ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
Sergio De Los Santos Conti, el ransomware más rápido del Oeste: 32 hilos de CPU en paralelo pero… ¿para qué? Conti, el más rápido de los ransomware, es sólo un ejemplo de cómo está evolucionado esta amenaza. Te contamos qué trucos utiliza y por qué.
ElevenPaths Ciberseguridad para la digitalización industrial: claves para abordarla con éxito Descubre la oferta de ElevenPaths en Ciberseguridad Industrial y transfórmate digitalmente de manera segura.
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
Carlos Ávila Gestión de datos de laboratorios (LIMS) y sus aplicaciones móviles Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades...
ElevenPaths Seguridad y firma electrónica al alcance de cualquier empresa La colaboración entre ElevenPaths, Microsoft y Gradiant permite a las empresas disponer de una avanzada plataforma de firma electrónica y custodia de certificados digitales integrada con un servicio de...
ElevenPaths III Meetup Sinfonier: Ciberterrorismo No podíamos despedir el año sin tratar un tema tan interesante como es el terrorismo en la red. Pero, ¿realmente sabemos lo que significa? ¿cómo se mitiga? ¿Qué diferencias...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
ElevenPaths Ciberseguridad para la digitalización industrial: claves para abordarla con éxito Descubre la oferta de ElevenPaths en Ciberseguridad Industrial y transfórmate digitalmente de manera segura.
Área de Innovación y Laboratorio de ElevenPaths #CyberSecurityReport19H1: 45.000 apps eliminadas de Google Play, 2% de ellas detectadas por antivirus Existen muchos informes sobre tendencias y resúmenes de seguridad, pero en ElevenPaths queremos marcar una diferencia. En el equipo de Innovación y Laboratorio acabamos de lanzar nuestro propio informe...
Cómo funcionan las MongoDB InjectionElevenPaths 28 octubre, 2014 Las inyecciones SQL han sido tradicionalmente uno de los vectores de ataque más utilizados por los atacantes. De hecho, es una de las técnicas más eficaces para el robo y la alteración de información sensible. Sin embargo, no existe (aún) una marcada tendencia hacia la explotación de las llamadas bases de datos NoSQL, o sea, bases de datos no relacionales pensadas para el almacenamiento de grandes cantidades de información. De entre todas estas bases de datos NoSQL, quizá el representante más ilustre sea MongoDB. ¿Es inmune a las inyecciones? ¿Qué es MongoDB? El nombre MongoDB, viene del inglés “humongous” (inmenso). Es un sistema de base de datos no relacional de código abierto y orientado a documentos. MongoDB se basa en colecciones de documentos Json, lo que le otorga una gran flexibilidad en cuanto a la naturaleza de la información que almacena, puesto que puede haber documentos con diferente esquema dentro de una misma colección. De MongoDB destaca su gran velocidad y escalabilidad, porque puede manejar sin apenas esfuerzo volúmenes de datos del orden de gigabytes. En los últimos tiempos, su nómina de clientes ha crecido considerablemente; Foursquare, MTV, The New York Times, etc. ya lo utilizan. ¿Es MongoDB vulnerable a inyecciones? Al no tratarse de una base de datos SQL, podría parecer que MongoDB no es vulnerable a inyecciones maliciosas. Sin embargo, veremos que no es así. Se pueden realizar muchos tipos de inyecciones en MongoDB, aunque la viabilidad del ataque depende en gran medida del driver de Mongo utilizado. Por ejemplo, en PHP es posible realizar una inyección muy similar a la clásica inyección SQL, alterando la consulta de manera que devuelva todo el contenido de una colección. Imaginemos la típica consulta de credenciales que hay tras un login. En SQL, sería algo como lo que sigue: SELECT * FROM tUsers WHERE username = ‘username’ AND password = ‘password’ La consulta equivalente en MongoDB sería: $collection -> find(array( “username” => $_GET[‘username’], “password” => $_GET[‘password’] )); El problema es que PHP permite pasarle objetos al driver de MongoDB, sin que tengan que ser necesariamente strings. Explotando esta vulnerabilidad, podemos pasar un objeto que fuerce una condición “true” y provoque el volcado de la colección. Por ejemplo, enviando una petición como esta: login.php?username=administrador&password[$ne]=1 Obtendríamos una consulta interna de esta forma: $collection -> find(array( “username” => “administrador” “password” => array(“$ne” => 1) )); Esta consulta devuelve las credenciales de todos los usuarios cuyo nombre de usuario y contraseña sea distinto (“not equal”, $ne) de 1, condición que probablemente cumpla cualquier contraseña. La solución pasa por “tipar” los objetos que se le pasan al driver. El hecho de que muchos drivers de MongoDB admitan objetos no tipados supone una vulnerabilidad. ¿Cómo comprobar si se es vulnerable? Como no podía ser de otra manera, Faast incorpora entre su batería de plugins, uno capaz de detectar vulnerabilidades de este tipo. Sin embargo, como ya se ha mencionado, la presencia de esta vulnerabilidad depende enormemente del driver utilizado en el dominio bajo análisis. Existen multitud de drivers para MongoDB. El plugin de Faast está orientado a detectar inyecciones en MongoDB, aprovechando la capacidad del motor Mongo para ejecutar Javascript. Utiliza la técnica de time-based detection para determinar si la URL que recibe como parámetro es vulnerable, aprovechando a su vez el comando “sleep” de MongoDB, que bloquea todas las operaciones de la base de datos durante un determinado período de tiempo. Por ejemplo, tras recibir la URL, el plugin de Faast realiza dos peticiones independientes, concatenando las siguientes cadenas a la URL original. En la primera se ejecuta un sleep durante 10 segundos, en la segunda, no. ;if(tojson(this)[0] ==”{“)) {sleep(“10000”)}; ;if(tojson(this)[0] ==”{“)) {sleep(“0”)} Para determinar si es posible inyectar, se compara el tiempo de respuesta de ambas peticiones. Si la diferencia de tiempos es superior a un determinado umbral, se considera positivo y por tanto la URL es vulnerable. Para minimizar la influencia de tiempos de propagación, etc… y evitar falsos positivos, la prueba se repite un número determinado de veces. Será necesario que el resultado de los N intentos sea positivo para considerar la URL como vulnerable. El auge que están viviendo los motores de bases de datos no relacionales, hace que se conviertan en un objetivo prioritario para los atacantes. Aunque las inyecciones SQL siguen siendo frecuentes, ya no representan una novedad en el mundo del cibercrimen, y las recetas y buenas prácticas para evitarlas están muy estudiadas. Sin embargo, las bases de datos NoSQL suponen un territorio nuevo que explorar. Por eso Faast pretende adelantarse a los atacantes y facilitar que se tomen las medidas adecuadas para salvaguardar la integridad de los datos de los clientes. Cristóbal Bordiú cristobal.bordiu@11paths.com ¿Quién sale ganando con Selfmite.b?BANDS: Detección proactiva de amenazas en infraestructuras críticas
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 9-15 de enero Sunburst muestra coincidencias en su código con malware asociado a Rusia Investigadores de Kaspersky han encontrado que el malware Sunburst utilizado durante el ataque a la cadena de suministro SolarWinds,...
Carlos Ávila Gestión de datos de laboratorios (LIMS) y sus aplicaciones móviles Para los científicos e investigadores la optimización del tiempo en un laboratorio en la actualidad juega un papel fundamental para procesar y emitir resultados. Existen aplicaciones que tienen capacidades...
ElevenPaths ElevenPaths Radio #12 – Simulación de Adversarios / MITRE ATT&CK Con el incremento exponencial de los ciberataques que se ha producido en los últimos años, cada vez es más necesario conocer y tener las capacidades de simular a los...
Gonzalo Álvarez Marañón El cifrado plausiblemente negable o cómo revelar una clave sin revelarla Cuando la policía secreta detuvo a Andrea en el control del aeropuerto, ella pensó que era un mero trámite reservado a todos los ciudadanos extranjeros. Cuando registraron su equipaje...
ElevenPaths Noticias de Ciberseguridad: Boletín semanal 2-8 de enero Actualización sobre SolarWinds Para cerrar el año, Microsoft emitió una actualización de sus investigaciones sobre el impacto en sus sistemas del compromiso de SolarWinds. Recalcan en este comunicado que tanto...
Carlos Ávila Actualización de términos y condiciones de WhatsApp: ¿una jugada atrevida? Seguramente a estas alturas muchos ya han aceptado los nuevos términos y políticas de privacidad sin saber en realidad de qué se trataba o el impacto en la privacidad...
