Posted on

Boletín 11/09/2021 – 24/09/2021

Nuevo boletín quincenal donde os comentamos las principales noticias relacionadas con el mundo de la ciberseguridad.

Iniciamos con una noticia en la que un grupo de ciberdelincuentes han conseguido comprometer la red informática de las Naciones Unidas, con el fin de robar una gran cantidad de información que les permitiría atacar a otras agencias internacionales. Para ello, utilizaron un método poco sofisticado, que incluía usar nombres de usuario y contraseñas disponibles a la venta en la «dark web«. Al parecer, estas credenciales de acceso comprometidas pertenecían a cuentas de Umoja, un software de gestión de proyectos patentado por la ONU. Esta cuenta de Umoja utilizada por los ciberdelincuentes no estaba protegida con autenticación multifactor, por lo que les fue fácil pasar desapercibidos.

También el ransomware sigue siendo noticia. En esta ocasión, Olympus ha sido víctima del ransomware «Blackmatter» afectando a sus operaciones en Europa y Medio Oriente. El grupo de ciberdelincuentes opera como una plataforma de ransomware como servicio (RaaS). Esta clase de operaciones se dividen en desarrolladores de ransomware y afiliados, que colaboran con el fin de alcanzar a más víctimas y dividir enormes ganancias. En respuesta al incidente, Olympus movilizó un equipo de seguridad para interrumpir la infección y comenzar a identificar a los responsables. Hasta el momento, no se han revelado detalles adicionales sobre el ataque.

Con motivo del Día Internacional del Teletrabajo, celebrado el día 16 de septiembre, desde CSIRT-CV os facilitamos unos consejos para que puedas realizar tus funciones de una manera más cibersegura, ya que esta modalidad laboral sigue implantada en muchas empresas. Te invitamos a leer nuestra guía de seguridad en el teletrabajo.

Como viene siendo algo habitual en nuestros boletines, el phishing sigue presente en sus diferentes modalidades. En esta ocasión, se ha publicado una nueva ciberestafa en la que un grupo de cibercriminales está haciéndose pasar por una agencia de servicios de TI para enviar miles de emails de phishing que contienen un enlace para solicitar un supuesto “Pasaporte Digital de Coronavirus”. Este enlace redirigía a los usuarios a una plataforma falsa del Servicio Nacional de Salud (NHS) y tenía por objetivo recopilar información confidencial. El incremento de las estafas en línea es solo una más de las indeseables consecuencias que ha traído la pandemia.

Queremos alertar a los usuarios de dispositivos con el sistema Android, ya que se ha identificado un nuevo troyano bancario para Android con altas prestaciones que puede robar información personal y credenciales bancarias. Su objetivo son aplicaciones bancarias, carteras de criptomonedas y aplicaciones de compras. Los usuarios a los que va dirigido originalmente son usuarios de entidades de Estados Unidos y España. Antes de que el malware SOVA sea oficialmente una amenaza para las empresas financieras, los equipos de seguridad deben actuar ahora y considerar la implementación de una estrategia de seguridad móvil basada en el riesgo.

Y para terminar con las noticias de esta quincena, sabemos que estamos ante un nuevo curso escolar, lleno de ilusiones y expectativas para ir retomando la normalidad en el funcionamiento de las clases. Desde CSIRT-CV hemos iniciado esta semana una nueva campaña de concienciación, dirigida a los docentes, en la que durante dos semanas, publicamos un consejo diario sobre un tema a trabajar con los alumnos, ofreciendo recursos que permitan asimilar mejor los contenidos de ciberseguridad que se exponen. Puedes seguir esta nueva campaña desde nuestras redes sociales Facebook y Twitter a través del hashtag #EnseñaCiberseguridad.

Además, en este curso, seguimos con las acciones del Plan Valenciano de Capacitación en Ciberseguridad, que nos permite seguir concienciando en materia de Ciberserguridad a nuestros adolescentes, sus familias y sus docentes. Por tanto, este curso también continuamos con la realización de las jornadas presenciales y online que realizamos desde CSIRT-CV en los centros de secundaria de la Comunidad Valenciana. Esperamos que este curso escolar nos brinde la oportunidad de estar presentes en todos los centros que nos las soliciten. Puedes consultar toda la información en nuestra web concienciaT.

Respecto a las alertas y actualizaciones más relevantes de la quincena:

Posted on

Campaña CSIRT-CV: «Ciberseguridad, una asignatura pendiente»

En CSIRT-CV perseguimos aumentar tanto el nivel de madurez en ciberseguridad, como la confianza en el uso de la tecnología de ciudadanos, empresas y el propio personal de GVA.

En esta nueva campaña que lanzamos, “Ciberseguridad, una asignatura pendiente”, hemos puesto el foco en los docentes para que puedan ayudar a sus alumnos en algunos temas relacionados con la ciberseguridad.

Los menores son un colectivo nativo digital que piensan que son “expertos” y que tienden a infravalorar los peligros a los que están expuestos, siendo precisamente, esa falta de sensación de seguridad lo que les hace más vulnerables.

Durante los años que llevamos impartiendo sesiones de ciberseguridad a alumnos de secundaria en colegios e institutos de toda la Comunidad Valenciana, nos hemos dado cuenta de la necesidad de introducir la ciberseguridad como un aspecto clave a tratar durante todo el curso académico.

Por eso, nuestro objetivo con esta campaña es proporcionar a los profesores los conocimientos y recursos necesarios en ciberseguridad para afrontar las situaciones del día a día en las que se ven envueltos sus alumnos. Esta campaña tiene un enfoque pedagógico y en ella se abordarán temas básicos de ciberseguridad que afectan a los menores.

Esperamos que os sea de gran utilidad en vuestras clases y que vuestros alumnos aprendan a identificar y a hacer frente de forma adecuada a las amenazas online, convirtiéndose así en auténticos human firewalls.

Podéis ampliar esta información a través de la siguiente página de GVA así como en nuestro portal de concienciación y formación: concienciaT. Donde se publicarán todos los consejos y materiales relacionados con la campaña una vez que esta finalice.

Mientras tanto, recuerda que cada día se publicará un consejo a través de nuestras redes sociales de Facebook y Twitter.

Posted on

Actualizaciones de seguridad para el core de Drupal

Recientemente Drupal ha publicado actualizaciones de seguridad para las versiones 8 y 9. En estas actualizaciones se corrigen 5 vulnerabilidades catalogadas con criticidad media. La versión 7 de Drupal no se ve afectada.

Análisis
Existen 2 vulnerabilidades que afectan al módulo QuickEdit, una de ellas (CVE-2020-13674) se produce porque no se validan correctamente los accesos a rutas, y podría provocar una fuga de información. La vulnerabilidad es de tipo cross-site request forgery (CSRF). La otra vulnerabilidad que afecta a este módulo, ocurre debido a que no se comprueban correctamente los accesos a algunos campos, y podría revelarse la información de los mismos.

Por otro lado existe una vulnerabilidad, en el módulo Drupal core media, de tipo inyección de código. Un atacante sin privilegios podría inyectar código en una página web, cuando otro usuario con privilegios accede a ella.

El módulo JSON:API tiene dos vulnerabilidades, una de ellas permite subir archivos a través de la API, y otra no restringe el acceso a algunos contenidos de forma correcta.

Por último el módulo REST/File presenta una vulnerabilidad que podría permitir la subida de archivos eludiendo el proceso de validación.

Recomendaciones
Actualizar la versión de Drupal de la siguiente forma:

    • Drupal 9.2, a la versión 9.2.6
    • Drupal 9.1, a la versión 9.1.13
    • Drupal 8.9, a la versión 8.9.19

Referencias
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-1
(2) https://www.drupal.org/security
(3) https://tweakers.net/downloads/57448/drupal-8919-9113-926.html

Posted on

Actualizaciones de seguridad de Microsoft

Microsoft ha publicado el parche de seguridad del mes de septiembre donde soluciona 86 vulnerabilidades, entre las que se encuentran algunas clasificadas como críticas.

Análisis
Dentro de las vulnerabilidades críticas encontramos las siguientes:

Una vulnerabilidad que aparecía en una alerta previa enviada por CSIRT-CV, el día 08/09/2021. Tiene asignado el CVE-2021-40444. Afecta al componente MSHTML que se utiliza en Internet Explorer para realizar funciones básicas como el filtrado y el renderizado de los documentos web, HTML, y hojas de estilo en cascada. Un atacante podría ejecutar código de forma remota utilizando un documento de office especialmente diseñado que se aprovecharía de esta vulnerabilidad.

Otra de ellas afecta a Azure Open Management Infrastructure, es de tipo ejecución remota de código y tiene un CVSS de 9.8. Tiene asignado el CVE-2021-38647.

Por último existe otra vulnerabilidad que afecta al servicio WLAN AutoConfig, también es de tipo ejecución remota de código. Un atacante podría explotarla con éxito en un red adyacente, sin tener privilegios de administrador y sin interacción del usuario. Tiene asignado el CVE-2021-36965 y un CVSS de 8.8.

Recomendaciones
Microsoft ha parcheado todas estas vulnerabilidades por lo que recomendamos que se instalen las actualizaciones en cuanto estén disponibles.

Referencias
(1) https://isc.sans.edu/forums/diary/Microsoft+September+2021+Patch+Tuesday/27834/
(2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-38647
(3) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36965
(4)https://www.zdnet.com/article/microsoft-september-2021-patch-tuesday-remote-code-execution-flaws-in-mshtml-open-management-fixed/