Una quincena más os remitimos nuestro boletín con las principales noticias relacionadas con el mundo de la ciberseguridad.
Comenzamos con la noticia de que un ataque de denegación de servicio (DoS) deja a Corea del Norte sin Internet y genera fallas en todo el país. Los archivos de registro y los registros de red mostraron que los sitios web en los dominios web de Corea del Norte eran inaccesibles debido a que el Sistema de Nombres de Dominio (DNS) dejó de comunicar las rutas a seguir por los paquetes de datos.
Al mismo tiempo, los clientes de Vodafone Portugal fueron objeto de otro ciberataque que los dejó sin servicio durante todo el día. Este ciberataque afectó a los servicios esenciales de Vodafone, incluyendo televisión y móvil. El ataque alcanzó a cerca de 3.4 millones de hogares y casi 5 millones de dispositivos móviles. No se comprometieron datos de clientes.
Por otro lado, es de destacar el ataque a un aplicación 2FA que infectó a 10.000 víctimas a través de Google Play. La aplicación que funcionaba como autentificador 2FA contenía un troyano bancario, “Vultur Stealer”, cuyo objetivo era robar datos financieros del usuario gracias a los amplios permisos que ofrecía. Estuvo más de dos semanas en Google Play hasta que fue eliminada.
Dos infraestructuras críticas también son objeto de un ciberataque en Alemania, Oiltankin Group y Mabanaft Group. La primera de ellas se dedica a la gestión de tanques de almacenamiento en terminales para petróleo, gas y productos químicos, y la segunda, a la venta al por mayor y distribución de gasóleo para calefacción ,gasolina, diésel y combustible para aviones. Dicho ciberataque puso en jaque sus operaciones en el país teutón.
En cuanto a Microsoft:
- Ha restringido las macros de Excel 4.0 por defecto para contener malware. Aunque las macros son una gran utilidad de Excel para la realización de actividades repetitivas con facilidad, son un vector de ataque común para los ciberdelincuentes. Estos ataques de malware se ejecutan sin avisar.
- Ha hecho frente al mayor ataque DDoS de la historia con 3.47 terabits y 340 millones de paquetes por segundo. Un cliente de Azure en la región asiática fue objeto del ataque masivo. La generación del tráfico malicioso estuvo distribuida entre unas 10.000 fuentes distintas de todo el mundo. Para llevar a cabo el ataque se usó la técnica de reflejado de paquetes UDP destinados a puerto 80, explotando distintos protocolos.
Por nuestra parte, informaros de la nueva edición 2022 de cursos gratuitos online de seguridad impartidos por CSIRT-CV a través de la plataforma SAPS. El plazo de matriculación está abierto desde el 31 de enero hasta el 31 de diciembre, ambos inclusive. Asimismo, informaros de la posibilidad de organizar Jornadas de Ciberseguridad en los centros de secundaria de Castellón, Valencia y Alicante, cuyo objetivo es aumentar el nivel de madurez en Ciberseguridad entre los adolescentes.
En lo que respecta a alertas y actualizaciones, las más relevantes son:
- Vulnerabilidad en IBM Security Verify Access. Vulnerabilidad crítica (CVE-2021-39070) del servicio de autenticación de control de acceso avanzado que permite a un atacante autenticarse como cualquier usuario del sistema.
- Vulnerabilidad crítica de tipo RCE en Samba (CVE-2021-44142). Esta vulnerabilidad de lectura/escritura de heap fuera de límites permite a los atacantes ejecutar código malicioso como root en las instalaciones de Samba afectadas que utilizan el módulo VFS vfs_fruit. Afecta a todas las versiones de Samba anteriores a la 4.13.17.
- Múltiples vulnerabilidades en productos Cisco. Vulnerabilidades críticas que podrían permitir a un atacante ejecutar código malicioso, escalar privilegios ejecutar comandos arbitrarios, omisión de autenticación, ejecutar software no firmado o denegar el servicio (CVE-2022-20699, CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20708, entre otras).
- Múltiples vulnerabilidades en IBM Planning Analytics. 11 vulnerabilidades que podrían causar impacto en la confidencialidad, integridad y disponibilidad, denegación de servicio, desbordamiento de búfer, acceder a directorios restringidos, o tomar el control del sistema (CVE-2021-38892, CVE-2020-2722, CVE-2021-36090, CVE-2021-2388, CVE-2021-2161, entre otras).
- Wocu Monitoring es vulnerable a Cross-Site Scripting (XSS) persistente. A esta vulnerabilidad se le ha asignado el código CVE-2021-4035. Esta vulnerabilidad ha sido resuelta por A3Sec en la versión 48.2 publicada el 03/12/2021.
- Vulnerabilidad de inicio de sesión en email Zimbra. Esta vulnerabilidad está permitiendo hackear medios y agencias gubernamentales. Los ciberdelincuentes usan phishing para ejecutar un ataque XSS a través de código de JavaScript, lo que permite el robo de cookies de sesión.
- Actualizaciones de seguridad de Microsoft de febrero de 2022. Estas actualizaciones solucionan 94 vulnerabilidades, entre ellas: denegación de servicio, escalada de privilegios, elusión de medidas de seguridad, o spoofing.