{"id":6011,"date":"2015-08-24T14:22:18","date_gmt":"2015-08-24T20:22:18","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=6011"},"modified":"2019-11-22T03:05:11","modified_gmt":"2019-11-22T09:05:11","slug":"security-week-34","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/security-week-34\/6011\/","title":{"rendered":"Semana de la seguridad 34: No es tan f\u00e1cil parchar\u2026"},"content":{"rendered":"

Amigos, \u00e9sta ha sido una semana horrible para la industria de la seguridad inform\u00e1tica. Tras una entretenida semana de descubrimiento de bugs<\/a>, ataques de d\u00eda-cero y otras curiosidades de investigadores<\/a> codiciados, aqu\u00ed vienen las dolorosas consecuencias de ver todo esto infiltrado en software vulnerable. Esto es muy importante, pero a su vez es algo aburrido. Cada vez que nuestro blog de \u200b\u200bnoticias, Threatpost<\/a>, me provee de noticias frescas sobre la industria de la seguridad y aparecen los titulares de tres art\u00edculos sobre parches, se me ponen los pelos de punta. Este resumen es duro de digerir.<\/p>\n

Bueno, \u00a1este es un tema muy importante! No es f\u00e1cil encontrar una vulnerabilidad, pero es a\u00fan m\u00e1s dif\u00edcil parcharla sin destrozarlo todo. Puede haber miles de razones para no parchar un bug de forma inmediata, o en el pr\u00f3ximo trimestre, o en alg\u00fan momento. Sin embargo, este es un problema que hay que resolver.<\/p>\n

En los titulares de hoy aparecen tres noticias sobre bugs que desgraciadamente permanecen sin parchar. Una vez m\u00e1s, como cada semana, el equipo de Threatpost\u00a0 ha elegido personalmente tres de las noticias m\u00e1s importantes y yo voy a comentarlas. Puedes encontrar las ediciones anteriores aqu\u00ed<\/a>.<\/p>\n

<h3>Otro bug en Android, ahora en Google Admin<\/h3><\/p>\n

La noticia en Threatpost<\/a>. Investigaci\u00f3n de MWR<\/a>.<\/p>\n

<em>\u00bfQu\u00e9 se ha descubierto?<\/em><\/p>\n

\u00bfTe has dado cuenta de que estas \u201cfant\u00e1sticas\u201d noticias sobre bugs llegan en masa\u00a0 \u00faltimamente? \u00a1Por dios! \u00bfHan hackeado un coche<\/a>? \u00a1Vamos a buscar otras tantas brechas de seguridad en coches<\/a>! Podemos observar el mismo patr\u00f3n en las \u00faltimas noticias sobre Android. Primero sucedi\u00f3 lo de Stagefright, luego se descubrieron un par de peque\u00f1os bugs y ahora tenemos lo de Google Admin y Cadena Perpetua y la fuga de la sandbox.<\/p>\n

\"security-week-34-kid\"<\/a>Google Admin, una de las aplicaciones a nivel del sistema, puede aceptar enlaces URL de otras aplicaciones, y, al parecer, cualquier URL funciona, incluso aquellas que empiezan por \u201cfile:\/\/\u201d. Como resultado, algo tan com\u00fan en un entorno de trabajo como la descarga de p\u00e1ginas web, se desarrolla como una especie de administrador de archivos. \u00bfNo est\u00e1n todas las aplicaciones de Android aisladas entre s\u00ed? \u00a1Pues no! Google Admin goza de mayores privilegios, y enga\u00f1\u00e1ndola para que lea URL corruptas, una app puede escapar de la sandbox y acceder a los datos privados.<\/p>\n

<em>\u00bfC\u00f3mo se ha parcheado?<\/em><\/p>\n

En primer lugar, tengo que hablar sobre la forma en la que se divulg\u00f3 esta vulnerabilidad. Fue descubierta sobre el mes de marzo, con su correspondiente advertencia a Google. Cinco meses despu\u00e9s, los investigadores volvieron a analizar lo que ocurrido y vieron que el bug segu\u00eda sin ser parchado. Finalmente, el 13 de agosto se divulg\u00f3 p\u00fablicamente esta informaci\u00f3n, presionando a Google para que lanzara el parche.<\/p>\n

Por cierto, Google cuenta con un equipo interno de investigadores que dedican su tiempo y esfuerzo a buscar bugs en todas partes, no s\u00f3lo en su propio software. El Proyecto Cero<\/a> de Google permite un margen de 90 d\u00edas hasta hacer p\u00fablico un bug, aunque da qu\u00e9 pensar en si Google es capaz de parcharse con un margen de 90 d\u00edas.<\/p>\n

Pero con Google Admin, algo ha ido realmente mal: en primer lugar, algo en efecto no estaba bien; en segundo lugar, todos sabemos que parchando no se solucionan todas las vulnerabilidades en los dispositivos Android. Se habl\u00f3 de lanzar actualizaciones de seguridad mensuales<\/a>, pero\u2026 \u00bfY los seis meses que han estado trabajando en este parche? Oiga, oiga.<\/p>\n

\"security-week-34-kitten\"<\/a><\/p>\n

<h3>Vulnerabilidades abiertas en SCADA, de Schneider Electric<\/h3><\/p>\n

La noticia en Threatpost<\/a>, la advertencia de\u00a0 ICS-CERT<\/a>.<\/p>\n

\u00a1Bienvenidos al fascinante mundo de las infraestructuras cr\u00edticas! Por favor, si\u00e9ntese, p\u00f3ngase c\u00f3modo, no toque ese alarmante bot\u00f3n rojo y mant\u00e9ngase alejado de esos cables que sobresalen de esa cosa. S\u00ed, se supone que tienen que sobresalir, est\u00e1 bien, no pasa nada, han estado as\u00ed durante a\u00f1os. En cuanto lo toque, estamos perdidos.<\/p>\n

Los sistemas SCADA son una parte de las infraestructuras cr\u00edticas y se encargan de cosas importantes como los calentadores de tu edificio o incluso de las centrales nucleares. Estos sistemas no est\u00e1n preparados para ser manipulados o desconectados, ni para restablecer su configuraci\u00f3n. No juegues con ninguno de los par\u00e1metros, simplemente, \u00a1no toques nada!<\/p>\n

#Semana de la seguridad 34: nuevas #vulnerabilidades sin parchear en #Android, Mac #OSX, #SCADA de Schneider Electric y otros<\/p>Tweet<\/a><\/blockquote>\n

Si tienes preguntas, lo mejor es que leas nuestro art\u00edculo sobre este tema<\/a>, \u00a1no intentes hacerlo por tu cuenta!
\nA su vez, debemos admitir que, a pesar de que esos sistemas son muy cr\u00edticos, se implementan con mucha frecuencia en ordenadores dom\u00e9sticos con versiones de Windows bastante anticuadas. A diferencia de las t\u00edpicas empresas, que actualizan o reemplazan su hardware y software al menos una vez cada cinco a\u00f1os aproximadamente, un robot para instalaciones industriales o un centrifugador que sirva para mantener alejados los productos qu\u00edmicos mortales, podr\u00eda operar con el mismo hardware las 24 horas del d\u00eda, 7 d\u00edas a la semana, durante d\u00e9cadas.<\/p>\n

\u00bfQu\u00e9 se ha descubierto?<\/em><\/p>\n

Se han encontrado una gran cantidad de bugs en el sistema Modicon M340<\/a> de Schneider Electric\u2019s PLC Station P34 CPU (\u00a1ah, qu\u00e9 rom\u00e1ntico!). En pocas palabras, esta serie de vulnerabilidades permitir\u00eda a una persona externa tener el control de\u2026 bueno, b\u00e1sicamente, cualquier cosa que el sistema controle. Aqu\u00ed se encontr\u00f3 un error muy corriente (y que se encuentran con frecuencia en una serie de routers y otras cosas relacionadas con el Internet de las Cosas) al que llamamos \u201ccredenciales de fuerte cifrado\u201d.<\/p>\n

\n

Risky Schneider Electric SCADA Vulnerabilities Remain Unpatched https:\/\/t.co\/2oGDTbr7qE<\/a> via @threatpost<\/a> pic.twitter.com\/eyPAY6Aikn<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) August 17, 2015<\/a><\/p><\/blockquote>\n