Hace pocos días, Black Lotus Labs dio a conocer, mediante un informe reciente, detalles sobre una vulnerabilidad que dejo inservibles más de 600,000 routers para oficinas pequeñas y domésticas.

Y es que durante un período de 72 horas (entre el 25 y 27 de octubre de 2023) más de 600,000 routers fueron inhabilitados por un troyano de acceso remoto (RAT) conocido como «Chalubo». Este evento, que tuvo lugar, resultó en la inoperabilidad permanente de los dispositivos infectados y la necesidad de su reemplazo físico.

Sobre el incidente

Black Lotus Labs informa en su publicación que el ataque se llevó a cabo utilizando el malware Chalubo, conocido desde 2018, organiza el control centralizado de la botnet y se utiliza en dispositivos Linux basados en arquitecturas ARM, x86, x86_64, MIPS, MIPSEL y PowerPC de 32 y 64 bits.

El malware Chalubo implica tres etapas de implementación:

1. Inicio del Script Bash:
   • Tras la explotación de una vulnerabilidad o el uso de credenciales comprometidas, un script bash se ejecuta en el dispositivo comprometido.
   • Este script verifica la presencia del archivo ejecutable malicioso /usr/bin/usb2rci. Si el archivo no está presente, el script desactiva los filtros de paquetes con iptables -P INPUT ACCEPT; iptables -P OUTPUT ACCEPT;.
2. Evaluación del Script get_scrpc:
   • El script get_scrpc evalúa la suma de comprobación MD5 del archivo usb2rci.
   • Si la suma de comprobación no coincide con un valor predefinido, el script carga y ejecuta un segundo script, get_fwuueicj.
3. Ejecución del Script get_fwuueicj:
   • Este script comprueba la presencia del archivo /tmp/.adiisu. Si está ausente, lo crea.
   • Luego, carga el archivo ejecutable principal del malware, compilado para la CPU MIPS R3000, en el directorio /tmp con el nombre crrs y lo inicia.

Nuestro análisis identificó a «Chalubo», un troyano de acceso remoto (RAT), como la principal carga útil responsable del evento. Este troyano, identificado por primera vez en 2018 , empleó técnicas inteligentes para ocultar su actividad; eliminó todos los archivos del disco para ejecutarlos en la memoria, asumió un nombre de proceso aleatorio ya presente en el dispositivo y cifró todas las comunicaciones con el servidor de comando y control (C2)

En cuanto al comportamiento de Chalubo, se menciona que este realiza la:

• Recopilación y envío de información: El ejecutable de Chalubo recoge la información del host, como la dirección MAC, ID del dispositivo, versión de software y direcciones IP locales, y la envía a un servidor externo.
• Descarga y ejecución del componente Principal: Chalubo verifica la disponibilidad de los servidores de control y descarga el componente principal del malware, que es descifrado utilizando el cifrado de flujo ChaCha20.
• Ejecución de scripts lua: El componente principal puede descargar y ejecutar scripts Lua arbitrarios desde el servidor de control, determinando las acciones futuras del dispositivo, como participar en ataques DDoS.

Como tal no hay información concreta sobre cómo se comprometieron exactamente los dispositivos para instalar el malware y sobre ello los investigadores suponen que el acceso a los dispositivos podría haberse obtenido debido a credenciales no confiables proporcionadas por el proveedor, el uso de una contraseña genérica para ingresar a la interfaz de administración, o la explotación de vulnerabilidades desconocidas. Ya que los atacantes con acceso a los servidores de control de la botnet, probablemente aprovecharon la capacidad de Chalubo para ejecutar scripts Lua, sobrescribiendo el firmware del dispositivo y desactivándolo.

Ademas de ello, Black Lotus Labs discute cómo este ataque tuvo consecuencias significativas, incluida la necesidad de reemplazar equipos de hardware, especialmente en áreas rurales y marginadas, ya que un análisis de la red tras el incidente reveló que 179 mil dispositivos ActionTec (T3200 y T3260) y 480 mil dispositivos Sagemcom (F5380) fueron reemplazados por equipos de otro fabricante.

Este incidente es notable no solo por la magnitud del ataque, sino también porque, a pesar de la prevalencia del malware Chalubo (con más de 330,000 IP registradas accediendo a servidores de control a principios de 2024), las acciones maliciosas se limitaron a un solo proveedor, sugiriendo un ataque muy específico.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/C3imsTX
via IFTTT

Como acabábamos de adelantar en el artículo sobre el lanzamiento de Parrot 6.1, hace unos instantes han hecho público el lanzamiento de Kali 2024.2, y aquí viene el artículo sobre este aterrizaje. Entre las novedades encontramos nuevas herramientas y actualizaciones de dos de los entornos gráficos que se ofrecen en esta distribución de hacking ético. Pero en donde se han extendido más es en hablarnos de la transición a t64 que han realizado.

Esta transición finalizó el pasado 20 de mayo, y ha sido necesaria, entre otras cosas, para evitar un problema que los sistemas informáticos experimentarán en 2038. ¿Recordáis el efecto 2000? Pues algo parecido, pero en este caso por el diseño del lenguaje de programación C. Quien quiera saber más sobre esto, lo mejor es que lea las notas de este lanzamiento.

Kali 2024.2 introduce GNOME 46

Kali 2024.2, cuya numeración debe a que es la segunda versión de este 2024, incluye ahora como opción GNOME 46, y todos los temas y extensiones se han actualizado de acuerdo con la nueva versión del entorno gráfico. Por otra parte, el escritorio Xfce ha recibido actualizaciones, concretamente en los modos Kali-Undercover y HiDPI. Estas actualizaciones mejoran la estabilidad e incluyen varias correcciones de errores, asegurando un soporte mejorado para las últimas mejoras en el escritorio.

Además de esto, Kali 2024.2 introduce 18 nuevas herramientas:

• autorecon – Herramienta de reconocimiento de red multihilo.
• coercer – Obliga automáticamente a un servidor Windows a autenticarse en una máquina arbitraria.
• dploot – Reescritura en Python de SharpDPAPI.
• getsploit – Utilidad de línea de comandos para buscar y descargar exploits.
• gowitness – Utilidad de captura de pantalla web usando Chrome Headless.
• horst – Herramienta de escaneo de radios altamente optimizada.
• ligolo-ng – Herramienta avanzada, aunque sencilla, de tunelización/pivoteo que utiliza una interfaz TUN.
• mitm6 – pwning IPv4 via IPv6.
• netexec – Herramienta de explotación de servicios de red que ayuda a automatizar la evaluación de la seguridad de grandes redes.
• pspy – Monitoriza procesos Linux sin permisos de root.
• pyinstaller – Convierte (empaqueta) programas Python en ejecutables independientes.
• pyinstxtractor – Extractor de PyInstalller.
• sharpshooter – Marco de generación de cargas útiles.
• sickle – Herramienta de desarrollo de cargas útiles.
• snort – Sistema flexible de detección de intrusos en la red.
• sploitscan – Búsqueda de información CVE.
• vopono – Ejecuta aplicaciones a través de túneles VPN con espacios de nombres de red temporales.
• waybackpy – Accede a la API de Wayback Machine usando Python.

Con esta versión, Kali Nethunter ahora soporta Android 14, entre otras actualizaciones.

Los usuarios interesados ya pueden obtener Kali 2024.2 desde su página web de descargas.

from Linux Adictos https://ift.tt/71r0J4k
via IFTTT

Lo cierto es que si la lucha entre las dos distribuciones de hacking ético más populares tuviera lugar en algo similar a un cuadrilátero, yo sé a quién apostaría mi dinero. No, no es a la que motiva este artículo, ya que la mascota es un loro y la de Kali un dragón. Pero lo que tienen que hacer ambas opciones es poner a prueba todo tipo de software y hardware, y ahí la elección no es tan sencilla. Y es que hace unos instantes han lanzado Parrot 6.1, y casi al mismo tiempo una actualización de Kali de la que también hablaremos hoy si nos da tiempo.

En las distribuciones Linux, la mayoría de cambios guardan relación con su kernel y entornos gráficos, a lo que en algunas se suman metapaquetes. Estos metapaquetes son formados por decenas o cientos de paquetes, y los de las distros para el hacking ético son pequeños programas o scripts para poner a prueba la seguridad. El ejemplo más claro es algo que muchos hemos hecho alguna vez: ver si podemos descifrar la contraseña de nuestro router… o el del vecino. Porque esto, aunque no es lo que se debería hacer, también es posible.

Novedades más destacadas de Parrot 6.1

Entre lo más destacado de Parrot 6.1, además de la siguiente lista con actualizaciones en sus aplicaciones de seguridad y pentesting, encontramos un soporte para la Raspberry Pi 5 mejorado, que ahora tiene añadidos y activados los controladores. Por otra parte, el kernel ha subido a Linux 6.6.26, se han añadido más controladores para mejorar la compatibilidad con dispositivos externos y se ha corregido un error que evitaba que el WiFi funcionara en la Raspberry Pi 400.

Actualizaciones de herramientas

• Anonsurf 4.2: Estabilidad mejorada y problemas corregidos en el script lanzador para mejorar el anonimato y la experiencia del usuario.
• La ventana emergente de recordatorio de actualización fue reintroducida en el sistema para ayudar a mantener el sistema actualizado.
• nmap: Parcheado para corregir varios errores en su script lua de escaneo mssql.
• burpsuite 2024.2.1.3: Actualizado a la última versión y corregida una inconsistencia en la versión de java en algunas máquinas.
• sqlmap 1.8.3: Actualizado a la última versión para mejorar las capacidades de detección y comprobación de inyecciones SQL.
• sslscan 2.1.3: Actualizado a su última versión.
• zaproxy 2.14: Nueva versión que proporciona herramientas mejoradas de comprobación de la seguridad de las aplicaciones web.
• netexec 1.1.1: Introducido para reemplazar a la herramienta crackmapexec. Netexec puede utilizarse como sustituto de crackmapexec y ofrece las mismas funciones.
• metasploit 6.4.6: Actualizado con nuevos exploits y herramientas de pruebas de penetración mejoradas.
• woeusb-ng 0.2.12: Actualizado para mejorar la creación de unidades USB de arranque a partir de archivos ISO de Windows.
• volatility3 1.0.1: Actualizado para mejorar las capacidades forenses y de análisis de memoria.
• rizin 0.7.2: Nueva versión que proporciona herramientas y funciones mejoradas de ingeniería inversa.
• powershell-empire 5.9.5: Actualizado para mejorar las capacidades del marco de trabajo posterior a la explotación.
• instaloader 4.11: actualizado a la última versión para mejorar el raspado y la descarga de datos de Instagram.
• gdb-gef 2024.1: Actualizado con nuevas características y mejoras para el plugin GDB Enhanced Features.
• evil-winrm 3.5: Versión mejorada para una mejor interacción con Windows Remote Management.
• bind9: Aplicada una importante actualización de seguridad.

Paquetes actualizados

• chromium: Se han aplicado las últimas actualizaciones de seguridad para garantizar una navegación segura.
• firefox: Actualizado con los últimos parches de seguridad para mejorar la seguridad y el rendimiento de la navegación.
• webkit: Incorporadas actualizaciones de seguridad para salvaguardar contra vulnerabilidades en el motor de enderizado web.
• golang 1.21: actualizado a la última versión, con mejoras de rendimiento y nuevas funciones.
• grub 2.12: Actualizado para mejorar la funcionalidad y seguridad del gestor de arranque.
• libc6 y glibc6: Actualizaciones de seguridad aplicadas para mejorar la estabilidad y seguridad del sistema.
• pipewire 1.0.5: Actualizado para mejorar el manejo del audio y el rendimiento.
• libreoffice 24.2: Nueva versión con funciones mejoradas y mejoras de seguridad para las aplicaciones de la suite ofimática.
• openjdk: Actualizaciones de seguridad aplicadas para mejorar la seguridad del entorno de ejecución Java.
• php8: se han incorporado actualizaciones de seguridad para mejorar el desarrollo web y la seguridad de las secuencias de comandos del lado del servidor.
• ruby 3.1: Actualizado con los últimos parches de seguridad para mejorar la seguridad y estabilidad del desarrollo.

Cómo obtener Parrot 6.1

Los usuarios existentes pueden actualizar a Parrot 6.1 abriendo un terminal y escribiendo sudo parrot-upgrade o la combinación habitual de Debian, es decir, sudo apt update && sudo apt full-upgrade. Para nuevas instalaciones, las imágenes se pueden descargar en su página web, que además han mejorado para facilitar su lectura.

code {background-color: rgba(255, 255, 0, 0.18); color: #d63384; padding: 1px 3px; font-family: monospace; border-radius: 2px;}

from Linux Adictos https://ift.tt/aGJ4NrR
via IFTTT

A mí no me gustan los paquetes de «nueva generación», a los que en algún momento tendremos que referirnos de diferente manera. Estaré nadando a contracorriente, pero no me gustan. Siempre que puedo, esté en la distribución que esté, uso los paquetes nativos, y evito tanto los snaps, de los que no hay ni rastro en mis Manjaros, como los flatpak. Esto ha cambiado recientemente, y el culpable tiene un nombre: Kodi, el todoterreno que, por si solo, nos sirve de centro multimedia.

La cuestión es que desde que lanzaron Kodi 21, yo he tenido pocas alegrías si las ponemos frente a frente con los problemas. Recientemente se me ha quedado mudo, a no ser que cambie la línea Exec de su archivo .desktop. Más recientemente he visto como algún complemento me decía que la versión de Python no era compatible, por lo que me decidí a probar la versión flatpak. De momento, toquemos madera, canela fina.

Por qué no me gustan los flatpak y snap

Hay un par de motivos. Creo que muchos estamos de acuerdo en que los paquetes nativos son lo mejor para cada distro, pero que yo no quiera usarlos no es sólo por eso. Lo primero es que no siempre funcionan bien, y aquí también puedo incluir el tema del diseño. Los desarrolladores crean su software para un escritorio u otro, predominando GNOME y KDE, pero, además de esto, a veces se ve muy mal. Que se lo pregunten a la versión beta de GIMP.

Otra cosa que no me gusta es el tema de las dependencias. Se «venden» como que no usan, pero eso no es verdad. Dicen que tanto flatpaks como snaps lo incluyen todo en un mismo paquete, pero aquí no se incluyen los tiempos de ejecución. Un programa de unos pocos megas puede llegar a superar el giga, siempre y cuando sea el primero que se instala. Cuando ya tenemos varios, los tiempos de ejecución se comparten y, entonces sí, un programa pesa lo que promete. Vamos, dependencias de toda la vida, pero un poco diferentes.

Los paquetes snap también dependen de otros para funciona y para garantizar su seguridad. Esto no quiere decir que sean más seguros que los flatpak, esto es algo que deberían decir los desarrolladores; quiero decir que hay montadas unas unidades de más siempre, y muchos rechazamos su uso.

Kodi en flatpak sí funciona

Como ya había mencionado, Kodi en su versión flatpak sí funciona. Recientemente, sus desarrolladores dejaron de ofrecer un repositorio para sistemas con base Debian, momento en el que pasaron soportar oficialmente su paquete flatpak. Es decir, lo más oficial de Kodi Team es lo que hay en Flathub. De momento no hay problemas con Python, ni de sonido ni nada de nada.

Así que es lo que tengo en mis dos equipos con Manjaro, y no lo uso en otras distros – como Raspberry Pi OS – porque de momento me sigue funcionando la de repositorios oficiales. Y como ya tengo instaladas todas o casi todas las dependencias que requerirán otros programas de Flathub, pues ya he dado el paso. Aunque seguiré evitándolos, o mejor dicho, seguiré priorizando los paquetes de la distro. En mi caso, lo que tengo es una opción más que me negaba a usar por los motivos descritos anteriormente…

… pero todo esto puede volver a cambiar. Dependerá de lo que pase en el futuro. Si dentro de un tiempo vuelve a ir todo bien en Kodi y no tengo muchos paquetes flatpak, volveré a hacerlo como hasta ahora. Ya lo hice una vez en el pasado, cuando me acostumbré a tirar más de AUR, pero ahora podría ser diferente. No lo sé. Esta situación me ha forzado a volver a probar, olvidarme del peso de las dependencias iniciales y sencillamente hacer uso de las opciones disponibles, que para eso existen los flatpak (y snap). Bien mirado, parece lo más inteligente. Y, por lo visto, yo no lo estaba siendo.

from Linux Adictos https://ift.tt/xUeZjBv
via IFTTT