Category: Butlletins

Nou butlletí quinzenal de CSIRT-CV, on resumirem les notícies i alertes de ciberseguretat més destacades d’aquestes últimes dues setmanes.

Comencem parlant de Google, que ha llançat una nova versió del seu gestor de contrasenyes per al navegador de Google Chrome. En aquesta nova versió, l’usuari pot accedir a totes les seues contrasenyes i comprovar mitjançant un simple clic si la seua contrasenya és segura. L’eina s’encarregarà de comprovar-ho mitjançant una sèrie de regles, i a més consultarà si ha sigut compromesa en alguna fuga de dades. En cas de ser una contrasenya compromesa, reportarà un avís a l’usuari i li proposarà un canvi de contrasenya.

També volem destacar que després d’examinar-se 23 aplicacions per a Android, s’ha descobert que els desenvolupadors d’aplicacions mòbils han deixat exposades les dades personals de més de 100 milions d’usuaris a través d’una sèrie de configuracions errònies de serveis en el núvol de tercers. Aquesta informació incloïa correus electrònics, missatges de xat, ubicació, contrasenyes i fotos, la qual cosa, en mans de ciberdelinqüents, podria donar lloc a fraus, furt d’identitat i robatoris de serveis.

Dins de l’entorn web, trobem el plugin de WordPress ‘ReDi Restaurant Booking’, amb més de 1.000 instal·lacions actives, el qual permet als negocis de restauració gestionar les reserves dels seus clients. A través d’aquest, els clients poden consultar els espais de temps disponibles, i en cas d’estar lliures, realitzar una reserva. Però el passat dia 15 d’abril, es va detectar una vulnerabilitat de tipus Cross-Site Scripting (XSS) en la qual, durant la reserva, l’aplicació sol·licita a l’usuari la data i hora de la reserva, a més de nom, telèfon, adreça electrònica i comentaris addicionals. Cap d’aquestes dades són sanejades abans de ser emmagatzemades en la base de dades de l’aplicació, la qual cosa permetria a un atacant injectar el codi Javascript maliciós a fi de robar informació sensible dels clients a través de les seues reserves, i fins i tot, per a filtrar la clau API privada del plugin.

Sempre hem aconsellat tindre molta precaució amb els dispositius que es connecten a Internet. En aquesta ocasió hem vist com la funcionalitat Sidewalk dels dispositius d’Amazon permetrà compartir la teua xarxa amb altres dispositius desconeguts que es troben a prop. L’objectiu d’Amazon és crear una xarxa sense fil de llarg abast, amb la qual proporcionar connectivitat a dispositius que no disposen d’ella. Encara que el protocol d’aquesta funcionalitat siga segur, continua havent-hi dubtes sobre els problemes de seguretat que pot generar, ja que podria introduir vulnerabilitats amb les quals atacar els mateixos dispositius. A més, els usuaris hauran de desactivar manualment la funcionalitat en els seus dispositius accedint als ajustos del dispositiu, ja que quan comence a funcionar el pròxim 8 de juny aquesta estarà activada per defecte.

I com el ransomware continua sent un atac en auge, en aquest cas l’empresa estatunidenca Bose ha sigut l’última víctima d’un ransomware que es va instal·lar en la companyia a través d’un full de càlcul que contenia informació personal de treballadors i extreballadors. L’empresa no ha realitzat cap pagament per aquest ciberatac i ha pres mesures de protecció i precaució.

Per a acabar el nostre apartat de notícies, us recordem un article que hem publicat en la nostra web de conscienciació, on us parlem de la suplantació d’identitat, que consisteix a fer-se passar per una altra persona per a obtindre un benefici o aconseguir propòsits il·lícits. Està tipificada com a delicte en el Codi Penal i hui dia el robatori de la identitat digital és un ciberatac molt freqüent. Els ciberdelinqüents, amb la teua identitat, podrien obtindre una hipoteca, un crèdit, desviar diners, comprar per internet i moltes coses més.

Últimes alertes

• • Vulnerabilitat de dia zero en un plugin de WordPress que afecta més de 17.000 llocs. Aquest plugin està orientat a comerços en línia i la fallada permetria a un atacant prendre control del lloc. Els detalls de l’error no s’han publicat per a previndre que siga explotat a gran escala, però s’han recopilat alguns compromisos per a ajudar els administradors de sistemes a detectar si un WordPress ha sigut atacat aprofitant la vulnerabilitat.
  • Vulnerabilitats en productes Cisco d’alta severitat, les quals permetrien a un atacant l’execució de codi arbitrari.
  • Vulnerabilitat en el core de Drupal, descoberta en la llibreria CKEditor, deguda a un error en l’anàlisi d’HTML que podria conduir a un atac XSS.
  • Diverses vulnerabilitats importants en productes VMware, on és crítica la possible execució remota de codi.
  • Múltiples vulnerabilitats en dispositius que suporten especificacions Bluetooth, on diferents fabricants s’han vist afectats, inclosos Android Open Source Project, Cisco, Intel, entre altres.

  Recordem als nostres lectors que en la nostra web concienciaT també tenen molta informació i recursos a manera d’infografies, guies i cursos on millorar els coneixements en ciberseguretat.

Com cada quinzena, portem les principals notícies relacionades amb la ciberseguretat.

Obrim el butlletí amb la notícia de major impacte de la quinzena: un ciberatac ha bloquejat temporalment un oleoducte que proveïa de combustible al 45% de l’est dels Estats Units. Com ha sigut l’impacte de l’aturada, que el mateix Joe Biden va fer declaracions públiques sobre aquest tema i es va veure obligat a declarar l’estat d’emergència. L’atac utilitzat sembla ser un ransomware.

I és que, precisament, a causa de la constant evolució dels atacs ransomware, recentment s’ha encunyat el nou terme “ransomware de triple extorsió”, el qual fa referència a la nova tendència que inclou robatori de dades, recompensa econòmica i (principal novetat) xantatge als clients. Si fins ara per a moltes organitzacions resultava increïblement costós patir la pèrdua de les seues dades, i no eren capaces d’afrontar el pagament del rescat, ara se suma el possible dany potencial al qual s’exposen els seus usuaris i clients en exposar les seues dades. Un recent exemple d’aquests atacs de triple extorsió ha sigut el patit per The Phone House.

Altres exemples de ransomwares recents són:

• • Sistema sanitari irlandés.
  • Divisió d’Axa a l’Àsia

El nivell de preocupació que està causant el ransomware és tan important, que fins i tot fòrums de temàtica hacker estan censurant compartir informació sobre aquests atacs, en un intent de mitigar el seu impacte.

Però no tot són males notícies en aquest butlletí: per a tots els que ho esperàveu amb ànsia, la setmana passada vam publicar el nostre informe anual d’activitat 2020 on exposem les principals fites aconseguides per CSIRT-CV durant l’any passat. Conté informació tant dels principals atacs gestionats i la seua tipologia com de l’abast de serveis tan capdavanters com el Pla Valencià de Capacitació, o l’assistència a víctimes de fraus al CEO o atacs ransomware, tan de moda en 2020.

Seguint amb les bones notícies, Alemanya ha tombat un dels majors llocs de pornografia infantil (Boystown) de tota la Darknet amb més de 400.000 usuaris. Els acusats de la seua administració eren 3 ciutadans alemanys d’entre 40 i 58 anys, a més d’un quart acusat de ser un dels principals proveïdors de contingut.

Quant a les actualitzacions rellevants, ha sigut una quinzena molt moguda:

• • Les actualitzacions mensuals de Microsoft solucionen importants vulnerabilitats en diferents versions de Windows Server i Windows10, que han de ser solucionades al més prompte possible.
  • WordPress ha tret una actualització que corregeix una vulnerabilitat que permetia injectar objectes en PHPMailer. Atesa la potencialitat de l’atac, tenint en compte que pràcticament tots els WordPress estan exposat a Internet, resulta crític actualitzar.
  • Adobe ha publicat múltiples actualitzacions per a InDesign, Illustrator, Reader, Acrobat i After Effects, entre d’altres.

Tanquem el butlletí convidant els nostres lectors a visitar la publicació en concienciaT, amb motiu del Dia d’Internet, celebrat el passat 17 de maig, on hem fet un recopilatori de materials i continguts oferits a la ciutadania per a fer un ús més segur d’Internet.

Una quinzena més us comentem les notícies de seguretat més rellevants d’aquests dies.

Comencem amb una campanya que va afectar polítics europeus. Entre els objectius d’aquesta campanya es trobaven el president de la Comissió d’Afers Exteriors del Parlament de Letònia, i el president del Comité d’Afers Exteriors del Regne Unit. Els ciberdelinqüents van utilitzar tecnologia deepfake per a imitar alguns membres de la classe política russa i realitzar videotelefonades falses a alguns representants de parlaments europeus.

En la setmana també es va conéixer una operació portada per l’Europol contra Emotet. Es va llançar una actualització a la botnet amb EmotetLoader.dll, una DLL que executa una rutina per a eliminar el malware dels equips infectats. Recordem que Emotet va començar sent un troià bancari, per l’any 2014. Després, va anar evolucionant a un malware modular sent capaç d’enviar spam via correu electrònic, efectuar robatori de diners o fins i tot, actuar com a downloader per a descarregar i executar altres tipus de malware.

D’altra banda, s’ha publicat un estudi on s’indica que quasi tres quartes parts, dels atacs de ransomware de 2020, van acabar podent xifrar les dades en empreses dedicades a les TI de 26 països diferents. I solament el 26% dels enquestats van poder recuperar les dades xifrades. Es recomana a les empreses aplicar mesures de seguretat efectives, perquè els atacs de ransomware continuen succeint, ja que són una font principal d’ingressos.

De fet, aquesta setmana s’ha conegut un atac d’aqueix tipus en una empresa important de serveis en el núvol, Swiss Cloud. Es tracta d’una de les companyies tecnològiques més importants de Suïssa, i l’atac hauria afectat centenars d’organitzacions que recorren a aquesta plataforma de hosting; fins a 6.500 clients podrien haver-se vist afectats.

Respecte a les alertes més importants sobre actualitzacions destaquen les següents:

• • Ja es troba disponible el pedaç per a corregir la vulnerabilitat crítica que es va detectar en Pulse Secure VPN.

  • Descobertes cinc fallades greus de seguretat agrupades en una única vulnerabilitat, CVE-2021-21551, que afecten equips Dell. Es recomana seguir les instruccions que Dell ha publicat en el seu avís de seguretat DSA-2021-088, per a corregir les fallades en el controlador “dbutil”.
  • Actualització del sistema operatiu macOS després de la vulnerabilitat 0-day detectada en la funció Gatekeeper, la qual permet que només s’executen aplicacions de confiança verificant que el software ha sigut signat per l’App Store.

Nou butlletí quinzenal de CSIRT-CV amb les notícies i alertes publicades en aquestes dues últimes setmanes.

Comencem amb una notícia referent a la importància de mantindre actualitzat el programari de tots els nostres dispositius informàtics, la qual cosa forma part de l’anomenat cicle de vida d’un producte, on el seu fabricant ens proporciona actualitzacions que milloren el rendiment i la seguretat, corregint les vulnerabilitats que van sent detectades. Però, arriba un moment en què finalitza aqueix cicle de vida i el fabricant deixa de proporcionar-nos actualitzacions correctives, la qual cosa ens obliga a canviar de dispositiu per un altre model més actual i que mantinga encara el suport tècnic. És el cas d’una notícia que publiquem referent a una vulnerabilitat crítica en alguns models d’encaminadors Cisco, els quals ja no rebran actualització i això obliga a substituir-los per altres models.

Mantindre al dia les actualitzacions ens ajudarà a evitar infeccions per malware (programari maliciós), que solen perseguir el robatori d’informació personal i credencials d’accés. És el cas del troià bancari Janeleiro, que té com a objectiu usuaris corporatius al Brasil de diferents sectors. Utilitza finestres emergents a manera de phishing per a suplantar entitats bancàries i robar les credencials d’accés.

Una altra manera d’infectar-nos amb algun malware és a través de la instal·lació d’aplicacions en els nostres dispositius, com s’evidencia en la notícia que publiquem on centenars de milers d’usuaris d’Huawei han sigut afectats per app malicioses. Una de les 10 aplicacions trobades en Huawei AppGallery compromeses amb codi maliciós va resultar ser el perillós troià Android.Joker, operant a través de la subscripció no autoritzada a serveis Premium. Es tracta d’una app maliciosa disfressada com una eina del sistema Android que permet als actors d’amenaces desplegar tota classe d’atacs, incloent-hi la inhabilitació del servei Google Play Protect, instal·lació de programari maliciós addicional, anuncis fraudulents i publicació de ressenyes falses.

També podem descarregar malware de manera involuntària quan busquem en Internet i descarreguem contingut des de fonts no fiables. Aquest és el cas de SolarMaker, un malware inclòs en plantilles empresarials de descàrrega gratuïta mitjançant redireccions en Google. El grup d’actors maliciosos darrere d’aquest RAT ha creat al voltant de 100.000 pàgines amb paraules clau com «template», «invoice», «receipt», «questionnaire» i «resume» per a atraure els usuaris. Quan la persona accedeix a la pàgina i clica en el botó de descàrrega, és redirigida a un lloc controlat pels ciberdelinqüents. Llavors es produeix la descàrrega del contingut maliciós.

Cal assenyalar que les vulnerabilitats són presents en tota mena de programari, i aquesta setmana hem vist la notícia d’un bug en WhatsApp que el fa vulnerable a atacs Man in the Disk, i que afecta els dispositius que utilitzen versions d’Android iguals o inferiors a la 9. Amb l’explotació d’aquesta vulnerabilitat l’atacant seria capaç de modificar les dades intercanviades entre l’aplicació i el disc, obtenint l’accés a totes les dades que es troben en l’emmagatzematge extern, incloses les converses, fotos o vídeos de WhatsApp. Per a solucionar aquest problema, WhatsApp ha llançat un pedaç de seguretat on s’estableix l’emmagatzematge de la seua aplicació en un “scoped storage”.

I per a concloure les notícies del nostre butlletí quinzenal, comentar-vos que ja ha finalitzat la nostra campanya: “10 consells per a NO ser víctima d’un frau del CEO”. Durant aquestes 2 setmanes us hem proporcionat una sèrie de recomanacions per a evitar que les organitzacions públiques i/o privades siguen víctimes d’aquesta mena de delictes, cada dia més freqüents, i que es valen de sofisticades tècniques d’enginyeria social perquè l’atac resulte reeixit.

Finalitzem aquest butlletí amb les alertes més importants sobre actualitzacions:

• • La publicació d’actualitzacions de seguretat de Microsoft, corresponent al mes d’abril, consta de 117 vulnerabilitats, classificades 19 com a crítiques, 89 com a importants i 9 sense severitat assignada.
  • Nova versió 5.7.1 per a WordPress que corregeix nombrosos errors i dos problemes de seguretat.
  • Vulnerabilitat crítica d’execució remota de codi en Pulse Connect Secure, per la qual cosa es recomana actualitzar tan prompte estiga la nova versió disponible.
  • Oracle ha publicat una actualització crítica amb pedaços per a corregir vulnerabilitats que afecten múltiples productes.
  • Vulnerabilitat crítica en el core de Drupal, per la qual cosa es recomana dur a terme les actualitzacions com més prompte millor.

La ciberseguretat és molt important, i per això recomanem mantindre’s informat, per a això podeu visitar els nostres portals CSIRT-CV i concienciaT, així com seguir-nos en les nostres xarxes socials Facebook i Twitter.