«Soy padre. Voy a trabajar por la mañana y quiero volver a casa por la noche». Esta evidencia, presentada por Pierre*, oficial de prisión en el Gran Oeste, no sólo fue sacudida por el ataque a una furgoneta en Eureque provocó la muerte de dos agentes, encargados de supervisar el traslado de Mohamed Amra, no encontrado desde.

En realidad, Pierre siente desde hace años que esta evidencia está amenazada. El hombre pertenece al famoso Prej, el centro de extracciones judiciales, y por tanto realiza el mismo trabajo que los dos agentes que cayeron acribillados en Incarville. “Puede suceder en cualquier lugar, a cualquier persona y en cualquier momento”, subraya.

«No tenemos ningún equipo adecuado»

Pierre, que empezó como guardia de prisión, ahora se siente mucho más vulnerable en la carretera, donde recorre más de 5.000 kilómetros al mes. «A pesar de toda mi experiencia, me sentí mucho más seguro cuando estaba solo frente a 120 personas detenidas. Adentro estamos protegidos, hay muros antes de que un comando armado pueda entrar a la prisión. Mientras que afuera no podemos planear nada, sólo podemos contar con nosotros mismos. No tenemos ningún equipo adecuado, sólo pistolas de 9 mm. “Tienen armas de guerra. No somos rival para ellos, no tenemos chalecos antibalas que estén equipados para eso, no tenemos absolutamente nada con qué luchar. atrás», se lamenta.

Sin embargo, las cosas deberían cambiar. Los sindicatos, después de varios días de bloqueo carcelariohan obtenido garantías sobre el armamento o incluso la potencia de los vehículos. Suficiente para que Pierre y sus colegas puedan afrontar mejor los riesgos a los que están expuestos a diario.

*El nombre ha sido cambiado.

Los investigadores han ideado un ataque contra casi todas las aplicaciones de redes privadas virtuales que las obliga a enviar y recibir parte o todo el tráfico fuera del túnel cifrado diseñado para protegerlo de espionaje o manipulación.

TunnelVision, como llamaron los investigadores a su ataque, niega en gran medida el propósito y el punto de venta de las VPN, que es encapsular el tráfico de Internet entrante y saliente en un túnel cifrado y ocultar la dirección IP del usuario. Los investigadores creen que afecta a todas las aplicaciones VPN cuando están conectadas a una red hostil y que no hay forma de prevenir tales ataques excepto cuando la VPN del usuario se ejecuta en Linux o Android. También dijeron que su técnica de ataque puede haber sido posible desde 2002 y es posible que ya haya sido descubierta y utilizada en la naturaleza desde entonces.

Leer, eliminar o modificar el tráfico VPN

El efecto de TunnelVision es que “el tráfico de la víctima ahora queda oculto y se dirige directamente a través del atacante”, se explica en una demostración en vídeo. «El atacante puede leer, descartar o modificar el tráfico filtrado y la víctima mantiene su conexión tanto a la VPN como a Internet».

El ataque funciona manipulando el servidor DHCP que asigna direcciones IP a los dispositivos que intentan conectarse a la red local. Una configuración conocida como opción 121 permite al servidor DHCP anular las reglas de enrutamiento predeterminadas que envían el tráfico VPN a través de una dirección IP local que inicia el túnel cifrado. Al utilizar la opción 121 para enrutar el tráfico VPN a través del servidor DHCP, el ataque desvía los datos al propio servidor DHCP. Los investigadores de Leviathan Security explicaron:

Nuestra técnica consiste en ejecutar un servidor DHCP en la misma red que un usuario VPN objetivo y también configurar nuestra configuración DHCP para que se utilice como puerta de enlace. Cuando el tráfico llega a nuestra puerta de enlace, utilizamos reglas de reenvío de tráfico en el servidor DHCP para pasar el tráfico a una puerta de enlace legítima mientras la espiamos.

Usamos la opción 121 de DHCP para establecer una ruta en la tabla de enrutamiento del usuario de VPN. La ruta que configuramos es arbitraria y también podemos configurar múltiples rutas si es necesario. Al impulsar rutas que son más específicas que un rango CIDR /0 que utilizan la mayoría de las VPN, podemos crear reglas de enrutamiento que tengan una prioridad más alta que las rutas para la interfaz virtual que crea la VPN. Podemos configurar múltiples rutas /1 para recrear la regla de todo el tráfico 0.0.0.0/0 establecida por la mayoría de las VPN.

Enviar una ruta también significa que el tráfico de la red se enviará a través de la misma interfaz que el servidor DHCP en lugar de la interfaz de red virtual. Esta es una funcionalidad prevista que no está claramente establecida en el RFC. Por lo tanto, para las rutas que enviamos, la interfaz virtual de la VPN nunca las cifra, sino que las transmite la interfaz de red que se comunica con el servidor DHCP. Como atacante, podemos seleccionar qué direcciones IP pasan por el túnel y qué direcciones pasan por la interfaz de red hablando con nuestro servidor DHCP.

Ahora tenemos tráfico transmitiéndose fuera del túnel cifrado de la VPN. Esta técnica también se puede utilizar contra una conexión VPN ya establecida una vez que el host del usuario de VPN necesite renovar un contrato de arrendamiento de nuestro servidor DHCP. Podemos crear ese escenario artificialmente estableciendo un tiempo de concesión corto en la concesión de DHCP, para que el usuario actualice su tabla de enrutamiento con más frecuencia. Además, el canal de control VPN sigue intacto porque ya utiliza la interfaz física para su comunicación. En nuestras pruebas, la VPN siempre continuó informándose como conectada y el interruptor de apagado nunca estuvo activado para interrumpir nuestra conexión VPN.

El ataque puede ser llevado a cabo de manera más efectiva por una persona que tenga control administrativo sobre la red a la que se conecta el objetivo. En ese escenario, el atacante configura el servidor DHCP para usar la opción 121. También es posible que las personas que pueden conectarse a la red como usuarios sin privilegios realicen el ataque configurando su propio servidor DHCP no autorizado.

El ataque permite que parte o todo el tráfico se enrute a través del túnel no cifrado. En cualquier caso, la aplicación VPN informará que todos los datos se envían a través de la conexión protegida. La VPN no cifrará ningún tráfico que se desvíe de este túnel y la dirección IP de Internet visible para el usuario remoto pertenecerá a la red a la que está conectado el usuario de la VPN, en lugar de una designada por la aplicación VPN.

Curiosamente, Android es el único sistema operativo que inmuniza completamente a las aplicaciones VPN contra el ataque porque no implementa la opción 121. Para todos los demás sistemas operativos, no existen soluciones completas. Cuando las aplicaciones se ejecutan en Linux, hay una configuración que minimiza los efectos, pero incluso entonces TunnelVision se puede utilizar para explotar un canal lateral que se puede utilizar para anonimizar el tráfico de destino y realizar ataques de denegación de servicio dirigidos. Los firewalls de red también se pueden configurar para denegar el tráfico entrante y saliente hacia y desde la interfaz física. Esta solución es problemática por dos razones: (1) un usuario de VPN que se conecta a una red que no es de confianza no tiene capacidad para controlar el firewall y (2) abre el mismo canal lateral presente con la mitigación de Linux.

Las soluciones más efectivas son ejecutar la VPN dentro de una máquina virtual cuyo adaptador de red no esté en modo puente o conectar la VPN a Internet a través de la red Wi-Fi de un dispositivo celular. La investigación, de los investigadores de Leviathan Security Lizzie Moratti y Dani Cronce, está disponible aquí.

Esta historia apareció originalmente en Ars Técnica.

Según se informa, Eken Group ha publicado una actualización de firmware para resolver importantes problemas de seguridad con sus cámaras de timbre económicas que fueron descubiertas por un Informes de los consumidores investigación a principios de este año. Las cámaras en cuestión se combinan con la aplicación Aiwit y se venden bajo una serie de marcas, incluidas Eken, Tuck, Fishbot, Rakeblue, Andoe, Gemee y Luckwolf. Durante sus pruebas, el organismo de control descubrió que las cámaras no cifradas podrían exponer información confidencial como direcciones IP domésticas y redes Wi-Fi, y permitir que terceros accedan a imágenes de la cámara utilizando su número de serie. Ahora, Informes de los consumidores dice que los problemas se han solucionado; solo asegúrese de actualizar sus dispositivos.

Los dispositivos de esas marcas ahora deberían reflejar una versión de firmware 2.4.1 o superior, lo que indicaría que recibieron la actualización. Informes de los consumidores dice que sus propias muestras obtuvieron la actualización automáticamente, pero no está de más volver a verificar su configuración considerando los riesgos (es decir, si aún no ha desechado las cámaras). La publicación dice que está confirmado que la actualización soluciona los problemas de seguridad. Eken también dijo Informes de los consumidores que las dos cámaras de timbre que había clasificado con la etiqueta «No comprar»: el timbre con video inteligente Eken y la cámara con timbre Tuck Sharkpop, han sido descontinuadas.

Estas cámaras de timbre, que se vendieron en plataformas de comercio electrónico populares como Amazon, Walmart y Temu, pero que desde entonces parecen haber sido retiradas, también carecían del etiquetado adecuado requerido por la FCC. La empresa dijo Informes de los consumidores agregará estas identificaciones a nuevos productos en el futuro. Tras las pruebas de la actualización, Informes de los consumidores ha eliminado las etiquetas de advertencia de sus cuadros de mando.

Hasta 91.000 televisores LG corren el riesgo de ser confiscados a menos que reciban una actualización de seguridad recién publicada que corrija cuatro vulnerabilidades críticas descubiertas a finales del año pasado.

Las vulnerabilidades se encuentran en cuatro modelos de televisores LG que en conjunto comprenden poco más de 88.000 unidades en todo el mundo, según los resultados arrojados por el motor de búsqueda Shodan para dispositivos conectados a Internet. La gran mayoría de esas unidades están ubicadas en Corea del Sur, seguida de Hong Kong, Estados Unidos, Suecia y Finlandia. Los modelos son:

• LG43UM7000PLA con webOS 4.9.7 – 5.30.40
• OLED55CXPUA con webOS 5.5.0 – 04.50.51
• OLED48C1PUB con webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50
• OLED55A23LA ejecutando webOS 7.3.1-43 (mullet-mebin) – 03.33.85

A partir del miércoles, las actualizaciones estarán disponibles a través del menú de configuración de estos dispositivos.

¿Tienes raíz?

Según Bitdefender, la empresa de seguridad que descubrió las vulnerabilidades, los piratas informáticos malintencionados pueden aprovecharlas para obtener acceso raíz a los dispositivos e inyectar comandos que se ejecutan a nivel del sistema operativo. Las vulnerabilidades, que afectan a los servicios internos que permiten a los usuarios controlar sus aparatos utilizando sus teléfonos, permiten a los atacantes eludir las medidas de autenticación diseñadas para garantizar que sólo los dispositivos autorizados puedan hacer uso de las capacidades.

«Estas vulnerabilidades nos permiten obtener acceso root en el televisor después de eludir el mecanismo de autorización», escribieron el martes los investigadores de Bitdefender. «Aunque el servicio vulnerable está destinado únicamente al acceso LAN, Shodan, el motor de búsqueda de dispositivos conectados a Internet, identificó más de 91.000 dispositivos que exponen este servicio a Internet».

La vulnerabilidad clave que hace posibles estas amenazas reside en un servicio que permite controlar los televisores mediante la aplicación para teléfonos inteligentes ThinkQ de LG cuando están conectados a la misma red local. El servicio está diseñado para requerir que el usuario ingrese un código PIN para demostrar la autorización, pero un error permite que alguien se salte este paso de verificación y se convierta en un usuario privilegiado. Esta vulnerabilidad se rastrea como CVE-2023-6317.

Una vez que los atacantes han obtenido este nivel de control, pueden explotar otras tres vulnerabilidades, específicamente:

• CVE-2023-6318, que permite a los atacantes elevar su acceso a la raíz
• CVE-2023-6319, que permite la inyección de comandos del sistema operativo manipulando una biblioteca para mostrar letras de música
• CVE-2023-6320, que permite a un atacante inyectar comandos autenticados manipulando la interfaz de la aplicación com.webos.service.connectionmanager/tv/setVlanStaticAddress.

Según se informa, la plataforma Zen de AMD es vulnerable a los ataques Rowhammer, como lo revela una nueva investigación realizada por ETH Zurich, que afecta la usabilidad de la DRAM.

Los sistemas AMD relativamente más antiguos con CPU Zen 3 y Zen 2 ahora son susceptibles al Zenhammer, la compañía recomienda precaución a los usuarios

Rowhammer es una vulnerabilidad bastante antigua, descubierta inicialmente en 2014 mediante una investigación colaborativa de la Universidad Carnegie Mellon e Intel. Esta violación afecta el contenido de su DRAM al provocar una fuga eléctrica en las celdas de la memoria, lo que potencialmente voltea los bits presentes y corrompe los datos en la memoria. Además, también podría dar lugar a que intrusos obtengan acceso a información confidencial, y la vulnerabilidad se ha extendido a los sistemas Zen de AMD, por lo que ahora se denomina «Zenhammer».

Investigadores independientes de ETH Zurich han encontrado una manera de alterar el contenido de la memoria mediante la implementación Rowhammer, invirtiendo los bits de la memoria DDR4 montada en los sistemas Zen 2 y Zen 3. Así es como pudieron hacerlo:

ZenHammer aplica ingeniería inversa a las funciones de direccionamiento de DRAM a pesar de su naturaleza no lineal, utiliza patrones de acceso especialmente diseñados para una sincronización adecuada y programa cuidadosamente instrucciones de descarga y valla dentro de un patrón para aumentar el rendimiento de activación y al mismo tiempo preservar el orden de acceso necesario para evitar las mitigaciones en DRAM.

– ETH Zurich a través de The Register

La investigación demostró que los sistemas AMD eran vulnerables, similar a como lo son los sistemas basados ​​en Intel, y después de explotar con éxito las funciones secretas de la dirección DRAM, los investigadores pudieron ajustar la rutina de sincronización y, a través de pruebas exhaustivas, pudieron integrar los efectos de Rowhammer en los sistemas, volteando el contenido de la memoria tanto en los sistemas Zen 2 como en Zen 3. Si bien esta situación es alarmante para los consumidores de AMD relativamente antiguos, Team Red respondió rápidamente al problema y publicó un informe de seguridad para solucionarlo.

AMD continúa evaluando la afirmación de los investigadores de demostrar por primera vez los cambios de bits de Rowhammer en un dispositivo DDR5. AMD proporcionará una actualización una vez finalizada su evaluación.

Los productos de microprocesadores AMD incluyen controladores de memoria diseñados para cumplir con las especificaciones DDR estándar de la industria. La susceptibilidad a los ataques Rowhammer varía según el dispositivo DRAM, el proveedor, la tecnología y la configuración del sistema. AMD recomienda contactar al fabricante de su DRAM o sistema para determinar cualquier susceptibilidad a esta nueva variante de Rowhammer.

AMD también continúa recomendando las siguientes mitigaciones de DRAM existentes para ataques estilo Rowhammer, que incluyen:

• Uso de DRAM compatible con códigos de corrección de errores (ECC)
• Usar frecuencias de actualización de memoria superiores a 1x
• Desactivar la ráfaga de memoria/actualización pospuesta
• Uso de CPU AMD con controladores de memoria que admiten un recuento máximo de activación (MAC) (DDR4)
  • Procesadores AMD EPYC de 1.ª generación, anteriormente con el nombre en código «Naples»
  • Procesadores AMD EPYC de 2.ª generación, anteriormente con el nombre en código «Rome»
  • Procesadores AMD EPYC de 3.ª generación, anteriormente con el nombre en código «Milán»
• Uso de CPU AMD con controladores de memoria compatibles con Refresh Management (RFM) (DDR5)
  • Procesadores AMD EPYC de 4.ª generación, anteriormente con el nombre en código «Genoa»

Para los usuarios particularmente preocupados con Zenhammer, les recomendamos que implementen las mitigaciones sugeridas por el propio Equipo Rojo para mantenerse a salvo de la vulnerabilidad. Mientras tanto, la empresa está trabajando para evaluar la situación y proporcionar una actualización más completa.

Fuentes de noticias: The Register, Comsec

Francia anunció el domingo el establecimiento de vuelos especiales para permitir que sus ciudadanos “más vulnerables” abandonen Haití mientras se interrumpen los enlaces aéreos comerciales con Puerto Príncipe. Unos 1.100 franceses, entre ellos un gran número de personas con doble nacionalidad, viven en Haití, según cifras del Quai d’Orsay.

Las agencias civiles federales tienen hasta la medianoche del sábado para cortar todas las conexiones de red al software VPN de Ivanti, que actualmente está siendo explotado masivamente por múltiples grupos de amenazas. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. ordenó la medida el miércoles después de revelar tres vulnerabilidades críticas en las últimas semanas.

Hace tres semanas, Ivanti reveló dos vulnerabilidades críticas que, según dijo, los actores de amenazas ya estaban explotando activamente. Los ataques, dijo la compañía, se dirigieron a “un número limitado de clientes” que utilizaban los productos Connect Secure y Policy Secure VPN de la compañía. La empresa de seguridad Volexity dijo el mismo día que las vulnerabilidades habían estado siendo explotadas desde principios de diciembre. Ivanti no tenía un parche disponible y, en cambio, recomendó a los clientes que siguieran varios pasos para protegerse contra los ataques. Entre los pasos estaba ejecutar un verificador de integridad que la compañía lanzó para detectar cualquier compromiso. Casi dos semanas después, los investigadores dijeron que los días cero estaban siendo explotados masivamente en ataques que estaban atacando redes de clientes en todo el mundo. Un día después, Ivanti no cumplió su promesa anterior de comenzar a implementar un parche adecuado antes del 24 de enero. La compañía no comenzó el proceso hasta el miércoles, dos semanas después de la fecha límite que se había fijado.

Y entonces, había tres

Ivanti reveló dos nuevas vulnerabilidades críticas en Connect Secure el miércoles, rastreadas como CVE-2024-21888 y CVE-2024-21893. La compañía dijo que CVE-2024-21893, una clase de vulnerabilidad conocida como falsificación de solicitudes del lado del servidor, “parece ser el objetivo”, lo que eleva a tres el número de vulnerabilidades explotadas activamente. Los funcionarios del gobierno alemán dijeron que ya habían visto hazañas exitosas del más nuevo. Los funcionarios también advirtieron que las explotaciones de las nuevas vulnerabilidades neutralizaron las mitigaciones que Ivanti recomendó a los clientes implementar.

Horas más tarde, la Agencia de Seguridad de Infraestructura y Ciberseguridad, normalmente abreviada como CISA, ordenó a todas las agencias federales bajo su autoridad «desconectar todas las instancias de los productos de solución Ivanti Connect Secure e Ivanti Policy Secure de las redes de la agencia» a más tardar a las 11:59 p. m. del viernes. . Los funcionarios de la agencia establecieron la misma fecha límite para que las agencias completen los pasos recomendados por Ivanti, que están diseñados para detectar si sus VPN de Ivanti ya se han visto comprometidas en los ataques en curso.

Los pasos incluyen:

• Identificar cualquier sistema adicional conectado o conectado recientemente al dispositivo Ivanti afectado
• Monitorizar los servicios de autenticación o gestión de identidad que podrían quedar expuestos.
• Aislar los sistemas de cualquier recurso empresarial en la mayor medida posible.
• Continuar auditando las cuentas de acceso de nivel privilegiado.

La directiva continúa diciendo que antes de que las agencias puedan volver a poner en línea sus productos Ivanti, deben seguir una larga serie de pasos que incluyen restablecer su sistema de fábrica, reconstruirlo siguiendo las instrucciones previamente emitidas por Ivanti e instalar los parches de Ivanti.

«Las agencias que ejecutan los productos afectados deben asumir que las cuentas de dominio asociadas con los productos afectados han sido comprometidas», decía la directiva del miércoles. Los funcionarios continuaron exigiendo que, para el 1 de marzo, las agencias deben haber restablecido las contraseñas «dos veces» para las cuentas locales, revocar los tickets de autenticación habilitados para Kerberos y luego revocar los tokens para las cuentas en la nube en implementaciones híbridas.

Steven Adair, presidente de Volexity, la empresa de seguridad que descubrió las dos vulnerabilidades iniciales, dijo que sus análisis más recientes indican que al menos 2.200 clientes de los productos afectados se han visto comprometidos hasta la fecha. Aplaudió la directiva del miércoles de CISA.

«Esta es efectivamente la mejor manera de aliviar cualquier preocupación de que un dispositivo aún pueda estar comprometido», dijo Adair en un correo electrónico. “Vimos que los atacantes buscaban activamente formas de eludir la detección de las herramientas de verificación de integridad. Con las vulnerabilidades anteriores y nuevas, este curso de acción en torno a un sistema completamente nuevo y parcheado podría ser la mejor manera de que las organizaciones no tengan que preguntarse si su dispositivo está activamente comprometido”.

La directiva es vinculante sólo para las agencias bajo la autoridad de CISA. Sin embargo, cualquier usuario de productos vulnerables debe seguir los mismos pasos inmediatamente si aún no lo ha hecho.

Nobody’s Fool: Por qué nos engañan y qué podemos hacer al respecto.«/>

Rara vez hay tiempo para escribir sobre todas las historias científicas interesantes que se nos presentan. Por eso, este año, una vez más publicamos una serie especial de publicaciones de Doce días de Navidad, destacando una historia científica que pasó desapercibida en 2023, cada día desde el 25 de diciembre hasta el 5 de enero. Hoy: una conversación con los psicólogos Daniel Simons y Christopher Chabris sobre los hábitos clave de pensamiento y razonamiento que pueden resultarnos útiles la mayor parte del tiempo, pero que pueden hacernos vulnerables a ser engañados.

Es uno de los experimentos más famosos de la psicología. En 1999, Daniel Simons y Christopher Chabris llevaron a cabo un experimento sobre la ceguera por falta de atención. Pidieron a los sujetos de prueba que vieran un video corto en el que seis personas, la mitad con camisetas blancas y la otra mitad con camisetas negras, se pasaban pelotas de baloncesto. Se pidió a los sujetos que contaran el número de pases realizados por las personas con camisas blancas. A mitad del vídeo, una persona vestida con un traje de gorila se acercó a los jugadores y golpeó la cámara con el pecho antes de salir de la pantalla. Lo que sorprendió a los investigadores fue que la mitad de los sujetos de prueba estaban tan ocupados contando el número de pases de baloncesto que nunca vieron al gorila.

El experimento se convirtió en una sensación viral, ayudado por el divertido título del artículo, «Gorilas en medio de nosotros», y le valió a Simons y Chabris el Premio Ig Nobel de Psicología 2004. También se convirtió en la base de su libro más vendido de 2010, El gorila invisible: cómo nos engañan nuestras intuiciones. Trece años después, los dos psicólogos vuelven con su último libro, publicado el pasado mes de julio, titulado Nadie es tonto: por qué nos dejamos engañar y qué podemos hacer al respecto. Simons y Chabris han escrito un entretenido examen de hábitos clave de pensamiento que normalmente nos resultan útiles pero que también nos hacen vulnerables a estafas y estafas. También ofrecen algunas herramientas prácticas basadas en la ciencia cognitiva para ayudarnos a detectar engaños antes de ser engañados.

«A la gente le encanta leer sobre desventajas, pero siguen sucediendo», dijo Simons a Ars. «¿Por qué siguen sucediendo? ¿A qué se están aprovechando esos estafadores? ¿Por qué no aprendemos leyendo sobre Theranos? Nos dimos cuenta de que había un conjunto de principios cognitivos que parecían aplicarse en todos los dominios, desde hacer trampa en los deportes hasta desde el ajedrez hasta las trampas en las finanzas y la biotecnología. Ese se convirtió en nuestro tema organizativo».

Ars habló con Simons y Chabris para obtener más información.

Ars Technica: Me sorprendió saber que la gente todavía cae en estafas básicas como la del Príncipe de Nigeria. Me recuerda al cartel de Fox Mulder en Los archivos x: «Quiero creer.«

Daniel Simón: La estafa del Príncipe de Nigeria es interesante porque existe desde siempre. Su forma original era en letras. La mayoría de la gente no se deja engañar por eso. La gran mayoría de la gente lo mira y dice: «Esto está escrito con una gramática terrible». Es un desastre. ¿Y por qué alguien creería que es él quien recuperará esta enorme fortuna? Entonces hay algunas personas que caen en la trampa, pero es un pequeño porcentaje de personas. Creo que sigue siendo ilustrativo porque obviamente es demasiado bueno para ser verdad para la mayoría de las personas, pero hay un pequeño subconjunto de personas para quienes es lo suficientemente bueno. Es lo suficientemente atractivo como para decir: «Oh, sí, tal vez podría hacerme rico».

Había un perfil en el New Yorker de un psicólogo clínico que cayó en la trampa. Hay personas que, por el motivo que sea, o están desesperadas o tienen la idea de que merecen heredar mucho dinero. Pero hay muchas estafas que son mucho menos obvias que esa y seleccionan a las personas que son más ingenuas al respecto. Creo que la idea clave es que tendemos a asumir que sólo las personas crédulas caen en estas cosas. Esto es fundamentalmente erróneo. Todos caemos en estas cosas si se plantean de la manera correcta.

Cristóbal Chabris: No creo que sean necesariamente personas que siempre quieran creer. Creo que realmente depende de la situación. Algunas personas podrían querer creer que pueden hacerse ricas con criptomonedas, pero nunca se dejarían engañar por un correo electrónico nigeriano o, de hecho, tal vez no caerían en un esquema Ponzi tradicional porque no creen en el dinero fiduciario o en el bolsa de Valores. Volviendo al gorila invisible, una cosa que notamos fue que mucha gente nos preguntaba: «¿Cuál es la diferencia entre las personas que notaron al gorila y las personas que no notaron al gorila?» La respuesta es, bueno, algunos de ellos lo notaron y otros no. No es un test de coeficiente intelectual ni de personalidad. Entonces, en el caso del correo electrónico nigeriano, podría haber sucedido algo en la vida de ese tipo en el momento en que recibió ese correo electrónico que tal vez lo llevó a aceptar inicialmente la premisa como cierta, aunque sabía que parecía un poco extraña. . Luego, se comprometió con la idea una vez que comenzó a interactuar con estas personas.

Así que uno de nuestros principios es el compromiso: la idea de que si aceptas algo como verdadero y no lo cuestionas más, entonces todo tipo de malas decisiones y malos resultados pueden derivar de ello. Entonces, si de alguna manera te convences de que estos tipos en Nigeria son reales, eso puede explicar las malas decisiones que tomas después de eso. Creo que hay mucha imprevisibilidad al respecto. Todos debemos entender cómo funcionan estas cosas. Podríamos pensar que suena loco y nunca caeríamos en la trampa, pero tal vez lo haríamos si se tratara de una estafa diferente en un momento diferente.

Los malhechores están explotando activamente dos nuevas vulnerabilidades de día cero para convertir enrutadores y grabadoras de video en una botnet hostil utilizada en ataques distribuidos de denegación de servicio, dijeron el jueves investigadores de la firma de redes Akamai.

Ambas vulnerabilidades, que anteriormente eran desconocidas para sus fabricantes y para la comunidad de investigación de seguridad en general, permiten la ejecución remota de código malicioso cuando los dispositivos afectados utilizan credenciales administrativas predeterminadas, según una publicación de Akamai. Atacantes desconocidos han estado aprovechando los días cero para comprometer los dispositivos y poder infectarlos con Mirai, un potente software de código abierto que convierte enrutadores, cámaras y otros tipos de dispositivos de Internet de las cosas en parte de una botnet capaz de atacar. DDoSes de tamaños antes inimaginables.

Los investigadores de Akamai dijeron que uno de los días cero atacados reside en uno o más modelos de grabadoras de vídeo en red. El otro día cero reside en un «enrutador LAN inalámbrico basado en toma de corriente diseñado para hoteles y aplicaciones residenciales». El enrutador lo vende un fabricante con sede en Japón, que «produce múltiples conmutadores y enrutadores». La característica del enrutador que se está explotando es «muy común» y los investigadores no pueden descartar la posibilidad de que esté siendo explotada en varios modelos de enrutadores vendidos por el fabricante.

Akamai dijo que informó las vulnerabilidades a ambos fabricantes y que uno de ellos brindó garantías de que se lanzarán parches de seguridad el próximo mes. Akamai dijo que no identificaría los dispositivos específicos ni los fabricantes hasta que se implementen las soluciones para evitar que los días cero sean explotados más ampliamente.

“Aunque esta información es limitada, sentimos que era nuestra responsabilidad alertar a la comunidad sobre la explotación continua de estos CVE en la naturaleza. Existe una delgada línea entre la divulgación responsable de información para ayudar a los defensores y el intercambio excesivo de información que puede permitir mayores abusos por parte de hordas de actores amenazantes”.

La publicación de Akamai proporciona una gran cantidad de hashes de archivos y direcciones IP y de dominio que se utilizan en los ataques. Los propietarios de enrutadores y cámaras de video en red pueden usar esta información para ver si los dispositivos en sus redes han sido atacados.

La ejecución remota de código utiliza una técnica conocida como inyección de comandos, que primero requiere que un atacante se autentique utilizando las credenciales configuradas en el dispositivo vulnerable. La autenticación y la inyección se llevan a cabo mediante una solicitud POST estándar.

En un correo electrónico, el investigador de Akamai, Larry Cashdollar, escribió:

Los dispositivos normalmente no permiten la ejecución de código a través de la interfaz de administración. Es por eso que es necesario obtener RCE mediante la inyección de comandos.

Debido a que el atacante necesita autenticarse primero, debe conocer algunas credenciales de inicio de sesión que funcionarán. Si los dispositivos utilizan inicios de sesión fáciles de adivinar, como admin:contraseña o admin:contraseña1, también podrían estar en riesgo si alguien amplía la lista de credenciales para probar.

Dijo que ambos fabricantes han sido notificados, pero hasta ahora sólo uno de ellos se ha comprometido a lanzar un parche, que se espera para el próximo mes. Actualmente se desconoce el estado de una solución del segundo fabricante.

Cashdollar dijo que un análisis incompleto de Internet mostró que hay al menos 7.000 dispositivos vulnerables. La cantidad real de dispositivos afectados puede ser mayor.

Mirai llamó la atención del público por primera vez en 2016, cuando una botnet, es decir, una red de dispositivos comprometidos bajo el control de un actor de amenazas hostil, derribó el sitio de noticias de seguridad KrebsOnSecurity con lo que entonces era un récord de 620 gigabits por segundo. DDoS.

Además de su enorme potencia de fuego, Mirai destacó por otras razones. Por un lado, los dispositivos que controla eran un conjunto de enrutadores, cámaras de seguridad y otros tipos de dispositivos de IoT, algo que en gran medida no se había visto antes de eso. Y por otro lado, el código fuente subyacente rápidamente estuvo disponible gratuitamente. Pronto, Mirai se estaba utilizando en DDoS aún más grandes dirigidos a plataformas de juegos y a los ISP que las prestaban servicios. Mirai y otras botnets de IoT han sido una realidad en la vida de Internet desde entonces.

La cepa Mirai utilizada en los ataques descubiertos por Akamai es principalmente una más antigua conocida como JenX. Sin embargo, se ha modificado para utilizar muchos menos nombres de dominio de lo habitual para conectarse a servidores de comando y control. Algunas muestras de malware también muestran vínculos con una variante separada de Mirai conocida como hailBot.

El código utilizado en los ataques de día cero observados por Akamail (incluidos insultos racistas ofensivos) es casi idéntico al utilizado en los ataques DDoS que una empresa de seguridad con sede en China observó contra un sitio web de noticias ruso en mayo. La siguiente imagen muestra una comparación lado a lado.

Las cargas útiles que explotan los días cero son:

alert tcp any any -> any any (msg:"InfectedSlurs 0day exploit #1 attempt"; content:"lang="; content:"useNTPServer="; content:"synccheck="; content:"timeserver="; content:"interval="; content:"enableNTPServer="; sid:1000006;)

y

alert tcp any any -> any any (msg:"InfectedSlurs 0day exploit #2 attempt"; content:"page_suc="; content:"system.general.datetime="; content:"ntp.general.hostname="; pcre:"ntp.general.hostname="; content:"ntp.general.dst="; content:"ntp.general.dst.adjust="; content:"system.general.timezone="; content:"system.general.tzname="; content:"ntp.general.enable="; sid:1000005;)

Las personas u organizaciones preocupadas por la posibilidad de que estén siendo atacadas por estos exploits pueden utilizar las reglas de Snort y los indicadores de compromiso publicados por Akamail para detectar y repeler ataques. Por el momento, no hay forma de identificar los dispositivos específicos que son vulnerables ni los fabricantes de esos dispositivos.

Arm advirtió el lunes sobre ataques activos en curso dirigidos a una vulnerabilidad en los controladores de dispositivos para su línea Mali de GPU, que se ejecutan en una gran cantidad de dispositivos, incluidos Google Pixels y otros teléfonos Android, Chromebooks y hardware que ejecuta Linux.

«Un usuario local sin privilegios puede realizar operaciones inadecuadas de procesamiento de memoria de GPU para obtener acceso a la memoria ya liberada», escribieron los funcionarios de Arm en un aviso. “Este problema se solucionó en Bifrost, Valhall y Arm 5th Gen GPU Architecture Kernel Driver r43p0. Hay pruebas de que esta vulnerabilidad puede estar bajo explotación limitada y selectiva. Se recomienda a los usuarios que actualicen si se ven afectados por este problema”.

El aviso continúa: “Un usuario local sin privilegios puede realizar operaciones de procesamiento de GPU inadecuadas para acceder a una cantidad limitada fuera de los límites del búfer o para explotar una condición de carrera del software. Si el usuario prepara cuidadosamente la memoria del sistema, esto a su vez podría darle acceso a la memoria ya liberada”.

Obtener acceso a la memoria del sistema que ya no está en uso es un mecanismo común para cargar código malicioso en una ubicación que un atacante luego puede ejecutar. Este código a menudo les permite explotar otras vulnerabilidades o instalar cargas útiles maliciosas para espiar al usuario del teléfono. Los atacantes suelen obtener acceso local a un dispositivo móvil engañando a los usuarios para que descarguen aplicaciones maliciosas de repositorios no oficiales. El aviso menciona que los controladores de las GPU afectadas son vulnerables, pero no menciona el microcódigo que se ejecuta dentro de los propios chips.

La plataforma más afectada por la vulnerabilidad es la línea de píxeles de Google, que es uno de los únicos modelos de Android que recibe actualizaciones de seguridad de manera oportuna. Google parchó Pixels en su actualización de septiembre contra la vulnerabilidad, que se rastrea como CVE-2023-4211. Google también ha parcheado los Chromebook que utilizan GPU vulnerables. Cualquier dispositivo que muestre un nivel de parche 2023-09-01 o posterior es inmune a ataques que aprovechen la vulnerabilidad. El controlador de dispositivo en los dispositivos parcheados se mostrará como versión r44p1 o r45p0.

CVE-2023-4211 está presente en una variedad de GPU Arm lanzadas durante la última década. Los chips Arm afectados son:

• Controlador del kernel de GPU Midgard: todas las versiones desde r12p0 – r32p0
• Controlador del kernel de GPU Bifrost: todas las versiones desde r0p0 – r42p0
• Controlador del kernel de GPU Valhall: todas las versiones desde r19p0 – r42p0
• Controlador del kernel de arquitectura de GPU Arm de quinta generación: todas las versiones desde r41p0 – r42p0

Los dispositivos que se cree que utilizan los chips afectados incluyen Google Pixel 7, Samsung S20 y S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find. X5 Pro y Reno 8 Pro y algunos teléfonos de Mediatek.

Arm también pone a disposición controladores para los chips afectados para dispositivos Linux.

Actualmente, se sabe poco sobre la vulnerabilidad, aparte de que Arm atribuyó el descubrimiento de las explotaciones activas a Maddie Stone, investigadora del equipo Proyecto Cero de Google. Project Zero rastrea vulnerabilidades en dispositivos ampliamente utilizados, particularmente cuando están sujetos a ataques de día cero o día n, que se refieren a aquellos que apuntan a vulnerabilidades para las cuales no hay parches disponibles o aquellas que han sido parcheadas recientemente.

El aviso de Arm del lunes reveló dos vulnerabilidades adicionales que también recibieron parches. CVE-2023-33200 y CVE-2023-34970 permiten que un usuario sin privilegios aproveche una condición de carrera para realizar operaciones incorrectas de GPU para acceder a la memoria ya liberada.

Las tres vulnerabilidades son explotables por un atacante con acceso local al dispositivo, lo que normalmente se logra engañando a los usuarios para que descarguen aplicaciones de repositorios no oficiales.

Actualmente se desconoce qué otras plataformas, si es que hay alguna, tienen parches disponibles. Hasta que se pueda rastrear esta información, las personas deben consultar con el fabricante de su dispositivo. Lamentablemente, muchos dispositivos Android vulnerables reciben parches meses o incluso años después de estar disponibles, en todo caso.