Author: admin

Nou butlletí quinzenal de CSIRT-CV amb les notícies i alertes publicades en aquestes dues últimes setmanes.

Comencem amb una notícia referent a la importància de mantindre actualitzat el programari de tots els nostres dispositius informàtics, la qual cosa forma part de l’anomenat cicle de vida d’un producte, on el seu fabricant ens proporciona actualitzacions que milloren el rendiment i la seguretat, corregint les vulnerabilitats que van sent detectades. Però, arriba un moment en què finalitza aqueix cicle de vida i el fabricant deixa de proporcionar-nos actualitzacions correctives, la qual cosa ens obliga a canviar de dispositiu per un altre model més actual i que mantinga encara el suport tècnic. És el cas d’una notícia que publiquem referent a una vulnerabilitat crítica en alguns models d’encaminadors Cisco, els quals ja no rebran actualització i això obliga a substituir-los per altres models.

Mantindre al dia les actualitzacions ens ajudarà a evitar infeccions per malware (programari maliciós), que solen perseguir el robatori d’informació personal i credencials d’accés. És el cas del troià bancari Janeleiro, que té com a objectiu usuaris corporatius al Brasil de diferents sectors. Utilitza finestres emergents a manera de phishing per a suplantar entitats bancàries i robar les credencials d’accés.

Una altra manera d’infectar-nos amb algun malware és a través de la instal·lació d’aplicacions en els nostres dispositius, com s’evidencia en la notícia que publiquem on centenars de milers d’usuaris d’Huawei han sigut afectats per app malicioses. Una de les 10 aplicacions trobades en Huawei AppGallery compromeses amb codi maliciós va resultar ser el perillós troià Android.Joker, operant a través de la subscripció no autoritzada a serveis Premium. Es tracta d’una app maliciosa disfressada com una eina del sistema Android que permet als actors d’amenaces desplegar tota classe d’atacs, incloent-hi la inhabilitació del servei Google Play Protect, instal·lació de programari maliciós addicional, anuncis fraudulents i publicació de ressenyes falses.

També podem descarregar malware de manera involuntària quan busquem en Internet i descarreguem contingut des de fonts no fiables. Aquest és el cas de SolarMaker, un malware inclòs en plantilles empresarials de descàrrega gratuïta mitjançant redireccions en Google. El grup d’actors maliciosos darrere d’aquest RAT ha creat al voltant de 100.000 pàgines amb paraules clau com «template», «invoice», «receipt», «questionnaire» i «resume» per a atraure els usuaris. Quan la persona accedeix a la pàgina i clica en el botó de descàrrega, és redirigida a un lloc controlat pels ciberdelinqüents. Llavors es produeix la descàrrega del contingut maliciós.

Cal assenyalar que les vulnerabilitats són presents en tota mena de programari, i aquesta setmana hem vist la notícia d’un bug en WhatsApp que el fa vulnerable a atacs Man in the Disk, i que afecta els dispositius que utilitzen versions d’Android iguals o inferiors a la 9. Amb l’explotació d’aquesta vulnerabilitat l’atacant seria capaç de modificar les dades intercanviades entre l’aplicació i el disc, obtenint l’accés a totes les dades que es troben en l’emmagatzematge extern, incloses les converses, fotos o vídeos de WhatsApp. Per a solucionar aquest problema, WhatsApp ha llançat un pedaç de seguretat on s’estableix l’emmagatzematge de la seua aplicació en un “scoped storage”.

I per a concloure les notícies del nostre butlletí quinzenal, comentar-vos que ja ha finalitzat la nostra campanya: “10 consells per a NO ser víctima d’un frau del CEO”. Durant aquestes 2 setmanes us hem proporcionat una sèrie de recomanacions per a evitar que les organitzacions públiques i/o privades siguen víctimes d’aquesta mena de delictes, cada dia més freqüents, i que es valen de sofisticades tècniques d’enginyeria social perquè l’atac resulte reeixit.

Finalitzem aquest butlletí amb les alertes més importants sobre actualitzacions:

• • La publicació d’actualitzacions de seguretat de Microsoft, corresponent al mes d’abril, consta de 117 vulnerabilitats, classificades 19 com a crítiques, 89 com a importants i 9 sense severitat assignada.
  • Nova versió 5.7.1 per a WordPress que corregeix nombrosos errors i dos problemes de seguretat.
  • Vulnerabilitat crítica d’execució remota de codi en Pulse Connect Secure, per la qual cosa es recomana actualitzar tan prompte estiga la nova versió disponible.
  • Oracle ha publicat una actualització crítica amb pedaços per a corregir vulnerabilitats que afecten múltiples productes.
  • Vulnerabilitat crítica en el core de Drupal, per la qual cosa es recomana dur a terme les actualitzacions com més prompte millor.

La ciberseguretat és molt important, i per això recomanem mantindre’s informat, per a això podeu visitar els nostres portals CSIRT-CV i concienciaT, així com seguir-nos en les nostres xarxes socials Facebook i Twitter.

Una vegada més us fem arribar el nostre butlletí amb les notícies i alertes més destacades de les últimes dues setmanes.

Donat l’augment de casos relacionats amb el frau del CEO que s’estan produint en els últims mesos, des de CSIRT-CV hem llançat una nova campanya de conscienciació “10 consells per a NO ser víctima d’un frau del CEO” per a previndre aquest tipus d’estafes. Amb aquesta nova campanya es pretén destacar la importància de conscienciar a tots els empleats, tant d’organitzacions públiques com privades, per a no ser víctimes d’aquests enganys. Pots seguir els nostres consells diaris a través de les nostres xarxes socials Facebook i Twitter.

Durant aquesta quinzena ens féiem ressò d’una notícia relacionada amb un malware per a Android que es capaç de passar per una actualització del sistema. Destacar que l’aplicació que contenia el malware «System Update» no estava disponible a la botiga oficial de Google Play, sinó en botigues d’aplicacions de tercers. És per això que us recordem de nou la importància de no instal·lar aplicacions de repositoris desconeguts.

També destacàvem el “hacking” al repositori de codi font de PHP. Els ciberdelinqüents a més d’accedir al repositori, van aconseguir afegir una porta posterior al codi font d’aquest. Cal tindre en compte que PHP és el llenguatge del costat del servidor més usat i està en ús en el 79.1% de tots els llocs web, d’ací l’alarma provocada per la notícia.

Durant aquesta setmana hem tingut coneixement d’una notícia relacionada amb la famosa xarxa social Facebook. Segons conten en la notícia, més de 500 milions de comptes de Facebook s’han vist exposats en un lloc web de dubtosa reputació. Encara que sembla que la informació exposada és antiga, la notícia ha servit per a reobrir el debat  sobre la seguretat en aquesta i altres xarxes socials.

D’altra banda i mancant una solució definitiva, GitHub està eliminant comptes sospitosos ja que pel que sembla han patit una sèrie d’atacs contra la seua infraestructura, que haurien permés a ciberdelinqüents usar els seus servidors per a minat de criptomoneda.

Des d’INCIBE ens alerten que s’ha detectat una campanya d’enviament de correus electrònics fraudulents que suplanten l’Agència Tributària per a difondre malware. Aquest tipus de campanyes són habituals en aquesta època de l’any, ja que els cibercriminals aprofiten els dies d’inici de la campanya de la Renda per a intentar enganyar els usuaris. En aquesta ocasió l’assumpte del correu és: «Acció fiscal». En el cos del missatge se sol·licita a l’usuari que accedisca a la Seu Electrònica o descarregue un arxiu PDF per a accedir a una suposada informació fiscal. Els dos enllaços del correu, tant el de la seu com el de descàrrega de l’arxiu redirigeixen l’usuari a una pàgina web on es descarregarà el malware. L’arxiu maliciós té un nom aleatori, encara que segueix el mateix patró: «9 números aleatoris + .zip».

Finalment us anunciàvem que el Federal Bureau of Investigation (FBI) i la Cybersecurity and Infraestructure Security Agency (CISA), han emés un avís de ciberseguretat, alertant d’escanejos de vulnerabilitats en FortiOS per part d’actors d’amenaces persistents avançades. Això correspondria a una primera fase de reconeixement per tal de, a posteriori, dur a terme atacs en els sistemes vulnerables i aconseguir accés a les xarxes i infraestructures de les organitzacions objectiu.

Tanquem el butlletí amb els principals productes que han rebut actualitzacions rellevants durant aquesta quinzena:

• • Vulnerabilitat 0day en productes d’Apple
  • Múltiples vulnerabilitats crítiques en productes VMware, en les quals un atacant, amb accés a la xarxa, a l’API de vRealize Operations Manager, podria fer un atac SSRF per a robar credencials administratives.
  • Múltiples vulnerabilitats en productes de Cisco. S’han identificat 2 vulnerabilitats de severitat crítica i altres 2 de severitat alta, que podrien permetre a un atacant remot i no autenticat realitzar una escalada de privilegis o executar codi arbitrari.