodelmal.com/2024/02/como-romper-el-cifrado-bitlocker-de.html
https://www.tomshardware.com/pc-components/cpus/youtuber-breaks-bitlocker-encryption-in-less-than-43-seconds-with-sub-dollar10-raspberry-pi-pico
https://pulsesecurity.co.nz/articles/TPM-sniffing

POC: https://www.youtube.com/watch?v=wTl4vEednkQ

#Binance #Criptomonedas #Cryptocurrencies

Binance filtra su código fuente e información confidencial en GitHub

Recientemente se ha producido un incidente por parte de la empresa con la filtración de información confidencial en un repositorio de Github. En dicho repositorio habían partes del código fuente, contraseñas internas, y diagramas técnicos. Aún no se sabe si fue debido a un hackeo o un error humano. Binance confirmó el incidente pero aseguró que los datos de los usuarios no fueron comprometidos. Posteriormente, solicitaron la eliminación del repositorio de GitHub.
-------------------------------------
English:

Binance has recently experienced an incident involving the leakage of confidential information on a GitHub repository. This repository contained parts of the source code, internal passwords, and technical diagrams. It is still unclear whether this was due to a hacking attempt or human error. Binance confirmed the incident but assured that user data was not compromised. Subsequently, they requested the removal of the repository from GitHub.

Fuente/Source:
https://decrypt.co/215438/binance-data-leak-code-security-passwords-on-github

#Anydesk #Software #Passwords

¡Importante! Anydesk sufre un ciberataque

La compañía de software de acceso remoto confirmó que recientemente ha sufrido un ataque cibernético en sus servidores de producción. Por lo que es recomendable que si hacéis uso de estos servicios cambiéis las contraseñas cuanto antes.

————————————————————

Important! Anydesk suffers a Cyber attack

AnyDesk, a remote access software company, recently confirmed a cyberattack on their production servers. This breach resulted in the theft of source code and code signing keys. While there's no evidence of ransomware involvement, the incident led to a security overhaul, including revoking certificates and updating systems. AnyDesk has reassured customers of the safety of its latest software version and advised them to update passwords as a precaution.

Fuente/Source:
https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/

#Vodafone #Leak

Vodafone sufre un hackeo que expone los datos bancarios y personales de clientes en España

Vodafone España sufrió un ciberataque que expuso los datos personales y bancarios de un “número limitado” de sus clientes.

La intrusión se produjo en los sistemas de uno de los colaboradores de Vodafone, comprometiendo la seguridad de algunos datos personales y bancarios. Los datos expuestos incluyen el DNI y detalles de la cuenta bancaria2. Sin embargo, los clientes de prepago no se vieron afectados en cuanto a la cuenta bancaria.

Vodafone atribuyó el incidente a un “acceso no autorizado” a los sistemas de uno de sus colaboradores.
Aunque no se reveló la cantidad exacta de usuarios afectados, se aseguró que la situación ya ha sido resuelta.

Igualmente aconsejamos a todos los que seáis clientes de Vodafone a cambiar vuestras credenciales cuanto antes.

Fuente:
https://www.lavanguardia.com/andro4all/operadoras/vodafone-sufre-un-hackeo-que-expone-los-datos-bancarios-y-personales-de-clientes-en-espana

https://www.elcorreo.com/economia/tu-economia/vodafone-alerta-ataque-pirata-clientes-afectados-datos-bancarios-revelados-20231126111525-nt.html