Vulnerabilidades informáticas reseñables

  El mundo informático está plagado de amenazas que afectan, especialmente, a los datos que se encuentran en los numerosos dispositivos informáticos de un gran número de modos (almacenamiento interno, almacenamiento en la nube, medios extraíbles, etc.).
  Uno de los mayores problemas de los que se aprovechan estas amenazas son las vulnerabilidades de los propios dispositivos, que normalmente se encuentran en su sistema operativo.
  Existe, por lo tanto, diferencia entre amenaza informática y vulnerabilidad informática:
  •   Vulnerabilidad informática: Debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos "agujeros" pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.
  •   Amenaza informatica: Toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de los sistemas del usuario. Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.
  A pesar de que las vulnerabilidades de este tipo acaban siendo detectadas y eliminadas (generalmente mediante parches y/o actualizaciones del programa o sistema operativo afectado), existe un gran número de estas, como puede comprobarse en el catálogo Vulnerabilidades y exposiciones comunes  ["Common Vulnerabilities and Exposures" ("CVE"), en inglés].
  Toda vulnerabilidad informática es peligrosa dado su potencial a ser amenazada, mas existen algunas que destacan sobre las demás:
  •   BlueKeep: Vulnerabilidad informática que afecta a versiones antiguas de Windows. El riesgo es significativo porque ataca el Protocolo de escritorio remoto (RDP) del sistema operativo, que permite conectar con otro ordenador a través de una conexión de red. De este modo, una ciberamenaza podría extenderse a gran velocidad. Además, potencialmente puede ser explotada como gusano, lo que significa que un atacante podría utilizarla para lanzar un programa mallicioso que se propaga automáticamente entre sistemas con la misma vulnerabilidad.
  •   CVE-2020-7080, CVE-2020-7081, CVE-2020-7082, CVE-2020-7083, CVE-2020-7084, CVE-2020-7085: Estas vulnerabilidades del Microsoft Office funcionan del mismo modo, ya que hacen referencia a la librería de Autodesk FBX (integrada en este paquete de programas). Las vulnerabildades podrían permitir a un atacante la ejecución remota de código. La explotación de cualquiera de ellas podría ser llevada a cabo creando un fichero FBX malicioso y enviarlo al usuario a través del engaño para que lo abra. Una vez el fichero es abierto, el atacante podría explotar vulnerabilidades de desbordamiento del búfer ("buffer overflow", en inglés), confusión de tipos ("type confusion", en inglés), uso de memoria previamente liberada ("use after free", en inglés), desbordamiento de enteros ("integer overflow", en inglés), desreferencia de puntero NULL ("null pointer dereference", en inglés), u otras vulnerabilidades de desbordamiento de memoria y ejecutar código de manera remota.
  •  EternalBlue: Se trata de un explotador ("exploit", en inglés) que aprovecha una vulnerabilidad en la implementación del protocolo Server Message Block (SMB) de Microsoft. Esta vulnerabilidad, denotada como CVE-2017-01447​8​ en el catálogo arriba mencionado, se debe a que la versión 1 del servidor SMB (SMBv1) acepta en varias versiones de Windows paquetes específicos de atacantes remotos, permitiéndoles ejecutar código en el ordenador en cuestión. Esta vulnerabilidad fue aprovechada para ataques como el de Wannacry, el del programa malicioso NotPetya (entró en ciertos sistemas, robando contraseñas para hacerse con el control de la red a la que accedía), o el del programa mailcioso  Adylkuzz (se empleó una serie de comandas en los ordenadores infectados que se utilizaban para generar y extraer criptomonedas).
  •   Ghost: Se trata de una vulnerabilidad que afecta a "glibc", la librería estándar para las aplicaciones desarrolladas en C, y permite la ejecución remota de código, llegando potencialmente a permitir tomar el control del equipo afectado. Aprovecha un fallo en las funciones de la familia GetHOST (de ahí el nombre) que permite, mediante un desbordamiento de búfer en uno de sus parámetros, ejecutar código arbitrario y potencialmente tomar el control del equipo víctima. Estas funciones son las utilizadas en redes IPv4 para obtener traducciones entre direcciones IP y nombres de dominio, por lo que su uso es bastante habitual en aplicaciones y servicios orientados a la red. Además, también afecta a programas basados en lenguaje PHP, como WordPress u otros gestores de contenidos; en el caso  de WordPress, el problema consiste en que al usar su función para validar cualquier pingback (método para que los autores de una web soliciten una notificación cuando alguien enlaza uno de sus documentos) un pirata informático podría usarla para insertar una URL con el objetivo de obtener el control del servidor de la página.
  •   Ghostcat: Se trata de una vulnerabilidad que reside en el protocolo AJP del contenedor de red Apache Tomcat que surge debido al manejo inadecuado de un atributo. El protocolo Apache JServ Protocol (AJP) es, básicamente, una versión optimizada del protocolo HTTP para permitir que Tomcat se comunique con un servidor web Apache. Aunque el protocolo AJP viene habilitado de forma predeterminada y escucha en el puerto TCP 8009, está vinculado a la dirección IP 0.0.0.0 y sólo puede explotarse de forma remota cuando sea accesible para clientes no confiables. Por lo tanto, esta vulnerabilidad informática podría permitir que los atacantes remotos no autenticados lean el contenido de cualquier archivo en un servidor web vulnerable y obtengan archivos de configuración confidenciales o código fuente, o ejecuten código arbitrario si el servidor permite subir el archivo.
  •   KRACK: Esta vulnerabilidad informática afecta protocolo WPA2 utilizado por la mayoría de redes Wi-Fi modernas. En realidad se trata de una combinación de diez vulnerabilidades encontradas tanto en el lado del punto de acceso como en el lado del cliente, y puede ser utilizada para el robo de datos personales, inyección de malware en sitios web, etc., de las cuales 9 de ellas residen en el dispositivo cliente que se conecta a la red. Aunque un atacante no puede obtener mediante este ataque la clave de una red Wi-Fi, por lo que tampoco puede hacer uso de la red ni conectarse directamente a ella, sí que puede interceptar y leer el tráfico que envía un dispositivo e incluso manipular este tráfico, lo que le permitirá realizar otros ataques, como insertar códigos maliciosos, manipular los DNS o utilizar otras técnicas combinadas con ataques de hombre en el medio ("Man In The Middle", en inglés).
  •   Meltdown: Se trata de un agujero de seguridad en el hardware que afecta a los procesadores Intel x86, a los procesadores IBM POWER, y también a algunos procesadores basados en la arquitectura ARM,1​2​3​ y que permite que un proceso maligno pueda leer de cualquier lugar de la memoria virtual, aún sin contar con autorización para hacerlo. Esta vulnerabilidad explota una condición de carrera inherente al diseño de muchas CPU actuales que se da entre los accesos a la memoria y la comprobación de privilegios durante el procesamiento de instrucciones. Además, en combinación con un ataque de canal lateral a la caché de la CPU, esta vulnerabilidad permite que un proceso se salte las comprobaciones habituales de nivel de privilegio que normalmente aislarían al proceso maligno e impedirían que accediese a datos que pertenecen al sistema operativo y otros procesos concurrentes. La vulnerabilidad permite que un proceso no autorizado lea información de cualquier dirección mapeada al espacio de memoria del proceso actual. Dado que la segmentación de instrucciones reside en los procesadores afectados, la información de una dirección no autorizada casi siempre se cargará temporalmente en la caché de la CPU durante la ejecución fuera de orden, pudiendo posteriormente leerse desde la caché. Esto puede suceder incluso cuando la instrucción de lectura original falla debido a una comprobación de privilegios que da negativo, o cuando no produce un resultado legible. 
  •   SACK Panic: Esta vulnerabilidad informática debe su nombre a los paquetes de reconocimiento selectivo ["Selective Acknowledge" ("SACK"), en inglés]. En la implementación de TCP/IP del kernel Linux se utiliza una estructura llamada Socket Buffer (SKB), que es, básicamente, una lista enlazada de búferes que almacenan paquetes de red. Esta lista se utiliza para guardar la cola de transmisión, la cola de recepción, la cola de paquetes SACK, etc. Jonathan Looney descubrió que el valor "TCP_SKB_CB (skb) -> tcp_gso_segs" estaba sujeto a un desbordamiento de enteros en el kernel de Linux al manejar los reconocimientos TCP Selectivos (SACK). Un atacante remoto podría usar esto para provocar un ataque de denegación de servicio.
  •   Spectre: Afecta a los microprocesadores modernos que utilizan predicción de saltos (circuito digital utilizado en los procesadores que utilizan segmentación de la unidad de proceso para reducir ciclos de parada en la segmentación). En la mayoría de los procesadores, la ejecución especulativa que surge de un fallo de la predicción puede dejar efectos observables colaterales que pueden revelar información privada a un atacante. Así, esta vulnerabilidad informática permite a los programas alojados en el sistema operativo del usuario acceder a una dirección arbitraria del espacio de memoria de un programa. Por otra parte, en lugar de una única vulnerabilidad de fácil corrección, Spectre​ es una clase entera de vulnerabilidades potenciales que se basan en explotar los efectos secundarios de la ejecución especulativa, una técnica empleada comúnmente para combatir la latencia de la memoria y acelerar así la ejecución en los microprocesadores modernos.
  •   Usuario anónimo de servidor FTP: Sobretodo en los servidores FTP más antiguos el acceso mediante un nombre común de usuario como “anonymous” o “ftp”, sin necesidad de introducir una contraseña o un nombre de usuario, provoca que cualquiera que conozca los datos de acceso a uno de estos pueda entrar en él y obtener lo que quiera.
  No obstante, siempre se debe tener en cuenta que, a pesar de las vulnerabilidades de los propios programas informáticos, la mayor vulnerabilidad de cualquier sistema informático (sea del tipo que sea) es el factor humano. Las personas a cargo de los sistemas informáticos son vulnerables a ataques de ingeniería social, phishing, etc.

  Espero que la presente entrada haya sido interesante para el lector. Si es así, aguardo que el lector la comente y/o la comparta, por favor.
Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.

Suscribirse a: Enviar comentarios (Atom)