También conocido como CRLF Injection Attack, HTTP response splitting es técnica en la que un atacante se vale de la inyección de retornos de carro y de línea para alterar una respuesta HTTP y separarla en dos (de ahí su nombre). De esta forma puede incluir cualquier contenido en la segunda petición y poner en riesgo la seguridad y privacidad de los usuarios que visitan la web, así como pudiendo alterar la página. Típicamente, permite inyectar JavaScript.

Funcionamiento de un HTTP response splitting

El navegador inicia una petición (sea GET, POST o cualquiera de los otros verbos que usa HTTP) que se envía al servidor web. Este a su vez responde con un código de estado (2XX para éxito, 3XX para redirección, 4XX para error etc…) y el contenido de la respuesta, que habitualmente incluye el HTML de una web que será interpretada por el navegador del cliente.

Las diferentes líneas de una petición GET, por ejemplo, se separan por un retorno de carro y otro de línea (%0d... Continuar leyendo

Probablemente existan un millón de cosas equivocadas que puedan hacer los clientes de SAP cuando se trata de la seguridad. He recolectado los errores más críticos que mi equipo ha observado en proyectos de pruebas de penetración SAP en los últimos 10 años.

Aquí está la lista definitiva de los peores pecados:

1. El usuario por defecto SAP* activo

En el momento que un usuario malicioso consigue conexión de red con el mecanismo de login de su sistema SAP (por ej. SAP GUI, BSP, Web Dynpro, RFC) podrá ingresar con el usuario y contraseñas por defecto SAP* y PASS, conseguir privilegios SAP_ALL y tener completo control del sistema SAP.

2. Gateway inseguro

Cualquier usuario malicioso con conexión a la red de su sistema SAP puede ejecutar comandos en el sistema operativo del servidor del sistema SAP. Esto le permite a los atacantes sabotear el servidor, instalar malware o seguir penetrando en su entorno SAP.

3. Parches críticos no aplicados

Los... Continuar leyendo

Hace unos días una de nuestras usuarias creó un ticket con un correo que le parecía malicioso (una muestra más de que la concienciación en seguridad cuesta de realizar, pero que a largo plazo termina rindiendo beneficios).

La usuaria nos mandó un fichero con extensión .msg (el resultado de "Guardar Como..." en Outlook). Para abrirlo en Ubuntu lo más sencillo es emplear el script en Perl msgconvert.pl, que nos lo convierte a MIME (un formato mucho más estándar y manejable).
Además, el correo trae adjunto denominado "Invoice_4605916.pdf".

Suena raro, ¿verdad?. Pues vamos a extraer ese PDF del fichero en formato MIME para ver qué pinta tiene. Si repasamos un poco el estándar MIME recordaremos que el formato de codificación es base64, así que es tan sencillo como copiar el texto entero desde el principio hasta el final del adjunto (no olvidéis los símbolos "=" si los hubiera, que son el padding de base64) , pegarlo a un fichero de texto, y desde una línea de comandos... Continuar leyendo

Nuevo proyecto del equipo de la distribución de seguridad Kali Linux, en la que ha creado un spinoff para dispositivos móviles y tablets Nexus, llamado NetHunter.
NetHunter nace como plataforma para realizar tests de intrusión desde dispositivos Android (más concretamente, dispositivos Nexus), en la que se incluyen, además de las herramientas típicas de Kali Linux, un conjunto más de aplicaciones con propósitos concretos (ataques por BadUSB, generación de puntos de acceso rogue, inyección de paquetes 802.11 por USB, etc). Además, es posible acceder a la pantalla del dispositivo a través de una conexión VNC desde cualquier ordenador.

Los dispositivos soportados son los siguientes:

• Nexus 5 (GSM/LTE) - "hammerhead"
• Nexus 7 [2012] (Wi-Fi) - "nakasi"
• Nexus 7 [2012] (Mobile) - "nakasig"
• Nexus 7 [2013] (Wi-Fi) - "razor"
• Nexus 7 [2013] (Mobile) - "razorg"
• Nexus 10 - "mantaray"

Los creadores del... Continuar leyendo

El objetivo de Viper es proporcionar una solución para organizar fácilmente una colección de malware y explotar las muestras, para facilitar su investigación diaria. Es similar a un Metasploit para los investigadores de malware, proporciona una interfaz de terminal que se puede utilizar para: almacenar, buscar y analizar archivos, con un entorno para crear plugins fácilmente de cualquier tipo.

Viper permite crear y operar en una colección de archivos de muestras de malware. Una colección representa un proyecto. Se puede crear tantos proyectos como se desee y cambiar fácilmente de uno a otro. Cada proyecto tiene sus propios repositorios locales de los archivos binarios, una base de datos SQLite que contiene los metadatos y un archivo histórico que contiene todos los comandos que se proporcionan a través de la Shell de Viper. De esta manera se  pueden crear diferentes entornos de trabajo para cada campaña de malware, familia de malware o el entorno... Continuar leyendo

El protocolo SSL (y su sucesor, TLS), es el principal encargado de que las comunicaciones en Internet sean seguras, proporcionando múltiples opciones de cifrado y autenticación. El cifrado es obligatorio, mientras que la autenticación no, aunque normalmente se autentica al menos el servidor, para evitar ataques de tipo Man-in-the-Middle. Obviamente, es un protocolo imprescindible en cuanto la información transmitida es mínimamente sensible.

No obstante, también complica el análisis de las comunicaciones por parte de los responsables de seguridad, ya que no es posible hacer un filtrado basado en el contenido del tráfico, al estar cifrado. De hecho, no es raro encapsular tráfico dentro de SSL para evadir el control de proxies o firewalls. Este análisis puede también ser necesario para análisis de incidentes, o para conocer en detalle qué información estamos mandando a webs o aplicaciones que utilizan este protocolo.
En esta entrada veremos dos alternativas distintas... Continuar leyendo

En esta demostración se utilice la capacidad que ofrece metasploit de utilizar un equipo ya comprometido para usarlo como punto de entrada y/o ataque a otros elementos de la red a la que pertenece, es decir, utilizarlo de "pivote" para redireccionar el tráfico y atacar otros puntos de la red interna de una empresa.

Escenario

Para que os podáis poner en situación os explicaré brevemente el contexto en el que se realizo el taller, para ello que mejor que una imagen para ilustrar el escenario.


Para el taller, existen 4 máquinas virtuales:

• ATACANTE: Un maquina virtual con BT5 instalada y actualizada. Especialmente con metasploit configurado.
• USR_A: Un equipo WindowsXP SP3, con Java 6 update 13 instalado (sin actualizar por supuesto), y para facilitar la demostración sin antivirus instalado.
• USR_ADMIN: Un equipo Windows XP SP3, sin antivirus y configurado con carpetas de red compartidas con el equipo USR_A.
• ROUTER / FIREWALL: En esta... Continuar leyendo

Luego de unos cuantos años, por requerimientos de mi trabajo, tuve que retomar un viejo proyecto CheckListLinux, el cual tiene como objetivo verificar el hardening de un servidor RedHat o alguno de sus derivados comparando su configuración con mejores prácticas de seguridad.

Cabe aclarar que debía cumplir con ciertas pautas ya establecidas. Por este motivo no utilice "Lynis" para la tarea.
El proyecto está desarrollado en PERL y cuenta con 41 scripts que pertenecen a las fases que son ejecutadas durante el análisis.

Las fases se dividen de la siguiente forma:

• Fase 0.0 -- Información del Equipo
• Fase 1.0 -- Información de los usuarios del sistema
• Fase 1.1 -- Comprobación de Usuarios/Grupos
• Fase 1.2 -- Verificar que no existan cuentas con password vacías
• Fase 1.3 -- Verificar que no existan usuarios con ID 0
• Fase 1.4 -- Verificación del archivo login.defs
• Fase 1.5 -- Últimos usuarios... Continuar leyendo

Por Fausto Cepeda González (@FaustoCepeda)

No me dedico a hacer pentest. Llegué a realizar algunos hace varios años y fueron internos, con alcances limitados. Tengo la certificación CEH pero no me pareció la gran cosa ni me creo hacker ni pentester por haberlo cursado exitosamente. También coordiné y contraté tres servicios de pentest, uno de ellos de muy alto nivel con hackers (en el buen sentido de la palabra, es decir, gente motivada a dominar la tecnología y con conocimientos muy profundos de TI).

Por lo tanto me siento con las credenciales suficientes para poder identificar tanto un buen ejercicio de pentest como un reporte con calidad de los hallazgos. En este artículo voy a abordar el segundo punto: el reporte.
La idea de este artículo me la dio la revisión de un reporte de un pentest. Al irlo leyendo me surgieron... Continuar leyendo

Últimamente, y con cierta periodicidad, leemos en El Mundo artículos relacionados con Seguridad Informática y Hacking, de la mano de Mercè Molist, reconocida periodista focalizada en el sector desde hace muchos años, con iniciativas tan interesantes como la recopilación de la Historia del Hacking y sus protagonistas en el proyecto Hackstory.

La última de las entregas que he podido leer, y que ha generado gran controversia en listas de correo como RooteCon y NoConName, tiene que ver con una entrevista realizada a tres profesionales del derecho en “¿Es Delito el Hacking Ético? (II)”

El artículo, que habla por sí mismo, presenta tres visiones diferentes ante cómo enfocar el mismo problema, con más dureza en el caso de Ángel Vallejo, que considera que: “Quien quiera que le hagan un "pentest" (de "penetration testing", auditoría de seguridad) ya lo pedirá” e instando a que nadie meta la nariz donde no le llama, aunque se descubra la vulnerabilidad por... Continuar leyendo