Author: admin

Tornem una quinzena més amb un nou butlletí sobre les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia de  l’estafa de suplantar la identitat en Facebook per a demanar diners. El modus operandi és el mateix: quan els ciberdelinqüents han pres el control del compte robat, es posen en contacte amb els coneguts de l’usuari afectat per a demanar-los diners.

Al mateix temps, GoDaddy va informar que un atacant va accedir als seus sistemes a través d’una contrasenya compromesa del servei WordPress, exposant informació d’1,2 milions d’usuaris: : adreces de correu electrònic, contrasenyes d’usuaris actius, accés a la base de dades i sFTP (números d’identificació de clients) i, fins i tot, claus privades SSL.

D’altra banda, Pfizer denuncia un robatori de dades intern que ha suposat una filtració d’informació molt sensible per part d’un dels empleats, abans que aquest abandonara la companyia per a treballar en una empresa rival. La filtració va ser detectada gràcies a les mesures de monitoratge establides per l’empresa en relació a les accions dels usuaris, la difusió de fitxers i la pujada de fitxers al núvol.

També s’ha descobert un nou programari maliciós (malware) per al robatori de NFT i criptomonedes. Aquesta campanya té com a objectiu distribuir el programari maliciós “Babadeba”. Aquest programari maliciós permet robar informació i instal·lar troians d’accés remot, així com el programari de segrest (ransomware) LockBit. La manera d’actuar dels ciberdelinqüents és la següent: suplantar els usuaris interessats en criptomonedes i NFT a través de missatges privats, en els quals se’ls sol·licita descarregar una aplicació per a accedir a funcions i beneficis extres. Adopten mesures addicionals com la ciberocupació d’URL dels llocs web cimbell perquè s’assimilen a altres webs legítims.

Així mateix, s’ha descobert una altra campanya de programari maliciós en la qual s’intenta suplantar l’Agència Tributària espanyola. L’Agència Tributària no envia factures, sinó que són els ciberdelinqüents els encarregats d’enviar correus electrònics fraudulents amb l’assumpte “Notificació Urgent”. El correu conté un arxiu .zip amb un arxiu .vbs que descarrega un troià que permet robar informació i realitzar accions malicioses en els equips.

A més, ha aparegut un nou programari de segrest (ransomware) que cifra fitxers amb WinRAR per a eludir proteccions. Xifra els fitxers de l’equip amb contrasenya i elimina els fitxers originals. Per al xifratge, els ciberdelinqüents utilitzen la versió lliure de WinRAR. L’amenaça es dirigeix als equips Windows, i gràcies a Nmap, Npcap o MimiKatz, els atacants aconsegueixen moure’s lateralment en la xarxa per a continuar infectant maquinaris.

Altres notícies destacables són:

• • • Microsoft Defender utilitzarà la  IA per a previndre els programaris de segrest ( ransomware). Microsoft Defender ha afegit per a Endpoint una capa basada en la IA per a protegir i previndre els usuaris dels programaris de segrest. Es basa en el model actual de protecció en el núvol. Si existeix risc en un dispositiu per damunt d’un cert llindar, la protecció en el núvol canvia a “bloqueig agressiu”, la qual cosa podria portar a bloquejar per precaució alguns fitxers o processos que podrien ser maliciosos.

• • • CSIRT-CV promou la conscienciació a través de les seues publicacions en el portal concienciaT. T’animem a llegir el nostre post STOP Fake News! Tu pots parar les notícies falses, amb consells per a identificar i frenar les campanyes de desinformació i les notícies falses.

• • • Les Jornades de Ciberseguretat en centres de secundària promogudes des del Centre de Seguretat TIC de la Comunitat Valenciana, dins del Pla Valencià de Capacitació, i que són executades pel CSIRT-CV amb l’objectiu de millorar els coneixements en ciberseguretat dels ciutadans de la Comunitat Valenciana a Alacant, València o Castelló. Les jornades, de dos dies de duració, estan enfocades principalment a l’alumnat de 2n d’ESO, les seues famílies i l’equip docent del centre educatiu.

• • • La celebració de les XV Jornades STIC CCN-CERT sota el lema “Ciberseguretat 360º. Identitat i control de la dada”, en les quals grans professionals de la ciberseguretat, administracions públiques, empreses, universitats i d’altres institucions de l’Estat es reuneixen per a posar en comú i compartir informació. Cal destacar la ponència realitzada pels nostres companys del CSIRT-CV, Lourdes Herrero i José Vila, sobre la posada en marxa del Pla de Xoc de Ciberseguretat per a les Entitats Locals, així com la realitzada per Amparo Marco (alcaldessa de Castelló de la Plana) i Carmen Serrano (CSIRT-CV), “Gestió de crisi: ransomware a l’Ajuntament de Castelló”.

 

Respecte a les alertes i actualitzacions més rellevants de la quinzena:

• • • Múltiples vulnerabilitats en Avalanche de Ivanti. Avalanche, en versions anteriors a la 6.3.3, és objecte de cinc vulnerabilitats, quatre de severitat crítica i una d’alta. Les vulnerabilitats són les següents: CVE-2021-42127, CVE-2021-42132, CVE-2021-42129, CVE-2021-42130, CVE-2021-42128.

• • • Vulnerabilitat crítica d’execució remota de codi en QNAP QTS i QuTS hero. Es detecta una vulnerabilitat crítica que afecta les dues versions del sistema operatiu per a equips d’emmagatzematge connectat en xarxa (NAS) desenvolupat per QNAP (CVE-2021-28816).

• • • Quatre vulnerabilitats crítiques en solucions VPN industrials de proveïdors com HMS Industrial Networks, Siemens, PerFact i MB connect line. Aquestes vulnerabilitats permeten executar el codi a través d’un lloc web especialment dissenyat per a això.

• • • Un explotador (exploit) ZERO DAY permet adquirir privilegis d’administrador en Windows, afectant als S.O. Windows 10, Windows 11 i Windows Server. Aquesta bretxa de seguretat pot permetre l’obtenció de privilegis d’administrador, fent i desfent a plaer. La particularitat d’aquest nou exploit és que burla el pedaç número CVE-2021-41379, llançat per Microsoft en el Patch Tuesday de novembre.

• • • Fallada de seguretat en procesadors MediaTek que podría afectar a milions d’usuaris. Aquesta falla podria haver sigut utilitzada per a escoltar converses privades. Les vulnerabilitats descobertes en el microprogramari (firmware) DSP (CVE-2021-0661, CVE-2021-0662, CVE-2021-0663) ja han sigut corregides i seran publicades en el butlletí de MediaTek al desembre.

• • • Paquets maliciosos en el repositorio PyPI. PyPI (Python Package Index) és el repositori de programari oficial per a aplicacions de tercers en llenguatge Python, en el qual milers de programadors publiquen els seus desenvolupaments. Es van descobrir 11 paquets maliciosos allotjats, amb més de 40.000 descàrregues en total, que han sigut eliminats.

Nou butlletí quinzenal on us comentem les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia que Movistar s’ha vist afectada per un ciberatac. La companyia va detectar activitat inusual en els sistemes a través d’un accés irregular des d’adreces IP sospitoses, per la qual cosa va procedir a bloquejar l’accés a aquestes IP. No es van trobar indicis de sostracció de dades sensibles.

D’altra banda, el govern nicaragüenc és acusat per Facebook d’usar comptes falsos. Facebook ha informat de l’eliminació de prop de 1.000 comptes, 140 pàgines, 24 grups i 363 comptes d’Instagram per ser utilitzades pel govern nicaragüenc per a realitzar pràctiques de desacreditació contra partits de l’oposició. No és la primera vegada que les xarxes socials són utilitzades com a eines polítiques.

Així mateix, sorgeixen diversos segrestadors (ransomware) que afecten tant el món Minecraft com els casinos en reserves de nadius americans. Respecte a Minecraft, el segrestador va robar comptes de jugadors japonesos xifrant els seus dispositius Windows a través de llistes falses. Per a desxifrar els dispositius, els ciberdelinqüents exigien un rescat de 2.000 iens (uns 15 euros) en targetes prepagament. Quant als casinos en reserves de nadius americans, el Buró Federal d’Investigacions (FBI) va alertar de l’existència d’una agressiva campanya de programari de segrest que ha provocat la paralització d’operacions i el tancament de sales de jocs, restaurants i altres àrees comunes.

Un altre cas és el de cibercriminals que instal·len programari de segrest fals en llocs web de WordPress. En ingressar en les plataformes compromeses, els administradors del lloc web trobaven una breu nota de rescat esmentant que el lloc web havia sigut xifrat i que les víctimes havien d’enviar 0.1 bitcoin a una adreça esmentada en la nota de rescat. No obstant això, els especialistes de seguretat van reportar que els llocs web no estaven xifrats, i que els criminals únicament volien enganyar les víctimes per a obtindre guanys ràpids.

La F1 tampoc es deslliura de ciberatacs. Durant els seus esdeveniments, els cibercriminals posen el focus en la informació que els equips intercanvien (telemetria dels cotxes, arxius de vídeo i àudio, cronometratge, puntuació…). En paraules de “DarkTrace”, plataforma de ciberdefensa de l’equip McLaren Racing, gràcies a l’ús de la intel·ligència artificial (IA) els atacs poden detectar-se i frenar-se a temps independentment del país on es troben les escuderies.

També cal destacar la presentació, per part de Lourdes Herrero, cap del Servei de Confiança Digital, de la Conselleria d’Hisenda i Model Econòmic, del “Pla de xoc de Ciberseguretat de les Entitats Locals” en Infocaldero.

 

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena, han sigut:

• • • Vulnerabilitats 0-day en els tallafocs GlobalProtect Portal VPN de Palo Alto. “Palo Alto Networks” (PAN) va proporcionar una actualització que corregeix la vulnerabilitat CVE-2021-3064. Aquesta vulnerabilitat afecta els tallafocs de PA que utilitzen GlobalProtect Portal VPN i permet l’execució remota de codi sense autenticació en instal·lacions vulnerables del producte.

• • • Google adverteix d’atacs tipus 0-day en dispositius Apple. Google identifica vulnerabilitats a través de les quals els delinqüents utilitzaven un conegut «exploit» que permetia realitzar una execució remota de codi (CVE-2021-1789) per a després realitzar un segon Zero-day no públic amb la finalitat d’escalar privilegis en l’equip de la víctima (CVE-2021-30869).

• • • Múltiples fallades de seguretat de BusyBox amenacen als dispositius IoT. Es van identificar diverses vulnerabilitats crítiques en la utilitat BusyBox de Linux que podrien ser explotades per a provocar una condició de denegació de servei (Dos) i, en alguns casos, fins i tot conduir a fugides d’informació i execució remota de codi (CVE-2021-42373, CVE-2021-42374, CVE-2021-42375, entre altres).

• • • Múltiples vulnerabilitats en TIBCO PartnerExpress. Es van identificar diverses vulnerabilitats que permeten atacs de segrest de clic (clickjacking, CVE-2021-43048), injecció indirecta de scripts (Cross-Site Scripting, CVE-2021-43047) i criptovalors de sessió (tokens, CVE-2021-43046).

• • • Múltiples vulnerabilitats en Moodle. Les vulnerabilitats trobades afecten la restauració d’arxius de còpia de seguretat (backup, CVE-2021-3943), a un paràmetre URL de l’eina d’administrador “filetype” (CVE-2021-43558), i al criptovalor (token) de comprovació de la funció “delete related badge” (CVE-2021-43559).

• • • Vulnerabilitat crítica en el kernel de Linux, la qual podria portar a l’execució remota de codi i a un compromís total del sistema. La vulnerabilitat (CVE-2021-43267) es troba en el mòdul de comunicació transparent entre processos (TIPC) del «kernel» de Linux, concretament en el fitxer “net/tipc/crypto.c”.

• • • Diverses vulnerabilitats de risc alt corregides en Mozilla Firefox 94. Aquestes vulnerabilitats són de risc alt, i han sigut classificades amb els codis CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, MOZ-2021-0003 i MOZ-2021-0007.

• • • Vulnerabilitats XSS en el core de Drupal. S’han reportat dues vulnerabilitats (CVE-2021-41165 i CVE-2021-41164).

• • • Actualitzacions de seguretat de Microsoft de novembre de 2021, que consten de 7 vulnerabilitats classificades 6 com a crítiques, 50 importants i 23 sense severitat assignada. Les vulnerabilitats publicades es corresponen amb DoS, escalada de privilegis, divulgació d’informació i altres vulnerabilitats Zeroday (CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209, CVE-2021-42292, CVE-2021-42321…).

Us remetem una altra quinzena més el nostre butlletí amb les principals notícies relacionades amb la ciberseguretat.

Comencem amb la notícia que l’empresa Quickfox, servei gratuït de VPN, ha exposat accidentalment informació sensible d’un milió d’usuaris de la seua plataforma. L’origen del problema va ser una fallada de configuració de les restriccions d’accés a ElasticSearch del sistema ELK (ElasticSearch, Logstash i Kibana). Entre les dades exposades, veiem noms, números de telèfon, dispositius d’accés, adreces IP i fins i tot contrasenyes emmagatzemades “hashejades” utilitzant MD-5.

D’altra banda, un cibercriminal aconsegueix accedir als sistemes del Registre Nacional de les Persones a l’Argentina (RENAPER), organisme encarregat de la identificació i registre dels seus ciutadans, i exposa milers de registres confidencials de polítics, celebritats i ciutadans argentins, i amenaça d’exposar més dades si no es paga un rescat de 17.000 USD en bitcoins.

També s’ha destapat una campanya d’estafa global d’SMS premium “Ultima SMS”, present en més de huitanta aplicacions de “Google Play Store”, i que enganya els usuaris perquè se subscriguen a SMS premium. Una vegada descarregades, aquestes aplicacions comproven la ubicació del dispositiu, l’IMEI i el número de telèfon per a determinar en quin idioma mostrar l’estafa. A pesar de produir-se la subscripció SMS premium, les funcionalitats anunciades no es desbloquegen.

Una altra notícia important fa referència als dispositius amb connexió a Internet. S’han detectat múltiples vulnerabilitats de dia zero en dispositius IoT de vigilància de bebés, que permeten als atacants executar codi arbitrari. En aquest sentit, els atacants poden descobrir càmeres en cercadors IoT com Shodan i comprometre-les fàcilment.

Arran de la situació actual viscuda per la pandèmia, s’estan produint múltiples fraus de certificats de vacunació COVID-19 del Servei Nacional de Salut d’Ucraïna. En aquest sentit, els cibercriminals van accedir a les bases de dades amb l’objectiu de modificar els registres sanitaris i evadir els controls de vacunació, oferint certificats falsos a un preu de cent euros aproximadament.

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena, han sigut:

• • La fallada de WordPress, que permet restablir i/o esborrar llocs web vulnerables per mitjà del connector “Hasthemes Demo Importer“, al qual només poden accedir administradors. És necessari actualitzar el connector per a corregir la vulnerabilitat.
  • Una vulnerabilitat crítica d’autenticació de GoCD permet a un atacant no autenticat extraure els tokens i una altra informació sensible. La solució és actualitzar a la nova versió disponible.
  • S’ha descobert que Garuda Linux realitza una creació i autenticació d’usuaris molt insegura, ja que permet a un usuari suplantar el compte creat. El problema s’ha solucionat amb la nova versió.
  • També s’ha detectat una autenticació inadequada en NGNIX Service Mesh de F5, perquè permet a un atacant autenticat o no accedir a snapshots. S’ha catalogat com una vulnerabilitat crítica i ha d’actualitzar-se a la seua última versió.
  • Possibles desbordaments de memòria en productes HP (CVE-2021-39238). S’aconsella actualitzar la versió de firmware corresponent al model d’impressora.
  • Pràcticament tots els compiladors de codi i molts entorns de desenvolupament de software estan afectats per les vulnerabilitats crítiques trobades en Unicode, ja que a través de l’exploit “Trojan Source” es pot piratejar pràcticament qualsevol software.
  • Múltiples vulnerabilitats crítiques en Jenkins, en què s’ha d’actualitzar al més prompte possible per a solucionar-les.

Una quinzena més, us remetem el nostre butlletí amb les principals notícies relacionades amb el món de la seguretat informàtica.

Comencem amb la notícia de la presa de control del perfil de Facebook de l’USS Kidd. Un vaixell de guerra de l’armada dels EUA “va abandonar” les seues publicacions habituals per a iniciar una suposada emissió en temps real (streaming) del videojoc Age of Empires. Tot va quedar en una broma, però els operadors oficials van perdre el control del perfil de Facebook.

D’altra banda, un ciberatac va deixar sense servei la Universitat Autònoma de Barcelona i algunes classes virtuals van haver de cancel·lar-se. Els tècnics responsables van desconnectar els servidors i les aplicacions corporatives per a evitar la propagació del malware.

Us alertem de l’última estafa que està circulant per WhatsApp i que està relacionada amb la tercera dosi de la vacuna per a la COVID-19. Molts usuaris estan rebent un missatge, en què suplanten els representants de la Seguretat Social, sol·licitant un codi de verificació per a rebre aquesta dosi. Si oferim aquest codi als atacants, podrien segrestar el nostre compte de WhatsApp i fer-nos-el perdre.

Molta cura també amb la campanya que s’ha detectat d’enviament de correus electrònics fraudulents que tracten de suplantar a Correus mitjançant l’ús de correus de phishing. L’assumpte del correu podria ser alguna cosa com “#Tu-paquete-ha_llegado!#”, “Tu-paquete-ha_llegado!!!”, “Tu-paquete-ha_llegado!” o “…..Tu-paquete-ha_llegado!”. En el mateix missatge s’informa l’usuari que “No se han pagado los gastos de transporte de 4, 95 €” i que cal organitzar un nou lliurament a través d’un chatbot per a poder rebre el paquet.

Respecte a les alertes i actualitzacions més rellevants de la quinzena, han sigut:

• • Noves vulnerabilitats crítiques per a Microsoft Windows: el passat 12 d’octubre es van publicar una sèrie de pedaços (patch) per a corregir les 74 vulnerabilitats detectades, tres de les quals són de nivell crític.
  • Fallades greus i fins i tot un dia zero (zero-day) després del llançament de Windows 11: un total de catorze vulnerabilitats han sigut corregides. La CVE-2021-40449 és la vulnerabilitat de dia zero, que s’està explotant activament.
  • Vulnerabilitat corregida en iOS: Apple va detectar una vulnerabilitat que afectà alguns dels seus dispositius. Es recomana aplicar les actualitzacions com més prompte millor.