Seguridad

Netblocks Report: Interrupción de internet durante exámenes

Un reporte muy llamativo de Netblocks, comenta un evento que se viene dando en algunos países de Asia Occidental durante las temporadas de exámenes escolares.

Según se comenta, la interrupción casi total de la conectividad de Internet, es una medida que intenta prevenir filtraciones o trampas cuando se toman exámenes.

Uno de los primeros en realizar esta práctica fue Iraq durante agosto del 2023, que cortaron el Internet en casi todo el país, excluyendo la región de Kurdistán.

Siria también tuvo su momento de corte durante 4 horas el 10 de agosto.

Estos cortes, que son masivos, tienen un impacto muy grande en diferentes aspectos de la economía y de la vida de las personas.

No entiendo por qué toman esta acción tan radical, porque podrían aplicar otros métodos para poder limitar el internet o tomar ciertas medidas para evitar las trampas al rendir los exámenes.

Al parecer es una práctica que se viene repitiendo en varias oportunidades ocasionando las molestias y pérdidas mencionadas.

Más información en el reporte de Netblocks

Aumento en la Potencia de Ataques DDoS y sus nuevas tácticas

Según un informe publicado por Help Net Security en el que realiza un reporte de los ataques DDoS y su poder durante el primer cuarto del año 2023, en el que se muestra la manera en que se han intensificado la potencia de los ataques y están implementando nuevas tácticas para realizar su cometido.

El Auge de la Potencia de Ataque:

El poder de los ataques DDoS ha alcanzado nuevos niveles, pasando de 600 a 800 Gbps. Estas cifras asombrosas evidencian una preocupante tendencia: los atacantes están empleando herramientas cada vez más potentes y sofisticadas para llevar a cabo sus ataques. Esta escalada en la fuerza de los ataques representa un desafío constante para las defensas y exige respuestas igualmente innovadoras.

Tipos de Ataque y Sectores Más Afectados:

El informe revela que los ataques de inundación UDP son los más comunes, representando el 52% del total, seguidos de cerca por los ataques SYN flood, que constituyen el 24%. En tercer lugar, se encuentran los ataques de flooding TCP. Estos hallazgos arrojan luz sobre las estrategias preferidas por los atacantes para sobrecargar los sistemas y crear caos.

Los sectores más afectados por estos ataques incluyen la industria de los videojuegos, las telecomunicaciones y el sector financiero.

Duración de los Ataques y Perspectivas Futuras:

Un dato sorprendente es la duración de algunos ataques, con el ataque más prolongado en el segundo y tercer trimestre, alcanzando la alarmante cifra de siete días, 16 horas y 22 minutos. Sin embargo, la mayoría de los ataques duraron menos de cuatro horas, lo que demuestra la eficacia de las medidas de respuesta y la resiliencia de muchas organizaciones.

El aumento anual del 50-100% en el volumen de ataques DDoS es una llamada de atención sobre la creciente sofisticación de los atacantes y su habilidad para aprovechar herramientas cada vez más poderosas. Esta tendencia subraya la necesidad urgente de invertir en soluciones de seguridad cibernética más robustas y adaptables.

A nivel personal, hemos podido hacerle frente a los ataques DDoS utilizando la herramienta Fastnetmon, la cual permite detectar y mitigar una gran cantidad de ataques.

Novedades sobre vulnerabilidad CVE-2023-32154 en MikroTik RouterOS

Hace unos días, MikroTik ha publicado un parche para una importante falla de seguridad en el RouterOS y ha confirmado que la vulnerabilidad fue explotada hace cinco meses en el concurso de piratería Pwn2Own Toronto.

En un aviso básico que documenta la falla CVE-2023-32154, MikroTik confirmó que el problema afecta a dispositivos que ejecutan las versiones v6.xx y v7.xx de MikroTik RouterOS con la funcionalidad de recepción de anuncios RA de IPv6 habilitada.

Según ZDI, los organizadores del evento de explotación de software Pwn2Own, la vulnerabilidad permite a los atacantes dentro de una red ejecutar código arbitrario en las instalaciones afectadas de RouterOS.

«La autenticación no es necesaria para explotar esta vulnerabilidad«, advirtió ZDI en un aviso.

«La falla específica se encuentra en el Demonio de Anuncios del router. El problema se produce debido a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root«, dijo la empresa.

Los organizadores de Pwn2Own decidieron hacer público un aviso antes de que estuvieran disponibles los parches, después de esperar cinco meses a que MikroTik reconociera y solucionara la falla de seguridad que ya había sido explotada.

ZDI dijo que informó del problema a MikroTik durante el evento en diciembre pasado y volvió a solicitar una actualización en mayo de este año, cinco meses después. El 10 de mayo, ZDI dijo que «volvió a divulgar el informe a petición del proveedor» y dio a la empresa una semana adicional para proporcionar soluciones.

En su respuesta, MikroTik dijo que no puede encontrar un registro de la divulgación de diciembre por parte de ZDI y que no estuvo presente en el evento de Toronto en diciembre para discutir la explotación.

Las fallas de seguridad en los routers MikroTik han aparecido en la lista de parches obligatorios de CISA y se han utilizado en el pasado para crear botnets maliciosas.

DETALLES ADICIONALES:

  • 09/12/22 – ZDI informó sobre la vulnerabilidad al proveedor durante Pwn2Own Toronto.
  • 09/05/23 – ZDI solicitó una actualización.
  • 10/05/23 – ZDI volvió a divulgar el informe a petición del proveedor.
  • 10/05/23 – ZDI informó al proveedor que el caso se publicará como un aviso de día cero el 17/05/23.
  • Mitigación: Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con la aplicación (desactivar el servicio).

CRONOGRAMA DE DIVULGACIÓN

  • 29/12/2022: Vulnerabilidad informada al proveedor.
  • 17/05/2023: Publicación coordinada del aviso.

Más información en Securityweek, zerodayinitiative

Ex ingeniero de Ubiquiti condenado a seis años de prisión

Nickolas Sharp, un ex ingeniero de software senior en Ubiquiti, fue condenado a seis años de prisión el 9 de mayo de 2023 por robar decenas de gigabytes de datos confidenciales de la empresa y exigir un rescate de 1,9 millones de dólares. Sharp se declaró culpable de un cargo de transmitir intencionalmente un programa a una computadora protegida causando daño, un cargo de fraude electrónico y un cargo de hacer declaraciones falsas al FBI.

Según la Oficina del Fiscal de los Estados Unidos para el Distrito Sur de Nueva York, Sharp comenzó a trabajar en Ubiquiti en 2018. En diciembre de 2020, comenzó a planear robar datos de la empresa. Utilizó sus credenciales de seguridad de Ubiquiti para probar su plan de copiar repositorios de datos mientras ocultaba su dirección IP utilizando una VPN. Menos de dos semanas después, Sharp llevó a cabo su plan, y podría haberse salido con la suya si no fuera por un «error» que nunca pudo haber previsto. Mientras copiaba aproximadamente 155 repositorios de datos, una interrupción de Internet desactivó temporalmente su VPN.

El plan de Sharp fue descubierto cuando el personal de TI de Ubiquiti notó que había estado copiando datos a un disco duro externo. La empresa luego contactó al FBI, que inició una investigación. Sharp fue arrestado en enero de 2021.

Además de su condena de prisión, se ordenó a Sharp que pagara 1,59 millones de dólares en concepto de restitución a Ubiquiti. También fue condenado a tres años de libertad supervisada.

via: arstechnica

Video: Detectando y Mitigando ataques DDoS

A finales del año pasado (2022) asistí al Encuentro Nacional de Técnicos de CABASE, evento que se realizó en Puerto Madryn, Argentina.

Los chicos de la Cámara de Internet (CABASE) me habían pedido que diera una charla de ataques DDoS y su mitigación a nivel general (no enfocada en algún producto en particular). Así fue que preparé esta charla que, a mi gusto, salió muy linda y completa.

Al parecer también fue del agrado de los colegas, porque luego de la presentación tuve algunos contactos sobre los diferentes proyectos que hay al respecto.

Actualizaciones de GeoIP databases (legacy)

En uno de los proyectos que estoy trabajando tuve la necesidad de tener información sobre las direcciones IP y algunos ASN.

Yo ya tenía librerías en PHP que utilizaban GeoIP, pero las fuentes para actualizar las base de datos no cambiaron y se complicó su automatización.

Una herramienta que encontré, realiza la descarga de las bases de datos de IPv4 e IPv6. A su vez tiene un script que realiza la descarga y actualización automáticamente.

El enlace del sitio web es: https://mailfud.org/geoip-legacy/

Nuevo servicio UTRS v2 de Cymru

Dentro de unos días se hará el lanzamiento oficial de la nueva versión v2 del servicio UTRS Unwanted Traffic Removal Service que ofrecen los amigos de Cymru.

El servicio de UTRS v1 permite la mitigación de los ataques DDoS. Funciona a través de una cooperación de mas de 900 redes conectadas entre los que hay proveedores de internet, servidores de hosting, etc que realizan intercambio de información vía BGP.

Se puede leer más sobre este servicio en el sitio oficial de Cymru.

En la próxima versión se tienen nuevas funcionalidades que serán de mucha utilidad para los participantes de la comunidad, entre algunos de ellos tenemos:

  • Soporte de IPv6
  • BGP Flow Spec (GENIAL!!!!)
  • Peerings entre routers redundantes
  • Se incrementa el tamaño del prefijo a /25 a IPv4 y /49 para IPv6
  • Se implementa la validación ROA

El 27 de Octubre será el lanzamiento oficial y seguramente habrá más información al respecto.

Con estos nuevos agregados hacen que el servicio de UTRS cada vez sea más valioso.

En la charla que di para CABASE hace unos meses sobre Fastnetmon, comenté como funciona este servicio de Cymru.

Fastnetmon: Mitigando ataques DDoS

Presentación de Maximiliano Dobladez para el Encuentro Nacional de Técnicos 2021, CABASE.

Qué son y cómo funcionan los ataques DDoS ?

Cómo se clasifican los ataques?, Qué medidas de protección se pueden tomar?.

Qué son las comunidades Blackhole ?

Qué es Fastnetmon y cómo funciona ?,

Cómo se integra con MikroTik ?

Todas estás preguntas son respondidas en ésta presentación

Actualización en Fastnetmon Community

Unas semanas atrás fue publicada una actualización del FastNeMon Community. La versión actual es la v1.1.7 Crawley.

En la lista de cambios que ha sido publicada en el repositorio oficial de Github se mencionan:

  • Multiples mejoras en el soporte de NetFlow v9 / IPFIX
  • Nuevo parser de packetes.
  • Se migró a C++ 11 en todas las plataformas.
  • Lista completa acá.

Hace un par de horas realicé un aporte al proyecto actualizando la librería del RouterOS API para que pueda conectarse con versiones de RouterOS mayores a la v6.45.1, la cual tuvo un cambio en la forma de autenticarse vía API.

La actualización puede ser vista en la sección del Plugin de MikroTik dentro del repositorio oficial del proyecto.

En la medida que tengo un tiempito disponible, estoy armando una presentación para poder organizar un webinar sobre Fastnetmon Community / Advanced, con sus diferencias, formas de implementarlo y la integración con FNM Manager, el panel administrador de Fastnetmon Advanced desarrollado por MKE Solutions.

Estaré anunciando con tiempo el día, horario y la plataforma que se transmitirá el streaming, que seguramente será el canal oficial de MKE Solutions en Youtube.

Echobot: Malware Mirai-like con un plus adicional.

En las últimas semanas me estoy dedicando a conocer cómo actúan los malwares, botnets entre otros ya que estoy desarrollando una aplicación de seguridad para empresas que ayuda a protegerse de dichos ataques.

La mayoría de los malware Mirai-like son bastante conocidos desde hacen años y sus ataques están orientado principalmente a IoT o similares (Televisores Smart, Teléfonos Inteligentes, Cámaras IP, etc).

Los malwares por si mismo no aportan nada nuevo al código fuente original de Mirai, lo cual no es una sorpresa porque el código se ha mantenido sin cambios durante años y se puede leer un poco mas sobre sus acciones en este enlace.

De acuerdo a las investigaciones de las principales empresas de seguridad han encontrado un nuevo malware llamado Echobot al que le han agregado unos módulos adicionales al código fuente original de Mirai.

De hecho cuando fue descubierto por primera vez (por Palo Alto Networks) a principio de Junio, Echobot explotaba unas 18 vulnerabilidades. Según el último informe de Akamai, una semana después, Echobot explotaba unas 26.

Echobot ademas de tener los viejos exploit (como los otros malwares), tiene un agregado adicional, la posibilidad de infectar a dispositivos y que éstos mismos se dediquen a encontrar nuevos host que puedan ser atacados y de esa manera ir expandiendo su accionar.

Un articulo de ZDnet muestra el listado de los dispositivos / marcas que son atacados por este Malware y encontramos diferentes marcas conocidas como Ubiquiti, Realtek, Cámaras IP, etc.

Es importante tener actualizados los sistemas operativos y tomar las precauciones necesarias para evitar tener infecciones en nuestra red. Hay que tener en cuenta que ha ido creciendo notablemente la cantidad de dispositivos infectados a nivel mundial y sin las medidas de seguridad mínimas estamos predispuestos a ser atacados.

En el artículo mencionado explica con mas detalles como es el funcionamiento de Echobot.