Autor: admin

Volvemos una quincena más con un nuevo boletín sobre las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia del timo de suplantar la identidad en Facebook para pedir dinero. El modus operandi es el mismo: cuando los ciberdelincuentes han tomado el control de la cuenta robada, se ponen en contacto con los conocidos del usuario afectado para solicitarles dinero.

Al mismo tiempo, GoDaddy informó de que un atacante accedió a sus sistemas a través de una contraseña comprometida del servicio WordPress, exponiendo información de 1,2 Millones de usuarios (direcciones de correo electrónico, contraseñas de usuarios activos, acceso a la base de datos y sFTP, números de identificación de clientes, e incluso, claves privadas SSL).

Por otro lado, Pfizer denuncia un robo de datos interno que ha supuesto una filtración de información muy sensible por parte de uno de sus empleados, antes de que éste abandonase la compañía para trabajar en una empresa rival. La filtración fue detectada gracias a las medidas de monitorización establecidas por la empresa en relación a las acciones de los usuarios, la difusión de ficheros y la subida de ficheros a la nube.

También se ha descubierto un nuevo malware para el robo de NFT y cripto. Esta campaña tiene como objetivo distribuir el malware “Babadeba”. Este malware permite robar información e instalar troyanos de acceso remoto, así como el ransomware LockBit. La forma de actuar de los ciberdelincuentes es la siguiente: suplantar a los usuarios interesados en cripto y NFT’s a través de mensajes privados en los cuales se les solicita descargar una app para acceder a funciones y beneficios extras. Adoptan medidas adicionales como la ciberocupación de URL de los sitios web señuelo para que se asimilen a las de otras webs legítimas.

Asimismo, se ha descubierto otra campaña de malware en la que se intenta suplantar a la Agencia Tributaria española. La Agencia Tributaria no te envía una factura, sino que son los ciberdelincuentes los encargados de enviar correos electrónicos fraudulentos con el asunto “Notificación Urgente”. El correo contiene un .zip con un archivo .vbs el cual descarga un troyano que permite robar información y realizar acciones maliciosas en los equipos.

Por su parte, un nuevo ransomware cifra ficheros con WinRAR para saltarse protecciones. Cifra los ficheros del equipo con contraseña y elimina los ficheros originales. Para el cifrado los ciberdelincuentes utilizan la versión freeware de WinRAR. La amenaza se dirige a equipos Windows, y gracias a Nmap, Npcap o MimiKatz, los atacantes consiguen moverse lateralmente en la red para continuar infectando máquinas.

Otras noticias destacables son:

• • • Microsoft Defender utilizará IA para prevenir ransomware. Microsoft Defender para Endpoint ha añadido una capa basada en IA para proteger y prevenir a usuarios del ransomware. Se basa en el modelo actual de protección en la nube. Si existe riesgo en un dispositivo por encima de cierto umbral, la protección en la nube cambia a “bloqueo agresivo”, lo que podría llevar a bloquear por precaución ficheros o procesos que podrían ser maliciosos.

• • • CSIRT-CV promueve la concienciación a través de sus publicaciones en el portal concienciaT. Te animamos a leer nuestro post ¡STOP Fake News! Tú puedes parar las noticias falsas, con consejos para identificar y frenar las campañas de desinformación y noticias falsas.

• • • Las Jornadas de Ciberseguridad en centros de secundaria promovidas desde el Centro de Seguridad TIC de la Comunidad Valenciana, dentro del Plan Valenciano de Capacitación, y que son ejecutadas por el CSIRT-CV con el objetivo de mejorar los conocimientos en ciberseguridad de los ciudadanos de la Comunidad Valenciana en Alicante, Valencia o Castellón. Las jornadas, de dos días de duración, se enfocan principalmente en los alumnos de 2º de la ESO, los familiares y docentes del centro educativo.

• • • La celebración de las XV Jornadas STIC CCN-CERT bajo el lema “Ciberseguridad 360º. Identidad y control del dato”, en las que grandes profesionales de la ciberseguridad, Administraciones públicas, empresas, Universidades y otras instituciones del Estado se reúnen para poner en común y compartir información. Es de reseñar la ponencia realizada por nuestros compañeros del CSIRT-CV, Lourdes Herrero y José Vila, sobre la puesta en marcha del Plan de Choque de Ciberseguridad para las Entidades Locales, así como la realizada por Amparo Marco (alcaldesa de Castellón) y Carmen Serrano (CSIRT-CV), “Gestión de crisis: ransomware en el Ayuntamiento de Castellón”.

 

Respecto a las alertas y actualizaciones más relevantes de la quincena:

• • • Múltiples vulnerabilidades en Avalanche de Ivanti. Avalanche en versiones anteriores a la 6.3.3. es objeto de cinco vulnerabilidades, cuatro de severidad crítica y una alta. Las vulnerabilidades son las siguientes: CVE-2021-42127, CVE-2021-42132, CVE-2021-42129, CVE-2021-42130, CVE-2021-42128.

• • • Vulnerabilidad crítica de ejecución remota de código en QNAP QTS y QuTS hero. Se detecta una vulnerabilidad crítica que afecta a las dos versiones del sistema operativo para equipos de almacenamiento conectado en red (NAS) desarrollado por QNAP (CVE-2021-28816).

• • • Cuatro vulnerabilidades críticas en soluciones VPN industriales de proveedores como HMS Industrial Networks, Siemens, PerFact y MB connect line. Estas vulnerabilidades permiten ejecutar código a través de un sitio web especialmente diseñado.

• • • Un exploit ZERO DAY permite adquirir privilegios de administrador en Windows, afectando a los S.O. Windows 10, Windows 11 y Windows Server. Esta brecha de seguridad puede permitir la obtención de privilegios de administrador, haciendo y deshaciendo a placer. La particularidad de este nuevo exploit es que burla el parche número CVE-2021-41379, lanzado por Microsoft en el Patch Tuesday de noviembre.

• • • Fallo de seguridad en procesadores MediaTek que podría afectar a millones de usuarios. Esta falla podría haber sido utilizada para escuchar conversaciones privadas. Las vulnerabilidades descubiertas en el “firmware” DSP (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ya han sido corregidas y serán publicadas en el boletín de MediaTek en diciembre.

• • • Paquetes maliciosos en el repositorio PyPI. PyPI (Python Package Index) es el repositorio de software oficial para aplicaciones de terceros en lenguaje Python en el que miles de programadores publican sus desarrollos. Se descubrieron 11 paquetes maliciosos alojados, con más de 40.000 descargas en total, que han sido eliminados.

Nuevo boletín quincenal donde os comentamos las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de que Movistar se ha visto afectada por un ciberataque. La compañía detectó actividad inusual en los sistemas a través de un acceso irregular desde direcciones IP sospechosas , por lo que procedió a bloquear el acceso a dichas IP. No se hallaron indicios de sustracción de datos sensibles.

Por otro lado, el gobierno nicaragüense es acusado por Facebook de usar cuentas falsas. Facebook ha informado de la eliminación de casi 1000 cuentas, 140 páginas, 24 grupos y 363 cuentas de Instagram por ser utilizadas por el gobierno nicaragüense para realizar prácticas de desacreditación contra partidos de la oposición. No es la primera vez que las redes sociales son utilizadas como herramientas políticas.

Asimismo, surgen varios ransomware que afectan tanto al mundo Minecraft como a los casinos en reservas de nativos americanos. Respecto a Minecraft, el ransomware robó cuentas de jugadores japoneses cifrando sus dispositivos Windows a través de listas falsas. Para descifrar los dispositivos, los ciberdelincuentes exigían un rescate de 2.000 yenes (unos 15 euros) en tarjetas prepago. En cuanto a los casinos en reservas de nativos americanos, el Buró Federal de Investigaciones (FBI) alertó de la existencia de una agresiva campaña de ransomware que ha provocado la paralización de operaciones y el cierre de salas de juegos, restaurantes y otras áreas comunes.

Otro caso es el de cibercriminales que instalan software de secuestro falso en sitios web de WordPress. Al ingresar en las plataformas comprometidas, los administradores del sitio web encontraban una breve nota de rescate mencionando que el sitio web había sido cifrado y que las víctimas tenían que enviar 0.1 bitcoin a una dirección mencionada en la nota de rescate. Sin embargo, los especialistas de seguridad reportaron que los sitios web no estaban cifrados, y que los criminales únicamente querían engañar las víctimas para obtener ganancias rápidas.

La F1 tampoco se libra de ciberataques. Durante sus eventos, los cibercriminales ponen el foco en la información que los equipos intercambian (telemetría de los coches, archivos de vídeo y audio, cronometraje, puntuación…). En palabras de “DarkTrace”, plataforma de ciberdefensa del equipo McLaren Racing, gracias al uso de la Inteligencia Artificial (IA) los ataques pueden detectarse y frenarse a tiempo independientemente del país en el que estén las escuderías.

También es de destacar la presentación, por parte de Lourdes Herrero, Jefa del Servicio de Confianza Digital, de la Conselleria de Hacienda y Modelo Económico, del “Plan de choque de Ciberseguridad de las Entidades Locales” en Infocaldero.

 

En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:

• • • Vulnerabilidades 0-day en los cortafuegos GlobalProtect Portal VPN de Palo Alto. “Palo Alto Networks” (PAN) proporcionó una actualización que corrige la vulnerabilidad CVE-2021-3064. Esta vulnerabilidad afecta a los cortafuegos de PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código sin autenticación en instalaciones vulnerables del producto.

• • • Google advierte de ataques tipo 0-day en dispositivos Apple. Google identifica vulnerabilidades a través de las cuales los delincuentes utilizaban un conocido «exploit» que permitía realizar una ejecución remota de código (CVE-2021-1789) para después realizar un segundo Zero-day no público con la finalidad de escalar privilegios en el equipo de la víctima (CVE-2021-30869).

• • • Múltiples fallos de seguridad de BusyBox amenazan a los dispositivos IoT. Se identificaron varias vulnerabilidades críticas en la utilidad BusyBox de Linux que podrían ser explotadas para provocar una condición de denegación de servicio (DoS) y, en algunos casos, incluso conducir a fugas de información y ejecución remota de código (CVE-2021-42373, CVE-2021-42374, CVE-2021-42375, entre otras).

• • • Múltiples vulnerabilidades en TIBCO PartnerExpress. Se identificaron varias vulnerabilidades que permiten ataques de clickjacking (CVE-2021-43048), Cross-Site Scripting (CVE-2021-43047) y tokens de sesión (CVE-2021-43046).

• • • Múltiples vulnerabilidades en Moodle. Las vulnerabilidades encontradas afectan a la restauración de archivos de backup (CVE-2021-3943), a un parámetro URL de la herramienta de administrador “filetype” (CVE-2021-43558 ), y al token de comprobación de la función “delete related badge” (CVE-2021-43559).

• • • Vulnerabilidad crítica en el kernel de Linux, la cual podría llevar a la ejecución remota de código y a un compromiso total del sistema. La vulnerabilidad (CVE-2021-43267) se encuentra en el módulo de comunicación transparente entre procesos (TIPC) del «kernel» de Linux, concretamente en el fichero “net/tipc/crypto.c”.

• • • Varias vulnerabilidades de riesgo alto corregidas en Mozilla Firefox 94. Dichas vulnerabilidades son de riesgo alto, y han sido clasificadas con los códigos CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, MOZ-2021-0003 y MOZ-2021-0007.

• • • Vulnerabilidades XSS en el core de Drupal. Se han reportado dos vulnerabilidades (CVE-2021-41165 y CVE-2021-41164).

• • • Actualizaciones de seguridad de Microsoft de noviembre de 2021, que constan de 7 vulnerabilidades clasificadas 6 como críticas, 50 importantes y 23 sin severidad asignada. Las vulnerabilidades publicadas se corresponden con DoS, escalada de privilegios, divulgación de información y otras vulnerabilidades Zeroday (CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209, CVE-2021-42292, CVE-2021-42321…).

Os remitimos otra quincena más nuestro boletín con las principales noticias relacionadas con la ciberseguridad.

Comenzamos con la noticia de que la empresa Quickfox, servicio gratuito de VPN, ha expuesto accidentalmente información sensible de un millón de usuarios de su plataforma. El origen del problema fue un fallo de configuración de las restricciones de acceso a ElasticSearch del sistema ELK (ElasticSearch, Logstash y Kibana). Entre los datos expuestos, vemos: nombres, números de teléfono, dispositivos de acceso, direcciones IP, e incluso, contraseñas almacenadas “hasheadas” utilizando MD-5.

Por otra parte, un cibercriminal logra acceder a los sistemas del Registro Nacional de las Personas en Argentina (RENAPER), organismo encargado de la identificación y registro de sus ciudadanos, exponiendo miles de registros confidenciales de políticos, celebridades y ciudadanos argentinos, y amenazando con exponer más datos si no se paga un rescate de 17.000 USD en bitcoin.

También se ha destapado una campaña de estafa global de SMS Premium “Ultima SMS”, presente en más de 80 aplicaciones de “Google Play Store”, y que engaña a los usuarios para que se suscriban a SMS premium. Una vez descargadas, estas aplicaciones comprueban la ubicación del dispositivo, el IMEI y el número de teléfono para determinar en qué idioma mostrar la estafa. A pesar de producirse la suscripción SMS premium, las funcionalidades anunciadas no se desbloquean.

Otra noticia importante hace referencia a los dispositivos con conexión a Internet. Se han detectado múltiples vulnerabilidades ZeroDay en dispositivos IoT de vigilancia de bebés, que permiten a los atacantes ejecutar código arbitrario. En este sentido, los atacantes pueden descubrir cámaras en buscadores IoT como Shodan y comprometerlas fácilmente.

Ante la situación actual vivida por la pandemia, se están produciendo múltiples fraudes de certificados de vacunación COVID-19 del Servicio Nacional de Salud de Ucrania. En este sentido, los cibercriminales accedieron a las bases de datos con el objetivo de modificar los registros sanitarios y evadir los controles de vacunación, ofreciendo certificados falsos a un precio de 100 euros aproximadamente.

En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:

• • El fallo de WordPress que permite restablecer y/o borrar sitios web vulnerables por medio del plugin “Hasthemes Demo Importer” al que solo pueden acceder administradores. Es necesario actualizar el plugin para corregir la vulnerabilidad.
  • Una vulnerabilidad crítica, de autenticación de GoCD permite a un atacante no autenticado extraer los tokens y otra información sensible. La solución está en actualizar a la nueva versión disponible.
  • Se ha descubierto que Garuda Linux realiza una creación y autenticación de usuarios muy insegura, ya que permite a un usuario suplantar la cuenta creada. El problema se ha solucionado con la nueva versión.
  • También se ha detectado una autenticación inadecuada en NGNIX Service Mesh de F5, pues permite a un atacante autenticado o no, acceder a snapshots. Se ha catalogado como una vulnerabilidad crítica y debe actualizarse a su última versión.
  • Posibles desbordamientos de búfer en productos HP (CVE-2021-39238). Se aconseja actualizar la versión de firmware correspondiente al modelo de impresora.
  • Prácticamente todos los compiladores de código y muchos entornos de desarrollo de software están afectados por las vulnerabilidades críticas encontradas en Unicode, ya que a través del exploit “Trojan Source” se puede hackear prácticamente cualquier software.
  • Múltiples vulnerabilidades críticas en Jenkins, debiendo actualizar cuanto antes para solucionarlas.

Una quincena más os remitimos nuestro boletín con las principales noticias relacionadas con el mundo de la ciberseguridad.

Comenzamos con la noticia de la toma de control del perfil de Facebook del USS Kidd, un buque de guerra de la armada de E.U. que “abandonó” sus publicaciones habituales para iniciar un supuesto streaming del videojuego Age of Empires. Todo quedó en una broma pero los operadores oficiales perdieron el control del perfil de Facebook.

Por otra parte, un ciberataque dejó sin servicio a la Universidad Autónoma de Barcelona y algunas clases virtuales tuvieron que cancelarse. Los técnicos responsables desconectaron los servidores y aplicaciones corporativas para evitar la propagación del malware.

Os alertamos de la última estafa que está circulando por WhatsApp y que está relacionada con la tercera dosis de la vacuna para COVID-19. Muchos usuarios están recibiendo un mensaje, suplantando a representantes de la Seguridad Social, solicitando un código de verificación para recibir dicha dosis. Si ofrecemos dicho código a los atacantes, podrían secuestrarnos y perder nuestra cuenta de WhatsApp.

Mucho cuidado también con la campaña que se ha detectado de envío de correos electrónicos fraudulentos, que tratan de suplantar a Correos mediante el uso de emails de phishing. El asunto del correo podría ser similar a “#Tu-paquete-ha_llegado!#”, “Tu-paquete-ha_llegado!!!”, “Tu-paquete-ha_llegado!” o “…..Tu-paquete-ha_llegado!”. En el propio mensaje se informa al usuario de que “No se han pagado los gastos de transporte de 4, 95 €” y debe organizar una nueva entrega a través de un chatbot para poder recibir el paquete.

Respecto a las alertas y actualizaciones más relevantes de la quincena han sido:

• • Nuevas vulnerabilidades críticas para Microsoft Windows: el pasado 12 de octubre se publicaron una serie de parches para corregir las 74 vulnerabilidades detectadas, tres de ellas de nivel crítico.
  • Graves fallos y hasta un zero-day tras el lanzamiento de Windows 11: un total de catorce vulnerabilidades han sido corregidas. La CVE-2021-40449 es la vulnerabilidad de día cero, que se está explotando activamente.
  • Vulnerabilidad corregida en iOS: Apple detectó una vulnerabilidad que afecta a varios de sus dispositivos. Se recomienda aplicar las actualizaciones cuanto antes.