Categoría: Boletines

Os remitimos otra quincena más nuestro boletín con las principales noticias relacionadas con la ciberseguridad.

Comenzamos con la noticia de que la empresa Quickfox, servicio gratuito de VPN, ha expuesto accidentalmente información sensible de un millón de usuarios de su plataforma. El origen del problema fue un fallo de configuración de las restricciones de acceso a ElasticSearch del sistema ELK (ElasticSearch, Logstash y Kibana). Entre los datos expuestos, vemos: nombres, números de teléfono, dispositivos de acceso, direcciones IP, e incluso, contraseñas almacenadas “hasheadas” utilizando MD-5.

Por otra parte, un cibercriminal logra acceder a los sistemas del Registro Nacional de las Personas en Argentina (RENAPER), organismo encargado de la identificación y registro de sus ciudadanos, exponiendo miles de registros confidenciales de políticos, celebridades y ciudadanos argentinos, y amenazando con exponer más datos si no se paga un rescate de 17.000 USD en bitcoin.

También se ha destapado una campaña de estafa global de SMS Premium “Ultima SMS”, presente en más de 80 aplicaciones de “Google Play Store”, y que engaña a los usuarios para que se suscriban a SMS premium. Una vez descargadas, estas aplicaciones comprueban la ubicación del dispositivo, el IMEI y el número de teléfono para determinar en qué idioma mostrar la estafa. A pesar de producirse la suscripción SMS premium, las funcionalidades anunciadas no se desbloquean.

Otra noticia importante hace referencia a los dispositivos con conexión a Internet. Se han detectado múltiples vulnerabilidades ZeroDay en dispositivos IoT de vigilancia de bebés, que permiten a los atacantes ejecutar código arbitrario. En este sentido, los atacantes pueden descubrir cámaras en buscadores IoT como Shodan y comprometerlas fácilmente.

Ante la situación actual vivida por la pandemia, se están produciendo múltiples fraudes de certificados de vacunación COVID-19 del Servicio Nacional de Salud de Ucrania. En este sentido, los cibercriminales accedieron a las bases de datos con el objetivo de modificar los registros sanitarios y evadir los controles de vacunación, ofreciendo certificados falsos a un precio de 100 euros aproximadamente.

En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:

• • El fallo de WordPress que permite restablecer y/o borrar sitios web vulnerables por medio del plugin “Hasthemes Demo Importer” al que solo pueden acceder administradores. Es necesario actualizar el plugin para corregir la vulnerabilidad.
  • Una vulnerabilidad crítica, de autenticación de GoCD permite a un atacante no autenticado extraer los tokens y otra información sensible. La solución está en actualizar a la nueva versión disponible.
  • Se ha descubierto que Garuda Linux realiza una creación y autenticación de usuarios muy insegura, ya que permite a un usuario suplantar la cuenta creada. El problema se ha solucionado con la nueva versión.
  • También se ha detectado una autenticación inadecuada en NGNIX Service Mesh de F5, pues permite a un atacante autenticado o no, acceder a snapshots. Se ha catalogado como una vulnerabilidad crítica y debe actualizarse a su última versión.
  • Posibles desbordamientos de búfer en productos HP (CVE-2021-39238). Se aconseja actualizar la versión de firmware correspondiente al modelo de impresora.
  • Prácticamente todos los compiladores de código y muchos entornos de desarrollo de software están afectados por las vulnerabilidades críticas encontradas en Unicode, ya que a través del exploit “Trojan Source” se puede hackear prácticamente cualquier software.
  • Múltiples vulnerabilidades críticas en Jenkins, debiendo actualizar cuanto antes para solucionarlas.

Una quincena más os remitimos nuestro boletín con las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de la toma de control del perfil de Facebook del USS Kidd, un buque de guerra de la armada de E.U. que “abandonó” sus publicaciones habituales para iniciar un supuesto streaming del videojuego Age of Empires. Todo quedó en una broma pero los operadores oficiales perdieron el control del perfil de Facebook.

Por otra parte, un ciberataque dejó sin servicio a la Universidad Autónoma de Barcelona y algunas clases virtuales tuvieron que cancelarse. Los técnicos responsables desconectaron los servidores y aplicaciones corporativas para evitar la propagación del malware.

Os alertamos de la última estafa que está circulando por WhatsApp y que está relacionada con la tercera dosis de la vacuna para COVID-19. Muchos usuarios están recibiendo un mensaje, suplantando a representantes de la Seguridad Social, solicitando un código de verificación para recibir dicha dosis. Si ofrecemos dicho código a los atacantes, podrían secuestrarnos y perder nuestra cuenta de WhatsApp.

Mucho cuidado también con la campaña que se ha detectado de envío de correos electrónicos fraudulentos, que tratan de suplantar a Correos mediante el uso de emails de phishing. El asunto del correo podría ser similar a “#Tu-paquete-ha_llegado!#”, “Tu-paquete-ha_llegado!!!”, “Tu-paquete-ha_llegado!” o “…..Tu-paquete-ha_llegado!”. En el propio mensaje se informa al usuario de que “No se han pagado los gastos de transporte de 4, 95 €” y debe organizar una nueva entrega a través de un chatbot para poder recibir el paquete.

Respecto a las alertas y actualizaciones más relevantes de la quincena han sido:

• • Nuevas vulnerabilidades críticas para Microsoft Windows: el pasado 12 de octubre se publicaron una serie de parches para corregir las 74 vulnerabilidades detectadas, tres de ellas de nivel crítico.
  • Graves fallos y hasta un zero-day tras el lanzamiento de Windows 11: un total de catorce vulnerabilidades han sido corregidas. La CVE-2021-40449 es la vulnerabilidad de día cero, que se está explotando activamente.
  • Vulnerabilidad corregida en iOS: Apple detectó una vulnerabilidad que afecta a varios de sus dispositivos. Se recomienda aplicar las actualizaciones cuanto antes.

Volvemos una quincena más con un nuevo boletín sobre las principales noticias del mundo de la ciberseguridad.

Empezamos nuestro boletin con la noticia del hackeo al sitio web “Bitcoin.org”. El ataque comenzó con un mensaje en una ventana emergente en la web, donde se informaba que los 10.000 primeros usuarios que respondieran al mensaje podían aprovecharse de una oferta y duplicar el total de activos de sus billeteras electrónicas. El mensaje incluía un código QR para acceder a una determinada billetera.

Otra noticia interesante es la relativa a la filtración de datos confidenciales sobre el estado de vacunación COVID-19 en Canadá que se ha producido a través de los códigos QR emitidos en los certificados de vacunación. La empresa “eHealth Saskatchewan” encargada de proporcionarl estos servicios electrónicos al sector sanitario, se ha visto obligada a solicitar la destrucción de dichos certificados de vacunación COVID.

Asimismo, varios expertos de Kaspersky han identificado intentos de infección -a través de malware y otros tipos de software malicioso- a usuarios que intentaban descargarse la nueva película de James Bond (“No Time to Die”).  También se han identificado intentos de phishing en los que se les pedía a los usuarios que se registrasen para poder seguir viendo la película. Durante este proceso se solicitaba a las víctimas sus datos bancarios.

También os informábamos acerca del reporte realizado acerca de una vulnerabilidad en “Apple AirTag”, cuya explotación permitiría a los ciberdelincuentes encontrar el número telefónico de un usuario, e incluso redirigirlo a sitios de phishing de iCloud y otras plataformas legítimas. Todo se debe a que el “modo perdido” del dispositivo no está protegido, y permite al atacante inyectar código en los campos de la función que genera los datos personales del propietario del móvil perdido.

Os recordamos que en octubre se celebra el Mes Europeo de la Ciberseguridad (ECSM),  mes durante el cual, la Union Europea realiza una campaña dedicada a promover la ciberseguridad entre los ciudadanos y las organizaciones de la UE y a proporcionar información de seguridad en línea actualizada mediante la sensibilización y el intercambio de buenas prácticas.

Por último, os anunciamos que esta semana hemos finalizado nuestra campaña de concienciación dirigida a docentes, en la que durante dos semanas, hemos publicado un consejo diario sobre un tema a trabajar con los alumnos, ofreciendo recursos que permitan asimilar mejor los contenidos de ciberseguridad. Puedes ver el detalle de nuestra campaña en nuestro portal de concienciación concienciaT.

Respecto a las alertas y actualizaciones más relevantes de la quincena:

• • Se han identificado múltiples vulnerabilidades “ZeroDay” que afectaban a dispositivos Iphone y Mac:
    – CVE-2021-30869. Fallo de confusión de tipo en el componente XNU que permite ejecutar código arbitrario con privilegios en Kernel.
    – CVE-2021-30858. Vulnerabilidad “Use-After-Free” (UAF) que permite a “Webkit” ejecutar código arbitrario en un sitio web con contenido malicioso.
    – CVE-2021-30860. Vulnerabilidad que permite ejecutar código arbitrario al procesar un PDF con contenido malicioso.
  • Netgear ha reportado 25 vulnerabilidades, todas ellas de severidad crítica, que podrían permitir a un atacante comprometer los productos afectados. Se recomienda actualizar a la versión de firmware más reciente.
  • Google también se ha visto sorprendida por otra vulnerabilidad ZeroDay en su última versión de “Chrome 94”. En este sentido, han tenido que lanzar un parche de emergencia. La vulnerabilidad detectada (CVE-2021-37973) afectaba a la API de Portals encargada de la transición entre páginas.

•  

Nuevo boletín quincenal donde os comentamos las principales noticias relacionadas con el mundo de la ciberseguridad.

Iniciamos con una noticia en la que un grupo de ciberdelincuentes han conseguido comprometer la red informática de las Naciones Unidas, con el fin de robar una gran cantidad de información que les permitiría atacar a otras agencias internacionales. Para ello, utilizaron un método poco sofisticado, que incluía usar nombres de usuario y contraseñas disponibles a la venta en la «dark web«. Al parecer, estas credenciales de acceso comprometidas pertenecían a cuentas de Umoja, un software de gestión de proyectos patentado por la ONU. Esta cuenta de Umoja utilizada por los ciberdelincuentes no estaba protegida con autenticación multifactor, por lo que les fue fácil pasar desapercibidos.

También el ransomware sigue siendo noticia. En esta ocasión, Olympus ha sido víctima del ransomware «Blackmatter» afectando a sus operaciones en Europa y Medio Oriente. El grupo de ciberdelincuentes opera como una plataforma de ransomware como servicio (RaaS). Esta clase de operaciones se dividen en desarrolladores de ransomware y afiliados, que colaboran con el fin de alcanzar a más víctimas y dividir enormes ganancias. En respuesta al incidente, Olympus movilizó un equipo de seguridad para interrumpir la infección y comenzar a identificar a los responsables. Hasta el momento, no se han revelado detalles adicionales sobre el ataque.

Con motivo del Día Internacional del Teletrabajo, celebrado el día 16 de septiembre, desde CSIRT-CV os facilitamos unos consejos para que puedas realizar tus funciones de una manera más cibersegura, ya que esta modalidad laboral sigue implantada en muchas empresas. Te invitamos a leer nuestra guía de seguridad en el teletrabajo.

Como viene siendo algo habitual en nuestros boletines, el phishing sigue presente en sus diferentes modalidades. En esta ocasión, se ha publicado una nueva ciberestafa en la que un grupo de cibercriminales está haciéndose pasar por una agencia de servicios de TI para enviar miles de emails de phishing que contienen un enlace para solicitar un supuesto “Pasaporte Digital de Coronavirus”. Este enlace redirigía a los usuarios a una plataforma falsa del Servicio Nacional de Salud (NHS) y tenía por objetivo recopilar información confidencial. El incremento de las estafas en línea es solo una más de las indeseables consecuencias que ha traído la pandemia.

Queremos alertar a los usuarios de dispositivos con el sistema Android, ya que se ha identificado un nuevo troyano bancario para Android con altas prestaciones que puede robar información personal y credenciales bancarias. Su objetivo son aplicaciones bancarias, carteras de criptomonedas y aplicaciones de compras. Los usuarios a los que va dirigido originalmente son usuarios de entidades de Estados Unidos y España. Antes de que el malware SOVA sea oficialmente una amenaza para las empresas financieras, los equipos de seguridad deben actuar ahora y considerar la implementación de una estrategia de seguridad móvil basada en el riesgo.

Y para terminar con las noticias de esta quincena, sabemos que estamos ante un nuevo curso escolar, lleno de ilusiones y expectativas para ir retomando la normalidad en el funcionamiento de las clases. Desde CSIRT-CV hemos iniciado esta semana una nueva campaña de concienciación, dirigida a los docentes, en la que durante dos semanas, publicamos un consejo diario sobre un tema a trabajar con los alumnos, ofreciendo recursos que permitan asimilar mejor los contenidos de ciberseguridad que se exponen. Puedes seguir esta nueva campaña desde nuestras redes sociales Facebook y Twitter a través del hashtag #EnseñaCiberseguridad.

Además, en este curso, seguimos con las acciones del Plan Valenciano de Capacitación en Ciberseguridad, que nos permite seguir concienciando en materia de Ciberserguridad a nuestros adolescentes, sus familias y sus docentes. Por tanto, este curso también continuamos con la realización de las jornadas presenciales y online que realizamos desde CSIRT-CV en los centros de secundaria de la Comunidad Valenciana. Esperamos que este curso escolar nos brinde la oportunidad de estar presentes en todos los centros que nos las soliciten. Puedes consultar toda la información en nuestra web concienciaT.

Respecto a las alertas y actualizaciones más relevantes de la quincena:

• • Microsoft publica las actualizaciones de seguridad correspondientes al mes de septiembre de 2021: Corrige 86 vulnerabilidades, clasificadas 3 como críticas, 62 como importantes, 1 como moderada y 20 sin severidad asignada (de Microsoft Edge). La solución consiste en instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.
  • Actualización de seguridad de SAP de septiembre de 2021: Las actualizaciones afectan a varios productos de SAP. Se recomienda visitar su portal para obtener las actualizaciones correspondientes.
  • WordPress ha publicado una actualización de seguridad y mantenimiento que parchea 3 vulnerabilidades y corrige 60 errores. Se recomienda llevar a cabo la actualización lo antes posible.
  • Varias vulnerabilidades de severidad media en el core de Drupal: Afecta a las versiones 9.2, 9.1 y 8.9, las cuales deben ser actualizadas.
  • Múltiples vulnerabilidades en PHP 7 y PHP 8, que podrían provocar denegaciones de servicio. Se recomienda la actualización en ambas versiones.