Noticias Destacadas

Cisco corrige vulnerabilidades críticas en la solución ‘Cisco Security Manager’

Cisco ha publicado recientemente múltiples avisos de seguridad sobre vulnerabilidades críticas encontradas en la solución ‘Cisco Security Manager’ (CSM), las cuales podrían permitir que atacantes remotos no autenticados obtengan acceso a información confidencial en un sistema afectado.

‘Cisco Security Manager’ es una solución de administración de seguridad empresarial que brinda información y control sobre los dispositivos de red y seguridad de Cisco: dispositivos de seguridad, sistemas de prevención de intrusiones, firewalls, enrutadores, conmutadores, etc.

Las fallas de seguridad, identificadas como CVE-2020-27130, CVE-2020-27125 y CVE-2020-27131, fueron reportadas al equipo de respuesta a incidentes de seguridad de productos (PSIRT) de Cisco el 13 de julio del 2020.

Al momento, Cisco ha solventado dos (2) de las vulnerabilidades reportadas:

  • CVE-2020-27130: Podría permitir a un atacante descargar archivos arbitrarios del dispositivo afectado.
  • CVE-2020-27125: Podría permitir a un atacante ver credenciales estáticas, que podrían ser utilizadas para llevar a cabo más ataques.

Cisco también anunció que solucionará múltiples vulnerabilidades de deserialización de Java en la próxima versión de la solución ‘Cisco Security Manager’:

  • CVE-2020-27131: Podrían permitir que atacantes remotos no autenticados ejecuten comandos arbitrarios en una instancia afectada. No existen soluciones que aborden estas vulnerabilidades.

Productos afectados:

  • Cisco Security Manager v4.21 y versiones anteriores.

Recomendación:

Más información:

Vulnerabilidades críticas en productos Intel

El pasado 10 de noviembre Intel hizo público 40 avisos de seguridad que abordan vulnerabilidades críticas, altas y medias en una gran variedad de productos, pero entre los más importantes se tienen, errores críticos que pueden ser explotados por ciberdelincuentes no autenticados para obtener privilegios escalonados.

Entre las vulnerabilidades críticas se encuentra una falla en Intel AMT e Intel Standard Manageability (ISM), con identificador CVE-2020-8752, que se ubica en un 9,4 sobre 10 en la escala de vulnerabilidad y gravedad de CvSS, el cuál podría permitir que un usuario no autenticado habilite potencialmente escalada de privilegios a través del acceso a la red. La vulnerabilidad se da por un error que permite la escritura fuera de límites en el subsistema IPv6 para Intel (R) AMT, Intel (R) ISM en versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70, 14.0.45.

Otra vulnerabilidad crítica de seguridad se da por una restricción inadecuada del búfer en algunos productos Intel Wireless Bluetooth anteriores a la versión 21.110, bajo el identificador CVE-2020-12321, que puede permitir que un usuario no autenticado habilite potencialmente la escalada de privilegios a través del acceso adyacente. Intel ha lanzado actualizaciones de firmware y software para mitigar estas vulnerabilidades y los productos afectados son detallados en el Intel® Wireless Bluetooth® Advisory.

Intel también corrigió múltiples vulnerabilidades con severidad alta en varios de sus productos, como el Intel PROSet / Wireless Wi-Fi, con identificador CVE-2020-12313, CVE-2020-12318 y CVE-2020-12317, que pueden permitir ataques de denegación de servicio o que un usuario no autenticado habilite la escalada de privilegios a través del acceso físico.

En los productos de unidades de estado sólido (SSD) de Intel, bajo el identificador CVE-2020-12309, las credenciales insuficientemente protegidas en el subsistema en algunas SSD de cliente Intel (R) y algunas SSD de centro de datos Intel (R) pueden permitir que un usuario no autenticado habilite potencialmente la divulgación de información a través del acceso físico.

La mini PC Next Unit Computing (NUC) de Intel también tenía dos fallas de alta gravedad con los identificadores CVE-2020-12336 y CVE-2020-12337, que podrían permitir a los usuarios autenticados escalar privilegios.

Intel ha lanzado actualizaciones de firmware y software para mitigar estas y muchas más vulnerabilidades los cuales son detallados en su Intel® Product Security Center Advisories, en el cual detallan las recomendaciones de seguridad que deben aplicar sus clientes por producto, ante estas vulnerabilidades.

Más información:

  • https://www.intel.com/content/www/us/en/security-center/default.html
  • https://threatpost.com/intel-update-critical-privilege-escalation-bugs/161087/
  • https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00391.html
  • https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00403.html
  • https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00391.html
  • a-00362.html
  • https://www.tenable.com/cve/CVE-2020-12321

Plugin Ultimate Member de WordPress es vulnerable y permite control total de los sitios web

Un complemento de WordPress instalado en más de 100.000 sitios tiene tres errores de seguridad críticos que permiten escalar privilegios y, potencialmente, un control total sobre un sitio de WordPress de destino.

El complemento, llamado Ultimate Member, permite a los administradores web agregar perfiles de usuario y áreas de membresía a sus destinos web. Según los investigadores de Wordfence, las fallas hacen posible que tanto los atacantes autenticados como los no autenticados escalen sus privilegios durante el registro para alcanzar el estado de administrador.

«Una vez que un atacante tiene acceso administrativo a un sitio de WordPress, se ha apoderado de todo el sitio y puede realizar cualquier acción, desde desconectar el sitio hasta infectarlo aún más con malware», detallaron los investigadores de Wordfence en una publicación el lunes.

El primer fallo (pendiente de asignación CVE) tiene una calificación de 10 sobre 10 en la escala CvSS, radica en la forma en que los formularios de registro de usuarios realizan comprobaciones sobre los datos de usuario enviados. Un atacante no autenticado puede proporcionar claves meta de usuario arbitrarias durante el proceso de registro que afectan la forma en que se asignan sus roles.

«Esto significaba que un atacante podía proporcionar un parámetro para metadatos confidenciales, como el atributo wp_capabilities, que define el rol de un usuario», explicaron los investigadores de Wordfence. «Durante el proceso de registro, los detalles de registro enviados se pasan a la función update_profile, y cualquier metadato respectivo que se envió, independientemente de lo que se envió, se actualizaría para ese usuario recién registrado».

Wordfence

Esto significa que un atacante puede simplemente proporcionar «wp_capabilities [administrador]» como parte de una solicitud de registro, lo que le daría un rol de administrador.

Un segundo error relacionado (pendiente de asignación CVE) también crítico, con una clasificación de 10 sobre 10 en la escala CVSS surge de la falta de filtrado en el parámetro de función que podría proporcionarse durante el proceso de registro.

«Un atacante podría proporcionar el parámetro de función con una capacidad de WordPress o cualquier función personalizada de Ultimate Member y efectivamente recibir esos privilegios», según Wordfence. “Después de actualizar el meta del usuario, el complemento verificó si se proporcionó el parámetro de rol. Si es así, se procesaron algunas comprobaciones para verificar el rol que se está proporcionando «.

Wordfence.

Para explotar esto, los atacantes podrían enumerar cualquier rol de usuario final y proporcionar un rol con mayores privilegios mientras se registran en el parámetro de rol, según Wordfence. O a su vez, un atacante podría proporcionar una capacidad específica, antes de cambiar a otra cuenta de usuario con privilegios elevados.

El tercer fallo (pendiente de asignación CVE) es un problema de escalada de privilegios autenticados con calificación crítica que se ubica en el 9,9 de 10 en la escala de gravedad. Existe debido a la falta de controles de capacidad en la función de actualización de perfil del complemento, dijeron los investigadores.

«Debido al hecho de que Ultimate Member permitió la creación de nuevos roles, este complemento también hizo posible que los administradores del sitio otorguen roles secundarios de Ultimate Member para todos los usuarios», explicaron. «Esto tenía la intención de permitir que un usuario tuviera privilegios predeterminados para un rol integrado, como editor, pero también privilegios secundarios adicionales para ampliar las capacidades de un sitio de membresía utilizando Ultimate Member».

Wordfence

Siempre que se actualiza el perfil de un usuario, se ejecuta la función de actualización de perfil, que a su vez actualiza la función de miembro definitivo para cualquier usuario determinado. Los tres errores permiten a los atacantes escalar sus privilegios con muy poca dificultad y desde allí realizar cualquier tarea en los sitios web afectados. Se trata de vulnerabilidades críticas y graves que son fáciles de explotar, según los investigadores de Wordfence.

Se recomienda a los administradores de servidores y webmasters, actualizar el plugin Ultimate Elementor de WordPress a su última versión v2.1.12, disponible en el sitio oficial del fabricante.

Referencia:

Vulnerabilidad zero day en el kernel de Windows

Investigadores de Google reportan una vulnerabilidad zero day en el sistema operativo de Windows que actualmente está siendo explotada por ciberdelincuentes.

La vulnerabilidad identificada con el ID CVE-2020-17087, podría provocar un desbordamiento de búfer debido al truncamiento incorrecto de enteros de 16 bits del controlador de criptografía del Kernel de Windows (cng.sys) que surge debido al erróneo procesamiento del controlador de entrada y salida del dispositivo (IOCTL) que faculta a un ciberdelincuente local para escalar privilegios.

El zero day de Windows (aún no parcheado) se usa como parte de una cadena de exploits que también incluye un zero day de Chrome (parcheado en la versión 86.0.4240.111). El zero day de Chrome permite a los atacantes ejecutar código malicioso dentro de Chrome, mientras que el zero day de Windows, en la segunda parte de este ataque permite a los atacantes escapar del sandbox de Chrome, elevar sus privilegios y ejecutar código en el sistema operativo subyacente (Windows).

Según investigadores, el valor de la vulnerabilidad para los atacantes es alto, pero su explotabilidad es al menos algo más limitada de lo que podría parecer a primera vista. La creación de una cadena de exploits completa requeriría una condición inicial (como, una fuga de información) para llegar a la ejecución de código.

Se reportan como afectadas todas las versiones de Windows entre Windows 7 y la versión más reciente de Windows 10.

Microsoft no ha realizado una publicación oficial sobre un parche para esta vulnerabilidad, sin embargo, se espera que el zero day sea parcheado el 10 de noviembre, que es la fecha del próximo martes de parches de Microsoft.

Referencias:

Vulnerabilidad crítica en Adobe Flash Player podría permitir ataques RCE

Adobe ha publicado actualizaciones de seguridad para Adobe Flash Player para Windows, macOS, Linux y Chrome OS. Estas actualizaciones remedian una vulnerabilidad crítica en Adobe Flash Player registrada bajo el ID CVE-2020-9746. La explotación exitosa podría permitir la ejecución de código arbitrario en el contexto del usuario actual.

La vulnerabilidad existe debido a un error de desreferencia del puntero NULL al procesar contenido .SWF. Un atacante remoto puede crear un archivo .swf especialmente diseñado, engañar a la víctima para que lo reproduzca, desencadenar un error de desreferencia del puntero NULL y ejecutar código arbitrario en el sistema.

Adobe Flash suele ser uno de los objetivos favoritos de los ciberataques, en particular para los kits de explotación, los ataques de día cero y los esquemas de phishing.

Los productos afectados son las versiones 32.0.0.433 y anteriores de Adobe Flash Desktop Runtime (para Windows, macOS y Linux); Adobe Flash Player para Google Chrome (Windows, macOS, Linux y Chrome OS) y Adobe Flash Player para Microsoft Edge e Internet Explorer 11 (Windows 10 y 8.1).

Investigadores indicaron que “Para las organizaciones que no pueden eliminar Adobe Flash debido a una función crítica para el negocio, se recomienda mitigar el potencial de amenaza de estas vulnerabilidades evitando que Adobe Flash Player se ejecute por completo a través de la función killbit, establezca una política de grupo para desactivar la creación de instancias de Flash objetos, o limitar la configuración del centro de confianza que solicita elementos de secuencias de comandos activos”.

Se recomienda a los usuarios instalar las actualizaciones de los productos afectados a la última versión disponible 32.0.0.445 y seguir las instrucciones a las que se hace referencia en el boletín de Adobe. Como buena práctica de seguridad, se recomienda la remediación de los vectores de amenazas recurrentes o comúnmente explotables.

Referencias:

Versiones falsas de las aplicaciones Threema y Telegram ocultan spyware para comprometer las comunicaciones de los usuarios

A partir de una muestra de malware poco conocida, los investigadores de seguridad rastrearon un nuevo software espía de Android distribuido a través de aplicaciones de mensajería falsas como Threema, Telegram y WeMessage.

El malware es de APT-C-23, un grupo de piratas informáticos avanzados que llevan a cabo campañas de espionaje contra instituciones militares y educativas desde antes de julio de 2015. En abril de 2020, el investigador de seguridad MalwareHunterTeam tuiteó sobre un software espía para Android que tenía una tasa de detección muy baja en VirusTotal. Al examinar la muestra, los investigadores de ESET descubrieron que formaba parte del conjunto de herramientas de malware utilizado por el actor de amenazas APT-C-23.

Aproximadamente dos meses después, en junio, MalwareHunterTeam encontró una nueva muestra del mismo malware oculto en el archivo de instalación de la aplicación de mensajería Telegram disponible en DigitalApps, una tienda no oficial de Android.

Dado que su solución de seguridad fue una de las pocas que detectaron en la naturaleza el nuevo software espía de APT-C-23, ESET comenzó a investigar y descubrió que el software malicioso también estaba oculto en otras aplicaciones enumeradas en la tienda. Lo encontraron en Threema, una plataforma de mensajería segura, y en AndroidUpdate, una aplicación que se hace pasar por una actualización del sistema para la plataforma móvil.

Con Threema y Telegram, la víctima obtendría la funcionalidad completa de las aplicaciones junto con el malware, ocultando así la naturaleza maliciosa de las aplicaciones falsas. No obstante, una forma de identificar comportamiento sospechoso de estas aplicaciones es notar la diferencia en la interfaz gráfica de las aplicaciones.

Además, ahora puede leer notificaciones de aplicaciones de mensajería (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), robando efectivamente los mensajes entrantes. El software espía también puede grabar la pantalla (video e imagen), así como las llamadas entrantes y salientes a través de WhatsApp. También puede realizar llamadas de forma encubierta, creando una superposición de pantalla negra que imita un teléfono inactivo.

La recomendación de seguridad para los usuarios finales es siempre descargar e instalar aplicaciones de las tiendas digitales oficiales, como son Google Play Store y Apple App Store.

Referencia:

Raccoon, ataque que permite romper cifrado SSL/TLS

Un grupo de investigadores ha detallado una nueva vulnerabilidad de tiempo en el protocolo Transport Layer Security (TLS) que podría permitir a un atacante romper el cifrado y leer comunicaciones confidenciales en condiciones específicas. Acuñado «Raccoon Attack», el ataque del lado del servidor explota un canal lateral en el protocolo criptográfico (versiones 1.2 y anteriores) para extraer la clave secreta compartida utilizada para comunicaciones seguras entre dos partes. «La causa principal de este canal lateral es que el estándar TLS fomenta el procesamiento en tiempo no constante del secreto DH», explicaron los investigadores en un artículo. «Si el servidor reutiliza claves efímeras, este canal lateral puede permitir que un atacante recupere el secreto del premaster resolviendo una instancia del problema del número oculto».

Sin embargo, los académicos afirmaron que la vulnerabilidad es difícil de explotar y se basa en mediciones de tiempo muy precisas y en una configuración de servidor específica para ser explotada.

El uso de mediciones de tiempo para comprometer un criptosistema y filtrar información sensible ha sido el corazón de muchos ataques de tiempo, y Raccoon emplea la misma estrategia para el proceso de intercambio de claves Diffie-Hellman (DH) durante un protocolo de enlace TLS, que es crucial para intercambiar datos a través de un red pública de forma segura. Esta clave secreta compartida generada durante el intercambio permite una navegación segura en Internet, lo que permite a los usuarios visitar sitios web de forma segura al proteger las comunicaciones contra escuchas y ataques de intermediarios (MitM). Para romper este muro de seguridad, la parte malintencionada registra los mensajes de protocolo de enlace entre un cliente y el servidor, utilizándolos para iniciar nuevos protocolos de enlace con el mismo servidor y, posteriormente, midiendo el tiempo que tarda el servidor en responder a las operaciones involucradas en la derivación de los datos compartidos. llave.

Si bien Raccoon puede ser difícil de replicar en el mundo real, se descubrió que varios productos F5 eran vulnerables a una versión «especial» del ataque (CVE-2020-5929) sin recurrir a mediciones de tiempo observando directamente el contenido de las respuestas del servidor.
F5, Microsoft, Mozilla y OpenSSL han lanzado parches para frustrar el ataque al abordar la preocupación por la reutilización de claves efímeras. Por su parte, Mozilla ha desactivado los conjuntos de cifrado DH y DHE en su navegador Firefox, y el aviso de Microsoft recomienda a los clientes que deshabiliten TLS_DHE.

Con claves efímeras cruciales para garantizar el secreto hacia adelante, la investigación es otra razón por la que la reutilización de claves criptográficas puede socavar la seguridad. «Nuestro ataque aprovecha el hecho de que los servidores pueden reutilizar el exponente DH secreto durante muchas sesiones, renunciando así al secreto», concluyeron los investigadores.

Referencia:

Microsoft advierte de campaña ransomware en dispositivos Android

Microsoft advirtió a los usuarios el jueves pasado que ha detectado una pieza sofisticada de ransomware de Android que abusa de los servicios de notificación para mostrar una nota de rescate.

El ransomware de Android generalmente permite a los ciberdelincuentes obtener ganancias no cifrando archivos, como en el caso del ransomware dirigido a sistemas de escritorio, sino mostrando una nota de rescate en pantalla completa que es difícil de eliminar para el usuario.

Microsoft dice que esta familia de ransomware de Android en particular ha existido por un tiempo y sus desarrolladores han continuado realizando mejoras. Las variantes anteriores del malware abusaron de las funciones de accesibilidad de Android o de las ventanas de alerta del sistema para mostrar la nota de rescate. Sin embargo, Google ha tomado medidas para evitar el abuso de estas funciones, y algunos métodos utilizados por los atacantes pueden detectarse o pasarse por alto fácilmente.

En un esfuerzo por aumentar sus posibilidades de éxito, la última versión del ransomware de Android, que Microsoft rastrea como AndroidOS / MalLocker.B, utiliza una nueva técnica para mostrar la nota de rescate y hacer que sea más difícil de eliminar. La nota de ransomware suele ser un aviso policial falso que informa a la víctima que se han encontrado imágenes explícitas en su dispositivo y le indica que pague una multa en un plazo de 24 horas. El malware muestra la nota de rescate mediante una notificación de «llamada», que requiere la atención inmediata del usuario, combinada con el método de devolución de llamada «onUserLeaveHint ()» de la clase Activity, que se llama cuando una aplicación está a punto de pasar a segundo plano después de el usuario ha presionado la tecla de inicio en su teléfono inteligente, explicó el investigador de Microsoft Dinesh Venkatesan. Esto asegura que la nota de rescate continúe mostrándose en la pantalla independientemente de lo que haga la víctima.

Microsoft también señaló que detectó un fragmento de código en la última versión que aprovecha un módulo de aprendizaje automático de código abierto que permite a los desarrolladores cambiar el tamaño y recortar automáticamente una imagen en función del tamaño de la pantalla del dispositivo. Este código no parece usarse en las versiones actuales del ransomware, pero si se implementa por completo, garantizará que la nota de rescate se muestre en la pantalla sin distorsionarse, lo que, según Microsoft, hace que las amenazas sean más creíbles y aumenta las posibilidades de el rescate se paga.

Microsoft ha publicado un artículo con detalles técnicos sobre cómo funciona el malware y cómo las organizaciones pueden protegerse contra tales amenazas.

La recomendación de seguridad para los usuarios finales es descargar aplicaciones única y exclusivamente de la tienda oficial de Android, Google Play Store. De igual manera, es importante validar la reputación de la aplicación, disponible en la sección de comentarios de la tienda digital.

Más información:

Vulnerabilidad XSS presente en Django REST Framework

El investigador de seguridad Borja Tarrasa ha hecho público a través de un boletín de Red Hat Bugzilla un fallo de seguridad, para el cual un atacante podría realizar ataques de tipo Cross-site Scripting (XSS) en Django.

Esta vulnerabilidad, que afecta a versiones anteriores a la 3.11.2 y 3.12.0 de Django REST Framework, es etiquetada con el identificador CVE-2020-25626. Django REST Framework un conjunto de herramientas que permite el desarrollo de APIs web en este software de código abierto. Al utilizar la API navegable de Django REST Framework en las versiones afectadas no se filtran correctamente ciertos parámetros proporcionados por el usuario, esto podría permitir a un atacante inyectar etiquetas maliciosas y, de esta forma, explotar la vulnerabilidad XSS de manera remota sin necesidad de autenticación.

Algunas de las versiones afectadas son las siguientes.

  • cpe:/a:encode:django-rest-framework:3.11.1:
  • cpe:/a:encode:django-rest-framework:3.11.0:
  • cpe:/a:encode:django-rest-framework:3.10.3:
  • cpe:/a:encode:django-rest-framework:3.10.2:
  • cpe:/a:encode:django-rest-framework:3.10.1:
  • cpe:/a:encode:django-rest-framework:3.10.0:
  • cpe:/a:encode:django-rest-framework:3.9.4:
  • cpe:/a:encode:django-rest-framework:3.9.3:
  • cpe:/a:encode:django-rest-framework:3.9.2:
  • cpe:/a:encode:django-rest-framework:3.9.1:
  • cpe:/a:encode:django-rest-framework:3.9.0:

Se recomienda actualizar a la brevedad posible a las versiones 3.11.2 y 3.12.0 disponibles en su página oficial.

Referencia:

Fallos de seguridad en antivirus conocidos podrían poner en riesgo equipos Windows

Un antivirus es un software esencial para mantener la seguridad de las computadoras, especialmente cuando se conectan a internet. Se ejecuta en segundo plano y ante sospecha de riesgo bloquea y queda a la espera de las acciones del usuario. Normalmente, los antivirus son considerados como seguros pero en caso de ser vulnerables podrían aumentar el riesgo de infección, compromiso y propagación de malware en la red.

Según un informe de CyberArk Labs, graves vulnerabilidades en los antivirus sumado a los altos privilegios asociados a menudo con los productos antimalware los hacen más propensos a la explotación a través de ataques de manipulación de archivos, lo que da como resultado un escenario en el que el malware obtiene permisos elevados en el sistema.

El fallo afecta a los antivirus más usados en el mercado. El listado es el siguiente, con el correspondiente ID de vulnerabilidad que ha afectado a cada uno de ellos.

AntivirusVulnerabilidades
KasperskyCVE-2020-25043, CVE-2020-25044, CVE-2020-25045
McAfeeCVE-2020-7250, CVE-2020-7310
SymantecCVE-2019-1954
FortinetCVE-2020-9290
Check PointCVE-2019-8452
Trend MicroCVE-2019-19688, CVE-2019-19689 y otras tres vulnerabilidades sin ID asignado.
AviraCVE-2020-13903
Microsoft DefenderCVE-2019-1161

Dentro de las vulnerabilidades encontradas se destaca aquella que permite a un atacante eliminar archivos de cualquier parte del ordenador. El origen del fallo es la Discretionary Access Control Lists (DACL) y la carpeta ProgramData, que se usa por las aplicaciones para almacenar datos de usuarios estándar sin requerir permisos. Sin embargo, como el usuario tiene permisos para escribir y borrar en el directorio, cuando un proceso sin privilegios crea una carpeta en ProgramData, posteriormente esa carpeta puede usarse por un proceso que sí tenga los privilegios.

Así, un atacante podría ejecutar dos procesos: uno con privilegios y otro sin ellos que compartan el mismo archivo de registro en ProgramData. Con ello, se podría usar el proceso con privilegios para eliminar el archivo de ProgramData y crear un enlace simbólico que puede redirigir a cualquier lugar donde el atacante tenga el archivo con contenido malicioso.

Ádemás, un atacante podría aprovechar una falla de secuestro de DLL en Trend Micro, Fortinet y otras soluciones antivirus para colocar un archivo DLL malicioso en el directorio de la aplicación y elevar los privilegios, por tanto se insta a que las listas de control de acceso deben ser restrictivas para evitar vulnerabilidades de eliminación arbitrarias, CyberArk enfatizó la necesidad de actualizar los marcos de instalación para mitigar los ataques de secuestro de DLL.

Todos los fallos de seguridad han sido solucionados y se recomienda a los usuarios aplicar la última actualización disponible de sus antivirus.

Referencias:

1 4 5 6 13