Posted on

Butlletí 11/09/2021 – 24/09/2021

Nou butlletí quinzenal on us comentem les principals notícies relacionades amb el món de la ciberseguretat.

Iniciem amb una notícia en què un grup de ciberdelinqüents ha aconseguit comprometre la xarxa informàtica de les Nacions Unides, amb la finalitat de robar una gran quantitat d’informació que els permetria atacar altres agències internacionals. Per a això, van utilitzar un mètode poc sofisticat, que incloïa usar noms d’usuari i contrasenyes disponibles a la venda en la “dark web“. Pel que sembla, aquestes credencials d’accés compromeses pertanyien a comptes d’Umoja, un software de gestió de projectes patentat per l’ONU. Aquest compte d’Umoja utilitzat pels ciberdelinqüents no estava protegit amb autenticació multifactor, per la qual cosa els va ser fàcil passar desapercebuts.

També el ransomware continua sent notícia. En aquesta ocasió, Olympus ha sigut víctima del ransomware Blackmatter” que ha afectat les seues operacions a Europa i Orient Mitjà. El grup de ciberdelinqüents opera com una plataforma de ransomware com a servei (RaaS). Aquesta classe d’operacions es divideix en desenvolupadors de ransomware i afiliats, que col·laboren amb la finalitat d’arribar a més víctimes i dividir enormes guanys. En resposta a l’incident, Olympus va mobilitzar un equip de seguretat per a interrompre la infecció i començar a identificar els responsables. Fins al moment, no s’han revelat detalls addicionals sobre l’atac.

Amb motiu del Dia Internacional del Teletreball, celebrat el dia 16 de setembre, des de CSIRT-CV et facilitem uns consells perquè pugues realitzar les teues funcions d’una manera més cibersegura, ja que aquesta modalitat laboral segueix implantada en moltes empreses. Et convidem a llegir la nostra guia de seguretat en el teletreball.

Com és habitual en els nostres butlletins, el phishing segueix present en les seues diferents modalitats. En aquesta ocasió, s’ha publicat una nova ciberestafa en la qual un grup de cibercriminals està fent-se passar per una agència de serveis de TI per a enviar milers de correus electrònics de phishing que contenen un enllaç per a sol·licitar un suposat “Passaport Digital de Coronavirus”. Aquest enllaç redirigia els usuaris a una plataforma falsa del Servei Nacional de Salut (NHS) i tenia per objectiu recopilar informació confidencial. L’increment de les estafes en línia és només una més de les indesitjables conseqüències que ha portat la pandèmia.

Volem alertar els usuaris de dispositius amb el sistema Android, ja que s’ha identificat un nou troià bancari per a Android amb altes prestacions que pot robar informació personal i credencials bancàries. El seu objectiu són aplicacions bancàries, carteres de criptomonedes i aplicacions de compres. Els usuaris als quals va dirigit originalment són usuaris d’entitats dels Estats Units i Espanya. Abans que el malware SOVA siga oficialment una amenaça per a les empreses financeres, els equips de seguretat han d’actuar ara i considerar la implementació d’una estratègia de seguretat mòbil basada en el risc.

I per acabar amb les notícies d’aquesta quinzena, sabem que estem davant un nou curs escolar, ple d’il·lusions i expectatives per a anar reprenent la normalitat en el funcionament de les classes. Des de CSIRT-CV hem iniciat aquesta setmana una nova campanya de conscienciació dirigida als docents, en la qual, durant dues setmanes, publiquem un consell diari sobre un tema a treballar amb els alumnes, oferint recursos que permeten assimilar millor els continguts de ciberseguretat que s’exposen. Pots seguir aquesta nova campanya des de les nostres xarxes socials Facebook i Twitter a través del hashtag #EnseñaCiberseguridad.

A més, en aquest curs, seguim amb les accions del Pla Valencià de Capacitació en Ciberseguretat, que ens permet continuar conscienciant en matèria de Ciberseguretat els nostres adolescents, les seues famílies i els seus docents. Per tant, aquest curs també continuem amb la realització de les jornades presencials i en línia que realitzem des de CSIRT-CV en els centres de secundària de la Comunitat Valenciana. Esperem que aquest curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens les sol·liciten. Pots consultar tota la informació en la nostra web concienciaT.

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena:

Posted on

Campanya CSIRT-CV: “Ciberseguretat, una assignatura pendent”

En CSIRT-CV perseguim augmentar tant el nivell de maduresa en ciberseguretat, com la confiança en l’ús de la tecnologia de ciutadans, empreses i el mateix personal de GVA.

En aquesta nova campanya que llancem, “Ciberseguretat, una assignatura pendent”, hem posat el focus en els docents perquè puguen ajudar els seus alumnes en alguns temes relacionats amb la ciberseguretat.

Els menors són un col·lectiu natiu digital que pensen que són “experts” i que tendeixen a infravalorar els perills als quals estan exposats, i és, precisament, aquesta falta de sensació de seguretat el que els fa més vulnerables.

Durant els anys que fa que impartim sessions de ciberseguretat a alumnes de secundària en col·legis i instituts de tota la Comunitat Valenciana, ens hem adonat de la necessitat d’introduir la ciberseguretat com un aspecte clau a tractar durant tot el curs acadèmic.

Per això, el nostre objectiu amb aquesta campanya és proporcionar als professors els coneixements i recursos necessaris en ciberseguretat per a afrontar les situacions del dia a dia en les quals es veuen implicats els seus alumnes. Aquesta campanya té un enfocament pedagògic i en aquesta s’abordaran temes bàsics de ciberseguretat que afecten els menors.

Esperem que us siga de gran utilitat en les vostres classes i que els vostres alumnes aprenguen a identificar i a fer front de manera adequada a les amenaces en línia, convertint-se així en autèntics human firewalls.

Podeu ampliar aquesta informació a través de la següent pàgina de GVA així com en el nostre portal de conscienciació i formació: concienciaT. On es publicaran tots els consells i materials relacionats amb la campanya una vegada que aquesta finalitze.

Mentrestant, recorda que cada dia es publicarà un consell a través de les nostres xarxes socials de Facebook i Twitter.

Posted on

Actualitzacions de seguretat per al core de Drupal

Recentment Drupal ha publicat actualitzacions de seguretat per a les versions 8 i 9. En aquestes actualitzacions es corregeixen 5 vulnerabilitats catalogades amb criticitat mitjana. La versió 7 de Drupal no es veu afectada.

Anàlisi
Hi ha 2 vulnerabilitats que afecten el mòdul QuickEdit, una d’aquestes (CVE-2020-13674) es produeix perquè no es validen correctament els accessos a rutes, i podria provocar una fugida d’informació. La vulnerabilitat és de tipus cross- site request forgery (CSRF). L’altra vulnerabilitat que afecta aquest mòdul, ocorre pel fet que no es comproven correctament els accessos a alguns camps, i podria revelar-se la informació d’aquests.

D’altra banda existeix una vulnerabilitat, en el mòdul Drupal core media, de tipus injecció de codi. Un atacant sense privilegis podria injectar codi en una pàgina web, quan una altra persona usuària amb privilegis hi accedeix.

El mòdul JSON:API té dues vulnerabilitats, una d’aquestes permet pujar arxius a través de l’API, i una altra no restringeix l’accés a alguns continguts de manera correcta.

Finalment, el mòdul REST/File presenta una vulnerabilitat que podria permetre la pujada d’arxius i eludir el procés de validació.

Recomanacions
Actualitzeu la versió de Drupal de la següent forma:

    • Drupal 9.2, a la versió 9.2.6
    • Drupal 9.1, a la versió 9.1.13
    • Drupal 8.9, a la versió 8.9.19

Referències
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-1
(2) https://www.drupal.org/security
(3) https://tweakers.net/downloads/57448/drupal-8919-9113-926.html

Posted on

Actualitzacions de seguretat de Microsoft

Microsoft ha publicat el pedaç de seguretat del mes de setembre, en què soluciona 86 vulnerabilitats, entre les quals hi ha algunes classificades com a crítiques.

Anàlisi
Dins de les vulnerabilitats crítiques trobem les següents:

Una vulnerabilitat que apareixia en una alerta prèvia enviada per CSIRT-CV el dia 08/09/2021. Té assignat el CVE-2021-40444. Afecta el component MSHTML que s’utilitza en Internet Explorer per a realitzar funcions bàsiques com el filtratge i la renderització dels documents web, HTML, i fulls d’estil en cascada. Una persona atacant podria executar un codi de manera remota utilitzant un document d’Office especialment dissenyat que s’aprofitaria d’aquesta vulnerabilitat.

Una altra d’aquestes afecta Azure Open Management Infrastructure, és de tipus execució remota de codi i té un CVSS de 9.8. Té assignat el CVE-2021-38647.

Finalment, existeix una altra vulnerabilitat que afecta el servei WLAN AutoConfig. També és de tipus execució remota de codi. Una persona atacant podria explotar-la amb èxit en un xarxa adjacent, sense tindre privilegis d’administrador i sense interacció de la persona usuària. Té assignat el CVE-2021-36965 i un CVSS de 8.8.

Recomanacions
Microsoft ha apedaçat totes aquestes vulnerabilitats i per això recomanem que s’instal·len les actualitzacions quan estiguen disponibles.

Referències
(1) https://isc.sans.edu/forums/diary/Microsoft+September+2021+Patch+Tuesday/27834/
(2) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-38647
(3) https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36965
(4)https://www.zdnet.com/article/microsoft-september-2021-patch-tuesday-remote-code-execution-flaws-in-mshtml-open-management-fixed/