Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1096
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
febrero
(Total:
20
)
- De nuevo, presuntos narcotraficantes libres porque...
- La Raspberry Pi 4 de 2 GB baja de precio a 35 dólares
- Kr00k: nueva vulnerabilidad en Wifi WPA2 permite d...
- Google indexaba grupos privados de WhatsApp, permi...
- Fallo seguridad en Decathlon España expone 123 mil...
- Microsoft prepara antivirus Windows Defender para ...
- Formulario Test sobre phishing, de Google
- Vulnerabilidad crítica en plugin ThemeGrill para W...
- Hasta 12 nuevas vulnerabilidades en Bluetooth: Swe...
- Si tu hijo usa Kali Linux, VirtualBox, Tor llama a...
- Crackear contraseñas Windows NTLM de 8 carácteres ...
- Por primera vez, MacOS recibe más ataques de malwa...
- Espionaje internacional de la CIA durante años uti...
- Hackearon cuenta oficial Facebook en Twitter
- BlueFrag: vulnerabilidad crítica en Bluetooth perm...
- Vulnerabilidades en bombillas inteligentes
- Vulnerabilidad en Teamviewer
- Apple pacta pagar una multa de 25 millones de euro...
- Grave vulnerabilidad WhatsApp Desktop (Web) permit...
- Transportando 99 teléfonos inteligentes en un carr...
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
307
)
Malware
(
266
)
Windows
(
246
)
android
(
244
)
cve
(
239
)
tutorial
(
238
)
manual
(
223
)
software
(
206
)
hardware
(
197
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
Hasta 12 nuevas vulnerabilidades en Bluetooth: SweynTooth
viernes, 21 de febrero de 2020
|
Publicado por
el-brujo
|
Editar entrada
Nuevas y graves vulnerabilidades para tecnología Bluetooth, que
no gana para disgustos. Si hace apenas unnos días se descubrió una
vulnerabilidad crítica en Android, bautizada como BlueFrag, que permitía el control total cualquier móvil reciente que tuviera Android 8 o 9, también se ha descubierto una vulnerabilidad
llamada SweynTooth que afecta a millones de dispositivos que usan Bluetooth. En concreto, las vulnerabilidades de SweynTooth afectan a 480 productos de diferentes fabricantes, incluyendo Samsung, Xiaomi o FitBit. Las vulnerabilidades exponen fallos en implementaciones
específicas del BLE SoC que permiten a un atacante en el rango de la
radio activar bloqueos, caídas y desbordamientos de buffer o evitar
completamente la seguridad dependiendo de las circunstancias.
Reportan una serie de vulnerabilidades de severidad crítica en Bluetooth que afecta a millones de dispositivos IoT en todo el mundo. Este conjunto de vulnerabilidades, bautizadas como SweynTooth, afectan a 480 productos de diferentes fabricantes, incluyendo Samsung, Xiaomi o FitBit.
Las vulnerabilidades, descubiertas por investigadores de la Universidad de Singapur, residen en la forma en la que los kits de desarrollo usados por los fabricantes de chips implementan la conectividad Bluetooth Low Energy (BLE). Entre los fabricantes de chips se encuentran Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics y Telink Semiconductor.
Según se informa, el fallo de seguridad, reside fundamentalmente en la forma en que los kits de desarrollo de software (SDK) utilizados por múltiples sistemas en un chip (SoC) han implementado la tecnología de comunicación inalámbrica Bluetooth Low Energy (BLE), del que se nutren aproximadamente 480 productos de diversos fabricantes, como Samsung, FitBit y Xiaomi.
Estas vulnerabilidades, descubiertas por investigadores de la Universidad de Singapur, permitirían que un ciberdelincuente que se encuentre físicamente próximo a estos dispositivos vulnerables puedan, apoyándose en este fallo de seguridad, bloquear los dispositivos o incluso saltarse los protocolos de seguridad.
Fuentes:
https://www.adslzone.net/2020/02/17/sweyntooth-12-vulnerabilidades-bluetooth/
https://www.its-security.es/12-vulnerabilidades-criticas-en-bluetooth-que-afectan-a-dispositivos-iot/
Bluetooth Low Energy (BLE)
Reportan una serie de vulnerabilidades de severidad crítica en Bluetooth que afecta a millones de dispositivos IoT en todo el mundo. Este conjunto de vulnerabilidades, bautizadas como SweynTooth, afectan a 480 productos de diferentes fabricantes, incluyendo Samsung, Xiaomi o FitBit.
Las vulnerabilidades, descubiertas por investigadores de la Universidad de Singapur, residen en la forma en la que los kits de desarrollo usados por los fabricantes de chips implementan la conectividad Bluetooth Low Energy (BLE). Entre los fabricantes de chips se encuentran Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics y Telink Semiconductor.
Según se informa, el fallo de seguridad, reside fundamentalmente en la forma en que los kits de desarrollo de software (SDK) utilizados por múltiples sistemas en un chip (SoC) han implementado la tecnología de comunicación inalámbrica Bluetooth Low Energy (BLE), del que se nutren aproximadamente 480 productos de diversos fabricantes, como Samsung, FitBit y Xiaomi.
Estas vulnerabilidades, descubiertas por investigadores de la Universidad de Singapur, permitirían que un ciberdelincuente que se encuentre físicamente próximo a estos dispositivos vulnerables puedan, apoyándose en este fallo de seguridad, bloquear los dispositivos o incluso saltarse los protocolos de seguridad.
Descripción breve de las 12 vulnerabilidades:
A continuación, una breve descripción sobre las 12 vulnerabilidades de SweynTooth:
- Desbordamiento de la longitud de la capa de enlace (CVE-2019-16336, CVE-2019-17519): permiten a los atacantes en el rango de radio activar un desbordamiento del búfer al manipular el campo de longitud LL, lo que conduce principalmente a ataques de denegación de servicio.
- Interbloqueo LLID de capa de enlace (CVE-2019-17061, CVE-2019-17060): activan el estado de interbloqueo cuando un dispositivo recibe un paquete con el campo LLID borrado.
- L2CAP truncado (CVE-2019-17517): esta falla se debe a la falta de verificaciones al procesar un paquete L2CAP, lo que provoca una denegación de servicio y un bloqueo del dispositivo.
- Desbordamiento de longitud silenciosa (CVE-2019-17518): se produce un desbordamiento del búfer cuando se envía una determinada carga útil de paquete con una longitud LL superior a la esperada, el periférico se bloquea.
- Solicitud de conexión no válida (CVE-2019-19195): cuando los dispositivos no manejan correctamente algunos parámetros de conexión mientras la central intenta una conexión al periférico, podrían conducir al estado de bloqueo.
- Accidente de clave pública inesperado (CVE-2019-17520): este error está presente en la implementación del procedimiento de emparejamiento heredado, que se maneja mediante la implementación del Protocolo de administrador seguro (SMP), y puede usarse para realizar DoS y posiblemente reiniciar productos.
- Bloqueo secuencial de ATT (CVE-2019-19192): esta falla permite a los atacantes bloquear el periférico enviando solo dos paquetes de solicitud ATT consecutivos en cada evento de conexión.
- Fragmento L2CAP no válido (CVE-2019-19195): el manejo inadecuado del tamaño de PDU de los paquetes puede conducir a un comportamiento de punto muerto.
- Desbordamiento del tamaño de la clave (CVE-2019-19196): este desbordamiento en el problema de memoria del dispositivo es una combinación de múltiples errores encontrados durante el procedimiento de emparejamiento de dispositivos, lo que resulta en un bloqueo.
- Instalación cero LTK (CVE-2019-19194): esta vulnerabilidad crítica es una variación de uno de los desbordamientos de tamaño de clave. Afecta a todos los productos que utilizan la implementación Telink SMP con soporte para conexión segura habilitada.
Fuentes:
https://www.adslzone.net/2020/02/17/sweyntooth-12-vulnerabilidades-bluetooth/
https://www.its-security.es/12-vulnerabilidades-criticas-en-bluetooth-que-afectan-a-dispositivos-iot/
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
bluetooth
,
SweynTooth
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.