Categoría: Boletines

Como cada quincena os traemos las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos nuestro apartado de noticias haciéndonos eco de la noticia relacionada con la desmantelación por parte de Facebook de una campaña de espionaje. Según informan en la noticia, parece que detrás de dicha campaña está el conocido grupo Tortoiseshell (aka Imperial Kitten), el cual centraba sus ataques en en la industria tecnológica de la información en Arabía Saudí.

Por otro lado, motivadas por la celebración de los Juegos Olímpicos de Tokio se han dectectado varias campañas de phishing que ofrecen retransmisiones en directo de los JJ.OO. Una vez realizado el registro en la web, se redirige al usuario a otra página destinada a la distribución de archivos maliciosos que se instalan en los equipos.

Durante estas semanas también se han dado otros casos de phishing, como el que denunciarion algunos clientes de Amazon. Al parecer varios clientes han recibido un correo fraudulento que aparenta ser de Amazon en el que se les insta verificar la información de su tarjeta. Como siempre os decimos mucho cuidado con estos correos….

Otra noticia destacada durante estas semanas, ha sido que el spyware Pegasus ha sido capaz de filtrar más de 50.000 números de teléfonos de periodistas, empresarios y políticos. Este hecho ha generado debate ya que la empresa desarrolladora del spyware informa que la finalidad de Pegasus está orientada a objetivos criminales y terroristas.

También os informábamos que el 95% de ciberataques sufridos por las PYMES has sido causado por un error humano. Según el informe de Exsel, 1 de cada 5 PYMES ha sido víctima de un ciberataque, por este motivo muchas empresas también han aumentado la inversión en ciberseguridad.

Cerramos nuestro boletin con el habitual repaso de actualizaciones de software relevantes de la quincena:

• • Boletines de seguridad que solventan múltiples vulnerabilidades críticas en Oracle WebLogic Server que incluyen la ejecución remota de código sin autenticación.
  • Actualizaciones de Drupal. El equipo de Drupal, ha reportado una vulnerabilidad catalogada como crítica, que permitiría a un atacante utilizar la librería para extraer archivos de fuentes no confiables.
  • Actualización de Telegram. Se han solucionado varias vulnerabilidades asociadas al protocolo de cifrado en Telegram. Pese a que  han sido calificadas como no críticas, la compañía recomienda actualizar para incluir las mejoras realizadas  en su protocolo de cifrado.

Por último, a los que os vais de vacaciones os deseamos que disfrutéis de este verano y paséis unas felices vacaciones ciberseguras.

Como cada quincena os traemos las principales noticias relacionadas con el mundo de la ciberseguridad.

Empezamos el repaso avisando de la urgencia de aplicar las nuevas actualizaciones liberadas el martes por Microsoft ya que incluían, entre otras, una solución estable para la vulnerabilidad recientemente explotada Print Nightmare, la cual permitía ejecución de código remoto en sistemas Windows. Recomendamos a todos los usuarios que apliquen esta actualización lo antes posible.

Por otro lado, ha caído en España un equipo de delincuentes que utilizaban Mekotio y Grandoreiro para obtener datos bancarios y perpetrar estafas y robos, al que Hispasec ha dedicado un interesante artículo. Destaca que el grupo contaba con «trabajadores» dedicados a generar correos falsos para engañar a las víctimas y conseguir que descargaran el malware.

Y es que, afortunadamente, cada vez el cibercrimen queda menos impune. Prueba de ello es que la Audiencia Nacional ha condenado a prisión al creador del malware Cobalt, el cual a pesar de su nacionalidad rusa, operaba desde su residencia en Alicante.

Una oleada muy similar de ataques están sufriendo diversas organizaciones con falsas llamadas telefónicas suplantando al servicio técnico de Microsoft, e incitando a los usuarios a que accedan a direcciones web maliciosas para descargar programas con los que posteriormente les comprometen el dispositivo. Es una técnica ampliamente denunciada en el pasado, pero que durante las últimas semanas ha vuelto a cobrar fuerza.

Para quienes quieran cultivar las neuronas durante el verano, el CCN ha anunciado nuevos webinars para el 20 de julio (técnicas OSINT y Análisis de Redes Sociales) y el 22 de julio (ciberinvestigación mediante técnicas OSINT), a las cuales os podéis registrar en el siguiente enlace.

Por otro lado, el CCN también ha publicado en su canal de YouTube los videos del reciente III Encuentro ENS, las cuales os invitamos a revivir.

Para los más expertos del lugar, informamos de que se ha liberado una nueva versión de la herramienta de autoevaluación de seguridad de sistemas de información basada en SIM3 de la Open CSIRT Foundation, la cual ha recibido un lavado de cara visual, además de nuevos perfiles y gráficas comparativas.

Cerramos con el habitual repaso del resto de actualizaciones de software relevantes de la quincena:

• • Actualizaciones para Cisco Adaptive Security Appliance y Cisco Firepower Threat Defense.
  • Actualizaciones para varios productos Adobe, entre ellos, Dimension, Illustrator, Framemaker, Acrobat/Reader y Bridge.
  • Importante actualización para Woocommerce.
  • Actualización de BIOS para portátiles Lenovo.

Como cada quincena, os hacemos llegar nuestro boletín con las noticias y alertas más destacadas de las últimas dos semanas.

Uno de los titulares más sonados fue el descubrimiento de un nuevo malware con el que se ha robado hasta 1.2 TB de información, entre los años 2018 y 2020, en sistemas Windows. Según los investigadores, los atacantes dieron a conocer por error el lugar donde almacenaban la base de datos, lo que hizo que fuese posible avisar al proveedor de hosting y que la información se eliminara.

Otra noticia destacada fue la del error detectado en iOS. Según parece, una red Wi-Fi con un nombre especial podría dejar sin conexión a los dispositivos iPhone, y el usuario tampoco podría conectarse a otras redes.

McAfee también publicó una vulnerabilidad, de nivel crítico, en la línea de productos Bike+ y equipos de ejercicio Tread. Y aunque el atacante necesitaría acceder físicamente a la bicicleta, se insiste en que existen muchas disponibles en sitios públicos, como hoteles, gimnasios y urbanizaciones. Se podría obtener control completo del dispositivo, incluyendo cámara y micrófono.

Una noticia llamativa ha sido el supuesto hackeo a la plataforma secreta de la OTAN. Entre los datos expuestos al ciberataque se encuentran el código fuente y la documentación de la plataforma. Este ataque estaría directamente relacionado con el sufrido por Everis en mayo de este mismo año. La intención inicial de los atacantes era la de extorsionar a Everis exigiendo un pago a cambio de no relacionar a la compañía con el ataque, pero Everis no accedió a pagar y los nombres de dicha compañía y NTT Data han aparecido directamente relacionados con la filtración de datos.

Esta semana hemos conocido que varios ciberdelincuentes han estado vendiendo información y millones de registros relacionados con usuarios de LinkedIn, en la Dark Web. Alrededor del 94% de usuarios de la plataforma estarían afectados por esta filtración. Los registros comprometidos incluyen nombres completos, direcciones email, números telefónicos y otros detalles del perfil. Los expertos recomiendan a los usuarios de LinkedIn actualizar sus contraseñas.

Por último, os recordamos que continúa en marcha nuestra campaña de concienciación “Hazte analista de ciberseguridad”, donde cada día os explicamos porqué la demanda de este tipo de profesional es mayor cada día así como la formación necesaria para dedicarse a ello, a través de nuestras redes sociales Facebook y Twitter.

Además, a partir de la semana que viene, toda la campaña también estará disponible en nuestro portal concienciaT, en la sección “Consejos y campañas”.

Últimas Alertas

La alerta más destacada de esta quincena es la relacionada con Microsoft dado que, sus últimas actualizaciones con fecha 8 de junio, no corrigen una vulnerabilidad crítica detectada, concretamente la asociada a CVE-2021-1675.

Recientemente se publicó una vulnerabilidad para el administrador de colas de impresión (Windows Print Spooler) para el cual se han publicado varias PoC o exploits. Por tanto, la explotación de esta vulnerabilidad podría otorgar al atacante control total de los sistemas vulnerables.

Se recomienda aplicar los nuevos parches que pueda publicar Microsoft. Como medida de contingencia adicional, al menos para todos los servidores, se debería deshabilitar el servicio Print Spooler o desinstalar todos los servicios de impresión.

Una vez más os hacemos llegar nuestro boletín con las noticias y alertas más destacadas de las últimas dos semanas.

Comenzamos el boletín con una noticia referente a la filtración de datos de 3,3 millones de usuarios de Volkswagen y Audi en Norteamérica. Entre los datos filtrados estaban nombre completo, números de teléfono, direcciones de correo electrónico y postal, y en determinados casos, información sobre los vehículos de compra o alquiler de sus clientes. Los datos han estado expuestos durante aproximadamente dos años y provienen de un servicio de ventas y marketing que la compañía dispone a través de un proveedor externo. Como medida preventiva se está ofreciendo un servicio de protección y monitorización gratuito para evitar fraudes que puedan estar relacionados con la filtración de estos datos.

También os informábamos acerca de una vulnerabilidad en la función de videochat FacebookMessengerRooms, que en el caso de ser explotada, permitía a los ciberdelincuentes acceder a fotos y vídeos almacenados en los dispositivos de los usuarios Android afectados. El ataque se realizaba cuando el usuario recibía una invitación a una sala de videollamada. Facebook recibió el reporte y la vulnerabilidad fue corregida de inmediato.

Igualmente durante estos días, se ha dado a conocer una vulnerabilidad en Microsoft Power Apps la cual permitiría el robo de credenciales en Microsoft Teams. Si se consiguiera explotar la vulnerabilidad un atacante podría escalar privilegios y conseguir acceso al correo de una víctima y a otros servicios de Microsoft, como OneDrive o Sharepoint.

En cuanto a noticias relacionadas con ransomware, os contábamos que, JBS la procesadora de carne más grande del mundo sufrió un ataque de ransomware que interrumpió severamente sus operaciones y pagó un rescate de 11 millones de dólares en criptomoneda. Las consecuencias de este ciberataque llegaron directamente hasta los clientes. La interrupción masiva de actividades en JBS provocó severos problemas de abastecimiento e incrementó los precios de la carne.

Para terminar nuestro apartado de noticias, os informamos que el pasado sábado celebramos el 14º aniversario de CSIRT-CV. Os agradecemos la confianza depositada en nosotros durante estos años y esperamos seguir cumpliendo muchos más, junto a todos vosotros.

Últimas Alertas

• • Vulnerabilidades Zeroday dispositivos iPhone e iPad de generaciones anteriores. Se recomienda a los usuarios actualizar a iOS v12.5.4 para proteger sus dispositivos.
  • Microsoft lanzó el conjunto de actualizaciones de seguridad correspondientes al mes de junio. La publicación de actualizaciones consta de 50 vulnerabilidades, clasificadas 5 como críticas y 45 como importantes.
  • Actualización de seguridad de SAP de junio de 2021. Corrige vulnerabilidades de XSS, de autenticación inadecuada, de validación de entrada incorrecta, de revelación de información, de corrupción de memoria y de falta de comprobación de autenticación.