Solo un caracter unicode puede bloquear su iPhone y bloquear el acceso a la aplicación de mensajería en iOS, así como aplicaciones populares como WhatsApp, Facebook Messenger, Outlook para iOS y Gmail.
Descubierto por primera vez por el blog italiano Mobile World, un error nuevo que no sólo afecta a los iPhones, sino también a una amplia gama de dispositivos Apple, incluidos los iPads, los Macs e incluso el WatchOS que ejecutan las últimas versiones de su sistema operativo.
Al igual que el error anterior de «bomba de texto», cualquier usuario puede explotar el nuevo defecto, lo que requiere es que los usuarios envíen solo un carácter de Telugu, un idioma nativo de la India que hablan unos 70 millones de personas en el país.
Una vez que el destinatario recibe un mensaje simple que contiene el símbolo o tipea ese símbolo en el editor de texto, dicho caracter inmediatamente provoca fallas en los iPhones, iPads, Macs, Apple Watches y hasta Apple TV con iOS Springboard de Apple.
Las aplicaciones que reciben la bomba de texto intentan cargar el caracter, pero fallan y se niegan a funcionar correctamente hasta que se elimine dicho caracter de texto, lo que generalmente se puede hacer eliminando toda la conversación.
La forma más fácil de eliminar el mensaje que causa el bloqueo del dispositivo es pedirle a otra persona que le envíe un mensaje a la aplicación que se está bloqueando debido a la bomba de texto. Esto le permitiría saltar directamente a la notificación y eliminar todo el hilo que contiene el caracter.
El caracter puede bloquear aplicaciones de terceros como iMessage, Slack, Facebook Messenger, WhatsApp, Gmail y Outlook para iOS, así como Safari y Messages para las versiones de macOS.
Los usuarios de Telegram y Skype parecen no verse afectados por el bug de la bomba de texto.
Apple se enteró del error de la bomba de texto hace al menos tres días, y la compañía planea abordar el problema en una próxima actualización de iOS.
Dado que muchas aplicaciones se ven afectadas por la nueva bomba de texto, personas con malas intenciones pueden usar el error para dirigirse a los usuarios de Apple a través de correo electrónico o mensajería y bloquear dispositivos. También se podría crear un caos masivo si alguien envia spam con el caracter problemático.
Después de haber sido rechazado por las operadoras móviles norteamericanas AT&T y Verizon, el esfuerzo de Huawei para vender teléfonos en los Estados Unidos no ha sido fácil. Seis altos jefes de inteligencia de Estados Unidos, incluidos los jefes del FBI, la CIA y la NSA, dijeron a los estadounidenses que no recomendian comprar productos o servicios del fabricante chino, según informó CNBC. Por ejemoplo el director del FBI, Chris Wray, ante el Comité de Inteligencia del Senado hizo la siguiente declaración: «Estamos profundamente preocupados por los riesgos de permitir que cualquier compañía o entidad que esté bajo el control de gobiernos extranjeros … obtenga posiciones de poder dentro de nuestras redes de telecomunicaciones«.
Recordemos que el año pasado, Huawei creía tener un acuerdo cerrado con la operadora de telefonía móvil AT&T, el cual fue suspendido, que según fuentes confiables se debido a la presión del Congreso de los EE.UU. Durante el CES de este año en su conferencia, el CEO de Huawei, Richard Yu, expresó su frustración al señalar que el 90 por ciento de los dispositivos se venden en los Estados Unidos a través de operadores móviles y ellos no podían vender a través de este canal. Sin embargo, la compañía está vendiendo una versión desbloqueada de su buque insignia Mate 10 Pro a través de Amazon, Best Buy y otros minoristas.
El gobierno de los EE. UU. ha intentado bloquear a Huawei de cualquier contrato con el gobierno de EE. UU. Y también ha aconsejado a los operadores privados y a los ISP que no utilicen sus equipos de telecomunicaciones. Ahora, todas las principales agencias de inteligencia recomiendan a los ciudadanos de los EE.UU. que eviten comprar smartphones del fabricante chino. Wray ha declarado que estos equipos «Proporciona la capacidad de modificar o robar información maliciosamente …Y proporciona la capacidad de realizar espionaje sigilosamente«.
Huawei es consciente de una gama de actividades del gobierno estadounidense aparentemente destinadas a inhibir el negocio de Huawei en el mercado estadounidense. Huawei cuenta con la confianza de gobiernos y clientes en 170 países en todo el mundo y no presenta mayor riesgo de ciberseguridad que cualquier otro proveedor de TIC. cadena de suministro y capacidades de producción,
La compañía nunca ha negado sus lazos con el gobierno chino, particularmente porque su fundador era un ingeniero superior en el Ejército de Liberación de China. Además de también haber sido demandado por T-Mobile en 2014 por supuestamente robar tecnología de pruebas-telefónicas.
Aunque pareciera que es todo un ataque injustificado, lo cierto es que hay muchos otros fabricantes chinos como Lenovo que venden sus productos a través de los proveedores de servicios móviles en los Estados Unidos sin tener este tipo de acusaciones por parte de las agencias de seguridad gubernamentales.
Samsung ha presentado un nuevo procesador octa-core Exynos 7885 para su Series7 de gama alta con dos núcleos Cortex A73 y seis núcleos Cortex A53 y una GPU Mali-G71 MP2.
El nuevo procesador también es compatible con pantallas Full HD+ 18:9, soporta LTE Cat 12 soportando velocidades de descarga de hasta 600 Mbps y velocidades de subida de hasta 150 Mbps, cámara dual, decodificación/codificación de video 4K a 30 fps y viene con una interfaz de memoria LPDDR4x.
De acuerdo a la especificación oficial ofrecida por Samsung, el nuevo chip tiene estas características:
CPU: dos núcleos Cortex-A73 de hasta 2.2 GHz y seis núcleos Corteza A53 de hasta 1.6GHz
GPU: ARM Mali-G71 MP2
Interfase de Memoria: LPDDR4x
Interfase de Almacenamiento: eMMC 5.1 y SD 3.0
Pantalla: WUXGA (1920×1200) y Full HD + (2220×1080)
Video: Codificación y decodificación 4K 30 fps con HEVC (H.265), H.264, VP8, y decodificación con VP9
Proceso de Fabriación: FinFET de 14nm
Se dice que el Exynos 7885 ofrece hasta un 85% más de rendimiento de un solo núcleo en comparación con su predecesor, el Exynos 7880, basado en núcleos Cortex A53 de hasta 1.9 GHz.
El nuevo procesador se puede encontrar en el teléfono inteligente como el Galaxy A8/A8+ (2018).
Para algunos proyectos que requieren la estmación del movimiento del cuerto humano, es posible que ni siquiera se necesite una cámara de profundidad como la disponible en el Kinect. Así que si se toma una cámara web y la librería Tensorflow, es posible usar la Inteligencia Artificial de Google para crear un seguimiento de esqueleto, con lo cual se puede crear un sistema que emula muchas de las funcionalidades del ahora descontinuado Microsoft Kinect, este proyecto de software libre se conoce como VNect.
La pérdida del Microsoft Kinect es un golpe para cualquiera que quiera experimentar con la visión 3D, pero AI (Inteligencia Artificial) avanza muy rápido. Hay una serie de soluciones de seguimiento del movimiento corporal que solo usan entrada de video, pero ahora es bastante fácil crear el tuyo propio usando un proyecto de red neuronal basado en Tensorflow recientemente anunciado llamado VNect.
Cuando se toma en consideración la cantidad de trabajo que el algoritmo original de esqueletización de Kinect tomó para ser creardo, este proyecto de software libre es un claro signo de los tiempos en que nos encontramos. El algoritmo original de Kinect no se basaba en una red neuronal sino en otra técnica de aprendizaje automático llamada bosque de árboles, básicamente árboles de decisión múltiple. Por supuesto, el algoritmo orignal también trabajó con datos mucho más limpios ya que se usaba la señal RGB de una cámada de video más la de profundidad que usaba infrarojo. Parece que una red neuronal puede hacer el trabajo mucho mejor y con sólo usar una cámara de video RGB (webcam).
VNect fue presentado en el SIGRAPH del año pasado (2017) por un equipo del Instituto Max Planck de Alemania; la Universidad de Saarland de Alemania y la Universidad Rey Juan Carlos de España.
Puedes ver este sistema en funcionamiento y conocer su diseño en el siguiente video:
El equipo de desarrollo ha mejorado recientemente VNect y ha producido algunos videos adicionales en tiempo real:
El modelo de red neuronal completo está disponible para descargar y construir tu propio sistema de seguimiento del cuerpo humano. Si no deseas hacer la reimplementación de la red neuronal, puede utilizar el código no oficial de Tim Ho para TensorFlow, que está disponible en GitHub. Esto hace que sea más o menos posible convertir cualquier cámara web de bajo costo en el equivalente del Kinect en el modo de seguimiento de esqueleto.
Y para demostrar que es posible, dos programadores, Fleisher y Dror Ayalon, han unido el VNect con Unity para divertirse:
Si desea una solución completa en C ++, en la lugar de la implementación en Python de Tim Ho, entonces echale un vistazo al Openpose de CMU. Este es un sistema en tiempo real, con múltiples personas, que detecta los puntos clave del cuerpo, la mano y el rostro. No hace el mismo trabajo que la solución de la red neuronal, ya que solo da coordenadas (x, y) de los puntos clave en la imagen y no las coordenadas (x, y, z) en el espacio real.
Ambas son alternativas útiles, pero las cámaras de profundidad proporcionan coordenadas (x, y, z) completas para cada punto de la escena y puede ser que esto es lo que requiere tu proyecto.
Espero esta información les haya sido de utilidad y si alguien lo ha implementado, por favor comenten su experiencia.
En una prueba más de que en todas partes se cuecen habas, la BBC dió a conocer que oficiales de seguridad rusos de la FSB (el equivalente de la CIA americana) han arrestado a varios científicos que trabajan en una instalación de alta seguridad en dónde se fabricaban cabezas nucleares por presuntamente minar criptomonedas. haciendo uso de las supercomputadoras a las cuales tenían acceso en dichas instalaciones.
Los sospechosos habían intentado utilizar una de las supercomputadoras más poderosas de Rusia para minar Bitcoins, según informes de los medios locales. El Centro Nuclear Federal en Sarov, en el oeste de Rusia, es un área restringida y de muy alta seguridad.
El servicio de prensa del centro dijo: «Hubo un intento no autorizado de utilizar las instalaciones informáticas para fines privados, incluida la llamada minería«.
Se suponía que la supercomputadora no debía estar conectada a Internet, para evitar intrusiones, y una vez que los científicos intentaron hacerlo, se alertó al departamento de seguridad del centro nuclear. Fueron entregados al Servicio Federal de Seguridad (FSB), informó el servicio de noticias ruso Mash.
Las cryptomonedas como el Bitcoin no dependen de servidores centralizados. Las personas que proporcionan potencia de procesamiento al sistema de criptomoneda, para permitir que se realicen las transacciones, los llamados mineros, pueden obtener recompensas en Bitcoins que al precio actual de $8000 por Bitcoin fueron una gran tentación para los científicos rusos.
El grupo Hacker fail0verflow compartió una foto de un Nintendo Switch ejecutando Debian, que es una de las distribuciones de Linux más importantes. El grupo afirma que Nintendo no puede reparar la vulnerabilidad con futuros parches de firmware. Esto fue dado a conocer por el portal nintendolife.com.
El grupo de hackers fail0verflow ha dicho que hay una falla en la ROM de arranque en el sistema-en-chip (SoC) Nvidia Tegra X1 que cuando se inicia la consola, lee y ejecuta un fragmento de código almacenado en una memoria de solo lectura (de ahí el nombre ROM). Este código contiene instrucciones sobre el proceso de arranque.
Esto significa que la ROM de arranque se almacena en el chip cuando Nvidia lo fabrica y no se puede alterar de ninguna manera después de eso. Incluso si Nintendo emite una actualización de software, esta actualización de software no afectará a la ROM de arranque. Y como la consola carga la ROM de arranque inmediatamente después de presionar el botón de encendido, no hay forma de evitarlo.
La única forma de solucionarlo sería fabricar nuevos chips Nvidia Tegra X1. Por lo que es posible que Nintendo le pida a Nvidia que solucione el problema para que las nuevas consolas no tengan esta vulnerabilidad.
fail0verflow también dice que no es necesario instalar un chip de modificación para eludir la ROM de arranque. En la foto, parece que enchufaron algo en el lado derecho del dispositivo, donde se supone que está el Joy-Con correcto.
Si fail0verflow decidiera compartir el exploit, podría abrir muchas posibilidades cuando se trata de software homebrew, además de juegos pirateados. Este grave error podría tener algunas implicaciones financieras para Nintendo.
Después de dejar a millones de dispositivos en riesgo de ser vulnerados y luego de implementar parches fallidos, Intel lanzó un nuevo grupo de parches de seguridad solo para sus procesadores Skylake (la arquitectura del 2015) para abordar una de las vulnerabilidades de Specter (la Variante 2).
Para aquellos que lo desconocen, Specter (Variante 1 y Variante 2) y Meltdown (Variante 3) son fallas de seguridad divulgadas por los investigadores a principios de este año en procesadores de Intel, ARM y AMD, que han dejando prácticamente a todas las PC, servidores y smartphones del planeta vulnerable al robo de datos.
Poco después de que los investigadores revelaran los exploits de Specter y Meltdown, Intel comenzó a lanzar parches del microcódigo para los sistemas que ejecutan los procesadores Broadwell, Haswell, Skylake, Kaby Lake y Coffee Lake.
Sin embargo, más tarde, el fabricante de chips retiró las actualizaciones de firmware y tuvo que pedirles a los usuarios que dejaran de usar la actualización anterior debido a que los usuarios se quejaban de reinicios frecuentes y otros comportamientos impredecibles del sistema después de instalar los parches de seguridad.
Aunque debería ser un poco más rápido, Intel está trabajando actualmente en nuevos parches y ya está en contacto con las empresas de hardware para que puedan incluir el nuevo parche de microcódigo en su nueva gama de actualizaciones de firmware.
Hasta ahora, la nueva actualización de microcódigo solo se dirige a dispositivos equipados con Skylake móvil y chips Skylake de escritorio convencionales, dejando los procesadores Broadwell, Haswell, Kaby Lake, Skylake X, Skylake SP y Coffee Lake aún vulnerables a la vulnerabilidad de Specter (Variante 2).
Mientras tanto, todos los demás fabricantes de equipos tienen aún que esperar a que Intel libere actualizaciones de microcódigos para los otros modelos de procesadores.
En el anuncio del día de hoy, Intel dice:
A principios de esta semana, lanzamos actualizaciones de microcódigos de producción para varias plataformas basadas en Skylake a nuestros clientes OEM y socios de la industria, y esperamos hacer lo mismo para más plataformas en los próximos días, …
También continuamos lanzando actualizaciones beta de microcódigos para que los clientes y socios tengan la oportunidad de realizar pruebas exhaustivas antes de que pasen a producción.
Intel instó a sus clientes a instalar esta actualización lo antes posible, ya que si no se reparan las fallas, las vulnerabilidades del procesador podrían permitir a los atacantes eludir los mecanismos de aislamiento de memoria y acceder a todo, incluida la memoria asignada al kernel que contiene datos confidenciales como contraseñas, claves de cifrado y todo tipo de información privada.
Después del lanzamiento del exploit de prueba de concepto (PoC) para las vulnerabilidades de la CPU el mes pasado, cientos de muestras de malware son detectadas en Internet, la mayoría de las cuales están basadas en el exploit lanzado públicamente y diseñadas para funcionar en los principales sistemas operativos y navegadores web. En un reciente post comentamos sobre este hecho y que ya más de 130 variantes de malware que tratan de explotar tanto Meltdown como Spectre habían sido detectados por investigadores de seguridad.
Aunque aún no hemos visto ningún malware que sea completamente funcional basado en las vulnerabilidades Meltdown o Spectre, los ciberdelincuentes no tardan mucho en desarrollar uno.
Por lo tanto, les recomiendo a los usuarios a que estén siempre atentos a cualquier actualización que esté disponible en su sistema e instálela tan pronto como su sistema operativo le notifique de que la actualización está disponible.
Una red privada virtual más conocidas por sus siglas en inglés VPN (Virtual Private Network) es una de las mejores soluciones que un usuario normal puede usar para proteger su privacidad y datos en Internet, pero debe estar muy atento al elegir un servicio de VPN que realmente respete su privacidad.
Por ejemplo si está utilizando el popular servicio de VPN Hotspot Shield para preservar su privacidad cuando está en Internet, es posible que inadvertidamente esté filtrando su dirección real de IP y otra información confidencial.
Desarrollado por la empresa alemana AnchorFree GmbH, Hotspot Shield es un servicio de VPN disponible de forma gratuita en Google Play Store y Apple Mac App Store con aproximadamente 500 millones de usuarios alrededor del planeta.
De acuerdo a su publicidad el servicio que ofrece Hotspot Shield promete «proteger todas las actividades en línea«, ocultar las direcciones IP de los usuarios, su identidad y protegerlos del seguimiento realizado por los diferentes servicios de Internet, enrutando todo su su tráfico de Internet y navegación a través de un canal encriptado que ellos proveen.
Pero, una ‘supuesta’ vulnerabilidad descubierta en el servicio VPN de Hotspot Shield permite acceder a los datos de los usuarios, como el nombre de la red Wi-Fi (si se usa este medio para la conexión a Internet), sus direcciones IP reales, que podrían revelar su ubicación y otra información sensible .
La vulnerabilidad se le ha asignado el código CVE-2018-6460, ha sido descubierta y reportada a la compañía por un investigador de seguridad independiente, Paulos Yibelo, que el lunes dio detalles de la vulnerabilidad al público en su blog personal, luego de no recibir una respuesta de la compañía.
De acuerdo con el investigador de seguridad, la falla reside en el servidor web local (se ejecuta en un host codificado 127.0.0.1 y en el puerto 895) que Hotspot Shield instala en la máquina del usuario.
Este servidor aloja múltiples puntos finales JSONP (llamadas a las API del servidor local), que son sorprendentemente accesibles para las solicitudes no autenticadas (ya que asumen que todas las solicitudes son ‘locales’) y que en respuesta podrían revelar información confidencial sobre el servicio VPN activo, incluidos sus detalles de configuración.
Aquí esta la explicación de cómo funciona la vulnerabilidad descrita por Yibelo en su blog:
Hotspot Shiled cuando incia ejecuta su propio servidor web para comunicarse con su propio cliente VPN. El servidor se ejecuta en un host con IP 127.0.0.1 y en el puerto 895. Aloja puntos finales sensibles JSONP que devuelven múltiples valores interesantes y datos de configuración.
por ejemplo, http://localhost:895/status.js genera una respuesta JSON sensible que revela si el usuario está conectado a la VPN, a qué VPN está conectado qué y cuál es su dirección IP real y otra información sensible del sistema. Hay otros puntos finales múltiples que devuelven datos confidenciales, incluidos los detalles de configuración.
Mientras ese punto final se presenta sin ninguna autorización, status.js es en realidad un punto final JSON, por lo que no hay funciones sensibles que sobrescribir, pero cuando enviamos el parámetro func con $_APPLOG.Rfunc, devuelve esa función como un nombre JSONP. Obviamente, podemos anular esto en nuestra página maliciosa y robar su contenido mediante el suministro de una marca de tiempo de parámetro tm, de esa manera podemos proporcionar un tiempo de registro.
Aunque muchos podrían decir que este ataque está limitado a la LAN debido a la dirección del servidor, pero aquí es donde se puede usar un ataque llamado DNS rebining. En una reenlace de DNS, cualquier sitio web simplemente puede crear un nombre de DNS con el que está autorizado a comunicarse y luego hacer que se resuelva en localhost o 127.0.0.1 (haciéndolo accesible desde la WAN). Les sugiero que lean el error de Tavis Ormandy en Blizzard aquí.
Puede usar https://lock.cmpxchg8b.com/rebinder.html para generar un nombre de host para su uso. Este se puede alternar entre 127.0.0.1 y 191.241.34.54, por ejemplo.
Yibelo también ha lanzado públicamente un código de prueba de concepto PoC (por sus siglás en inglés) de la vulnerabilidad que encontró, en ella se puede observar que con sólo unas pocas líneas de código JavaScript, este script podría permitir a un atacante remoto no autenticado extraer información confidencial y los datos de configuración de la VPN.
Aunque, el reportero Zack Whittaker de ZDNet intentó verificar lo que el investigador había anunciado en su blog y descubrió que el código PoC solo revelaba el nombre de la red Wi-Fi y el país, pero no la dirección IP real.
De acuerdo a ZDNet, un portavoz oficial de AnchorFree consultado sobre el problema, reconoció la vulnerabilidad, pero negó la divulgación de la dirección IP real tal como afirma Yibelo en su blog:
Hemos encontrado que esta vulnerabilidad no expone la dirección IP real del usuario, ni ninguna información personal, pero puede exponer cierta información genérica, como el país del usuario.
El investigador también afirma que fue capaz de aprovechar esta vulnerabilidad para lograr la ejecución remota de código.
Hotspot Shield también ocupó los titulares en agosto del año pasado, cuando el Centro para la Democracia y la Tecnología (CDT), un grupo estadounidense de defensa de los derechos digitales, acusó al servicio de supuestamente rastrear, interceptar y recopilar los datos de sus clientes.
Debido al reciente aumento en los precios de las criptomonedas, los ciberdelincuentes están cada vez más interesados en explotar todas las plataformas informáticas posibles incluidas las de IoT, Android y Windows, usando malware que aprovecha la potencia de la CPU de dichos dispositivos para minar criptomonedas.
El mes pasado, los investigadores de Kaspersky detectaron aplicaciones falsas de antivirus y de pornografía para Android infectadas con malware tipo troyano que minaba la criptomoneda Monero, además de realizan varias otras tareas maliciosas como lanzar ataques DDoS, lo que hace que la batería del teléfono se descargue muy rápidamente.
Ahora, los investigadores de seguridad de la empresa china de seguridad informática Qihoo 360 Netlab descubrieron una nueva variedad de malware para Android, denominado ADB.Miner, que escanea una amplia gama de direcciones IP para encontrar dispositivos vulnerables e infectarlos con un programa de minado de criptomonedas, como se informa en el portal de noticias informáticas arstechnica.com.
Según los investigadores, ADB.Miner es el primer gusano de Android que reutiliza el código de escaneo programado del tristemente célebre malware de IoT Mirai, que dejó sin conexión a las principales compañías de Internet el año pasado al lanzar ataques masivos de DDoS contra los servidores de Dyndns.
ADB.Miner escanea direcciones de Internet en busca de dispositivos Android, incluidos smartphones, televisores inteligentes y decodificadores de TV, con una interfaz de depuración ADB de acceso público que espera por conexiones en el puerto 5555 y luego los infecta con un malware que mina la criptomoneda Monero.
ADB que significa Android Debug Bridge, es una herramienta de línea de comandos que ayuda a los desarrolladores a depurar el código de Android en el emulador y otorga acceso a algunas de las funciones más sensibles del sistema operativo.
Cabe señalar que casi todos los dispositivos Android vienen de manera predeterminada con el puerto ADB deshabilitado, por lo que botnet está integrada solo a aquellos dispositivos que se hayan configurado manualmente para aceptar conexiones en el puerto 5555.
Además de minar la criptomoneda Monero, una vez que ADB.Miner ha infectado un dispositivo también intenta propagarse buscando más objetivos a través de Internet. Los investigadores no revelaron exactamente cómo es que los ciberdelincuentes explotan el acceso ADB o que tipo de vulnerabilidad les permite infectar los dispositivos Android.
Sin embargo, los investigadores creen que los piratas informáticos no están explotando ninguna vulnerabilidad de algún fabricante de dispositivos específico, ya que encontraron dispositivos de una amplia gama de fabricantes infectados por ADB.Miner.
Según los investigadores, la epidemia comenzó el 21 de enero y la cantidad de ataques aumentó recientemente. Hasta el domingo pasado, los investigadores detectaron 7,400 direcciones IP únicas utilizando el código de minería de Monero, es decir, más de 5,000 dispositivos impactados en tan sólo 24 horas.
Basado en las direcciones IP que han sido identificadas como dispositivos infectados con ADB.Miner, el mayor número de infecciones se han resgitrado en China (40%) y Corea del Sur (31%), según estimaron los investigadores.
Para luchar contra este tipo de malware, se recomienda a los usuarios de Android que no instalen aplicaciones innecesarias y que no brinden su confianza a tiendas de aplicaciones no oficiales y sobre todo siempre mantenga sus dispositivos detrás de un firewall.
Se descubrió una vulnerabilidad de denegación de servicio (DoS) simple pero grave para la popular plataforma de blogging WordPress que podría permitir que cualquiera ponga fuera de servicio la mayoría de los sitios web con WordPress incluso con una sola máquina, sin necesidad de usar un gran cantidad de ancho de banda, como usualmente se requiere en la red para ataques DDoS que producen un resultado similar.
Dado que la compañía se ha negado solucionar el problema, la vulnerabilidad (CVE-2018-6389) permanece sin parches y afecta a casi todas las versiones de WordPress publicadas en los últimos nueve años, incluida la última versión estable de WordPress (Versión 4.9.2).
Descubierta por el investigador de seguridad israelí Barak Tawily, la vulnerabilidad reside en la forma en que «load-scripts.php«, que es un script que forma parte de WordPress, procesa las solicitudes definidas por el usuario.
Para aquellos que no lo saben, el archivo load-scripts.php solo se diseñó para que los usuarios administradores ayuden a un sitio web a mejorar el rendimiento y cargar la página más rápido al combinar (en el lado del servidor) varios archivos JavaScript en una única solicitud HTTP.
Sin embargo, para hacer que «load-scripts.php» funcione en la página de inicio de sesión del administrador (wp-login.php) antes de iniciar sesión, los autores de WordPress no establecieron ninguna autenticación, lo que eventualmente hizo que la función esté accesible para cualquiera, y por lo tanto explotable remotamente.
Dependiendo de los plugins y módulos que se hayan instalado, el archivo load-scripts.php llama selectivamente a los archivos JavaScript necesarios y pasa sus nombres en los parámetros de «load«, separados por una coma, como se muestra en la siguiente URL:
Al cargar el sitio web, el ‘load-scripts.php’ intenta encontrar cada uno de los nombres de los archivos JavaScript mencionados en la URL, anexar su contenido en un solo archivo y luego enviarlo al navegador del usuario, de esta forma optimiza el tiempo de carga.
Pero, ¿Cómo funciona el ataque DoS a WordPress?
Según el investigador israelí, uno puede simplemente forzar load-scripts.php para llamar todos los archivos JavaScript posibles (es decir, 181 scripts) de una sola vez pasando sus nombres a la URL anterior, haciendo que el sitio web objetivo sea levemente lento al consumir una gran cantidad de CPU y memoria del servidor.
En su blog Tawily dice:
Hay una lista bien definida de scripts ($ wp_scripts), que los usuarios pueden solicitar como parte del parámetro load[]. Si el valor solicitado existe, el servidor realizará una acción de lectura de E/S para una ruta bien definida asociada con el valor proporcionado por el usuario.
Aunque una sola solicitud no sería suficiente para crear la denegación de servicio del sitio web para sus visitantes, Tawily utilizó una secuencia de comandos python de prueba de concepto (PoC), doser.py, que hace un gran número de solicitudes concurrentes a la misma URL en un intento de utilizar la mayor cantidad de recursos posibles de CPU y memoria de los servidores que son el objetivo de este ataque.
No hay parche disponible.
Junto con la divulgación completa de la vulnerabilidad, Tawily también ha proporcionado una demostración de video para el ataque de denegación de servicio de WordPress. Puedes mirar el video para ver el ataque en acción a continuación:
Sabiendo que las vulnerabilidades de DoS están fuera del alcance del programa de recompensas de errores de WordPress, Tawily reportó responsablemente esta vulnerabilidad de DoS al equipo de WordPress a través de la plataforma HackerOne.
Sin embargo, la compañía se negó a reconocer el problema y dijo que este tipo de error «debería mitigarse realmente en el servidor o a nivel de la red en lugar de a nivel de la aplicación«, por lo que alegan que esto está fuera del control de WordPress.
La vulnerabilidad parece ser realmente grave porque WordPress es el CMS usado por casi el 29% de los websites, lo que coloca a millones de sitios web vulnerables a los piratas informáticos y los hace no disponibles para sus usuarios legítimos.
Para los sitios web que no pueden pagar los servicios que ofrecen protección DDoS contra los ataques de la capa de aplicación, el investigador ha proporcionado un fork de WordPress, que incluye la mitigación contra esta vulnerabilidad.
Sin embargo, personalmente no recomendaría a los usuarios que instalen un WordPress modificado, incluso si proviene de una fuente confiable que no sea el autor original. Ya que esto los dejaría fuera de la comunidad y no recibirían actualizaciones futuras.
Además de esto, el investigador también ha lanzado un sencillo script bash que soluciona el problema, en caso de que no se desee usar su versión modificada de WordPress.
Otra forma de mitigar el problema es limitar el acceso al directorio «/wp-admin/» sólo a IPs específicas, con lo cuál los hackers no podrían explotar esta vulnerabilidad. Esto se puede hacer editando un archivo .htaccess el directorio /wp-admin/ si nuestro hosting usa Apache de la siguiente manera:
order deny,allow deny from all allow from 1.2.3.4
Dónde el IP que tiene autorización para entrar al directorio «/wp-admin/» es «1.2.3.4», replace esta IP por la que te haya asignado tu proveedor de Internet.
Espero que esta información les haya sido de ayuda si es que usan WordPress, pueden dejar cualquier duda o comentario a continuación.
