Category: Butlletins

Com cada quinzena us portem les principals notícies relacionades amb el món de la ciberseguretat.

Comencem el nostre apartat de notícies fent-nos ressò de la notícia relacionada amb el desmantellament per part de Facebook d’una campanya d’espionatge. Segons informen en la notícia, sembla que darrere d’aquesta campanya està el conegut grup Tortoiseshell (aka Imperial Kitten), el qual centrava els seus atacs en la indústria tecnològica de la informació en Aràbia Saudita.

D’altra banda, motivades per la celebració dels Jocs Olímpics de Tòquio, s’han detectat diverses campanyes de phishing que ofereixen retransmissions en directe dels JJOO. Una vegada realitzat el registre en el web, es redirigeix l’usuari a una altra pàgina destinada a la distribució d’arxius maliciosos que s’instal·len en els equips.

Durant aquestes setmanes també s’han donat altres casos de phishing, com el que denunciaren alguns clients d’Amazon. Pel que sembla diversos clients han rebut un correu fraudulent que aparenta ser d’Amazon en el qual se’ls insta a verificar la informació de la seua targeta. Com sempre us diem, molt de compte amb aquests correus….

Una altra notícia destacada durant aquestes setmanes, ha sigut que el spyware Pegasus ha sigut capaç de filtrar més de 50.000 números de telèfons de periodistes, empresaris i polítics. Aquest fet ha generat debat, ja que l’empresa desenvolupadora del spyware informa que la finalitat de Pegasus està orientada a objectius criminals i terroristes.

També us informàvem que el 95% de ciberatacs patits per les pimes ha sigut causat per un error humà. Segons l’informe d’Exsel, 1 de cada 5 pimes ha sigut víctima d’un ciberatac, per aquest motiu moltes empreses també han augmentat la inversió en ciberseguretat.

Tanquem el nostre butlletí amb l’habitual repàs d’actualitzacions de software rellevant de la quinzena:

• • Butlletins de seguretat que solucionen múltiples vulnerabilitats crítiques en Oracle WebLogic Server que inclouen l’execució remota de codi sense autenticació.
  • Actualitzacions de Drupal. L’equip de Drupal, ha reportat una vulnerabilitat catalogada com a crítica, que permetria a un atacant utilitzar la llibreria per a extraure arxius de fonts no de confiança.
  • Actualització de Telegram. S’han solucionat diverses vulnerabilitats associades al protocol de xifratge en Telegram. Malgrat que han sigut qualificades de no crítiques, la companyia recomana actualitzar per a incloure les millores realitzades  en el seu protocol de xifratge.

Finalment, als qui marxeu de vacances us desitgem que gaudiu d’aquest estiu i passeu unes bones vacances cibersegures.

Com cada quinzena us portem les principals notícies relacionades amb el món de la ciberseguretat.

Comencem el repàs avisant de la urgència d’aplicar les noves actualitzacions alliberades el dimarts per Microsoft ja que incloïen, entre altres, una solució estable per a la vulnerabilitat recentment explotada Print Nightmare, la qual permetia execució de codi remot en sistemes Windows. Recomanem a tots els usuaris que apliquen aquesta actualització al més prompte possible.

D’altra banda, ha caigut a Espanya un equip de delinqüents que utilitzaven Mekotio i Grandoreiro per a obtindre dades bancàries i perpetrar estafes i robatoris, al qual Hispasec ha dedicat un interessant article. Destaca que el grup comptava amb “treballadors” dedicats a generar correus falsos per a enganyar les víctimes i aconseguir que descarregaren el malware.

I és que, afortunadament, cada vegada el ciberdelicte queda menys impune. Prova d’això és que l’Audiència Nacional ha condemnat a presó el creador del malware Cobalt, el qual malgrat la seua nacionalitat russa, operava des de la seua residència a Alacant.

Una onada molt similar d’atacs estan patint diverses organitzacions amb falses trucades telefòniques suplantant el servei tècnic de Microsoft, i incitant els usuaris que accedisquen a adreces web malicioses per a descarregar programes amb els quals posteriorment, els comprometen el dispositiu. És una tècnica àmpliament denunciada en el passat, però que durant les últimes setmanes ha tornat a cobrar força.

Per als qui vulguen cultivar les neurones durant l’estiu, el CCN ha anunciat nous webinars per al 20 de juliol (tècniques OSINT i anàlisis de Xarxes Socials) i el 22 de juliol (ciberinvestigació mitjançant tècniques OSINT), a les quals us podeu registrar en l’enllaç següent.

D’altra banda, el CCN també ha publicat en el seu canal de YouTube els vídeos de la recent III Trobada ENS, les quals us convidem a reviure.

Per als més experts del lloc, informem que s’ha alliberat una nova versió de l’eina d’autoavaluació de seguretat de sistemes d’informació basada en SIM3 de la Open CSIRT Foundation, la qual ha rebut una rentada de cara visual, a més de nous perfils i gràfiques comparatives. 

Tanquem amb l’habitual repàs de la resta d’actualitzacions de software rellevant de la quinzena:

• • Actualizacions per a Cisco Adaptive Security Appliance i Cisco Firepower Threat Defense.
  • Actualizacions per a diversos productes Adobe, entre ells, Dimension, Illustrator, Framemaker, Acrobat/Reader y Bridge.
  • Important actualizació per a Woocommerce.
  • Actualizació de BIOS per a portàtils Lenovo.

Com cada quinzena, us fem arribar el nostre butlletí amb les notícies i alertes més destacades de les últimes dues setmanes.

Un dels titulars més sonats va ser el descobriment d’un nou malware amb el qual s’ha robat fins a 1.2 TB d’informació, entre els anys 2018 i 2020, en sistemes Windows. Segons els investigadors, els atacants van donar a conéixer per error el lloc on emmagatzemaven la base de dades, la qual cosa va fer que fóra possible avisar al proveïdor de hosting i que la informació s’eliminara.

Una altra notícia destacada va ser la de l’error detectat en iOS. Segons sembla, una xarxa Wi-Fi amb un nom especial podria deixar sense connexió als dispositius iPhone, i l’usuari tampoc podria connectar-se a altres xarxes.

McAfee també va publicar una vulnerabilitat, de nivell crític, en la línia de productes Bike+ i equips d’exercici Tread. I encara que l’atacant necessitaria accedir físicament a la bicicleta, s’insisteix que n’hi ha moltes de disponibles en llocs públics, com hotels, gimnasos i urbanitzacions. Es podria obtenir control complet del dispositiu, inclosos la càmera i el micròfon.

Una notícia cridanera ha sigut el supòsit hackeig a la plataforma secreta de l’OTAN. Entre les dades exposades al ciberatac es troben el codi font i la documentació de la plataforma. L’atac estaria directament relacionat amb el patit per Everis al maig d’aquest mateix any. La intenció inicial dels atacants era la d’extorquir Everis exigint un pagament a canvi de no relacionar la companyia amb l’atac, però Everis no va accedir a pagar i els membres d’aquesta companyia i NTT Data han aparegut directament relacionats amb la filtració de dades.

Aquesta setmana hem conegut que diversos ciberdelinqüents han estat venent informació i milions de registres relacionats amb usuaris de LinkedIn, en la Dark Web. Al voltant del 94% d’usuaris de la plataforma estarien afectats per aquesta filtració. Els registres compromesos inclouen noms complets, adreces de correu electrònic, números telefònics i altres detalls del perfil. Els experts recomanen als usuaris de LinkedIn actualitzar les seues contrasenyes.

Finalment, us recordem que continua en marxa la nostra campanya de conscienciació “Fes-te analista de ciberseguretat”, on cada dia us expliquem perquè la demanda d’aquesta mena de professional és major cada dia així com la formació necessària per a dedicar-se a això, a través de les nostres xarxes socials Facebook i Twitter.

A més, a partir de la setmana que ve, tota la campanya també estarà disponible en el nostre portal concienciaT, en la secció “Consells i campanyes”.

Últimes Alertes

L’alerta més destacada d’aquesta quinzena és la relacionada amb Microsoft atés que, les seues últimes actualitzacions amb data 8 de juny, no corregeixen una vulnerabilitat crítica detectada, concretament l’associada a CVE-2021-1675.

Recentment es va publicar una vulnerabilitat per a l’administrador de cues d’impressió (Windows Print Spooler) per al qual s’han publicat diverses PoC o exploits. Per tant, l’explotació d’aquesta vulnerabilitat podria atorgar a l’atacant control total dels sistemes vulnerables.

Es recomana aplicar els nous pegats que puga publicar Microsoft. Com a mesura de contingència addicional, almenys per a tots els servidors, s’hauria de deshabilitar el servei Print Spooler o desinstal·lar tots els serveis d’impressió.

Una vegada més us fem arribar el nostre butlletí amb les notícies i alertes més destacades de les últimes dues setmanes.

Comencem el butlletí amb una notícia referent a la filtració de dades de 3,3 milions d’usuaris de Volkswagen i Audi a Amèrica del Nord. Entre les dades filtrades estaven nom complet, números de telèfon, adreces de correu electrònic i postal, i en determinats casos, informació sobre els vehicles de compra o lloguer dels seus clients. Les dades han estat exposades durant aproximadament dos anys i provenen d’un servei de vendes i màrqueting que la companyia disposa a través d’un proveïdor extern. Com a mesura preventiva s’està oferint un servei de protecció i monitoratge gratuït per a evitar fraus que puguen estar relacionats amb la filtració d’aquestes dades.

També us informàvem sobre una vulnerabilitat en la funció de videoxat FacebookMessengerRooms, que en el cas de ser explotada, permetia als ciberdelinqüents accedir a fotos i vídeos emmagatzemats en els dispositius dels usuaris Android afectats. L’atac es realitzava quan l’usuari rebia una invitació a una sala de videotelefonada. Facebook va rebre el report i la vulnerabilitat va ser corregida immediatament.

Igualment durant aquests dies, s’ha donat a conéixer una vulnerabilitat en Microsoft Power Apps la qual permetria el robatori de credencials en Microsoft Teams. Si s’aconseguia explotar la vulnerabilitat, un atacant podria escalar privilegis i aconseguir accés al correu d’una víctima i a altres serveis de Microsoft, com OneDrive o Sharepoint.

Quant a notícies relacionades amb ransomware, us contàvem que JBS la processadora de carn més gran del món va patir un atac de ransomware que va interrompre severament les seues operacions i va pagar un rescat d’11 milions de dòlars en criptomoneda. Les conseqüències d’aquest ciberatac van arribar directament fins als clients. La interrupció massiva d’activitats en JBS va provocar severs problemes de proveïment i va incrementar els preus de la carn.

Per a acabar el nostre apartat de notícies, us informem que dissabte passat vam celebrar el 14é aniversari de CSIRT-CV. Us agraïm la confiança depositada en nosaltres durant aquests anys i esperem continuar complint molts més, al costat de tots vosaltres.

Últimes Alertes

• • Vulnerabilitats Zeroday dispositius iPhone i iPad de generacions anteriors. Es recomana als usuaris actualitzar a iOS v12.5.4 per a protegir els seus dispositius.
  • Microsoft va llançar el conjunt d’actualitzacions de seguretat corresponents al mes de juny. La publicació d’actualitzacions consta de 50 vulnerabilitats, classificades 5 com a crítiques i 45 com a importants.
  • Actualització de seguretat de SAP de juny de 2021. Corregeix vulnerabilitats de XSS, d’autenticació inadequada, de validació d’entrada incorrecta, de revelació d’informació, de corrupció de memòria i de falta de comprovació d’autenticació.