Publicado el

Campaña de concienciación para no ser víctima de un fraude del CEO

Dado el aumento de casos relacionados con el fraude del CEO que se están produciendo en los últimos meses, desde CSIRT-CV lanzamos esta nueva campaña10 consejos para NO ser víctima de un fraude del CEO” con el objetivo de intentar no caer en esta estafa.

Este tipo de engaño consiste en hacer llegar un correo, remitido supuestamente por un superior de la organización, a un empleado que tenga la posibilidad de realizar transferencias o acceder a datos de cuentas, presionándole para realizar alguna operación financiera e indicándole que es confidencial y urgente.

Con esta campaña se pretende destacar la importancia de concienciar a todos los empleados, tanto de organizaciones públicas como privadas, para no ser víctimas de estos engaños. Los miembros de la organización deberían ser la primera barrera ante estos timos, los cuales cada vez son más difíciles de detectar.

Últimamente, los casos descubiertos estaban perfectamente organizados y los correos eran muy creíbles dado el nivel de detalle que presentaban.

El objetivo principal de esta campaña es evitar que se produzcan pérdidas económicas debidas a este delito y sobre todo, que seamos conscientes de los peligros a los que estamos expuestos en nuestro puesto de trabajo. #FraudeCEO #concienciaT

Visita nuestro portal concienciaT y nuestras redes sociales en Facebook y Twitter para seguir nuestros consejos diarios.

Publicado el

Boletín 13/03/2021 – 26/03/2021

Una vez más os hacemos llegar nuestro boletín con las noticias y alertas más destacadas de las últimas dos semanas.

Abrimos el repaso aprovechando la progresiva vuelta a la normalidad del SEPE tras el reciente ciberataque para insistir en la necesidad de tomar medidas contra el malware y concretamente el ransomware. Para ello el CCN ha publicado unos checklists específicos contra el ransomware, el cual se puede utilizar junto a nuestras habituales recomendaciones para no ser víctimas de estos ataques:

    • Herramientas antivirus y anti-ransomware (como puede ser MicroClaudia)
    • Segregación estricta de redes y protección de carpetas compartidas
    • Copias de seguridad aisladas
    • Software actualizado
    • Potente formación y concienciación a los empleados

Si todo lo anterior aun no hace despertar la conciencia acerca de los riesgos del ransomware, no podemos dejar de comentar el reciente ataque a Acer, en el cual piden un rescate de 50 millones de dólares, el más grande hasta la fecha por este tipo de infección.

Si bien muchas veces parece que los crímenes en la red quedan impunes, noticias como la siguiente merecen toda la difusión posible: ha sido condenado a 3 años de prisión el culpable del hackeo a múltiples cuentas de Twitter con el fin de estafar bitcoins a los seguidores de dichas cuentas. Como muchos recordarán, el ataque fue muy sonado debido a que parte de los atacantes resultaron ser menores de edad que consiguieron acceso a cuentas tan representativas como las de Elon Musk, Apple, Uber o Bill Gates.

Cambiando de tema, queremos compartir con vosotros una serie de interesantes infografías que muestran como de respetuosas son las principales aplicaciones móviles con los datos de los usuarios. Además del habitual listado de las aplicaciones más intrusivas, también hay datos acerca de las más restrictivas.

Como ocio para estas pascuas y días festivos, os traemos dos alternativas:

    • Para los más técnicos, os recomendamos visitar Portswigger Web Security Academy. Se trata de una más de las muchas webs que existen para poner en práctica tus conocimientos sobre ciberseguridad. Todas las actividades se realizan en entornos de prueba con diferentes retos para todos los niveles.
    • Si tus preferencias son más literarias, recomendamos el estudio sobre la ciberseguridad y confianza del ciudadano en la red, publicado por red.es, el cual muestra como el nivel de ciberseguridad de los hogares, en lineas generales, mejora progresivamente a pesar de la aparición de nuevas amenazas.

Sin abandonar el plano más técnico, se ha publicado una mitigación para la reicente vulnerabilidad en servidores Exchange que puede ser aplicada como compensación al parche oficial, y se han publicado pruebas de concepto para las recientes vulnerabilidades en F5 BIG-IP/BIG-IQ.

Cerramos el boletín con los principales productos que han recibido actualizaciones relevantes durante esta quincena:

Publicado el

Boletín 27/02/2021 – 12/03/2021

Comenzamos con el resumen de las noticias y alertas de ciberseguridad más destacadas de esta última quincena.

Según los expertos, éste sería un año cargado de ransomware y no se ha hecho esperar. Se trata de Babuk, donde participan diferentes actores en la creación del código y su distribución posterior. Como viene siendo habitual, los atacantes amenazarán con publicar el contenido y pedirán un rescate. Por ahora, se han visto afectados diversos sectores como son la asistencia sanitaria, instituciones bancarias y financieras, hosting y transportes.

También han surgido nuevas versiones del troyano bancario Eventbot. La mayoría se centran en cambios en el algoritmo de cifrado, pasando a utilizarse el algoritmo ChaCha20 en lugar del RC4.

Otro troyano bancario que está afectando a muchos usuarios españoles es FedexBanker. Se distribuye como si se tratase una aplicación legítima del servicio de paquetería FedEx. La campaña de malware está propagándose a través de mensajes de texto (SMS), donde se proporciona un enlace a una falsa web de FedEx y se solicita instalar una app maliciosa, el citado troyano, para poder rastrear el paquete, supuestamente.

Por otra parte, se han vendido medio millón de registros médicos en la darkweb. Entre los datos afectados se incluyen nombres completos, domicilios, teléfonos, correos electrónicos y números de seguridad social. Y también detalles médicos confidenciales como tipo de sangre, nombre del médico asignado, compañía de seguros e incluso algunos datos de diagnóstico.

¿Sabías que tus contraseñas son la puerta de entrada a tu identidad en la red? No te pierdas el reciente post que hemos publicado en nuestro portal concienciaT. No encontrarás mejores aliadas para tu ciberseguridad. Y si quieres aumentar tu nivel de madurez en ciberseguridad y la confianza en el uso de la tecnología, consulta cada mes el post publicado en nuestra sección ¿Sabías que…?

Recuerda que CSIRT-CV, dentro del Plan Valenciano de Capacitación en Ciberseguridad, continúa impartiendo jornadas de concienciación destinadas a los centros de secundaria de la Comunidad Valenciana. El objetivo es que nuestros adolescentes sean capaces de identificar las amenazas a las que están expuestos y hacerles frente. Nueva modalidad online disponible, además de la presencial ya existente. Infórmate.

Respecto a la parte de alertas, destacan las siguientes:
    • Actualizaciones de Microsoft fuera de ciclo para solucionar hasta cuatro vulnerabilidades de tipo 0-day en Microsoft Exchange Server. Se recomienda instalar inmediatamente estas actualizaciones.
    • Actualizaciones de seguridad de Microsoft del mes de marzo. Un total de 89 vulnerabilidades, 14 de ellas críticas y 75 importantes.
    • Siete vulnerabilidades para el software BIG-IP y BIG-IQ de F5 han sido parcheadas, siendo cuatro de ellas de nivel crítico. Entre las vulnerabilidades se incluye una de ejecución de código remoto sin autenticación.
Publicado el

Vulnerabilidades críticas en BIG-IP y BIG-IQ de F5

A día 10 de marzo de 2021, varias vulnerabilidades para el software BIG-IP y BIG-IQ de F5 han sido parcheadas [2]. Entre las vulnerabilidades se incluye una de ejecución de código remoto sin autenticación [1].

ANÁLISIS
Se han corregido un total de siete vulnerabilidades siendo cuatro de ellas críticas. Las vulnerabilidades se han corregido en las versiones de BIG-IP 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, y 11.6.5.3. Las vulnerabilidades son las que se listan a continuación:

    • CVE-2021-22986 (CVSS score: 9.8) [3]: la interfaz REST de iControl posee una vulnerabilidad de ejecución de código remoto sin autenticación.
    • CVE-2021-22987 (CVSS score: 9.9 )[4]: durante la ejecución en modo Appliance,la Interfaz de Usuario de Gestión de Tráfico (TMUI), también referida como utilidad de Configuración, contiene una vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
    • CVE-2021-22988 (CVSS score: 8.8)[5]: TMUI, tiene una segunda vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
    • CVE-2021-22989 (CVSS score: 8.0)[6]: durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene otra vulnerabilidad más de ejecución de código remoto con autenticación en páginas no-publicadas.
    • CVE-2021-22990 (CVSS score: 6.6)[7]: durante la ejecución en modo Appliance con el firewall web avanzado (Advanced WAF) o proveedor ASM BIG-IP, la TMUI (utilidad de Configuración) tiene de nuevo otra vulnerabilidad de ejecución de código remoto con autenticación en páginas no-publicadas.
    • CVE-2021-22991 (CVSS score: 9.0)[8]: ciertas peticiones a servidores virtuales pueden ser procesadas de manera incorrecta por el Traffic Management Mikrokernel (TMM), que podría causar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir el rodeo del control de acceso basado en URL, o ejecución de código remoto.
    • CVE-2021-22992 (CVSS score: 9.0)[9]: una respuesta HTTP maliciosa hacia un WAF avanzado o un servidor BIG-IP ASM con una página de inicio de sesión podría disparar un desbordamiento de buffer, resultando en un ataque de denegación de servicio. En situaciones específicas también podría permitir ejecución de código remoto, resultando en el compromiso total del sistema.

El CVE-2021-22986 de ejecución de código remoto sin autenticación, también afecta a BIG-IQ (solución de administración de dispositivos BIG-IP), y ha sido corregido en las versiones 8.0.0, 7.1.0.3, y 7.0.0.2.

La explotación exitosa de las vulnerabilidades de ejecución de código remoto podrían dar lugar al compromiso total de los sistemas, incluyendo el interceptado de tráfico y movimiento lateral a través de la red.

RECOMENDACIONES
Actualizar los sistemas BIG-IP y BIG-IQ a una versión corregida tan pronto como sea posible [10].

REFERENCIAS

[1] https://www.bleepingcomputer.com/news/security/f5-urges-customers-to-patch-critical-big-ip-pre-auth-rce-bug/
[2] https://support.f5.com/csp/article/K02566623
[3] https://support.f5.com/csp/article/K03009991
[4] https://support.f5.com/csp/article/K18132488
[5] https://support.f5.com/csp/article/K70031188
[6] https://support.f5.com/csp/article/K56142644
[7] https://support.f5.com/csp/article/K45056101
[8] https://support.f5.com/csp/article/K56715231
[9] https://support.f5.com/csp/article/K52510511
[10] https://support.f5.com/csp/article/K84205182