Menéame: comentarios [4018178]

#33 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--834546-- — Wed, 15 Jan 2025 09:35:47 +0000

...

» autor: --834546--

#32 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--834546-- — Wed, 15 Jan 2025 09:30:13 +0000

#31
Si te refieres a ruters backbone:

CISCO usa dhcpd heredado de BSD, de FreeBSD en concreto. Juniper BSD también, más tirando a netBSD/oBSD, de hecho llevan Packet Filter de OpenBSD mejorado y la interfaz CLI está basada en FreeBSD. Hay otras marcas en europa como Siemens, etc.

Si tienes más duda, le escribes un mail a cisco irlanda o juniper alcobendas y te la resuelven.

Aruba (HP) es una basura tercermundista que copia el tráfico a los mericanos, equiparable a Huawei con chips raros y rutas paralelas a china que no sabes dónde te has metido...eso, si eres experto en seguridad lo sabes hace más de 10 años.

Ubiquity y Aruba, son domésticos, sí.

» autor: --834546--

#31 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

carlesm — Wed, 15 Jan 2025 09:14:23 +0000

#30 Estaba hace más de 25. Ya tengo (en lo que queda de pelo) bastantes canas.

Casi todos los routers llevan Kea? Los Cisco? Aruba? Ubiquiti? Microtik? O te refieres a los routers/AP de las operadoras para doméstico?

» autor: carlesm

#30 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--834546-- — Wed, 15 Jan 2025 07:13:46 +0000

#14 kea es un demonio de dhcpv6 con conector sql pg/my y chorradas.

es el dhcpd que le faltaba a zebra (bsd/isc) y quagga (gnu, tristemente). quagga es un fork de zebra de hace más de 20 años. estabas tú hace 25 en la seguridad o solo en parte?

casi todos los ruters, incluídos los mitrastar de telefónica llevan eso o similar flasheado.
y la intefaz web con micro_httpd o thttpd, o similares de marca ACME acme.com/software/micro_httpd/

www.nongnu.org/quagga/index.html
docs.frrouting.org/en/latest/zebra.html

no nos pasemos de listos.

» autor: --834546--

#29 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

daphoene — Wed, 15 Jan 2025 00:44:19 +0000

#22 Creo que va más por lo que comento en #28

cc #21

» autor: daphoene

#28 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

daphoene — Wed, 15 Jan 2025 00:43:37 +0000

#17 Un servidor comprometido, puede estar enviando información periódica a un dominio que fuera del atacante inicial, y esperar y validar comandos de ese dominio por alguna puerta trasera específicamente creada para darle acceso a ese atacante inicial.

Si el atacante pierde el interés, y no renueva el dominio, alguien que lo compre puede empezar a recibir ese tráfico de los servidores comprometidos, lo que no tengo claro es cómo sabría el nuevo dueño del dominio cómo enviar comandos a esas máquinas, pero poder, podría hacerlo si supiera cómo funciona esa vulnerabilidad.

» autor: daphoene

#27 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

MADMax2 — Wed, 15 Jan 2025 00:00:26 +0000

#22 y no hace falta que usuarios vayan a logarse.
Puede haber mecanismos automáticos que envíen información a estos dominios y que no se desmantelasen cuando el dominio se dió de baja.

» autor: MADMax2

#26 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

MADMax2 — Tue, 14 Jan 2025 23:58:27 +0000

#17 hay históricos de registros DNS. Suelen ser de pago. Pero si se podría saber dónde estaban apuntando

» autor: MADMax2

#25 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

Emotivo — Tue, 14 Jan 2025 21:56:52 +0000

Todo tiene puertas traseras

» autor: Emotivo

#24 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

Lerena — Tue, 14 Jan 2025 20:57:35 +0000

#22

» autor: Lerena

#23 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

mariopg — Tue, 14 Jan 2025 20:38:01 +0000

hacer el mal siempre fue más fácil que hacer el bien, y más lucrativo

» autor: mariopg

#22 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

sillycon — Tue, 14 Jan 2025 20:12:06 +0000

#21 rediriges tu cocoguagua (por cierto, hazte mirar la próstata o hazte un mamografía, lo que proceda) a un servidor tuyo, simulas el interfaz o la API del sitio original, y todas las aplicaciones o usuarios de las mismas irán a ti a dejarte sus logins, sus datos o sus accesos a sus móviles. Y si la aplicación sigue activa, puedes hacer un MitM.

» autor: sillycon

#21 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

Lerena — Tue, 14 Jan 2025 20:02:41 +0000

Pues sinceramente no entiendo cómo comprar un dominio caducado puede dar acceso a nada. Pongamos que compro cocoguagua.com , a qué me daría acceso ?

» autor: Lerena

#20 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

mudito — Tue, 14 Jan 2025 18:38:22 +0000

#13 A mí me ha quedado claro que alguien ha hecho algo

» autor: mudito

#19 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

delacosa — Tue, 14 Jan 2025 18:19:51 +0000

#11 #14 #15 Perdón, se me ha ido la olla... será ya la edad. Gracias por la corrección.

Sí, yo me pasé hace unos meses a unbound+kea en lugar de bind+isc dhcp.

» autor: delacosa

#18 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

Carnedegato — Tue, 14 Jan 2025 18:10:28 +0000

#7 No tienes ni la más remota idea de lo que hablas.

» autor: Carnedegato

#17 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

BARCEL0NÍ — Tue, 14 Jan 2025 17:53:33 +0000

A ver, no soy megaexperto del tema pero lo que veo es lo siguiente:

-DNS en sus distintas implementaciones tiene vulnerabilidades (como todo). Parcheables (como todas las conocidas
)
-cuando un dominio expira, si lo renuevas tú puedes tener acceso a tener correos, webs, etc en ese dominio y por lo tanto autenticarte como si fueras la organización que tenía ese dominio.
-otro tema es que ese dominio haya sido usado por maleantes para desplegar C&C, y que intenten contactar con equipos (entradas tipo A o CNAME en el DNS) que usen ese dominio. Pero ahi no le acabo de ver el que, ya que no sabrias ni el cname utilizado, ni que C&C es , etc..

En definitiva, mucho ruido y pocas nueces... o hay algo que se me escapa

» autor: BARCEL0NÍ

#16 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

abnog — Tue, 14 Jan 2025 17:34:33 +0000

#13 Creo que lo puedes aplicar a todos sus comentarios.

» autor: abnog

#15 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

Sigo_intentandolo — Tue, 14 Jan 2025 17:31:59 +0000

#8 pero si kea es un dhcp... y la versión 9.18.32 de bind es de diciembre de 2024.

¿Tu sabes de lo que hablas? Sabes la diferencia entre dhcp y dns?

» autor: Sigo_intentandolo

#14 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

carlesm — Tue, 14 Jan 2025 17:30:14 +0000

#8 Ein? Kea es un sustituto de ISC-DHCP, no de bind.

» autor: carlesm

#13 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

carlesm — Tue, 14 Jan 2025 17:29:20 +0000

#7 Me dedico, en parte, a la seguridad y te aseguro que no he entendido ni la mitad de tu párrafo.

» autor: carlesm

#12 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

carlesm — Tue, 14 Jan 2025 17:27:25 +0000

#3 Eso no son puertas traseras. Son vulnerabilidades debidas a errores de programación. Las puertas traseras son "agujeros" deliberados en los sistemas que permiten accesos no regulados (comprometerlos), normalmente creadas en el supply-chain (por el fabricante o la operadora en la mayor parte de casos).

» autor: carlesm

#11 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--419859-- — Tue, 14 Jan 2025 17:17:56 +0000

#8 ¿Cómo que bind lleva años sin mantenimiento?

» autor: --419859--

#10 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--419859-- — Tue, 14 Jan 2025 17:15:24 +0000

#1 A ver si extiendes la información que mencionas, porque si no queda un poco, como decirlo así en frío, poco creíble.

edit: veo que en #3 mencionas unos CVE. Creo que tienes que revisar tu concepto de "puerta trasera".

» autor: --419859--

#9 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--752879-- — Tue, 14 Jan 2025 17:00:42 +0000

#7 sin ánimo de ofender, creo que has visto demasiadas películas de Hackers.

» autor: --752879--

#8 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

delacosa — Tue, 14 Jan 2025 16:55:55 +0000

#3 Bind lleva años sin mantenimiento porque no daba para más (muy venerable y estable, pero cuesta más mantenerlo que empezar de cero).
La recomendación de ISC es pasarse a KEA, la nueva implementación.

- www.isc.org/kea/
- cve.mitre.org/cgi-bin/cvekey.cgi?keyword=isc+kea

» autor: delacosa

#7 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--834546-- — Tue, 14 Jan 2025 13:52:10 +0000

#6 comprendo, pero yo te hablo de que el sistema DNS está abierto en canal, como otros protocolos, desde capa física a capa de aplicación (ISO/OSI) de hecho es así desde su concepción y desarrollo (la privacidad... no existe). Hace algunos años ICANN decidió otorgar tarjetas de seguridad a unos miembros que se reunirían x veces al año^/s para cambiar claves u otro tipo de gestiones, pero ni siquiera ese nivel de seguridad avalado por credenciales y personal es suficiente para según que agencias militares (MI6, etc) retengan y procesen el tráfico. A mí también me gustaría creer en la privacidad, pero conociendo el mundo, es mejor que las comunicaciones sean transparentes... todos los cifrados, rotos. ni siquiera por cuántica, digital only. Date cuenta que C, la base de los sistemas y de todo es un lenguaje de medio-bajo nivel que es fácilmente atacable, no desde una perspectiva bug, sino desde una perspectiva, conjunto de vulns. En vez de hachazo piensa en matamoscas.

» autor: --834546--

#6 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

KaisserSozze — Tue, 14 Jan 2025 12:28:41 +0000

#3 Si me permites completo mi comentario en #5 con un ejemplo básico y simplificado (no digo que para que tú puedas entender pero para que todos puedan entender sobre la problemática del artículo y la diferencia entre autenticación y autorización).
Una empresa de acceso restringido confía en Pepe, para identificarse en esa empresa Pepe usa una tarjeta de identificación suya (el dominio). Pepe ya no quiere la tarjeta y la tira (caduca el dominio), la empresa no da de baja la identificación de Pepe. Juan pilla la tarjeta (registra el mismo dominio) y se presenta en la empresa, a todos los efectos para la empresa Juan es identificado como Pepe, es fallo de autenticación, una puerta trasera.
Un fallo de autorización, como una escalada de privilegios, sería si Pepe, que no tiene acceso a ciertas áreas de la empresa, logra de algún modo cambiar eso (escalada de privilegios). Pepe sigue siendo Pepe, no hay fallo de autenticación, pero ahora Pepe puede hacer cosas que no debería, es un fallo de autorización.

» autor: KaisserSozze

#5 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

KaisserSozze — Tue, 14 Jan 2025 11:54:31 +0000

#3 Todo lo que nombras son vulnerabilidades, pero no todas las vulnerabilidades son puertas traseras (fallos o bypass de autenticación). No confundamos autenticación con autorización. Escalado de privilegios o ejecución remota son privilegios/permisos en un sistema, es decir, autorización. Autenticación es la identificación de usuarios o sistemas, no los privilegios que estos tienen.

» autor: KaisserSozze

#4 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--834546-- — Tue, 14 Jan 2025 11:15:52 +0000

lo jodido es cuando se abra la cebolla de TOR, va a haber lagrimones.

» autor: --834546--

#3 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--834546-- — Tue, 14 Jan 2025 11:13:45 +0000

#2 memoria, ejecución remota, escalación de privilegios y las que me guardo.

cve.mitre.org/cgi-bin/cvekey.cgi?keyword=isc+bind

todo transparente...

» autor: --834546--

#2 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

KaisserSozze — Tue, 14 Jan 2025 11:09:43 +0000

#1 No soy un experto en el tema, pero creo que las vulnerabilidades de isc en Bind no son puertas traseras, mas bien son vulnerabilidades que puede provocar denegaciones de servicio, pero no te dan acceso, es decir, no son agujeros de autenticación. De la otra que nombras no tengo idea.

» autor: KaisserSozze

#1 Más de 4.000 puertas traseras activas controladas mediante dominios caducados: una amenaza latente

--834546-- — Tue, 14 Jan 2025 10:11:51 +0000

el propio software de DNS tiene puertas traseras: isc/bind ... bernstein/djbdns
incluso cebolleo/TOR!

» autor: --834546--