Categoría: Boletines

Como cada quincena os traemos las principales noticias relacionadas con el mundo de la ciberseguridad.

Empezamos el repaso avisando de la urgencia de aplicar las nuevas actualizaciones liberadas el martes por Microsoft ya que incluían, entre otras, una solución estable para la vulnerabilidad recientemente explotada Print Nightmare, la cual permitía ejecución de código remoto en sistemas Windows. Recomendamos a todos los usuarios que apliquen esta actualización lo antes posible.

Por otro lado, ha caído en España un equipo de delincuentes que utilizaban Mekotio y Grandoreiro para obtener datos bancarios y perpetrar estafas y robos, al que Hispasec ha dedicado un interesante artículo. Destaca que el grupo contaba con «trabajadores» dedicados a generar correos falsos para engañar a las víctimas y conseguir que descargaran el malware.

Y es que, afortunadamente, cada vez el cibercrimen queda menos impune. Prueba de ello es que la Audiencia Nacional ha condenado a prisión al creador del malware Cobalt, el cual a pesar de su nacionalidad rusa, operaba desde su residencia en Alicante.

Una oleada muy similar de ataques están sufriendo diversas organizaciones con falsas llamadas telefónicas suplantando al servicio técnico de Microsoft, e incitando a los usuarios a que accedan a direcciones web maliciosas para descargar programas con los que posteriormente les comprometen el dispositivo. Es una técnica ampliamente denunciada en el pasado, pero que durante las últimas semanas ha vuelto a cobrar fuerza.

Para quienes quieran cultivar las neuronas durante el verano, el CCN ha anunciado nuevos webinars para el 20 de julio (técnicas OSINT y Análisis de Redes Sociales) y el 22 de julio (ciberinvestigación mediante técnicas OSINT), a las cuales os podéis registrar en el siguiente enlace.

Por otro lado, el CCN también ha publicado en su canal de YouTube los videos del reciente III Encuentro ENS, las cuales os invitamos a revivir.

Para los más expertos del lugar, informamos de que se ha liberado una nueva versión de la herramienta de autoevaluación de seguridad de sistemas de información basada en SIM3 de la Open CSIRT Foundation, la cual ha recibido un lavado de cara visual, además de nuevos perfiles y gráficas comparativas.

Cerramos con el habitual repaso del resto de actualizaciones de software relevantes de la quincena:

• • Actualizaciones para Cisco Adaptive Security Appliance y Cisco Firepower Threat Defense.
  • Actualizaciones para varios productos Adobe, entre ellos, Dimension, Illustrator, Framemaker, Acrobat/Reader y Bridge.
  • Importante actualización para Woocommerce.
  • Actualización de BIOS para portátiles Lenovo.

Como cada quincena, os hacemos llegar nuestro boletín con las noticias y alertas más destacadas de las últimas dos semanas.

Uno de los titulares más sonados fue el descubrimiento de un nuevo malware con el que se ha robado hasta 1.2 TB de información, entre los años 2018 y 2020, en sistemas Windows. Según los investigadores, los atacantes dieron a conocer por error el lugar donde almacenaban la base de datos, lo que hizo que fuese posible avisar al proveedor de hosting y que la información se eliminara.

Otra noticia destacada fue la del error detectado en iOS. Según parece, una red Wi-Fi con un nombre especial podría dejar sin conexión a los dispositivos iPhone, y el usuario tampoco podría conectarse a otras redes.

McAfee también publicó una vulnerabilidad, de nivel crítico, en la línea de productos Bike+ y equipos de ejercicio Tread. Y aunque el atacante necesitaría acceder físicamente a la bicicleta, se insiste en que existen muchas disponibles en sitios públicos, como hoteles, gimnasios y urbanizaciones. Se podría obtener control completo del dispositivo, incluyendo cámara y micrófono.

Una noticia llamativa ha sido el supuesto hackeo a la plataforma secreta de la OTAN. Entre los datos expuestos al ciberataque se encuentran el código fuente y la documentación de la plataforma. Este ataque estaría directamente relacionado con el sufrido por Everis en mayo de este mismo año. La intención inicial de los atacantes era la de extorsionar a Everis exigiendo un pago a cambio de no relacionar a la compañía con el ataque, pero Everis no accedió a pagar y los nombres de dicha compañía y NTT Data han aparecido directamente relacionados con la filtración de datos.

Esta semana hemos conocido que varios ciberdelincuentes han estado vendiendo información y millones de registros relacionados con usuarios de LinkedIn, en la Dark Web. Alrededor del 94% de usuarios de la plataforma estarían afectados por esta filtración. Los registros comprometidos incluyen nombres completos, direcciones email, números telefónicos y otros detalles del perfil. Los expertos recomiendan a los usuarios de LinkedIn actualizar sus contraseñas.

Por último, os recordamos que continúa en marcha nuestra campaña de concienciación “Hazte analista de ciberseguridad”, donde cada día os explicamos porqué la demanda de este tipo de profesional es mayor cada día así como la formación necesaria para dedicarse a ello, a través de nuestras redes sociales Facebook y Twitter.

Además, a partir de la semana que viene, toda la campaña también estará disponible en nuestro portal concienciaT, en la sección “Consejos y campañas”.

Últimas Alertas

La alerta más destacada de esta quincena es la relacionada con Microsoft dado que, sus últimas actualizaciones con fecha 8 de junio, no corrigen una vulnerabilidad crítica detectada, concretamente la asociada a CVE-2021-1675.

Recientemente se publicó una vulnerabilidad para el administrador de colas de impresión (Windows Print Spooler) para el cual se han publicado varias PoC o exploits. Por tanto, la explotación de esta vulnerabilidad podría otorgar al atacante control total de los sistemas vulnerables.

Se recomienda aplicar los nuevos parches que pueda publicar Microsoft. Como medida de contingencia adicional, al menos para todos los servidores, se debería deshabilitar el servicio Print Spooler o desinstalar todos los servicios de impresión.

Una vez más os hacemos llegar nuestro boletín con las noticias y alertas más destacadas de las últimas dos semanas.

Comenzamos el boletín con una noticia referente a la filtración de datos de 3,3 millones de usuarios de Volkswagen y Audi en Norteamérica. Entre los datos filtrados estaban nombre completo, números de teléfono, direcciones de correo electrónico y postal, y en determinados casos, información sobre los vehículos de compra o alquiler de sus clientes. Los datos han estado expuestos durante aproximadamente dos años y provienen de un servicio de ventas y marketing que la compañía dispone a través de un proveedor externo. Como medida preventiva se está ofreciendo un servicio de protección y monitorización gratuito para evitar fraudes que puedan estar relacionados con la filtración de estos datos.

También os informábamos acerca de una vulnerabilidad en la función de videochat FacebookMessengerRooms, que en el caso de ser explotada, permitía a los ciberdelincuentes acceder a fotos y vídeos almacenados en los dispositivos de los usuarios Android afectados. El ataque se realizaba cuando el usuario recibía una invitación a una sala de videollamada. Facebook recibió el reporte y la vulnerabilidad fue corregida de inmediato.

Igualmente durante estos días, se ha dado a conocer una vulnerabilidad en Microsoft Power Apps la cual permitiría el robo de credenciales en Microsoft Teams. Si se consiguiera explotar la vulnerabilidad un atacante podría escalar privilegios y conseguir acceso al correo de una víctima y a otros servicios de Microsoft, como OneDrive o Sharepoint.

En cuanto a noticias relacionadas con ransomware, os contábamos que, JBS la procesadora de carne más grande del mundo sufrió un ataque de ransomware que interrumpió severamente sus operaciones y pagó un rescate de 11 millones de dólares en criptomoneda. Las consecuencias de este ciberataque llegaron directamente hasta los clientes. La interrupción masiva de actividades en JBS provocó severos problemas de abastecimiento e incrementó los precios de la carne.

Para terminar nuestro apartado de noticias, os informamos que el pasado sábado celebramos el 14º aniversario de CSIRT-CV. Os agradecemos la confianza depositada en nosotros durante estos años y esperamos seguir cumpliendo muchos más, junto a todos vosotros.

Últimas Alertas

• • Vulnerabilidades Zeroday dispositivos iPhone e iPad de generaciones anteriores. Se recomienda a los usuarios actualizar a iOS v12.5.4 para proteger sus dispositivos.
  • Microsoft lanzó el conjunto de actualizaciones de seguridad correspondientes al mes de junio. La publicación de actualizaciones consta de 50 vulnerabilidades, clasificadas 5 como críticas y 45 como importantes.
  • Actualización de seguridad de SAP de junio de 2021. Corrige vulnerabilidades de XSS, de autenticación inadecuada, de validación de entrada incorrecta, de revelación de información, de corrupción de memoria y de falta de comprobación de autenticación.

Nuevo boletín quincenal de CSIRT-CV, donde resumiremos las noticias y alertas de ciberseguridad más destacadas de estas últimas dos semanas.

Comenzamos hablando de Google, que ha lanzado una nueva versión de su gestor de contraseñas para el navegador de Google Chrome. En esta nueva versión, el usuario puede acceder a todas sus contraseñas y comprobar mediante un simple clic si su contraseña es segura. La herramienta se encargará de comprobarlo mediante una serie de reglas, y además consultará si ha sido comprometida en alguna fuga de datos. En caso de ser una contraseña comprometida, reportará un aviso al usuario y le propondrá un cambio de contraseña.

También queremos destacar que tras examinarse 23 aplicaciones para Android, se ha descubierto que los desarrolladores de aplicaciones móviles han dejado expuestos los datos personales de más de 100 millones de usuarios a través de una serie de configuraciones erróneas de servicios en la nube de terceros. Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.

Dentro del entorno web, encontramos el plugin de WordPress ‘ReDi Restaurant Booking’, con más de 1.000 instalaciones activas, el cual permite a los negocios de restauración gestionar las reservas de sus clientes. A través de éste, los clientes pueden consultar los espacios de tiempo disponibles, y en caso de estar libres, realizar una reserva. Pero el pasado día 15 de abril, se detectó una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la que, durante la reserva, la aplicación solicita al usuario la fecha y hora de la reserva, además de nombre, teléfono, email y comentarios adicionales. Ninguno de estos datos son saneados antes de ser almacenados en la base de datos de la aplicación, por lo que, permitiría a un atacante inyectar código JavaScript malicioso con objeto de robar información sensible de los clientes a través de sus reservas, e incluso, para filtrar la clave API privada del plugin.

Siempre hemos aconsejado tener mucha precaución con los dispositivos que se conectan a Internet. En esta ocasión hemos visto como la funcionalidad Sidewalk de los dispositivos de Amazon permitirá compartir tu red a otros dispositivos desconocidos que se encuentren cerca. El objetivo de Amazon es crear una red inalámbrica de largo alcance, con la que proporcionar conectividad a dispositivos que no dispongan de ella. Aunque el protocolo de esta funcionalidad sea seguro, sigue habiendo dudas sobre los problemas de seguridad que puede generar, ya que podría introducir vulnerabilidades con las que atacar a los propios dispositivos. Además, los usuarios deberán desactivar manualmente la funcionalidad en sus dispositivos accediendo a los ajustes del dispositivo, ya que cuando comience a funcionar el próximo 8 de junio ésta estará activada por defecto.

Y como el ransomware sigue siendo un ataque en auge, en este caso la empresa estadounidense Bose ha sido la última víctima de un ransomware que se instaló en la compañía a través de una hoja de cálculo que contenía información personal de trabajadores y ex-trabajadores. La empresa no ha realizado ningún pago por este ciberataque y ha tomado medidas de protección y precaución.

Para terminar nuestro apartado de noticias, os recordamos un artículo que hemos publicado en nuestra web de concienciación, donde os hablamos de la suplantación de identidad, que consiste en hacerse pasar por otra persona para obtener un beneficio o lograr propósitos ilícitos. Está tipificada como delito en el Código Penal y hoy en día, el robo de la identidad digital es un ciberataque muy frecuente. Los ciberdelincuentes, con tu identidad, podrían obtener una hipoteca, un crédito, desviar dinero, comprar por Internet y muchas cosas más.

Últimas Alertas

• • Vulnerabilidad de día cero en un plugin de WordPress que afecta a más de 17.000 sitios. Este plugin está orientado a comercios online y el fallo permitiría a un atacante tomar control del sitio. Los detalles del error no se han publicado para prevenir que sea explotado a gran escala, pero se han recopilado algunos compromisos para ayudar a los administradores de sistemas a detectar si un WordPress ha sido atacado aprovechando la vulnerabilidad.
  • Vulnerabilidades en productos Cisco de alta severidad, las cuales permitirían a un atacante la ejecución de código arbitrario.
  • Vulnerabilidad en el core de Drupal, descubierta en la librería CKEditor, debida a un error en el análisis de HTML que podría conducir a un ataque XSS.
  • Varias vulnerabilidades importantes en productos VMware, siendo crítica la posible ejecución remota de código.
  • Múltiples vulnerabilidades en dispositivos que soportan especificaciones Bluetooth, donde diferentes fabricantes se han visto afectados, incluídos Android Open Source Project, Cisco, Intel, entre otros.

Recordamos a nuestros lectores, que en nuestra web concienciaT también tienen mucha información y recursos a modo de infografías, guías y cursos donde mejorar los conocimientos en ciberseguridad.