Categoría: Boletines

Nuevo boletín quincenal donde os comentamos las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de que Movistar se ha visto afectada por un ciberataque. La compañía detectó actividad inusual en los sistemas a través de un acceso irregular desde direcciones IP sospechosas , por lo que procedió a bloquear el acceso a dichas IP. No se hallaron indicios de sustracción de datos sensibles.

Por otro lado, el gobierno nicaragüense es acusado por Facebook de usar cuentas falsas. Facebook ha informado de la eliminación de casi 1000 cuentas, 140 páginas, 24 grupos y 363 cuentas de Instagram por ser utilizadas por el gobierno nicaragüense para realizar prácticas de desacreditación contra partidos de la oposición. No es la primera vez que las redes sociales son utilizadas como herramientas políticas.

Asimismo, surgen varios ransomware que afectan tanto al mundo Minecraft como a los casinos en reservas de nativos americanos. Respecto a Minecraft, el ransomware robó cuentas de jugadores japoneses cifrando sus dispositivos Windows a través de listas falsas. Para descifrar los dispositivos, los ciberdelincuentes exigían un rescate de 2.000 yenes (unos 15 euros) en tarjetas prepago. En cuanto a los casinos en reservas de nativos americanos, el Buró Federal de Investigaciones (FBI) alertó de la existencia de una agresiva campaña de ransomware que ha provocado la paralización de operaciones y el cierre de salas de juegos, restaurantes y otras áreas comunes.

Otro caso es el de cibercriminales que instalan software de secuestro falso en sitios web de WordPress. Al ingresar en las plataformas comprometidas, los administradores del sitio web encontraban una breve nota de rescate mencionando que el sitio web había sido cifrado y que las víctimas tenían que enviar 0.1 bitcoin a una dirección mencionada en la nota de rescate. Sin embargo, los especialistas de seguridad reportaron que los sitios web no estaban cifrados, y que los criminales únicamente querían engañar las víctimas para obtener ganancias rápidas.

La F1 tampoco se libra de ciberataques. Durante sus eventos, los cibercriminales ponen el foco en la información que los equipos intercambian (telemetría de los coches, archivos de vídeo y audio, cronometraje, puntuación…). En palabras de “DarkTrace”, plataforma de ciberdefensa del equipo McLaren Racing, gracias al uso de la Inteligencia Artificial (IA) los ataques pueden detectarse y frenarse a tiempo independientemente del país en el que estén las escuderías.

También es de destacar la presentación, por parte de Lourdes Herrero, Jefa del Servicio de Confianza Digital, de la Conselleria de Hacienda y Modelo Económico, del “Plan de choque de Ciberseguridad de las Entidades Locales” en Infocaldero.

 

En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:

• • • Vulnerabilidades 0-day en los cortafuegos GlobalProtect Portal VPN de Palo Alto. “Palo Alto Networks” (PAN) proporcionó una actualización que corrige la vulnerabilidad CVE-2021-3064. Esta vulnerabilidad afecta a los cortafuegos de PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código sin autenticación en instalaciones vulnerables del producto.

• • • Google advierte de ataques tipo 0-day en dispositivos Apple. Google identifica vulnerabilidades a través de las cuales los delincuentes utilizaban un conocido «exploit» que permitía realizar una ejecución remota de código (CVE-2021-1789) para después realizar un segundo Zero-day no público con la finalidad de escalar privilegios en el equipo de la víctima (CVE-2021-30869).

• • • Múltiples fallos de seguridad de BusyBox amenazan a los dispositivos IoT. Se identificaron varias vulnerabilidades críticas en la utilidad BusyBox de Linux que podrían ser explotadas para provocar una condición de denegación de servicio (DoS) y, en algunos casos, incluso conducir a fugas de información y ejecución remota de código (CVE-2021-42373, CVE-2021-42374, CVE-2021-42375, entre otras).

• • • Múltiples vulnerabilidades en TIBCO PartnerExpress. Se identificaron varias vulnerabilidades que permiten ataques de clickjacking (CVE-2021-43048), Cross-Site Scripting (CVE-2021-43047) y tokens de sesión (CVE-2021-43046).

• • • Múltiples vulnerabilidades en Moodle. Las vulnerabilidades encontradas afectan a la restauración de archivos de backup (CVE-2021-3943), a un parámetro URL de la herramienta de administrador “filetype” (CVE-2021-43558 ), y al token de comprobación de la función “delete related badge” (CVE-2021-43559).

• • • Vulnerabilidad crítica en el kernel de Linux, la cual podría llevar a la ejecución remota de código y a un compromiso total del sistema. La vulnerabilidad (CVE-2021-43267) se encuentra en el módulo de comunicación transparente entre procesos (TIPC) del «kernel» de Linux, concretamente en el fichero “net/tipc/crypto.c”.

• • • Varias vulnerabilidades de riesgo alto corregidas en Mozilla Firefox 94. Dichas vulnerabilidades son de riesgo alto, y han sido clasificadas con los códigos CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, MOZ-2021-0003 y MOZ-2021-0007.

• • • Vulnerabilidades XSS en el core de Drupal. Se han reportado dos vulnerabilidades (CVE-2021-41165 y CVE-2021-41164).

• • • Actualizaciones de seguridad de Microsoft de noviembre de 2021, que constan de 7 vulnerabilidades clasificadas 6 como críticas, 50 importantes y 23 sin severidad asignada. Las vulnerabilidades publicadas se corresponden con DoS, escalada de privilegios, divulgación de información y otras vulnerabilidades Zeroday (CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209, CVE-2021-42292, CVE-2021-42321…).

Os remitimos otra quincena más nuestro boletín con las principales noticias relacionadas con la ciberseguridad.

Comenzamos con la noticia de que la empresa Quickfox, servicio gratuito de VPN, ha expuesto accidentalmente información sensible de un millón de usuarios de su plataforma. El origen del problema fue un fallo de configuración de las restricciones de acceso a ElasticSearch del sistema ELK (ElasticSearch, Logstash y Kibana). Entre los datos expuestos, vemos: nombres, números de teléfono, dispositivos de acceso, direcciones IP, e incluso, contraseñas almacenadas “hasheadas” utilizando MD-5.

Por otra parte, un cibercriminal logra acceder a los sistemas del Registro Nacional de las Personas en Argentina (RENAPER), organismo encargado de la identificación y registro de sus ciudadanos, exponiendo miles de registros confidenciales de políticos, celebridades y ciudadanos argentinos, y amenazando con exponer más datos si no se paga un rescate de 17.000 USD en bitcoin.

También se ha destapado una campaña de estafa global de SMS Premium “Ultima SMS”, presente en más de 80 aplicaciones de “Google Play Store”, y que engaña a los usuarios para que se suscriban a SMS premium. Una vez descargadas, estas aplicaciones comprueban la ubicación del dispositivo, el IMEI y el número de teléfono para determinar en qué idioma mostrar la estafa. A pesar de producirse la suscripción SMS premium, las funcionalidades anunciadas no se desbloquean.

Otra noticia importante hace referencia a los dispositivos con conexión a Internet. Se han detectado múltiples vulnerabilidades ZeroDay en dispositivos IoT de vigilancia de bebés, que permiten a los atacantes ejecutar código arbitrario. En este sentido, los atacantes pueden descubrir cámaras en buscadores IoT como Shodan y comprometerlas fácilmente.

Ante la situación actual vivida por la pandemia, se están produciendo múltiples fraudes de certificados de vacunación COVID-19 del Servicio Nacional de Salud de Ucrania. En este sentido, los cibercriminales accedieron a las bases de datos con el objetivo de modificar los registros sanitarios y evadir los controles de vacunación, ofreciendo certificados falsos a un precio de 100 euros aproximadamente.

En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:

• • El fallo de WordPress que permite restablecer y/o borrar sitios web vulnerables por medio del plugin “Hasthemes Demo Importer” al que solo pueden acceder administradores. Es necesario actualizar el plugin para corregir la vulnerabilidad.
  • Una vulnerabilidad crítica, de autenticación de GoCD permite a un atacante no autenticado extraer los tokens y otra información sensible. La solución está en actualizar a la nueva versión disponible.
  • Se ha descubierto que Garuda Linux realiza una creación y autenticación de usuarios muy insegura, ya que permite a un usuario suplantar la cuenta creada. El problema se ha solucionado con la nueva versión.
  • También se ha detectado una autenticación inadecuada en NGNIX Service Mesh de F5, pues permite a un atacante autenticado o no, acceder a snapshots. Se ha catalogado como una vulnerabilidad crítica y debe actualizarse a su última versión.
  • Posibles desbordamientos de búfer en productos HP (CVE-2021-39238). Se aconseja actualizar la versión de firmware correspondiente al modelo de impresora.
  • Prácticamente todos los compiladores de código y muchos entornos de desarrollo de software están afectados por las vulnerabilidades críticas encontradas en Unicode, ya que a través del exploit “Trojan Source” se puede hackear prácticamente cualquier software.
  • Múltiples vulnerabilidades críticas en Jenkins, debiendo actualizar cuanto antes para solucionarlas.

Una quincena más os remitimos nuestro boletín con las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de la toma de control del perfil de Facebook del USS Kidd, un buque de guerra de la armada de E.U. que “abandonó” sus publicaciones habituales para iniciar un supuesto streaming del videojuego Age of Empires. Todo quedó en una broma pero los operadores oficiales perdieron el control del perfil de Facebook.

Por otra parte, un ciberataque dejó sin servicio a la Universidad Autónoma de Barcelona y algunas clases virtuales tuvieron que cancelarse. Los técnicos responsables desconectaron los servidores y aplicaciones corporativas para evitar la propagación del malware.

Os alertamos de la última estafa que está circulando por WhatsApp y que está relacionada con la tercera dosis de la vacuna para COVID-19. Muchos usuarios están recibiendo un mensaje, suplantando a representantes de la Seguridad Social, solicitando un código de verificación para recibir dicha dosis. Si ofrecemos dicho código a los atacantes, podrían secuestrarnos y perder nuestra cuenta de WhatsApp.

Mucho cuidado también con la campaña que se ha detectado de envío de correos electrónicos fraudulentos, que tratan de suplantar a Correos mediante el uso de emails de phishing. El asunto del correo podría ser similar a “#Tu-paquete-ha_llegado!#”, “Tu-paquete-ha_llegado!!!”, “Tu-paquete-ha_llegado!” o “…..Tu-paquete-ha_llegado!”. En el propio mensaje se informa al usuario de que “No se han pagado los gastos de transporte de 4, 95 €” y debe organizar una nueva entrega a través de un chatbot para poder recibir el paquete.

Respecto a las alertas y actualizaciones más relevantes de la quincena han sido:

• • Nuevas vulnerabilidades críticas para Microsoft Windows: el pasado 12 de octubre se publicaron una serie de parches para corregir las 74 vulnerabilidades detectadas, tres de ellas de nivel crítico.
  • Graves fallos y hasta un zero-day tras el lanzamiento de Windows 11: un total de catorce vulnerabilidades han sido corregidas. La CVE-2021-40449 es la vulnerabilidad de día cero, que se está explotando activamente.
  • Vulnerabilidad corregida en iOS: Apple detectó una vulnerabilidad que afecta a varios de sus dispositivos. Se recomienda aplicar las actualizaciones cuanto antes.

Volvemos una quincena más con un nuevo boletín sobre las principales noticias del mundo de la ciberseguridad.

Empezamos nuestro boletin con la noticia del hackeo al sitio web “Bitcoin.org”. El ataque comenzó con un mensaje en una ventana emergente en la web, donde se informaba que los 10.000 primeros usuarios que respondieran al mensaje podían aprovecharse de una oferta y duplicar el total de activos de sus billeteras electrónicas. El mensaje incluía un código QR para acceder a una determinada billetera.

Otra noticia interesante es la relativa a la filtración de datos confidenciales sobre el estado de vacunación COVID-19 en Canadá que se ha producido a través de los códigos QR emitidos en los certificados de vacunación. La empresa “eHealth Saskatchewan” encargada de proporcionarl estos servicios electrónicos al sector sanitario, se ha visto obligada a solicitar la destrucción de dichos certificados de vacunación COVID.

Asimismo, varios expertos de Kaspersky han identificado intentos de infección -a través de malware y otros tipos de software malicioso- a usuarios que intentaban descargarse la nueva película de James Bond (“No Time to Die”).  También se han identificado intentos de phishing en los que se les pedía a los usuarios que se registrasen para poder seguir viendo la película. Durante este proceso se solicitaba a las víctimas sus datos bancarios.

También os informábamos acerca del reporte realizado acerca de una vulnerabilidad en “Apple AirTag”, cuya explotación permitiría a los ciberdelincuentes encontrar el número telefónico de un usuario, e incluso redirigirlo a sitios de phishing de iCloud y otras plataformas legítimas. Todo se debe a que el “modo perdido” del dispositivo no está protegido, y permite al atacante inyectar código en los campos de la función que genera los datos personales del propietario del móvil perdido.

Os recordamos que en octubre se celebra el Mes Europeo de la Ciberseguridad (ECSM),  mes durante el cual, la Union Europea realiza una campaña dedicada a promover la ciberseguridad entre los ciudadanos y las organizaciones de la UE y a proporcionar información de seguridad en línea actualizada mediante la sensibilización y el intercambio de buenas prácticas.

Por último, os anunciamos que esta semana hemos finalizado nuestra campaña de concienciación dirigida a docentes, en la que durante dos semanas, hemos publicado un consejo diario sobre un tema a trabajar con los alumnos, ofreciendo recursos que permitan asimilar mejor los contenidos de ciberseguridad. Puedes ver el detalle de nuestra campaña en nuestro portal de concienciación concienciaT.

Respecto a las alertas y actualizaciones más relevantes de la quincena:

• • Se han identificado múltiples vulnerabilidades “ZeroDay” que afectaban a dispositivos Iphone y Mac:
    – CVE-2021-30869. Fallo de confusión de tipo en el componente XNU que permite ejecutar código arbitrario con privilegios en Kernel.
    – CVE-2021-30858. Vulnerabilidad “Use-After-Free” (UAF) que permite a “Webkit” ejecutar código arbitrario en un sitio web con contenido malicioso.
    – CVE-2021-30860. Vulnerabilidad que permite ejecutar código arbitrario al procesar un PDF con contenido malicioso.
  • Netgear ha reportado 25 vulnerabilidades, todas ellas de severidad crítica, que podrían permitir a un atacante comprometer los productos afectados. Se recomienda actualizar a la versión de firmware más reciente.
  • Google también se ha visto sorprendida por otra vulnerabilidad ZeroDay en su última versión de “Chrome 94”. En este sentido, han tenido que lanzar un parche de emergencia. La vulnerabilidad detectada (CVE-2021-37973) afectaba a la API de Portals encargada de la transición entre páginas.

•