Publicado el

Boletín de mayo 2022

Cómo cada mes, volvemos con un nuevo boletín en el que hablaremos de algunas normas sobre el uso seguro de medios tecnológicos, con el objetivo de reducir al mínimo nuestra exposición a las ciberamenazas.

La tecnología nos ha facilitado la vida, nos ha permitido un mayor acceso a la información y una mayor comunicación entre usuarios. No obstante, también conlleva una serie de retos y peligros que han de ser abordados para evitar accesos ilegítimos, extorsiones, robos de información, etc.

En este sentido, España se sitúa a la cabeza de ciberataques sufridos con 51.000 millones en 2021, seguida de Italia con 25.000 millones y Francia con 21.000 millones. Entre las principales amenazas, en España destacan los ataques de escritorio remoto y el phishing. Asimismo, los troyanos bancarios se multiplicaron en un 428% en los últimos 4 meses de 2021.

Con el objetivo de concienciar a las empresas sobre la importancia de permanecer seguros, el 5 de mayo se celebró el Día Mundial de la Contraseña. A este respecto, el 71% de las empresas españolas fueron víctimas de un ataque de ransomware o informático en 2021, tal y como recoge el informe de Sophos “El Estado del Ransomware 2022”. Entre los principales riesgos se encuentra el espionaje industrial o corporativo, consistente en el acceso a información sensible y/o confidencial sobre planes, productos, clientes o secretos comerciales de una empresa. Las PYMES suelen ser más vulnerables a este tipo de ataques ya que cuentan con menos recursos tecnológicos.

Un ejemplo de espionaje industrial lo encontramos en el famoso spyware Pegasus. Este software es diseñado para pasar desapercibido e intentar no dejar rastro. Es un software muy costoso que puede rondas el millón de euros por teléfono infectado. El análisis forense del dispositivo no garantiza que se pueda detectar. Este sistema ha sido utilizado para espiar, entre otros, a Pedro Sánchez y otros miembros del Gobierno. Según uno de sus ministros, hubo dos intrusiones en el teléfono móvil del presidente del Gobierno en mayo y junio de 2021. Se extrajeron de su terminal 2,6 gigas y 130 megas de datos.

Otro ejemplo claro de la necesidad de protegernos frente a las ciberamenazas ha sido el incidente sufrido por los ayuntamientos navarros por un ciberataque lanzado desde Lituania. La Asociación Navarra de Informática Municipal (ANIMSA), empresa pública perteneciente a 179 entidades locales de Navarra, sufrió un ciberataque en sus sistemas cuyo resultado ha sido la caída de alguno de sus servicios de correo electrónico, web municipales y sedes electrónicas.

Asimismo, agentes de la Policía Nacional han detenido a tres personas por la comisión de delitos bajo la modalidad hacktorsion, un sofisticado sistema que les permitía espiar en redes sociales o correos electrónicos, eliminar multas o deudas con la Agencia Tributaria. Operaban en las provincias de Córdoba, Badajoz y León, lo que les llevó a conseguir un lucro superior a 300.000 euros.

A modo de resumen, vamos a facilitar algunos CONSEJOS para mejorar la seguridad de los usuarios en el uso de medios tecnológicos. En este sentido, lo mejor es:

      • Establecer contraseñas robustas y seguras así como bloquear nuestro equipo, son pequeños gestos que contribuyen en gran medida a proteger la información con la que trabajamos.

Deben tener una cierta longitud (más de 8 caracteres) y contener información alfanumérica (dígitos, letras y caracteres especiales). Hay que evitar basarse en información personal (DNI, nombres de amigos, conocidos…) o utilizar patrones sencillos (12345).

      • No abrir correos sospechosos. Las campañas de phishing son muy habituales, y son una de las principales puertas de entrada de ciberataques. Un descuido tan sencillo como abrir un correo electrónico no deseado puede llevarnos a permitir el acceso a nuestro ordenador. Lo mismo ocurre con los archivos adjuntos y enlaces extraños. Ante la duda, debemos desconfiar.

Puedes encontrar cómo identificar el Phishing en el siguiente enlace CSIRT-CV

      • Hacer copias frecuentes de seguridad. Con esta acción protegeremos nuestra información y sistemas cuando seamos atacados. Además de realizar copias, debemos asegurarnos de resguardar las copias en lugar distinto del original para no perder todo a la vez. Podemos usar, por ejemplo, un disco duro externo.
      • No realizar operaciones privadas o de trabajo en redes públicas. Por ejemplo, una transferencia bancaria o el envío de información confidencial. Las redes públicas no suelen ser seguras. Se recomienda el uso de mecanismos de cifrado y redes privadas virtuales (VPN).
      • Cerrar la sesión al acabar. Aunque tengamos que volver a introducir la contraseña de nuevo, lo más recomendable es cerrar sesión para evitar que otros usuarios puedan entrar sin oposición.
      • Mantener actualizado el software y sistema operativo. El objetivo es la corrección de vulnerabilidades que pueden ser aprovechadas por los ciberdelincuentes. En el ámbito corporativo, dicha actualización deberá seguir las pautas y procedimientos prestablecidos. No se recomienda descargar o actualizar software sin autorización.
Publicado el

Boletín de abril 2022

Un mes más, volvemos con un nuevo boletín en el que trataremos los riesgos derivados del phishing y la necesidad de aumentar nuestra concienciación al respecto.

El correo electrónico se ha convertido en una herramienta imprescindible en el día a día profesional y personal. Las malas prácticas o la falta de atención pueden dar lugar a que el correo sea hackeado, o se convierta en una puerta de entrada de malware al ordenador. El correo electrónico es un servicio en el que prácticamente tenemos todo: comunicaciones de clientes, archivos adjuntos, datos de autenticación, documentos privados e información sensible, información confidencial de la empresa…

En este sentido, la formación y concienciación en materia de ciberseguridad se convierte en un pilar fundamental. Es importante tener en cuenta que más del 99% de los ataques dependen de la interacción humana para activarse, y el correo electrónico es el vector de amenaza más usado. Asimismo, la mayor amenaza para el usuario medio es el famoso phishing. A través de esta amenaza, los ciberdelincuentes envían mensajes suplantando la identidad de fuentes fiables (instituciones financieras, empresas como Zara o Amazon…) con el objetivo de solicitar y obtener información personal o bancaria.

Según el informe anual 2020-2021 de la Asociación Española de Empresas Contra el Fraude, AEECF, en España se han incrementado las estafas un 47% aproximadamente, con un especial protagonismo del phishing. La suplantación de identidad (58%) y los ataques de phishing (27%) son los tipos de fraude más comunes. A nivel corporativo, el 42% de los encuestados establece el importe medio defraudado entre 1.000 y 5.000 euros, mientras que el 21% lo sitúa por encima de los 50.000 euros. Asimismo, las Comunidades autónomas más afectadas han sido Cataluña (35%), Andalucía (25%) y Valencia y Madrid (10%).

Por su parte, tal y como afirma el estudio State of the Phish 2022, elaborado por Proffpoint, el 86% de las empresas encuestadas sufrieron ataques de phishing durante 2021 y un 80% confirma que los incidentes tuvieron consecuencias. Estas cifras suponen un coste medio de más de 1.422 euros por empleado.

A este respecto, LinkedIn (52%), DHL (14%) y Google (7%), son las marcas con más intentos de suplantación registrados en los tres primeros meses del año. En un ataque de phishing de marca, los atacantes intentan imitar la página web oficial de la empresa utilizando su nombre de dominio o una URL y un diseño web similar al de la marca oficial. El enlace que lleva a la página web falsa suele enviarse por correo electrónico. El sitio web falso suele tener un formulario destinado a robar las credenciales, los datos de pago u otra información personal del usuario.

En el último mes, se han identificado en España las siguientes campañas de phishing:

 

A modo de resumen, vamos a facilitar algunos CONSEJOS para mejorar la seguridad de los usuarios frente al phishing. En este sentido, lo mejor es:

      • Aprender a identificar qué correos son sospechosos de phishing: Verificando que el nombre e imagen de la empresa es la real; verificando el remitente desde el que se recibe el mensaje; evitando mensajes cuyo gancho sea la pérdida de la propia cuenta, entrega de un paquete…
      • No abrir enlaces de usuarios desconocidos o que no hayas solicitado: se recomienda eliminarlos directamente.
      • No utilizar los enlaces asociados a un correo perteneciente presuntamente a una entidad legítima: lo mejor es acudir al navegador y acceder directamente a la web oficial de la entidad.
      •  No descargar ficheros adjuntos de correos electrónicos desconocidos.
      • Contar con un antivirus, sistema operativo y navegador web actualizados.
      • No introducir tus datos en webs que no contengan el protocolo https://
      • Ante la mínima duda, ser prudente y no arriesgarse: Contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje antes de responder o hacerles caso.
Publicado el

Vulnerabilidades de ejecución remota de código en Windows

Introducción
Microsoft ha publicado parches para 128 vulnerabilidades con numeración CVE. Tres de ellas son vulnerabilidades de ejecución remota de código (CVE-2022-26809, CVE-2022-24491, CVE-2022-24497) con una puntuación CVSS de 9,8 [1].

Análisis

CVE-2022-26809 [2]

Esta vulnerabilidad se encuentra en la funcionalidad de Microsoft Server Message Block (SMB). El protocolo SMB se utiliza principalmente para compartir archivos y para la comunicación entre procesos, incluidas las llamadas a procedimientos remotos (RPC). Utilizando la vulnerabilidad, un atacante puede crear una RPC especialmente diseñada para ejecutar código en el servidor remoto con los mismos permisos que el servicio RPC. Microsoft recomienda configurar algunas reglas del firewall [3] para ayudar a evitar que esta vulnerabilidad sea explotada. Sin embargo, para los clientes que requieren esta funcionalidad, esta guía tiene una eficacia limitada.

CVE-2022-24491 y CVE-2022-24497 [4][5]

En sistemas donde el rol NFS está habilitado, un atacante remoto podría ejecutar su código en un sistema afectado con altos privilegios y sin interacción del usuario. Al igual que en el caso de RPC, esto suele bloquearse en el perímetro de la red. Sin embargo, Microsoft proporciona una guía sobre cómo el multiplexor de puertos RPC (puerto 2049) «es amigable con los firewall y simplifica el despliegue de NFS». Compruebe sus instalaciones y despliegue estos parches rápidamente.

Recomendaciones

Aplique los parches de Microsoft. Aplique también si procede las configuraciones de firewall recomendadas en [3]

Referencias

 

[1] Microsoft fixes actively exploited zero-day reported by the NSA (CVE-2022-24521) – Help Net Security


[2] CVE-2022-26809 – Security Update Guide – Microsoft – Remote Procedure Call Runtime Remote Code Execution Vulnerability


[3] Secure SMB Traffic in Windows Server | Microsoft Docs


[4] CVE-2022-24491 – Security Update Guide – Microsoft – Windows Network File System Remote Code Execution Vulnerability


[5] CVE-2022-24497 – Security Update Guide – Microsoft – Windows Network File System Remote Code Execution Vulnerability

Publicado el

Vulnerabilidad en Spring Core y Spring Cloud

Introducción
El pasado día 29 y 30 de marzo se detectaron dos vulnerabilidades que afectan a complementos de Spring. Uno es Spring Cloud y el otro es Spring Core. La vulnerabilidad de Spring Cloud tiene el identificador CVE-2022-22963, y la de Spring Core CVE-2022-22965. En ambas vulnerabilidades se permitiría a los atacantes ejecutar código arbitrario en la máquina y comprometer todo el host.

 

Análisis

La vulnerabilidad de Spring Cloud permite utilizar el parámetro spring.cloud.function.routing-expression de la cabecera de petición HTTP y la expresión SpEL para ser inyectada y ejecutada a través de StandardEvaluationContext.

Utilizando la funcionalidad de enrutamiento, es posible que un usuario proporcione una expresión de Spring Expression Language (SpEL) especialmente elaborada como expresión de enrutamiento para acceder a recursos locales y ejecutar comandos en el host.

Dado que Spring Cloud Function puede utilizarse en funciones sin servidor de la nube como AWS lambda o Google Cloud Functions, estas funciones también podrían verse afectadas.

Las versiones de Spring Cloud Function afectadas son las siguientes:

      • 3.1.6
      • 3.2.2
      • Las versiones más antiguas y no soportadas también se ven afectadas.

Explotando la vulnerabilidad es posible lograr el compromiso total del host o contenedor ejecutando comandos arbitrarios.

Según el sistema CVSS, tiene una puntuación de 9,0 como gravedad ALTA.

La vulnerabilidad de Spring Core parece afectar a las funciones que utilizan la anotación RequestMapping y los parámetros POJO (Plain Old Java Object). En ciertas configuraciones, la explotación de este problema es sencilla, ya que solo requiere que un atacante envíe una solicitud HTTP manipulada a un sistema vulnerable. Sin embargo, la explotación de diferentes configuraciones requerirá que el atacante realice una investigación adicional para encontrar cargas útiles que sean efectivas. Esta vulnerabilidad permite que un atacante no autenticado ejecute código arbitrario en el sistema de destino.
Las versiones de Spring Core afectadas son las siguientes:

      • JDK >=9

 

Recomendaciones

Para solucionar la vulnerabilidad de Spring Cloud, debería actualizar la aplicación a las versiones más recientes 3.1.7 y 3.2.3

Para solucionar la vulnerabilidad de Spring Core, se recomienda en primer lugar actualizar la aplicación a las versiones más recientes 5.3.18 o 5.2.20 dependiendo de la versión que el usuario utilice. Además hay 2 formas de mitigarla de forma temporal (WAF y en el Código Java). Se pueden encontrar en el enlace [2].

 

 

Referencias


[1] https://tanzu.vmware.com/security/cve-2022-22963

[2] https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html

[3] https://tanzu.vmware.com/security/cve-2022-22965

[4] https://sysdig.com/blog/cve-2022-22965-spring-core-spring4shell/

[5] https://unit42.paloaltonetworks.com/cve-2022-22965-springshell/