Category: Avisos

JetPack y TwentyFifteen Vulnerable a DOM-based XSS

JetPack y TwentyFifteen vulnerables.

Cualquier Plugin de WordPress o tema que aprovecha el paquete genericons es vulnerable a una DOM-based Cross-Site Scripting (XSS) debido a un archivo inseguro incluido con genericons. Hasta el momento, el plugin JetPack (informó de que tiene más de 1 millón de instalaciones activas) y el tema TwentyFifteen (instalado por defecto) se encuentran ser vulnerable. El número exacto es difícil de entender, pero el plugin y el tema son instalaciones por defecto en millones de WordPress instala. El tema principal aquí es el paquete genericons, por lo que cualquier plugin que hace uso de este paquete es potencialmente vulnerable si se incluye el archivo example.html que viene con el paquete.

DOM-based XSS

La vulnerabilidad XSS es muy fácil de explotar y sucede a nivel Document Object Model (DOM). Si usted no está familiarizado con los ataques del DOM, el grupo de OWASP lo explica aqui bien:

DOM- based XSS es un ataque XSS en el que la carga útil de ataque se ejecuta como resultado de la modificación del Document Object Model (DOM) “medio ambiente” en el navegador de la víctima utilizado el script del lado del cliente original, por lo que el código del lado del cliente se ejecuta en un manera “inesperada”. Es decir, la propia página (la respuesta HTTP que es) no cambia, pero el código de cliente que figura en la página ejecuta de manera diferente debido a las modificaciones maliciosas que se han producido en el entorno de DOM.

Eso significa que la carga útil XSS nunca se envía hacia el lado del servidor y se ejecuta directamente en el navegador. Así que incluso alguien que use nuestra Sitio Web Firewall, puede ser vulnerable ya que nunca tiene la oportunidad de verlo. En este caso, hemos sido capaces de arreglar prácticamente el exploit, pero DOM-based XSS es muy difícil de bloquear.

DOM-based XSS también son un poco más difíciles de explotar, ya que requiere un cierto nivel de ingeniería social para conseguir que alguien haga clic en el enlace de explotar. Sin embargo, una vez que logren hacer esto, proporciona el mismo nivel del acceso que otros tipos de ataques de XSS (reflejado o almacenado).

0-days in the wild

Lo interesante de este ataque es que lo detectamos en los días antes de la divulgación. Conseguimos un informe sobre ello y algunos de nuestros clientes también conseguían informes que dicen que eran vulnerables y señalaban a:

http:// site.com/wp-content/themes/twentyfifteen/genericons/example.html#1< img/ src=1 onerror= alert(1)>

En esta prueba de concepto, el XSS impreso una alerta de javascript, pero podría ser utilizado para ejecutar javascript en tu navegador y hacerse cargo de la web si ha iniciado sesión como administrador.

Elimine el archivo genericons/example.html

Afortunadamente, la solución para esto es bastante sencillo. Elimine el archivo genericons/example.html o asegúrese de que tiene un WAF o IDS que está bloqueando el acceso a la misma. Debido a la baja gravedad, pero el impacto masivo, tendimos la mano a nuestra red de recibir relaciones en un intento de remendar prácticamente esto para millones de usuarios de WordPress tan pronto como sea posible.

Los anfitriones siguientes deberían haber remendado prácticamente o haber endurecido sus ambientes de esta cuestión desde hace una semana:

  • GoDaddy
  • HostPapa
  • DreamHost
  • ClickHost
  • Inmotion
  • WPEngine
  • Pagely
  • Pressable
  • Websynthesis
  • Site5
  • SiteGround

No podemos olvidar uno de los principios básicos de la seguridad, en el que debemos mantener un ambiente prístino de la producción. Esto significa que quitar debug o archivos de prueba antes de que se mude a la producción. En este caso, Automattic y el equipo de WordPress dejaron un archivo simple ejemplo.html que había encajada la vulnerabilidad. Lo qué es más preocupante aquí es el alcanzar el plugin y el tema se han combinado; que se instalan en muchos casos, por defecto en todas las instalaciones de WordPress. Simple descuido, que podría tener devastadores impactos en incautos propietarios de páginas web y las empresas.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de nuestro Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

Tenga en cuenta que a pesar de ser un DOM XSS, cualquier sitio detrás de Sucuri Firewall Sitio Web ya están protegidos, pero si usted no tiene un WAF o IPS protegiendo su sitio, le recomendaría la eliminación de la example.html desde dentro del directorio genericons.

 

Texto obtenido de Sucuri

SAT, robo de contraseñas y cobran devolución

El Servicio de Administración Tributaria (SAT) y la Procuraduría de la Defensa del Contribuyente (Prodecon) detectaron casos de robo de la identidad del contribuyente para hacer la declaración anual y  después cobrar el monto de la devolución de impuestos.

Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez
Oficinas del SAT en avenida Hidalgo, en la ciudad de México. Foto Cristina Rodríguez

“Se suplanta la identidad de los contribuyentes con el objeto de presentar su declaración, reportar saldos a favor de Impuesto Sobre la Renta (ISR) con información ficticia y solicitar el depósito en la cuenta bancaria de un tercero”, explicaron las dependencias en un comunicado.

Detallaron que esta problemática está lesionando gravemente los derechos de los pagadores de impuestos, en particular a las personas físicas que obtienen ingresos por sueldos.

Cuando la persona física intenta presentar su declaración anual, se da cuenta que alguien ya lo hizo utilizando su contraseña. Con ello, el delincuente obtiene saldo a favor utilizando información ficticia.

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles”, detalla el comunicado.

Cuando el contribuyente se da cuenta, el depósito ya está efectuado, colocándolo en un estado de inseguridad jurídica, pues ya no puede obtener su devolución y tiene que iniciar denuncia penal contra quien resulte responsable.

La Prodecon informó que prestará el servicio necesario para asesorar a los que resulten afectados por esta práctica.

Ni el SAT ni la Prodecon precisaron el monto a que ascendería el fraude, pero recomendaron a los contribuyentes cambiar periódicamente su contraseña y denunciar los casos para llevar a cabo la investigación correspondiente.

El SAT comunicó

“La gran mayoría de las quejas y denuncias recibidas por ambas instituciones provienen de contribuyentes que obtienen sus ingresos exclusivamente por salarios y resultan ser casos especialmente sensibles, ya que cuando se da cuenta el contribuyente afectado de la suplantación de su identidad, el depósito ya está efectuado a la cuenta de quien defrauda, colocándolo en un estado absoluto de inseguridad jurídica, pues ya no puede obtener su devolución y tendría que iniciar denuncia penal contra quien resulte responsable”, dijo el SAT.

Por su parte, la Prodecon consideró “trascendental dar a conocer y advertir sobre este tipo de prácticas indebidas e informa que prestará todo el apoyo necesario para asesorar y acompañar a los afectados que decidan presentar denuncia en el proceso penal respectivo. Resulta necesario emprender acciones que sancionen a los defraudadores de los contribuyentes cumplidos”.
Fuente: AM y Jornada Unam

Using AWS in the Context of CESG UK’s Cloud Security Principles

Last year, CESG UK published the Cloud Security Guidance documents for public sector organizations that are considering the use of cloud services for handling information classified as OFFICIAL. The guidance aims to help public sector organizations make informed decisions about cloud services and choose a cloud service that balances business benefits and security risks. In relation to this, the legacy Impact Level accreditation scheme has been phased out and is no longer the mechanism used to describe the security properties of cloud services.

AWS CESG UK
AWS CESG UK

In order to provide you with guidance regarding the Cloud Security Principles and to make an informed decision when performing risk assessments, we have published a whitepaper called
Using AWS in the Context of CESG UK’s Cloud Security Principles.

This whitepaper provides insights into implementation and assurance approaches within AWS based on the published guidance for each of the 14 Cloud Security Principles and Subprinciples. If you are a Senior Information Risk Officer or a CESG-Listed Advisor Scheme consultant supporting a decision-making process for selecting a cloud service at a UK public sector organization, the whitepaper provides an in-depth view into the AWS implementation approach in relation to the Cloud Security Principles. Based on this information, UK public sector organizations and their information security functions can conduct informed risk assessments and select the appropriate AWS services for their cloud environment.

AWS Services

AWS currently provides the following 11 services on the UK Government Digital Marketplace:

  1. Amazon CloudWatchDigital Marketplace link
  2. Amazon Elastic Block Store (Amazon EBS) – Digital Marketplace link
  3. Amazon Elastic Compute Cloud (Amazon EC2) – Digital Marketplace link
  4. Amazon GlacierDigital Marketplace link
  5. Amazon Relational Database Service (Amazon RDS) – Digital Marketplace link
  6. Amazon Simple Storage Service (Amazon S3) – Digital Marketplace link
  7. Amazon Virtual Private Cloud (Amazon VPC) – Digital Marketplace link
  8. Auto ScalingDigital Marketplace link
  9. AWS Direct ConnectDigital Marketplace link
  10. AWS Identity and Access Management (AWS IAM) – Digital Marketplace link
  11. Elastic Load BalancingDigital Marketplace link

Source: AWS Blog

WordPress, Critical Persistent XSS 0day

Yes, you’ve read it right: a critical, unpatched 0-day vulnerability affecting WordPress’ comment mechanisms was disclosed earlier today by Klikki Oy.

Who’s affected

If your WordPress site allows users to post comments via the WordPress commenting system, you’re at risk. An attacker could leverage a bug in the way comments are stored in the site’s database to insert malicious scripts on your site, thus potentially allowing them to infect your visitors with malware, inject SEO spam or even insert backdoor in the site’s code if the code runs when in a logged-in administrator browser.

You should definitely disable comments on your site until a patch is made available or leverage a WAF to protect your site and customers.

Technical details

This vulnerability requires an attacker to send a comment long enough to force the backend MySQL database to truncate what is stored.

 

WordPress Database Schema

As you can see from the above schema, the comments texts are stored in the comment_content column which is a TEXT column, meaning a comment can only contain a maximum of 65535 bytes of data.

A typical exploit would look like the following:

<a href='x onclick=alert(1) AAAAAAAAAAAAAA..(multiplied so our comment contains more than 65k bytes)'>test</a>

Once taken back from the database would look like this:

<p><a href='x onclick=alert(1) AAAAAAA</p>

Some of you might have noticed that the resulting HTML tag isn’t complete, but this isn’t a problem for most modern browsers as most of them will simply patch it up automatically

This bug then allows anyone to insert any HTML tag attributes to his hyperlink, including Javascript event handlers.

What you can do

There’s a few thing you can do to prevent getting hacked before there’s an official patch being released: You can disable comments on your site or leverage a Web Application Firewall to filter good requests from exploit attempts.

WordPress PoC

Enter as a comment text:


<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

 

Hopefully the WordPress team will release a patch soon.

 

Source: Sucuri Blog and Klikki.fi Blog

WordPress, Vulnerabilidad XSS de Plugins

Múltiples plugins de WordPress son vulnerables a Cross-site Scripting (XSS) debido al mal uso de las funciones add_query_arg () y remove_query_arg(). Estas son las funciones más utilizadas por los desarrolladores para modificar y agregar cadenas de consulta para las direcciones URL’s dentro de WordPress.
WordPress XSS Vulnerabilidad

La Documentación Oficial de WordPress (Codex) para estas funciones no era muy claro y engañó a muchos desarrolladores de plugins para usarlos de una manera insegura. Los desarrolladores asumieron que estas funciones podrían escapar la entrada del usuario para ellos, cuando no es así. Este simple detalle, hizo que muchos de los plugins más populares ser vulnerable a XSS.

Hasta la fecha, esta es la lista de plugins afectados:

Probablemente hay algunos más que no hemos enumerado. Si usas WordPress, es muy recomendable que usted vaya a su panel de control wp-admin y actualizar los plugins fuera de fecha ahora.

Este problema fue identificado por primera vez por Joost de Yoast en uno de sus plugins (el hizo una gran escritura en torno a ella también). Trabajamos juntos con él para investigar el tema y está probablemente afectó mucho más plugins que sólo ese.

Nuestro equipo de investigación, junto con algunos amigos (especialmente Joost de Yoast) han estado yendo a través del repositorio de WordPress los últimos días en un intento de encontrar y advertir muchos desarrolladores de plugins como sea posible – para advertir y ayudarles a parchear el problema.

Divulgación Coordinado

Esta vulnerabilidad fue descubierta inicialmente la semana pasada, debido a los diferentes grados de severidad y lo más importante, la gran cantidad de plugins afectada, coordinamos un comunicado conjunto de seguridad con todos los desarrolladores involucrados y el equipo de seguridad del núcleo de WordPress. Fue un gran trabajo de equipo, y una experiencia agradable ver a tantos desarrolladores unidos y trabajar juntos por el bien común. Felizmente podemos decir que todos los complementos se han parcheado, y ha partir de esta mañana actualizaciones deben estar disponibles para todos los usuarios. (Sí, todo el mundo empujó sus actualizaciones al unísono hace 2 horas).

Si usas WordPress, ahora es su turno para actualizar sus plugins!

Si usted tiene las actualizaciones automáticas activadas, su sitio debería estar ya parcheado, especialmente en los casos más graves.

Hay más plugins vulnerables de WordPress

Nuestro equipo sólo analizó los 300-400 enchufes de unión superiores, lejanos de todos ellos como podría suponer. Así que hay probablemente un número de plugins siendo vulnerable. Si eres un desarrollador, compruebe el código para ver cómo usted utiliza estas dos funciones:

add_query_arg
remove_query_arg

Asegúrese de que usted se está escapando de ellos antes de su uso. Se recomienda utilizar la funciónesc_url () (o esc_url_raw()) con ellos. Usted no debe asumir que add_query_arg y remove_query_argescaparás entrada del usuario. El equipo de WordPress está proporcionando más directrices sobre cómo usarlos aquí.

Tiempo de actualización!

Si utiliza cualquiera de estos plugins, asegúrese de actualizarlos ahora! Vamos a seguir para investigar y buscar más plugins vulnerables y mantener nuestra lista aquí actual.

Este es también un buen momento para recordar a todos que todo software tendrá errores y algunos de esos errores conducirá inevitablemente a las vulnerabilidades de seguridad, tal es la vida que vivimos. Esto se aplica a los plugins, temas, servidores web, CMS de y básicamente cualquier cosa que es escrito por personas y basado en el código. Por mucho que los desarrolladores tratan de minimizarlos e implementar los principios de codificación segura, errores inevitablemente siguen sucediendo. Sólo tenemos que estar preparados y encontrar formas de minimizar el efecto de cualquier vulnerabilidad en su entorno; un ejemplo perfecto de este enfoque es lo que estamos viendo hoy con este comunicado de coordenadas.

Estos son algunos consejos y trucos para recordar para ayudar a reducir su riesgo global amenaza, ayudando a mejorar su postura de seguridad individual:

  1. Patch. Mantenga sus sitios actualizado,
  2. Restringir. Control de acceso restrictivo. Restrinja su directorio wp-admin a Direcciones IP puestas en una lista sólo blancas. Sólo dé el acceso admin a usuarios que realmente lo necesitan. No entre al sistema como admin a menos que realmente haga el trabajo de admin. Éstos son algunos ejemplos de políticas de control de acceso restrictivas que pueden minimizar el impacto de vulnerabilidades con su sitio web.
  3. Monitorear. Controle sus registros. Se le puede dar pistas sobre lo que está sucediendo en su sitio.
  4. Reducir su alcance. Utilice sólo los plugins (o temas) que su sitio realmente necesita para funcionar.
  5. Detectar. La prevención puede fallar, por lo que recomendamos analizar su sitio para los indicadores de compromiso o software obsoleto. Nuestro plugin y Sitecheck pueden hacerlo de forma gratuita para usted.
  6. Defensa en profundidad. Si usted tiene un sistema de prevención de instrucciones (IPS) o Web Application Firewall (WAF), pueden ayuda a bloquear los tipos más comunes de hazañas XSS. Usted puede incluso intentar nuestro propio CloudProxy para ayudarle con eso. Si te gusta la ruta de código abierto, puede intentar OSSEC, Snort y ModSecurity para ayudarle a lograr eso.

Estos principios se aplican normalmente a la mayoría de las redes seguras (o en cualquier negocio que tiene que ser compatible con PCI), pero no muchos propietarios de sitios web piensan de ellos para su propio sitio / medio ambiente.

Estos son sólo unos pocos recomendaciones de alto nivel; recomendamos ir a través de nuestro blog para obtener más ideas sobre cómo mantener sus sitios seguros y por delante de las amenazas.

Fuente: Sucuri Blog

Se buscan Syadmins Sr de Linux

Buenas tardes, busco Syadmins Sr de Linux para contratación
1.- bilingues ingles espanol
2.- de preferencia titulados
3.- 0 antecedentes penales
4.- para MX DF o Monterrey

conocimiento en otros unix es un+
mandenme sus CV.s

Gracias!
Ing. Angel Alejandro Vega Soto ; Unix/Linux system administrator |
| [email protected]

Se buscan linuxeros para trabajar en empresa Internacional

Si calificas para uno o los dos perfiles expresados abajo mándame un correo a [email protected] anexando tu CV para que se agende una entrevista contigo.

Monitoring Administrator Sr.

  • Experience with the following tools as Big Brother, Nagios, Cacti, HPSim, HP-DDMI
  • Background of the monitoring tools based on Linux. Also Windows experience is required for monitoring services and processes within OS.

 

Server Admin and Support Engineers Unix/ Linux Sr- Expert.

·Experience and Knowledge (more than 5 years) with UNIX and Storage Support installs, configures upgrades, troubleshoots, monitors, and maintains Storage and Unix environment for Applications

  • Experience with: Veritas Volume Manager/ Storage
  • Able to change residence to Aguascalientes
  • English Level: Very Good

DESATIC’S III 2011

Tucancunix Presente en las jornadas academicas del tecnologico de valladolid y tuvimos la fortuna de dar un taller de Elastix .

Junto con otros conocidos linuxeros que tienen buena experiencia y llegaron a compartir su conocimiento.
Daniel Bahena https://twitter.com/#!/informatux

Tony Garcia https://twitter.com/#!/tonyskapunk

Jorge Lopez https://twitter.com/#!/roboxito

http://www.itsva.edu.mx/

Experiencias Xcaret Solicita

Persona que cuente con los siguientes conocimientos y habilidades.
Administración de Servidores Linux
Manejo e instalación de aplicaciones OpenSource
mySQL
PHP 5.0 (Básico)
Registro, Alta y Administración de dominios
Configuración de DNS
SEO
HTML
Proactivo
Responsable y buen nivel de organización
Trabajo bajo presión
Servicio al cliente
Enviar Cv via correo
[email protected]