Category: Butlletins

Nou butlletí quinzenal on us comentem les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia que Movistar s’ha vist afectada per un ciberatac. La companyia va detectar activitat inusual en els sistemes a través d’un accés irregular des d’adreces IP sospitoses, per la qual cosa va procedir a bloquejar l’accés a aquestes IP. No es van trobar indicis de sostracció de dades sensibles.

D’altra banda, el govern nicaragüenc és acusat per Facebook d’usar comptes falsos. Facebook ha informat de l’eliminació de prop de 1.000 comptes, 140 pàgines, 24 grups i 363 comptes d’Instagram per ser utilitzades pel govern nicaragüenc per a realitzar pràctiques de desacreditació contra partits de l’oposició. No és la primera vegada que les xarxes socials són utilitzades com a eines polítiques.

Així mateix, sorgeixen diversos segrestadors (ransomware) que afecten tant el món Minecraft com els casinos en reserves de nadius americans. Respecte a Minecraft, el segrestador va robar comptes de jugadors japonesos xifrant els seus dispositius Windows a través de llistes falses. Per a desxifrar els dispositius, els ciberdelinqüents exigien un rescat de 2.000 iens (uns 15 euros) en targetes prepagament. Quant als casinos en reserves de nadius americans, el Buró Federal d’Investigacions (FBI) va alertar de l’existència d’una agressiva campanya de programari de segrest que ha provocat la paralització d’operacions i el tancament de sales de jocs, restaurants i altres àrees comunes.

Un altre cas és el de cibercriminals que instal·len programari de segrest fals en llocs web de WordPress. En ingressar en les plataformes compromeses, els administradors del lloc web trobaven una breu nota de rescat esmentant que el lloc web havia sigut xifrat i que les víctimes havien d’enviar 0.1 bitcoin a una adreça esmentada en la nota de rescat. No obstant això, els especialistes de seguretat van reportar que els llocs web no estaven xifrats, i que els criminals únicament volien enganyar les víctimes per a obtindre guanys ràpids.

La F1 tampoc es deslliura de ciberatacs. Durant els seus esdeveniments, els cibercriminals posen el focus en la informació que els equips intercanvien (telemetria dels cotxes, arxius de vídeo i àudio, cronometratge, puntuació…). En paraules de “DarkTrace”, plataforma de ciberdefensa de l’equip McLaren Racing, gràcies a l’ús de la intel·ligència artificial (IA) els atacs poden detectar-se i frenar-se a temps independentment del país on es troben les escuderies.

També cal destacar la presentació, per part de Lourdes Herrero, cap del Servei de Confiança Digital, de la Conselleria d’Hisenda i Model Econòmic, del “Pla de xoc de Ciberseguretat de les Entitats Locals” en Infocaldero.

 

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena, han sigut:

• • • Vulnerabilitats 0-day en els tallafocs GlobalProtect Portal VPN de Palo Alto. “Palo Alto Networks” (PAN) va proporcionar una actualització que corregeix la vulnerabilitat CVE-2021-3064. Aquesta vulnerabilitat afecta els tallafocs de PA que utilitzen GlobalProtect Portal VPN i permet l’execució remota de codi sense autenticació en instal·lacions vulnerables del producte.

• • • Google adverteix d’atacs tipus 0-day en dispositius Apple. Google identifica vulnerabilitats a través de les quals els delinqüents utilitzaven un conegut «exploit» que permetia realitzar una execució remota de codi (CVE-2021-1789) per a després realitzar un segon Zero-day no públic amb la finalitat d’escalar privilegis en l’equip de la víctima (CVE-2021-30869).

• • • Múltiples fallades de seguretat de BusyBox amenacen als dispositius IoT. Es van identificar diverses vulnerabilitats crítiques en la utilitat BusyBox de Linux que podrien ser explotades per a provocar una condició de denegació de servei (Dos) i, en alguns casos, fins i tot conduir a fugides d’informació i execució remota de codi (CVE-2021-42373, CVE-2021-42374, CVE-2021-42375, entre altres).

• • • Múltiples vulnerabilitats en TIBCO PartnerExpress. Es van identificar diverses vulnerabilitats que permeten atacs de segrest de clic (clickjacking, CVE-2021-43048), injecció indirecta de scripts (Cross-Site Scripting, CVE-2021-43047) i criptovalors de sessió (tokens, CVE-2021-43046).

• • • Múltiples vulnerabilitats en Moodle. Les vulnerabilitats trobades afecten la restauració d’arxius de còpia de seguretat (backup, CVE-2021-3943), a un paràmetre URL de l’eina d’administrador “filetype” (CVE-2021-43558), i al criptovalor (token) de comprovació de la funció “delete related badge” (CVE-2021-43559).

• • • Vulnerabilitat crítica en el kernel de Linux, la qual podria portar a l’execució remota de codi i a un compromís total del sistema. La vulnerabilitat (CVE-2021-43267) es troba en el mòdul de comunicació transparent entre processos (TIPC) del «kernel» de Linux, concretament en el fitxer “net/tipc/crypto.c”.

• • • Diverses vulnerabilitats de risc alt corregides en Mozilla Firefox 94. Aquestes vulnerabilitats són de risc alt, i han sigut classificades amb els codis CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, MOZ-2021-0003 i MOZ-2021-0007.

• • • Vulnerabilitats XSS en el core de Drupal. S’han reportat dues vulnerabilitats (CVE-2021-41165 i CVE-2021-41164).

• • • Actualitzacions de seguretat de Microsoft de novembre de 2021, que consten de 7 vulnerabilitats classificades 6 com a crítiques, 50 importants i 23 sense severitat assignada. Les vulnerabilitats publicades es corresponen amb DoS, escalada de privilegis, divulgació d’informació i altres vulnerabilitats Zeroday (CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209, CVE-2021-42292, CVE-2021-42321…).

Us remetem una altra quinzena més el nostre butlletí amb les principals notícies relacionades amb la ciberseguretat.

Comencem amb la notícia que l’empresa Quickfox, servei gratuït de VPN, ha exposat accidentalment informació sensible d’un milió d’usuaris de la seua plataforma. L’origen del problema va ser una fallada de configuració de les restriccions d’accés a ElasticSearch del sistema ELK (ElasticSearch, Logstash i Kibana). Entre les dades exposades, veiem noms, números de telèfon, dispositius d’accés, adreces IP i fins i tot contrasenyes emmagatzemades “hashejades” utilitzant MD-5.

D’altra banda, un cibercriminal aconsegueix accedir als sistemes del Registre Nacional de les Persones a l’Argentina (RENAPER), organisme encarregat de la identificació i registre dels seus ciutadans, i exposa milers de registres confidencials de polítics, celebritats i ciutadans argentins, i amenaça d’exposar més dades si no es paga un rescat de 17.000 USD en bitcoins.

També s’ha destapat una campanya d’estafa global d’SMS premium “Ultima SMS”, present en més de huitanta aplicacions de “Google Play Store”, i que enganya els usuaris perquè se subscriguen a SMS premium. Una vegada descarregades, aquestes aplicacions comproven la ubicació del dispositiu, l’IMEI i el número de telèfon per a determinar en quin idioma mostrar l’estafa. A pesar de produir-se la subscripció SMS premium, les funcionalitats anunciades no es desbloquegen.

Una altra notícia important fa referència als dispositius amb connexió a Internet. S’han detectat múltiples vulnerabilitats de dia zero en dispositius IoT de vigilància de bebés, que permeten als atacants executar codi arbitrari. En aquest sentit, els atacants poden descobrir càmeres en cercadors IoT com Shodan i comprometre-les fàcilment.

Arran de la situació actual viscuda per la pandèmia, s’estan produint múltiples fraus de certificats de vacunació COVID-19 del Servei Nacional de Salut d’Ucraïna. En aquest sentit, els cibercriminals van accedir a les bases de dades amb l’objectiu de modificar els registres sanitaris i evadir els controls de vacunació, oferint certificats falsos a un preu de cent euros aproximadament.

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena, han sigut:

• • La fallada de WordPress, que permet restablir i/o esborrar llocs web vulnerables per mitjà del connector “Hasthemes Demo Importer“, al qual només poden accedir administradors. És necessari actualitzar el connector per a corregir la vulnerabilitat.
  • Una vulnerabilitat crítica d’autenticació de GoCD permet a un atacant no autenticat extraure els tokens i una altra informació sensible. La solució és actualitzar a la nova versió disponible.
  • S’ha descobert que Garuda Linux realitza una creació i autenticació d’usuaris molt insegura, ja que permet a un usuari suplantar el compte creat. El problema s’ha solucionat amb la nova versió.
  • També s’ha detectat una autenticació inadequada en NGNIX Service Mesh de F5, perquè permet a un atacant autenticat o no accedir a snapshots. S’ha catalogat com una vulnerabilitat crítica i ha d’actualitzar-se a la seua última versió.
  • Possibles desbordaments de memòria en productes HP (CVE-2021-39238). S’aconsella actualitzar la versió de firmware corresponent al model d’impressora.
  • Pràcticament tots els compiladors de codi i molts entorns de desenvolupament de software estan afectats per les vulnerabilitats crítiques trobades en Unicode, ja que a través de l’exploit “Trojan Source” es pot piratejar pràcticament qualsevol software.
  • Múltiples vulnerabilitats crítiques en Jenkins, en què s’ha d’actualitzar al més prompte possible per a solucionar-les.

Una quinzena més, us remetem el nostre butlletí amb les principals notícies relacionades amb el món de la seguretat informàtica.

Comencem amb la notícia de la presa de control del perfil de Facebook de l’USS Kidd. Un vaixell de guerra de l’armada dels EUA “va abandonar” les seues publicacions habituals per a iniciar una suposada emissió en temps real (streaming) del videojoc Age of Empires. Tot va quedar en una broma, però els operadors oficials van perdre el control del perfil de Facebook.

D’altra banda, un ciberatac va deixar sense servei la Universitat Autònoma de Barcelona i algunes classes virtuals van haver de cancel·lar-se. Els tècnics responsables van desconnectar els servidors i les aplicacions corporatives per a evitar la propagació del malware.

Us alertem de l’última estafa que està circulant per WhatsApp i que està relacionada amb la tercera dosi de la vacuna per a la COVID-19. Molts usuaris estan rebent un missatge, en què suplanten els representants de la Seguretat Social, sol·licitant un codi de verificació per a rebre aquesta dosi. Si oferim aquest codi als atacants, podrien segrestar el nostre compte de WhatsApp i fer-nos-el perdre.

Molta cura també amb la campanya que s’ha detectat d’enviament de correus electrònics fraudulents que tracten de suplantar a Correus mitjançant l’ús de correus de phishing. L’assumpte del correu podria ser alguna cosa com “#Tu-paquete-ha_llegado!#”, “Tu-paquete-ha_llegado!!!”, “Tu-paquete-ha_llegado!” o “…..Tu-paquete-ha_llegado!”. En el mateix missatge s’informa l’usuari que “No se han pagado los gastos de transporte de 4, 95 €” i que cal organitzar un nou lliurament a través d’un chatbot per a poder rebre el paquet.

Respecte a les alertes i actualitzacions més rellevants de la quinzena, han sigut:

• • Noves vulnerabilitats crítiques per a Microsoft Windows: el passat 12 d’octubre es van publicar una sèrie de pedaços (patch) per a corregir les 74 vulnerabilitats detectades, tres de les quals són de nivell crític.
  • Fallades greus i fins i tot un dia zero (zero-day) després del llançament de Windows 11: un total de catorze vulnerabilitats han sigut corregides. La CVE-2021-40449 és la vulnerabilitat de dia zero, que s’està explotant activament.
  • Vulnerabilitat corregida en iOS: Apple va detectar una vulnerabilitat que afectà alguns dels seus dispositius. Es recomana aplicar les actualitzacions com més prompte millor.

Tornem una quinzena més amb un nou butlletí sobre les principals notícies del món de la ciberseguretat.

Comencem el nostre butlletí amb la notícia del hacking al lloc web “Bitcoin.org“. L’atac va començar amb un missatge en una finestra emergent en la web, on s’informava que els 10.000 primers usuaris que respongueren el missatge podien aprofitar-se d’una oferta i duplicar el total d’actius de les seues carteres electròniques. El missatge incloïa un codi QR per a accedir a una determinada cartera.

Una altra notícia interessant és la relativa a la filtració de dades confidencials sobre l’estat de vacunació de la COVID-19 al Canadà, que s’ha produït a través dels codis QR emesos en els certificats de vacunació. L’empresa “eHealth Saskatchewan”, encarregada de proporcionar aquests serveis electrònics al sector sanitari, s’ha vist obligada a sol·licitar la destrucció d’aquests certificats de vacunació COVID.

Així mateix, diversos experts de Kaspersky han identificat intents d’infecció -a través de malware i altres tipus de software maliciós- a usuaris que intentaven descarregar-se la nova pel·lícula de James Bond (“No Time to Die”).  També s’han identificat intents de phishing en els quals es demanava als usuaris que es registraren per a poder continuar veient la pel·lícula. Durant aquest procés se sol·licitava a les víctimes les seues dades bancàries.

També us informàvem de la notícia sobre una vulnerabilitat en “Apple AirTag”, l’explotació de la qual permetria als ciberdelinqüents trobar el número telefònic d’un usuari, i fins i tot, redirigir-lo a llocs de phishing d’iCloud i altres plataformes legítimes. Tot es deu al fet que el “mode perdut” del dispositiu no està protegit, i permet a l’atacant injectar codi en els camps de la funció que genera les dades personals del propietari del mòbil perdut.

Us recordem que a l’octubre se celebra el Mes Europeu de la Ciberseguretat (ECSM),  mes durant el qual la Unió Europea realitza una campanya dedicada a promoure la ciberseguretat entre els ciutadans i les organitzacions de la UE, i a proporcionar informació de seguretat en línia actualitzada mitjançant la sensibilització i l’intercanvi de bones pràctiques.

Finalment, us anunciem que aquesta setmana hem finalitzat la nostra campanya de conscienciació dirigida a docents, en la qual durant dues setmanes hem publicat un consell diari sobre un tema a treballar amb els alumnes, amb recursos que permeten assimilar millor els continguts de la ciberseguretat. Pots veure el detall d’aquesta campanya en el portal de conscienciació concienciaT.

Respecte a les alertes i actualitzacions més rellevants de la quinzena:

• • S’han identificat múltiples vulnerabilitats “ZeroDay”, que afectaven dispositius Iphone i Mac:
    – CVE-2021-30869. Fallada de confusió de tipus en el component XNU, que permet executar codi arbitrari amb privilegis en Kernel.
    – CVE-2021-30858. Vulnerabilitat “Use-After-Free” (UAF), que permet a “Webkit” executar codi arbitrari en un lloc web amb contingut maliciós.
    – CVE-2021-30860. Vulnerabilitat que permet executar codi arbitrari en processar un PDF amb contingut maliciós.
  • Netgear ha reportat 25 vulnerabilitats, totes aquestes de severitat crítica, que podrien permetre a un atacant comprometre els productes afectats. Es recomana actualitzar a la versió de firmware més recent.
  • Google també s’ha vist sorpresa per una altra vulnerabilitat ZeroDay en la seua última versió de “Chrome 94”. En aquest sentit, han hagut de llançar un pegat d’emergència. La vulnerabilitat detectada (CVE-2021-37973) afectava l’API de Portals, encarregada de la transició entre pàgines.