Noticias y Alertas
Header

Continuando con la vulnerabilidad descubierta e informada descubierta por Javier Bernardo de Kwell y los artículos #1 y #2 que ampliaron el tema, tenemos importantes novedades que comunicar:

Por un lado ya se definió el SCORE inicial de la vulnerabilidad reportada y es 7.5 HIGH de acuerdo a los parámetros del NIST.

Adicionalmente hemos recibido un Comentario en este Blog por parte de Totallysecure.net donde postean sin lugar a dudas lo siguiente:

(más…)

Luego del descubrimiento que presentamos en este blog respecto a la vulnerabilidad descubierta e informada y a la ampliación que cubrimos en otro artículo, tenemos novedades en este importante tema:

Por un lado en el artículo original se ha incorporado un video muy ilustrativo que muestra toda la Prueba de Concepto relativa a VSpace Pro versión 10.

Por el otro continuando con la investigación, Javier Bernardo, comprobó que esta vulnerabilidad afecta a la recientemente aparecida versión 11 de VSpace.

De modo tal que hacer un upgrade de la versión corriente (10) a la nueva (11) no soluciona Nada.

(más…)

Como bien saben reportamos días atrás una importante vulnerabilidad en la Plataforma de NComputing.

Para los que no están al corriente de esta tecnología, algunos datos de acuerdo a sus informes:

NComputing is the fastest growing desktop virtualization company in the world, with more than 70,000 customers and 20 million daily users in 140 countries. We serve customers large and small, in diverse markets with varying use cases across education, government, healthcare among others.

With innovative and award-winning technologies, NComputing brings customers an impressively quick ROI with economical, high-performance desktop virtualization solutions.

(más…)

En la conferencia RSA que se celebró en San Francisco no solo exponen profesionales del sector privado, sino también del sector público, incluyendo la más que polémica NSA.

Dave Hogue, Director Técnico de la NSA, ha hecho una revisión de las mejores prácticas de defensa que llevan a cabo dentro de la organización. Una de las cosas que ha explicado es que cada vulnerabilidad o exploit nuevo descubierto solo tarda 24 horas como mucho en ser utilizado contra la propia NSA. Esto da al equipo de defensa de la agencia pública un margen pequeño para parchear comparado con la media del sector privado, que se puede tomar semanas e incluso meses para aplicación de medidas.

Hogue ha comentado que los ataques de phishing y los sistemas sin parchear siguen representando la mayoría de los ataques que hallan contra la NSA, siendo esta la razón por la que la agencia dice mantener sus sistemas lo más actualizados posible como “una de la mejores prácticas defensivas”. Ser disciplinada en este punto le ha permitido no padecer ninguna intrusión mediante la explotación de una vulnerabilidad zero-day en los últimos 24 meses, así que los atacantes tendrían que tener en cuenta que sus probabilidades de éxito utilizando esta vía no son muy elevadas contra la NSA a menos que sean muy rápidos. La gran mayoría de los incidentes con los que lidia la NSA no son Amenazas Persistentes Avanzadas (APT) potentes y recientes, sino que el 93% en 2017 fueron totalmente preveniles mediante la puesta en práctica de sus mismas buenas prácticas.

Estos datos publicados por la NSA muestran lo importante que es tener el software actualizado para evitar las amenazas. De hecho, recordamos que WannaCry se propagó utilizando una vulnerabilidad de Windows que estaba parcheada por Microsoft, pero no aplicada por muchos mantenedores de sistemas.

Fuente: Naked Security

La Cámara de Diputados convirtió en ley un proyecto consensuado que modifica el artículo 128 del Código Penal y sanciona con penas de entre tres y seis años de prisión la simple tenencia de material pornográfico infantil.

La norma fue aprobada por amplia mayoría -212 votos a favor y una sola abstención-, indicó el sitio Parlamentario.com. “No tenemos que tener temor y hay que decirlo con todas letras: el que tiene pornografía infantil es un pedófilo. Es un paso previo para la materialización del abuso sexual infantil”, denunció la presidenta de la Comisión de Legislación Penal, Gabriela Burgos (UCR). Burgos advirtió que en Argentina “hay un negocio con ganancias de 250 millones de pesos anuales” en torno al material pornográfico de menores.

La Cámara de Diputados trasformó en ley la propuesta de modificación del artículo 128 del Código Penal para penalizar la tenencia de pornografía infantil, cualquiera sea su finalidad, y el agravamiento de las penas para que el delito no sea excarcelable.

El senador Julio Cobos (Cambiemos) destacó que “esta ley, surgió del acuerdo con legisladores de diferentes sectores políticos que entendimos la necesidad de lograr la protección integral de los jóvenes y de otorgar a la Justicia todas las herramientas para combatir la pornografía infantil en todas sus variantes”.

(más…)

CVE-2018-10201

Ncomputing vSpace Pro Directory Traversal Vulnerability

[Description]

An issue was discovered in NcMonitorServer.exe in NC Monitor Server in NComputing vSpace Pro 10 and 11.

It is possible to read arbitrary files outside the root directory of the web server. This vulnerability could be exploited remotely by a crafted URL without credentials, with …/ or …\ or …./ or ….\ as a directory-traversal pattern to TCP port 8667.

An attacker can make use of this vulnerability to step out of the root directory and access other parts of the file system. This might give the attacker the ability to view restricted files, which could provide the attacker with more information required to further compromise the system.

(más…)

McAfee ha mostrado en la conferencia RSA que se celebra en San Francisco los resultados de su tercer informe anual, que recoge los resultados de una encuesta global realizada a 1.400 profesionales de tecnología durante el cuatro trimestre de 2017 y muestra datos interesantes sobre la adopción de las tecnologías de computación en la nube por parte de las empresas.

La seguridad en la nube es, sin duda, una de las principales preocupaciones de las empresas que guardan sus datos en servicios de nube pública. Estos no cesan en sus empeños por mejorarla, pero a pesar de ello no todo el mundo confía del todo en ello. Es lo que se desprende del tercer informe anual de McAfee sobre seguridad en la nube, que acaba de presentarse y del que se han hecho eco en Venture Beat. (más…)

o el mayor hackeo de datos sensibles de la historia….”

El pasado mes informamos del mayor hackeo de datos personales sensible de la historia. Equifax, la entidad financiera gestiona datos de más de 820 millones de consumidores y más de 91 millones de empresas en todo el mundo, había sufrido un ataque global de un grupo organizado llamado PastHole Hacking Team, afectando a la información de clientes no únicamente de Estados Unidos, sino también de Canadá y Reino Unido.

Tras los últimos acontecimientos parece ser que el masivo hackeo no es el único problema informático de alto perfil que sufre la compañía. Ahora se le suma un problema nuevo: malware en el sitio web. (más…)

Un equipo de investigadores de la Universidad Técnica de Eindhoven, de la Universidad de Illinois, de la Universidad de Pennsylvania, de la Universidad de Maryland y de la Universidad de Adelaide han descubierto una vulnerabilidad crítica en una biblioteca criptográfica de GnuPG, lo cual les permitió romper completamente RSA-1024 y extraer con éxito la Clave Privada para descifrar datos.

(más…)

No se trata sólo de ciertos dispositivos médicos conectados que ponen en peligro los datos de los pacientes y la seguridad física, sino de sus capacidades y sistemas específicos dentro de los cuales operan, lo que los convierte en una superficie de ataque amplia y vulnerable.

De hecho, la palabra de los expertos de seguridad durante la mayor parte de la década pasada (y desde luego que los dispositivos cada vez más se han conectado a Internet) ha sido que mientras la seguridad física de la mayoría es excelente y los dispositivos funcionan sin problemas, cuando se trata de seguridad de ataques maliciosos en línea, estos dispositivos son aterradoramente inseguros.

(más…)