Categoría: Boletines

Nuevo boletín quincenal de CSIRT-CV, donde resumiremos las noticias y alertas de ciberseguridad más destacadas de estas últimas dos semanas.

Comenzamos hablando de Google, que ha lanzado una nueva versión de su gestor de contraseñas para el navegador de Google Chrome. En esta nueva versión, el usuario puede acceder a todas sus contraseñas y comprobar mediante un simple clic si su contraseña es segura. La herramienta se encargará de comprobarlo mediante una serie de reglas, y además consultará si ha sido comprometida en alguna fuga de datos. En caso de ser una contraseña comprometida, reportará un aviso al usuario y le propondrá un cambio de contraseña.

También queremos destacar que tras examinarse 23 aplicaciones para Android, se ha descubierto que los desarrolladores de aplicaciones móviles han dejado expuestos los datos personales de más de 100 millones de usuarios a través de una serie de configuraciones erróneas de servicios en la nube de terceros. Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.

Dentro del entorno web, encontramos el plugin de WordPress ‘ReDi Restaurant Booking’, con más de 1.000 instalaciones activas, el cual permite a los negocios de restauración gestionar las reservas de sus clientes. A través de éste, los clientes pueden consultar los espacios de tiempo disponibles, y en caso de estar libres, realizar una reserva. Pero el pasado día 15 de abril, se detectó una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la que, durante la reserva, la aplicación solicita al usuario la fecha y hora de la reserva, además de nombre, teléfono, email y comentarios adicionales. Ninguno de estos datos son saneados antes de ser almacenados en la base de datos de la aplicación, por lo que, permitiría a un atacante inyectar código JavaScript malicioso con objeto de robar información sensible de los clientes a través de sus reservas, e incluso, para filtrar la clave API privada del plugin.

Siempre hemos aconsejado tener mucha precaución con los dispositivos que se conectan a Internet. En esta ocasión hemos visto como la funcionalidad Sidewalk de los dispositivos de Amazon permitirá compartir tu red a otros dispositivos desconocidos que se encuentren cerca. El objetivo de Amazon es crear una red inalámbrica de largo alcance, con la que proporcionar conectividad a dispositivos que no dispongan de ella. Aunque el protocolo de esta funcionalidad sea seguro, sigue habiendo dudas sobre los problemas de seguridad que puede generar, ya que podría introducir vulnerabilidades con las que atacar a los propios dispositivos. Además, los usuarios deberán desactivar manualmente la funcionalidad en sus dispositivos accediendo a los ajustes del dispositivo, ya que cuando comience a funcionar el próximo 8 de junio ésta estará activada por defecto.

Y como el ransomware sigue siendo un ataque en auge, en este caso la empresa estadounidense Bose ha sido la última víctima de un ransomware que se instaló en la compañía a través de una hoja de cálculo que contenía información personal de trabajadores y ex-trabajadores. La empresa no ha realizado ningún pago por este ciberataque y ha tomado medidas de protección y precaución.

Para terminar nuestro apartado de noticias, os recordamos un artículo que hemos publicado en nuestra web de concienciación, donde os hablamos de la suplantación de identidad, que consiste en hacerse pasar por otra persona para obtener un beneficio o lograr propósitos ilícitos. Está tipificada como delito en el Código Penal y hoy en día, el robo de la identidad digital es un ciberataque muy frecuente. Los ciberdelincuentes, con tu identidad, podrían obtener una hipoteca, un crédito, desviar dinero, comprar por Internet y muchas cosas más.

Últimas Alertas

• • Vulnerabilidad de día cero en un plugin de WordPress que afecta a más de 17.000 sitios. Este plugin está orientado a comercios online y el fallo permitiría a un atacante tomar control del sitio. Los detalles del error no se han publicado para prevenir que sea explotado a gran escala, pero se han recopilado algunos compromisos para ayudar a los administradores de sistemas a detectar si un WordPress ha sido atacado aprovechando la vulnerabilidad.
  • Vulnerabilidades en productos Cisco de alta severidad, las cuales permitirían a un atacante la ejecución de código arbitrario.
  • Vulnerabilidad en el core de Drupal, descubierta en la librería CKEditor, debida a un error en el análisis de HTML que podría conducir a un ataque XSS.
  • Varias vulnerabilidades importantes en productos VMware, siendo crítica la posible ejecución remota de código.
  • Múltiples vulnerabilidades en dispositivos que soportan especificaciones Bluetooth, donde diferentes fabricantes se han visto afectados, incluídos Android Open Source Project, Cisco, Intel, entre otros.

Recordamos a nuestros lectores, que en nuestra web concienciaT también tienen mucha información y recursos a modo de infografías, guías y cursos donde mejorar los conocimientos en ciberseguridad.

Como cada quincena, traemos las principales noticias relacionadas con la ciberseguridad.

Abrimos el boletín con la noticia de mayor impacto de la quincena: un ciberataque ha bloqueado temporalmente un oleoducto que abastecía de combustible al 45% del este de los Estados Unidos. Tal ha sido el impacto de la parada, que el propio Joe Biden hizo declaraciones públicas al respecto y se vio obligado a declarar el estado de emergencia. El ataque utilizado parece ser un ransomware.

Y es que precisamente, debido a la constante evolución de los ataques ransomware, recientemente se ha acuñado el nuevo término “ransomware de triple extorsión” el cual ser refiere a la nueva tendencia que incluye robo de datos, recompensa económica y (principal novedad) chantaje a los clientes. Si hasta ahora para muchas organizaciones resultaba increíblemente costoso sufrir la perdida de sus datos, y no eran capaces de afrontar el pago del rescate, ahora se suma el posible daño potencial al que se exponen sus usuarios y clientes al exponer sus datos. Un reciente ejemplo de estos ataques de triple extorsión, ha sido el sufrido por The Phone House.

Otros ejemplos de ransomwares recientes son:

• • Sistema sanitario irlandés.
  • División de Axa en Asia

Tal es el nivel de preocupación que está causando el ransomware, que incluso foros de temática hacker están censurando compartir información acerca de estos ataques, en un intento de mitigar su impacto.

Pero no todo son malas noticias en este boletín: para todos los que lo esperabais con ansia, la semana pasada publicamos nuestro informe anual de actividad 2020 donde exponemos los principales hitos alcanzados por CSIRT-CV durante el año pasado. Contiene información tanto de los principales ataques gestionados y su tipología, como del alcance de servicios tan punteros como el Plan Valenciano de Capacitación, o la asistencia a víctimas de fraudes al CEO o ataques ransomware, tan de moda en 2020.

Siguiendo con las buenas noticias, Alemania ha tumbado uno de los mayores sitios de pornografía infantil (Boystown) de toda la Darknet con más de 400.000 usuarios. Los acusados de su administración eran 3 ciudadanos alemanes de entre 40 y 58 años, además de un cuarto acusado de ser uno de los principales proveedores de contenido.

En lo referente a actualizaciones relevantes, ha sido una quincena muy movida:

• • Las actualizaciones mensuales de Microsoft solucionan importantes vulnerabilidades en diferentes versiones de Windows Server y Windows10 que deben ser solventadas lo antes posible.
  • WordPress ha sacado una actualización que corrige una vulnerabilidad que permitía inyectar objetos en PHPMailer. Dada la potencialidad del ataque, siendo que prácticamente todos los WordPress están expuesto a internet, resulta crítico actualizar.
  • Adobe ha publicado múltiples actualizaciones para InDesign, Illustrator, Reader, Acrobat y After Effects entre otros.

Cerramos el boletín invitando a nuestros a lectores a visitar la publicación en concienciaT con motivo del Día de Internet, celebrado el pasado 17 de Mayo, donde hemos hecho un recopilatorio de materiales y contenidos ofrecidos a la ciudadanía para hacer un uso más seguro de Internet.

Una quincena más os comentamos las noticias de seguridad más relevantes de estos días.

Comenzamos con una campaña que afectó a políticos europeos. Entre los objetivos de esta campaña se encontraban el presidente de la Comisión de Asuntos Exteriores del Parlamento de Letonia, y el presidente del Comité de Asuntos Exteriores del Reino Unido. Los ciberdelincuentes utilizaron tecnología deepfake para imitar a algunos miembros de la clase política rusa y realizar videollamadas falsas a algunos representantes de parlamentos europeos.

La semana también se conoció una operación llevada por la Europol contra Emotet. Se lanzó una actualización a la botnet con EmotetLoader.dll, una DLL que ejecuta una rutina para eliminar el malware de los equipos infectados. Recordamos que Emotet comenzó siendo un troyano bancario, por el año 2014. Después, fue evolucionando a un malware modular siendo capaz de enviar spam vía email, efectuar robo de dinero o incluso, actuar como downloader para descargar y ejecutar otros tipos de malware.

Por otra parte, se ha publicado un estudio donde se indica que casi tres cuartas partes, de los ataques de ransomware de 2020, terminaron pudiendo cifrar los datos en empresas dedicadas a las TI de 26 países diferentes. Y solamente el 26% de los encuestados pudieron recuperar los datos cifrados. Se recomienda a las empresas aplicar medidas de seguridad efectivas, porque los ataques de ransomware continúan sucediendo ya que son una fuente principal de ingresos.

De hecho, esta semana se ha conocido un ataque de ese tipo en una empresa importante de servicios en la nube, Swiss Cloud. Se trata de una de las compañías tecnológicas más importantes de Suiza, y el ataque habría afectado a cientos de organizaciones que recurren a esta plataforma de hosting; hasta 6.500 clientes podrían haberse visto afectados.

Respecto a las alertas más importantes sobre actualizaciones destacan las siguientes:

• • Ya se encuentra disponible el parche para corregir la vulnerabilidad crítica que se detectó en Pulse Secure VPN.

  • Descubiertos cinco fallos graves de seguridad agrupados en una única vulnerabilidad, CVE-2021-21551, que afectan a equipos Dell. Se recomienda seguir las instrucciones que Dell ha publicado en su aviso de seguridad DSA-2021-088, para corregir los fallos en el controlador “dbutil”.

  • Actualización del sistema operativo macOS tras la vulnerabilidad 0-day detectada en la función Gatekeeper, la cual permite que solo se ejecuten aplicaciones confiables verificando que el software ha sido firmado por la App Store.

Nuevo boletín quincenal de CSIRT-CV con las noticias y alertas publicadas en estas dos últimas semanas.

Comenzamos con una noticia referente a la importancia de mantener actualizado el software de todos nuestros dispositivos informáticos, lo cual forma parte del llamado ciclo de vida de un producto, donde su fabricante nos proporciona actualizaciones que mejoran el rendimiento y la seguridad, corrigiendo las vulnerabilidades que van siendo detectadas. Pero llega un momento en que finaliza ese ciclo de vida y el fabricante deja de proporcionarnos actualizaciones correctivas, lo que nos obliga a cambiar de dispositivo por otro modelo más actual y que mantenga aún el soporte técnico. Es el caso de una noticia que publicamos referente a una vulnerabilidad crítica en algunos modelos de routers Cisco, los cuales ya no van a recibir actualización y ello obliga a sustituirlos por otros modelos.

Mantener al día las actualizaciones nos ayudará a evitar infecciones por malware, que suelen perseguir el robo de información personal y credenciales de acceso. Es el caso del troyano bancario Janeleiro, que tiene como objetivo usuarios corporativos en Brasil de diferentes sectores. Utiliza ventanas emergentes a modo de phishing para suplantar a entidades bancarias y robar las credenciales de acceso.

Otra forma de infectarnos con algún malware es a través de la instalación de aplicaciones en nuestros dispositivos, como se evidencia en la noticia que publicamos donde cientos de miles de usuarios de Huawei han sido afectados por apps maliciosas. Una de las 10 aplicaciones halladas en Huawei AppGallery comprometidas con código malicioso resultó ser el peligroso troyano Android.Joker operando a través de la suscripción no autorizada a servicios Premium. Se trata de una app maliciosa disfrazada como una herramienta del sistema Android que permite a los actores de amenazas desplegar toda clase de ataques, incluyendo la inhabilitación del servicio Google Play Protect, instalación de software malicioso adicional, anuncios fraudulentos y publicación de reseñas falsas.

También podemos descargar malware de manera involuntaria cuando buscamos en Internet y descargamos contenido desde fuentes no fiables. Este es el caso de SolarMaker, un malware incluido en plantillas empresariales de descarga gratuita mediante redirecciones en Google. El grupo de actores maliciosos detrás de este RAT ha creado alrededor de 100.000 páginas con palabras clave como «template», «invoice», «receipt», «questionnaire» y «resume» para atraer a los usuarios. Cuando la persona accede a la página y hace clic en el botón de descarga, es redireccionada a un sitio controlado por los ciberdelincuentes. Entonces se produce la descarga del contenido malicioso.

Cabe señalar que las vulnerabilidades están presentes en todo tipo de software, y esta semana hemos visto la noticia de un bug en Whatsapp que lo hace vulnerable a ataques Man in the Disk, y que afecta a los dispositivos que utilizan versiones de Android iguales o inferiores a la 9. Con la explotación de esta vulnerabilidad el atacante sería capaz de modificar los datos intercambiados entre la aplicación y el disco, obteniendo el acceso a todos los datos que se encuentren en el almacenamiento externo, incluidas las conversaciones, fotos o videos de Whatsapp. Para solventar este problema, Whatsapp ha lanzado un parche de seguridad donde se establece el almacenamiento de su aplicación en un “scoped storage”.

Y para concluir las noticias de nuestro boletín quincenal, comentaros que ya ha finalizado nuestra campaña: “10 consejos para NO ser víctima de un fraude del CEO”. Durante estas 2 semanas os hemos proporcionado una serie de recomendaciones para evitar que las organizaciones públicas y/o privadas sean víctimas de este tipo de delitos, cada día más frecuentes, y que se valen de sofisticadas técnicas de ingeniería social para que el ataque resulte exitoso.

Finalizamos este boletín con las alertas más importantes sobre actualizaciones:

• • La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de abril, consta de 117 vulnerabilidades, clasificadas 19 como críticas, 89 como importantes y 9 sin severidad asignada.
  • Nueva versión 5.7.1 para WordPress que corrige numerosos errores y dos problemas de seguridad.
  • Vulnerabilidad crítica de ejecución remota de código en Pulse Connect Secure, por lo que se recomienda actualizar tan pronto esté la nueva versión disponible.
  • Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.
  • Vulnerabilidad crítica en el core de Drupal, por lo que se recomienda llevar a cabo las actualizaciones cuanto antes.

La ciberseguridad es muy importante, y por ello recomendamos mantenerse informado, para lo cual podéis visitar nuestros portales CSIRT-CV y concienciaT, así como seguirnos en nuestras redes sociales Facebook y Twitter.