Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
marzo
(Total:
39
)
-
Vulnerabilidad crítica en IIS 6.0: Más de 8,3 mill...
-
Telegram incorpora llamadas de voz y 2 minutos par...
-
Lavavajillas para hospitales incluye grave fallo d...
-
Fin de vida: se acabó el ciclo de soporte a Window...
-
Extensión de Metasploit: RFTransceiver permite tes...
-
Herramientas Hacking de la CIA para los Mac e iPhone
-
Descubierto grave fallo en LastPass que permite ro...
-
Extorsionan a Apple: piden dinero a cambio de no b...
-
Granjeros americanos utilizan firmware alternativo...
-
Intel presenta SSD Optane, tan rápido que se puede...
-
Vulnerabilidad crítica para 300 modelos de disposi...
-
Mozilla corrige una vulnerabilidad de Firefox 22 h...
-
MOSH, SSH estable, rápido y basado en UDP
-
USB Kill versión 3.0 con más poder de destrucción ...
-
Pwn2Own 2017: Caen Windows, Ubuntu, Edge, Safari, ...
-
18 mil dólares de premio por encontrar grave fallo...
-
EE.UU. acusa a dos oficiales de la Inteligencia ru...
-
El creador del ransomware CryptoLocker, Bogachev: ...
-
Un padre inocente arrestado por pedofilia por una ...
-
Es posible hackear teléfonos mediante ondas sonoras
-
Empresa consoladores que espían usuarios multada a...
-
Protege tus puertos USB de pendrives roba datos
-
Google presenta los nuevos reCAPTCHA invisibles pa...
-
Recompensa de 5 mil $ por encontrar fallo en app d...
-
Cómo proteger correctamente la seguridad de WordPress
-
Cerca de 200 mil cámaras Wifi chinas vulnerables e...
-
Actualizada la distibución Parrot Security OS vers...
-
Disponibles Tails 2.11 y Tor Browser 6.5.1
-
Disponible actualización de seguridad para WordPress
-
WikiLeaks revela las herramientas hacking de la CIA
-
Alertan de varios fallos de seguridad en los NAS d...
-
Nueva campaña Ransomware CryptoLocker con extensió...
-
Dridex, el troyano bancario más complejo y temido
-
Ataque de las alertas y el script Zombie en Intern...
-
Un comando mal escrito, el motivo de la caída de A...
-
Grave fallo de Inyección SQL en plugin de WordPres...
-
NVIDIA anuncia la GEFORCE GTX 1080 TI
-
Hackathon de ciberseguridad 4YFN-Mobile World Cong...
-
Yahoo! desvela otro hackeo, y ya es el tercero
-
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de... -
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Lavavajillas para hospitales incluye grave fallo de seguridad
Un aparato muy parecido a un lavaplatos, pero que se utiliza en hospitales para desinfectar y esterilizar utensilios médicos, lleva un servidor web de serie que contiene una grave vulnerabilidad que puede ser explotada remotamente. El fallo, muy viejo y documentado es la técnica conocida como "Web Server Directory Traversal", conocido como "ataque de desplazamiento de directorios" permite navegar por el contenido interno del sistema de ficheros mediante el uso de ../ lo que podría permitir a los atacantes acceder a datos confidenciales.
Mientras que el número de dispositivos de IoT continúa aumentando exponencialmente, el nivel de seguridad de estos objetos inteligentes no es a menudo un extremo adecuado que expone a los usuarios a riesgo de ataques cibernéticos.
Un lavaplatos-desinfectante médico conectado a Internet, concretamente el modelo Miele Professional PG 8528, se ve afectado por un error de seguridad en su servidor Web llamado "Directory Traversal".
La noticia de lo dicho es una vulnerabilidad de seguridad reportada en Full Disclosure que afecta al dispositivo de lavado-desinfección conectado a Internet fabricado por el proveedor Miele, con sede en Alemania.
Aspecto de la Termodesinfectoras PG 8527 y PG 8528 de la marca alemana Miele. Lavadoras termodesinfectadoras
De acuerdo con el aviso de seguridad, el dispositivo Miele Professional PG 8528 se ve afectado por una vulnerabilidad de Traversal de directorio de servidor web con el CVE asignado de: CVE-2017-7240. El fallo podría ser explotado por un atacante no autenticado para acceder a cualquier directorio del servidor web.
Características Técnicas
Documentación de proceso / Interfaces
4 interfaces RS 232 con RJ 45-enchufe, 1 interfaz RS 232 con un 9-polar SUB-D-enchufe, 1 red Ethernet interfaz con RJ 45-enchufe para la conexión a software de documentación de procesos
"El servidor Web incorporado correspondiente" PST10 WebServer "normalmente escucha el puerto 80 y es propenso a un ataque de cruce de directorios, por lo tanto un atacante no autenticado puede ser capaz de explotar este problema para acceder a información confidencial para ayudar en ataques posteriores.
El fallo podría permitir a los atacantes acceder a datos confidenciales en el servidor, eliminar y ejecutar código malicioso en el servidor web.
El agujero de seguridad fue descubierto por el experto Jens Regel en la consultora alemana Schneider & Wulf, quien informó sobre el problema a Mele en diciembre de 2016. Desafortunadamente, no recibió ninguna respuesta de la compañía, así que después de cuatro meses decidió revelarla públicamente.
Regel también publicó un código de explotación de prueba de concepto (PoC) para esta falla, por esta razón, es importante que el proveedor solucione el problema lo antes posible.
A la espera de un parche, quizás lo mejor sería desconectar la lavadora-desinfectadora de Internet.
¿Quieres hackear la lavadora-desinfectadora Miele?
Es simple, el código PoC explotar que es utilizado por el experto para solicitar cualquier archivo en el sistema de archivos.
Prueba de Concepto (PoC)
Los ataques de desplazamiento de directorios permiten a los delincuentes acceder a directorios y datos que realmente no deberían ser capaces de alcanzar, como archivos de configuración sensibles y cosas similares.
En otras palabras, puede utilizar esta vulnerabilidad transversal para obtener un punto de apoyo para potencialmente secuestrar la máquina e infectarla con malware. No está claro qué bibliotecas o componentes de software Miele utilizó para crear el servidor web en el firmware del lavavajillas. La PG 8528, que cuenta con funciones de "servicio remoto" y está diseñada para restaurantes y bares, parece estar ejecutando una forma de Linux incorporado. Sin una solución del proveedor - para un lavavajillas profesional - la mejor opción es asegurarse de que el dispositivo no está expuesto directamente a Internet, o de otro modo cortafuegos fuera de otros dispositivos.
El fabricante no ha respondido a las advertencias de seguridad y por eso han decidido hacer público el agujero de seguridad
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7240
http://seclists.org/fulldisclosure/2017/Mar/63
https://www.miele.co.uk/professional/large-capacity-washer-disinfectors-560.htm?mat=10339600&name=PG_8528
- El Miele Professional PG 8528 es un equipo médico utilizado para desinfectar instrumentos de laboratorio y quirúrgicos. Su nombre técnico es una "lavadora" Termodesinfectora.
Mientras que el número de dispositivos de IoT continúa aumentando exponencialmente, el nivel de seguridad de estos objetos inteligentes no es a menudo un extremo adecuado que expone a los usuarios a riesgo de ataques cibernéticos.
Un lavaplatos-desinfectante médico conectado a Internet, concretamente el modelo Miele Professional PG 8528, se ve afectado por un error de seguridad en su servidor Web llamado "Directory Traversal".
La noticia de lo dicho es una vulnerabilidad de seguridad reportada en Full Disclosure que afecta al dispositivo de lavado-desinfección conectado a Internet fabricado por el proveedor Miele, con sede en Alemania.
Aspecto de la Termodesinfectoras PG 8527 y PG 8528 de la marca alemana Miele. Lavadoras termodesinfectadoras
De acuerdo con el aviso de seguridad, el dispositivo Miele Professional PG 8528 se ve afectado por una vulnerabilidad de Traversal de directorio de servidor web con el CVE asignado de: CVE-2017-7240. El fallo podría ser explotado por un atacante no autenticado para acceder a cualquier directorio del servidor web.
Miele Professional marca desde hace décadas la pauta con innovadoras soluciones para la preparación mecánica eficaz y segura del instrumental en clínicas y consultorios médicos. Ahora, Miele presenta un estándar absolutamente nuevo con la generación de máquinas PG 85. Las nuevas termodesinfectoras PG 8527 y PG 8528 para la Central de Esterilización y los servicios descentralizados para la preparación de instrumentos a gran escala ofrecen un perfecto valor añadido
Características Técnicas
Documentación de proceso / Interfaces
4 interfaces RS 232 con RJ 45-enchufe, 1 interfaz RS 232 con un 9-polar SUB-D-enchufe, 1 red Ethernet interfaz con RJ 45-enchufe para la conexión a software de documentación de procesos
- Técnica de limpieza
- Higiene - Sistema de lavado de agua dulce con una renovación de agua tras cada fase de lavado
- Limpieza, desinfección y secado en un sistema cerrado
- Limpieza exterior intensiva del instrumental mediante 2 brazos
- aspersores
- Limpieza de cuerpos huecos mediante sistema de inyección
"El servidor Web incorporado correspondiente" PST10 WebServer "normalmente escucha el puerto 80 y es propenso a un ataque de cruce de directorios, por lo tanto un atacante no autenticado puede ser capaz de explotar este problema para acceder a información confidencial para ayudar en ataques posteriores.
El fallo podría permitir a los atacantes acceder a datos confidenciales en el servidor, eliminar y ejecutar código malicioso en el servidor web.
El agujero de seguridad fue descubierto por el experto Jens Regel en la consultora alemana Schneider & Wulf, quien informó sobre el problema a Mele en diciembre de 2016. Desafortunadamente, no recibió ninguna respuesta de la compañía, así que después de cuatro meses decidió revelarla públicamente.
Regel también publicó un código de explotación de prueba de concepto (PoC) para esta falla, por esta razón, es importante que el proveedor solucione el problema lo antes posible.
A la espera de un parche, quizás lo mejor sería desconectar la lavadora-desinfectadora de Internet.
¿Quieres hackear la lavadora-desinfectadora Miele?
Es simple, el código PoC explotar que es utilizado por el experto para solicitar cualquier archivo en el sistema de archivos.
Proof of Concept: ================= ~$ telnet 192.168.0.1 80 Trying 192.168.0.1... Connected to 192.168.0.1. Escape character ist '^]'. GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 HTTP/1.1 200 OK Date: Wed, 16 Nov 2016 11:58:50 GMT Server: PST10 WebServer Content-Type: application/octet-stream Last-Modified: Fri, 22 Feb 2013 10:04:40 GMT Content-disposition: attachment; filename="./etc/shadow" Accept-Ranges: bytes Content-Length: 52 root:$1$$Md0i[...snip...]Z001:10933:0:99999:7:::
Los ataques de desplazamiento de directorios permiten a los delincuentes acceder a directorios y datos que realmente no deberían ser capaces de alcanzar, como archivos de configuración sensibles y cosas similares.
En otras palabras, puede utilizar esta vulnerabilidad transversal para obtener un punto de apoyo para potencialmente secuestrar la máquina e infectarla con malware. No está claro qué bibliotecas o componentes de software Miele utilizó para crear el servidor web en el firmware del lavavajillas. La PG 8528, que cuenta con funciones de "servicio remoto" y está diseñada para restaurantes y bares, parece estar ejecutando una forma de Linux incorporado. Sin una solución del proveedor - para un lavavajillas profesional - la mejor opción es asegurarse de que el dispositivo no está expuesto directamente a Internet, o de otro modo cortafuegos fuera de otros dispositivos.
El fabricante no ha respondido a las advertencias de seguridad y por eso han decidido hacer público el agujero de seguridad
Referencias:Timeline: ========= 2016-11-16 Vulnerability discovered 2016-11-10 Asked for security contact 2016-11-21 Contact with Miele product representative 2016-12-03 Send details to the Miele product representative 2017-01-19 Asked for update, no response 2017-02-03 Asked for update, no response 2017-03-23 Public disclosure
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7240
http://seclists.org/fulldisclosure/2017/Mar/63
https://www.miele.co.uk/professional/large-capacity-washer-disinfectors-560.htm?mat=10339600&name=PG_8528
Etiquetas:
cve
,
hospital
,
internet de las cosas
,
internet of things
,
iot
,
lavaplatos
,
lavavajilla
,
miele
,
vulnerabilidad
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.