Hackers obtienen acceso a todos los dominios .edu

A finales de enero, el  colectivo de hackers “Hack the Planet” (HTP) se atribuyó la responsabilidad de un ataque contra los sistemas informáticos del  MIT (Massachusetts Institute of Technology), en la que afirma haber tomado brevemente el control de dominio de la universidad, redirigir el tráfico de correo y obtener acceso administrativo a todos los dominios. edu. HTP. También afirma que comprometieron los servidores web de otros sitios, incluyendo la herramienta de seguridad Nmap, la red de servicio de seguridad Sucuri, la empresa de seguridad Trend Micro y la herramienta de análisis de red Wireshark.

Algunos de los hacks hicieron uso de un exploit de día cero, que el grupo tuvo la oportunidad de dar a conocer, en contra de una vulnerabilidad en el sistema wiki MoinMoin. Hack the Planet también ha publicado información sobre un exploit contra servidores web que ejecutan ColdFusion 9 o 10. El grupo afirma haber utilizado una variante de este exploit para el ataque de abril de la empresa de alojamiento Linode.

HTP es un grupo muy duro, apesar de que subraya su adhesión al código de honor de la piratería en sus redes de arrastre a través de la web. En contraste con el enfoque despreocupado practicado por los hackers que aman el caos de LulzSec, que consiste simplemente en pegar todo lo que descubren en línea, y parece que están más preocupados por los derechos de fanfarronear. Documentan sus obras en revistas de la vieja escuela, que consta de los documentos ASCII cargados de desprecio con descripciones detalladas de sus aventuras.

Según la última publicación, HTP ha obtenido acceso a un cierto número de servidores, incluyendo aquellos que alojan las Nagios, Mono, Pastie y proyectos SQLite. Los hackers incluso afirman haber comprometido la ICANN y la columna vertebral SourceForge. Han publicado alrededor de 7500  dominios .edu junto con los hashes MD5 de sus passwords. También, casi la mitad (alrededor de 3400) de los registros incluye la contraseña como texto en claro. En vista de la velocidad con la que es posible probar valores hash MD5, es probable que sea sólo una cuestión de tiempo antes de que el resto sean descubiertas. El registrador se ha negado a comentar si tiene o no tiene un firme control sobre la amenaza que esto plantea.

 

Vía The H security

Anuncios

Adobe corrige falla crítica en ColdFusion

Adobe prepara un parche para una vulnerabilidad crítica en su servidor de aplicaciones web ColdFusion, el cual ahora se utiliza en ataques. La vulnerabilidad afecta varias versiones de ColdFusion en Windows, Unix y OS X.

Para recuperar archivos de servidores afectados, un atacante remoto puede utilizar la falla que Adobe planea corregir el 14 de mayo. Existe un exploit público disponible para esta vulnerabilidad, por lo que el parche tiene una prioridad alta para las empresas que utilizan ColdFusion.

“Hay reportes de que un exploit se encuentra disponible públicamente para esta vulnerabilidad. Los clientes de ColdFusion, que restringieron el acceso público a los directorios CFIDE/administrator, CFIDE/adminapi and CFIDE/gettingstarted (como se indica en la Guía ColdFusion 9 Lockdown y la Guía ColdFusion 10 Lockdown), estan mitigando este problema”, dijo Adobe en su aviso.

La compañía recomendó a los clientes que ejecutan versiones vulnerables de ColdFusion, que incluyen 10, 9, 9.02 y 9.01, seguir las recomendaciones en las guías mencionadas, para ayudar a instalar medidas de mitigación que evitan la explotación de esta vulnerabilidad.

Vía Threat Post

Vulnerabilidad en Adobe Reader permite rastrear archivos PDF

McAfee asegura haber encontrado una vulnerabilidad en el programa Reader de Adobe Systems, la cual revela cuándo y dónde ha sido abierto un archivo en formato PDF. El problema se presenta cuando los usuarios seleccionan una liga a un archivo en otra ruta, lo cual llama a la Interfaz de Programación de Aplicaciones (API) de JavaScript, mientras que el programa Adobe Reader alerta al usuario de que se va a solicitar un recurso alojado en otro lugar y que se requiere permiso.

El fallo no es un problema grave, ya que no permite la ejecución de código de forma remota, pero McAfee la considera un problema de seguridad y lo ha notificado a Adobe. La vulnerabilidad afecta a todas las versiones de Adobe Reader, incluyendo la versión más reciente, la 11.0.02.

“Hemos detectado que algunas muestras de archivos en formato PDF están explotando esta vulnerabilidad. Nuestra investigación revela que las muestras fueron hechas y entregadas por un proveedor de servicio de rastreo de correo electrónico. Desconocemos si el fallo ha sido objeto de abuso por ataques ilegales o APT (ataques persistentes)”, escribió Haifei Li de McAfee.

McAfee se negó a revelar los detalles de la vulnerabilidad, ya que Adobe está por lanzar un parche para solucionarla. El proveedor dijo que ya se han detectado varios grupos y personas que explotan potencialmente la vulnerabilidad con fines maliciosos.

“Los remitentes malintencionados podrían aprovechar esta vulnerabilidad para recolectar información sensible de los usuarios afectados, como su dirección IP, su proveedor de servicio de Internet o incluso hábitos de navegación de la víctima. Además, nuestro análisis indica que información adicional puede ser recolectada llamando las APIs de JavaScript por medio de archivos PDF”.

McAfee sugiere a los usuarios de Adobe Reader desactivar JavaScript hasta que se libere el parche que corrija esta vulnerabilidad.

vía The Hacker News

Huecos de seguridad en el software Policy Orchestrator de McAfee

En el boletín de seguridad de McAfee se detalla cómo el software ePolicy Orchestrator (ePO) 4.5.6, 4.6.5 y anteriores, son vulnerables a ejecución de código remoto y file path traversal. La versión actual, ePO 5.0, no se ve afectada. ePO es la plataforma de administración de seguridad de McAfee para gestionar y automatizar flujos de trabajo, así como el cumplimiento de seguridad.

Dos vulnerabilidades fueron encontradas en el software y ambas son explotadas registrando un agente falso en el servidor ePO y enviando peticiones maliciosas malformadas. Para una, la petición usa inyección SQL en el componente manejador del agente (Agent-Handler) para obtener la habilidad de ejecutar código con privilegios de administrador. Para la otra, la petición explota el proceso de carga de archivos, lo que permite al atacante colocar archivos en los directorios del servidor, incluyendo el folder /Software/ donde puede ser descargado por otros sistemas.

McAfee ha liberado la versión ePO 4.6.6 para corregir el problema de la versión 4.6 y ha publicado una actualización de emergencia para la versión 4.5.5. La compañía planea liberar la versión 4.5.7 a mediados de mayo, la cual incorpora los arreglos para las vulnerabilidades. Para acceder a los parches, los usuarios deben dirigirse al sitio de descargas de McAfee e ingresar su “McAfee grant number“, para después dirigirse a la sección de “Patches”. La base de conocimiento de McAfee tiene más detalles sobre el proceso de descarga para las actualizaciones.

Vía The H Security