Categoría: Boletines

Como novedad os traemos nuevos detalles sobre los cambios de contenido en los boletines del CSIRT-CV. A partir de ahora, los boletines no contendrán noticias de carácter técnico, sino que estarán enfocados a la ciudadanía y el público en general. Asimismo, incluirán consejos en materia de privacidad y uso seguro de Internet y las nuevas tecnologías. Su periodicidad será mensual.

Por otro lado, si eres un profesional del mundo TIC, o un amante de la ciberseguridad, puedes suscribirte también a nuestro boletín de alertas, donde encontrarás noticias de carácter más técnico sobre vulnerabilidades y amenazas relevantes, así como consejos o recomendaciones en la gestión de incidentes, uso de software, etc.

Para dar comienzo a esta nueva etapa, vamos a poner el foco en el mundo de las estafas. Tal y como alerta la Policía Nacional, se está viendo un repunte en las estafas en la modalidad de “smishing” y “vishing”. Ahora bien, ¿qué entendemos por una u otra modalidad? Pues el vishing es el fraude que se produce a través de una llamada telefónica cuyo objetivo es conseguir tus datos personales o bancarios, mientras que el smishing es aquella estafa que pretende conseguir tus datos a través de WhatsApp, SMS o cualquier otra plataforma de mensajería móvil.

Asimismo, no debemos olvidarnos de los conocidos ataques de phishing: millones de correos que se envían indiscriminadamente esperando que “alguien pique”. En la actualidad, las estafas a través de correo electrónico están creciendo entre los inversores de Bitcoin. El creciente interés de los usuarios por el universo de las criptomonedas y el desconocimiento acerca de sus riesgos, está permitiendo a los cibercriminales redirigir a los usuarios a falsas plataformas de inversión con el objetivo de que se abran cuentas y realicen movimientos especulativos de alto riesgo.

Volviendo al tema vishing, se está alertando de una estafa telefónica en la que los criminales se hacen pasar por técnicos de Microsoft para acceder a archivos. La llamada comienza con un interlocutor hablando en inglés que te dice estar llamando de Microsoft Corporation, y que te pregunta si hablas español para pasarte con otro operador. Este técnico te pide que abras tu ordenador e instales un programa que, en realidad, es malicioso, y que le permite controlar tu ordenador remotamente.

Por su parte, en relación al smishing, se está alertando de una estafa que afecta a los clientes del Banco Santander. En esta estafa te envían un SMS simulando ser el mismo remitente que el de la entidad bancaria, y en el que te muestran los últimos dígitos de tu tarjeta para que des fiabilidad al mensaje. Tras esto, aseguran no reconocer el acceso y solicitan que pinches en un link e introduzcas tus datos.

Ahora bien, estos no son casos aislados, sino que también se han detectado mensajes fraudulentos suplantando la identidad del Servicio Público de Empleo Estatal (SEPE). De acuerdo con el SEPE, se trata de un fenómeno phishing que puede llegar a los usuarios a través de correo electrónico, WhatsApp y SMS. La estafa consiste en indicarte un pago que se ha realizado tras una actualización fallida de tus datos bancarios, por lo que se te solicita que actualices tus datos en un enlace.

Como podemos observar, los ciberdelincuentes han evolucionado mejorando su modus operandi hacia tácticas de difusión cada vez más selectivas. Otros ejemplos de ello son:

• • • Las estafas a través de Apps para compartir coche. En este caso, el conductor “estafador” persuade a la víctima para continuar la conversación fuera de la aplicación móvil, normalmente a través de WhatsApp. El conductor alega ahorro en el pago de tasas o mal funcionamiento de la aplicación. A través de WhatsApp el conductor le comparte un enlace que le lleva a una página maliciosa para que reserve y hacerse con sus datos.

• • • Las estafas bancarias a través de la técnica SIM swapping. Esta es una técnica en la que los estafadores se dirigen a las compañías de telefonía móvil suplantando la identidad del usuario legítimo de la tarjeta SIM, y solicitando un duplicado de la misma con la excusa de que ha perdido la original o que ha dejado de funcionar, quedando inoperativa la tarjeta SIM de la víctima. ¿Cuál es el problema? Pues que el afectado no puede utilizar su tarjeta, consiguiendo los estafadores acceso a sus mensajes SMS de verificación de cuentas bancarias, a sus cuentas de moneda virtual, correo electrónico o redes sociales.

 

A este respecto, y como colofón final al boletín, vamos a facilitar algunos CONSEJOS para evitar riesgos y mantener alejados a los estafadores. En este sentido, lo mejor es:

• • • Ser prudente y desconfiar ante la mínima sospecha.
    • No instalar apps si no conoces completamente su funcionamiento.
    • No abrir mensajes ni archivos adjuntos de remitentes desconocidos.
    • No responder a aquellos mensajes que soliciten información personal (nombres de usuario y contraseñas, datos bancarios o de la seguridad social…).
    • No hacer clic en los enlaces de mensajes que no hayas solicitado.
    • Si es una llamada telefónica, no des información personal y verifica la legitimidad de la llamada a través del punto de contacto oficial.

Una quincena más os remitimos nuestro boletín con las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de que un ataque de denegación de servicio (DoS) deja a Corea del Norte sin Internet y genera fallas en todo el país. Los archivos de registro y los registros de red mostraron que los sitios web en los dominios web de Corea del Norte eran inaccesibles debido a que el Sistema de Nombres de Dominio (DNS) dejó de comunicar las rutas a seguir por los paquetes de datos.

Al mismo tiempo, los clientes de Vodafone Portugal fueron objeto de otro ciberataque que los dejó sin servicio durante todo el día. Este ciberataque afectó a los servicios esenciales de Vodafone, incluyendo televisión y móvil. El ataque alcanzó a cerca de 3.4 millones de hogares y casi 5 millones de dispositivos móviles. No se comprometieron datos de clientes.

Por otro lado, es de destacar el ataque a un aplicación 2FA que infectó a 10.000 víctimas a través de Google Play. La aplicación que funcionaba como autentificador 2FA contenía un troyano bancario, “Vultur Stealer”, cuyo objetivo era robar datos financieros del usuario gracias a los amplios permisos que ofrecía. Estuvo más de dos semanas en Google Play hasta que fue eliminada.

Dos infraestructuras críticas también son objeto de un ciberataque en Alemania, Oiltankin Group y Mabanaft Group. La primera de ellas se dedica a la gestión de tanques de almacenamiento en terminales para petróleo, gas y productos químicos, y la segunda, a la venta al por mayor y distribución de gasóleo para calefacción ,gasolina, diésel y combustible para aviones. Dicho ciberataque puso en jaque sus operaciones en el país teutón.

En cuanto a Microsoft:

• • • Ha restringido las macros de Excel 4.0 por defecto para contener malware. Aunque las macros son una gran utilidad de Excel para la realización de actividades repetitivas con facilidad, son un vector de ataque común para los ciberdelincuentes. Estos ataques de malware se ejecutan sin avisar.
    • Ha hecho frente al mayor ataque DDoS de la historia con 3.47 terabits y 340 millones de paquetes por segundo. Un cliente de Azure en la región asiática fue objeto del ataque masivo. La generación del tráfico malicioso estuvo distribuida entre unas 10.000 fuentes distintas de todo el mundo. Para llevar a cabo el ataque se usó la técnica de reflejado de paquetes UDP destinados a puerto 80, explotando distintos protocolos.

 

Por nuestra parte, informaros de la nueva edición 2022 de cursos gratuitos online de seguridad impartidos por CSIRT-CV a través de la plataforma SAPS. El plazo de matriculación está abierto desde el 31 de enero hasta el 31 de diciembre, ambos inclusive. Asimismo, informaros de la posibilidad de organizar Jornadas de Ciberseguridad en los centros de secundaria de Castellón, Valencia y Alicante, cuyo objetivo es aumentar el nivel de madurez en Ciberseguridad entre los adolescentes.

 

En lo que respecta a alertas y actualizaciones, las más relevantes son:

• • • Vulnerabilidad en IBM Security Verify Access. Vulnerabilidad crítica (CVE-2021-39070) del servicio de autenticación de control de acceso avanzado que permite a un atacante autenticarse como cualquier usuario del sistema.

• • • Vulnerabilidad crítica de tipo RCE en Samba (CVE-2021-44142). Esta vulnerabilidad de lectura/escritura de heap fuera de límites permite a los atacantes ejecutar código malicioso como root en las instalaciones de Samba afectadas que utilizan el módulo VFS vfs_fruit. Afecta a todas las versiones de Samba anteriores a la 4.13.17.

• • • Múltiples vulnerabilidades en productos Cisco. Vulnerabilidades críticas que podrían permitir a un atacante ejecutar código malicioso, escalar privilegios ejecutar comandos arbitrarios, omisión de autenticación, ejecutar software no firmado o denegar el servicio (CVE-2022-20699, CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20708, entre otras).

• • • Múltiples vulnerabilidades en IBM Planning Analytics. 11 vulnerabilidades que podrían causar impacto en la confidencialidad, integridad y disponibilidad, denegación de servicio, desbordamiento de búfer, acceder a directorios restringidos, o tomar el control del sistema (CVE-2021-38892, CVE-2020-2722, CVE-2021-36090, CVE-2021-2388, CVE-2021-2161, entre otras).

• • • Wocu Monitoring es vulnerable a Cross-Site Scripting (XSS) persistente. A esta vulnerabilidad se le ha asignado el código CVE-2021-4035. Esta vulnerabilidad ha sido resuelta por A3Sec en la versión 48.2 publicada el 03/12/2021.

• • • Vulnerabilidad de inicio de sesión en email Zimbra. Esta vulnerabilidad está permitiendo hackear medios y agencias gubernamentales. Los ciberdelincuentes usan phishing para ejecutar un ataque XSS a través de código de JavaScript, lo que permite el robo de cookies de sesión.

• • • Actualizaciones de seguridad de Microsoft de febrero de 2022. Estas actualizaciones solucionan 94 vulnerabilidades, entre ellas: denegación de servicio, escalada de privilegios, elusión de medidas de seguridad, o spoofing.

Como cada quincena, ponemos a vuestra disposición un nuevo boletín sobre las principales noticias relacionadas con el mundo de la ciberseguridad.

Iniciamos con el ciberataque masivo a varios sitios web del Gobierno ucraniano. Como resultado, los sitios web del Ministerio de Relaciones Exteriores y otras agencias gubernamentales permanecieron temporalmente inactivos. El CERT ucraniano señaló que el ataque podría haberse perpetrado explotando una vulnerabilidad en el CMS (CVE-2021-32648).

Cruz Roja también ha sido objeto de un ciberataque que ha comprometido información de unas 500.000 personas. Estos datos pertenecen a al menos 60 sociedades internacionales de Cruz Roja. La información filtrada procede de un programa llamado “Restoring family links”, cuya finalidad es ayudar a personas a reencontrarse con familiares tras catástrofes, conflictos o migraciones.

Asimismo, descubren varios sitios web falsos del Liverpool Football Club que instalan el malware «Donald Trump». En este sentido, especialistas en ciberseguridad reportaron la existencia de un empaquetador de malware empleado para entregar toda clase de troyanos de acceso remoto (RAT), así como el malware “Donald Trump” (DTPacker) destinado al robo de información.

Por otro lado, se descubren en España dos campañas de suplantación de identidad. En el primer lugar, se detectó una campaña de correos electrónicos fraudulentos que afecta a la Guardia civil cuyo objetivo era extorsionar a sus víctimas a través de la sextorsión. En segundo lugar, se detectó una campaña de SMS fraudulentos (smishing) contra Correos cuyo objetivo era redirigir a las víctimas hacia una web falsa para hacerles pagar unos gastos de envío de un supuesto paquete enviado.

 

En el entorno Google destacar:

• • • La creación de una nueva API para Privacy Sandbox con el objetivo de mejorar la privacidad de los usuarios. Esta API aumenta la transparencia y el control de los datos desde el propio navegador. No obstante, países como Alemania o Reino Unido se han mostrado reticentes a la propuesta por considerar que invade la privacidad de los usuarios.

• • • El nuevo método de Google Drive para detectar archivos maliciosos. Si un archivo cuenta en su interior algún tipo de malware, phishing o ransomware, el sistema lo detectará y avisará al usuario. Las advertencias se mostrarán en la previsualización.

 

Por último, mencionar que hoy (28 de enero) es el “Día de la Privacidad de la Información”. Su objetivo es concienciar y promover las mejores prácticas de privacidad y protección de la información. Se celebra actualmente en los EE.UU, Canadá, India y 47 países europeos.

 

En lo que respecta a alertas y actualizaciones, las más relevantes son:

• • • Dos vulnerabilidades críticas en Amazon AWS Cloud. Estas dos vulnerabilidades permiten la divulgación de archivos y credenciales de usuario. La primera vulnerabilidad reside en AWS CloudFormation, y la segunda, en AWS Glue.

• • • Vulnerabilidad crítica en Cisco Unified CCMP y CCDM. El fallo se encuentra en la interfaz de administración basada en web de Unified CCMP y Unified CCDM. Se debe a una falta de validación de los permisos de usuario del lado del servidor (CVE-2022-20658). Se ha solucionado en las versiones Unified CCMP / CCDM 11.6.1 ES17, 12.01 ES5 y 12.5.1 ES5.

• • • Múltiples vulnerabilidades en Moodle. Estas vulnerabilidades posibilitan la inyección SQL en el código de obtención de actividad h5p intentos de usuario (CVE-2022-0332), y el CSRF en la eliminación de la alineación de insignias (CVE-2022-0335).

• • • Múltiples vulnerabilidades en el core de Drupal. Se han publicado 4 vulnerabilidades de severidad media (CVE-2021-41183, CVE-2021-41182, CVE-2016-7103, CVE-2010-5312).

• • • Vulnerabilidad en el Kernel de Linux (CVE-2022-0185). La vulnerabilidad se encuentra en el sistema Filesystem Context, concretamente en la función legacy_parse_param. Los atacantes pueden aprovechar un movimiento de escape de contenedor y obtener control del sistema operativo del host y los contenedores que se estén ejecutando.

• • • Omisión de autentificación en ManageEngine Desktop Central. Esta vulnerabilidad podría permitir a un atacante remoto realizar acciones no autorizadas en el servidor (CVE-2021-44757).

• • • Vulnerabilidad de escalada de privilegios local en pkexec de polkit (CVE-2021-4034). Se descubre una vulnerabilidad de corrupción de memoria en pkexec de polkit, un programa SUID-root que se instala por defecto en todas las distribuciones principales de Linux.

• • • Limitación incorrecta de la ruta a un directorio restringido en Liferay Portal. Vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (path traversal) en Hypermedia REST APIs de Liferay Portal. Esta vulnerabilidad podría permitir a un atacante remoto acceder a archivos fuera de com.liferay.headless.discovery.web/META-INF/resources a través del parámetro ‘parameter’.

• • • Vulnerabilidad en el navegador SAFARI. Vulnerabilidad crítica que permite la filtración de datos confidenciales del usuario, incluyendo registros del historial de navegación y cuentas de Google vinculadas. El error reside en la implementación de IndexedDB de Safari en Mac e iOS, por lo que un sitio web puede ver los nombres de las bases de datos de cualquier dominio.

• • • Actualizaciones críticas en Oracle. Esta actualización resuelve 497 vulnerabilidades, algunas de las cuales son críticas. Las vulnerabilidades afectan a Oracle Database o a Oracle Fusion Middleware, Oracle Solaris …

Nuevo boletín quincenal donde os comentamos las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con dos noticias que afectan al Sector Educativo y, más concretamente, a la Universidad Oberta de Cataluña y a otras 8.000 escuelas en todo el mundo. En ambos casos, un ransomware interrumpió temporalmente el acceso de los usuarios al Campus Virtual y otras plataformas académicas. Al ser un servicio esencial, la educación se encuentra entre los objetivos favoritos de los cibercriminales.

Al mismo tiempo, T-Mobile informó de un ataque por ransomware que desembocó en una filtración de datos. En este caso, los ciberdelincuentes lograron acceder a distintos datos (nombres de cuenta de facturación, números de teléfono y de cuenta, datos del plan contratado…), así como a tarjetas SIM, lo que les permitió poder cambiar los números de teléfono asociados y obtener control total.

Por otro lado, es de destacar la funcionalidad del malware RedLine Stealer. Este malware permite robar contraseñas y vulnerar cuentas de usuario, atacando la función de administración de contraseñas, la cual suele estar deshabilitada por defecto. Afecta a varios navegadores, concretamente, a aquellos basados en Chromium (Chrome, Opera o Edge) y Gecko (Firefox y otros).

Asimismo, se ha descubierto una estafa perpetrada por varios ciberdelincuentes que se hacían pasar por corredores de bolsa. Estos cibercriminales lograron desviar unos 50 millones USD en más de 10 años, y solían anunciar falsas oportunidades de inversión con el fin de pedir dinero a los usuarios interesados. Sus sitios web fraudulentos llegaron a aparecer entre los principales resultados en las búsquedas de Google.

Por nuestra parte, es de destacar la finalización de la campaña “Diez recomendaciones de ciberseguridad para equipos domésticos”, que ha tenido como objeto concienciar a los usuarios sobre los peligros y medidas necesarias para proteger sus equipos y la información valiosa que contienen.

 

En lo que respecta a alertas y actualizaciones, las más relevantes son:

• • • El bug de Microsoft Exchange que bloquea correos electrónicos. El desbordamiento de la variable de almacenamiento de las fechas de los análisis del antivirus FIP-FS de Microsoft de Exchange provocó que los correos electrónicos se quedaran en cola sin salir del servidor.

• • • Múltiples vulnerabilidades en Microsoft Teams. Se descubren varias vulnerabilidades de tipo server-side request forgery (SSRF) que permiten a un atacante realizar peticiones HTTP a los dominios de su selección desde el servidor de la aplicación. Estas vulnerabilidades SSRF pueden ser utilizadas para escanear puertos y servicios HTTP internos y enviar peticiones payload de Log4Shell a todos ellos, tratando de explotar los servicios que no están expuestos a Internet.

• • • Múltiples vulnerabilidades en router Netgear Nighthawk RAX43. Se identifican seis vulnerabilidades de severidad crítica (CVE-2021-20166; CVE-2021-20167; CVE-2021-20168; CVE-2021-20169; CVE-2021-20170; CVE-2021-20171).

• • • Actualizaciones de seguridad de Microsoft. Se identifican varias vulnerabilidades críticas que requieren actualizaciones para recursos como: .Net Framework, Microsoft Dynamics, Microsoft Certificates, entre otros. Las vulnerabilidades publicadas se corresponden con ataques DoS, escalada de privilegios, divulgación de información…

• • • Actualización de seguridad 5.8.3 para WordPress. Se han publicado 4 vulnerabilidades de tipo Store XSS, Object Injection y SQL Injection.