Posted on

Actualització de seguretat per a WordPress

WordPress ha publicat una actualització de seguretat i manteniment que apedaça 3 vulnerabilitats i corregeix 60 errors.

Anàlisi
D’entre les vulnerabilitats corregides, una d’aquestes és una fuga d’informació que afecta l’API REST. Una altra vulnerabilitat és una injecció indirecta de scripts (Cross-site scripting) (XSS) en l’editor de blocs. Finalment, la tercera d’aquestes és una actualització de la llibreria Lodash que incorpora correccions de seguretat.

Durant el període de testatge beta, es van solucionar 2 vulnerabilitats que afectaven l’editor de blocs, una de tipus XSS i una altra d’escalada de privilegis.

Recomanacions
– Actualitzar a la versió 5.8.1

Referències
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-581-wordpress
(2) https://www.securityweek.com/wordpress-581-patches-several-vulnerabilities
(3) https://wordpress.org/news/2021/09/wordpress-5-8-1-security-and-maintenance-release/

Posted on

Butlletí 28/08/2021 – 10/09/2021

Una quinzena més us remetem el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.

Comencem amb la notícia relacionada amb l’empresa EskyFun, associada al món dels videojocs, concretament amb els jocs de rol per a Android. S’ha descobert que emmagatzemava dades de més d’un milió d’usuaris en un servidor vulnerable. Entre la informació exposada es troben dades com l’IMEI, adreça electrònica, número de telèfon i contrasenyes en clar. Aquesta fallada de seguretat pot provocar campanyes de phishing dirigides a aquests usuaris o robatori de comptes en altres serveis, en cas de reutilització de credencials.

Fujitsu sembla que també ha patit el robatori de 4GB de dades relacionades amb els seus clients i s’estarien venent en la Dark Web. Aquest tipus de robatori d’informació és molt suculent sobretot per a les empreses rivals de l’afectada. És per això que sempre us recordem que és necessari tindre un nivell de ciberseguretat que complisca uns certs requisits com a mínim, tant a nivell personal com d’empreses.

Continuem amb el tema de les caixes misterioses d’Amazon. Es tracta de caixes sorpresa que el client sol·licita rebre sense saber què hi ha dins i s’han posat tan de moda que estan apareixent en diversos llocs web, no afiliats amb Amazon, en venda. L’activitat sospitosa d’aquests llocs web podria comportar estafes de phishing.

A primers de setembre vam conéixer que el troià Joker és capaç d’accedir a missatges de text, contactes i subscriure l’usuari del dispositiu a llocs web que ofereixen serveis de pagament, si tenim unes certes app instal·lades en el telèfon intel·ligent. Amplia aquesta informació en el següent enllaç.

De segur que durant aquestes vacances has fet moltes fotografies de les teues activitats i estàs desitjant publicar-les en xarxes socials. Recorda que el que es publica en Internet no s’esborra i no s’oblida. Per això, CSIRT-CV ha publicat en el seu portal concienciaT un post relacionat amb la seguretat en les xarxes socials, així com una sèrie de mesures fàcils i efectives per a protegir la teua informació.

Finalment, i com fa quinze dies, us recordem que a través del Pla Valencià de Capacitació en Ciberseguretat estem conscienciant els nostres adolescents en matèria de Ciberserguretat. Per tant, aquest curs també continuarem amb la realització de les jornades presencials i en línia que realitzem des de CSIRT-CV en els centres de secundària de la Comunitat Valenciana. Esperem que aquest curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens les sol·liciten. Pots consultar tota la informació en el nostre web concienciaT.

Pel que fa a les alertes i actualitzacions més rellevants de la quinzena han sigut:

    • Vulnerabilitat en Whatsapp que permet accedir a les dades dels usuaris com ara vídeos, imatges, converses i/o contactes. Es recomana actualitzar a la versió més recent de l’aplicació. En aquest cas, el pegat va consistir a incloure dos nous processos de verificació.
    • Els dispositius BlueTooth tornen a ser vulnerables a causa de BrakTooth. Aquestes fallades podrien causar una denegació de servei i executar codi arbitrari; les vulnerabilitats són explotades sense que el dispositiu estiga emparellat. Els productes de fins a onze proveïdors com ara Intel, Qualcomm, Zhuhai Jieli Technology i Texas Instruments resultarien afectats.
Posted on

Butlletí 14/08/2021 – 27/08/2021

Una vegada més us fem arribar el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.

Comencem el butlletí destacant una notícia relacionada amb una bretxa de dades que s’ha produït en la Fundació d’Investigació de la Universitat Estatal de Nova York (SUNY) i que ha afectat més de 40 mil persones. Segons s’informa en la notícia, malgrat que s’havien realitzat accessos no autoritzats a les xarxes de la fundació des de principis d’enguany, aquests no van ser detectats fins al mes de juliol. La fundació, juntament amb una companyia de ciberseguretat, ha començat una investigació per a tractar d’aclarir el que ha passat.

Continuem amb una altra filtració de dades, aquesta vegada relacionada amb la companyia de telecomunicacions T-Mobile. La mateixa empresa ha informat que podria haver patit una filtració recent de dades massiva que comprometria la informació personal de prop de 100 milions d’usuaris.

De nou Mirai és protagonista d’una de les notícies destacades de la quinzena. Aquest malware sembla que va ser el causant del major atac DDos registrat per la companyia Cloudflare. L’equip de seguretat va aconseguir detectar a temps l’atac i va poder mitigar-lo sense conseqüències per a l’empresa client.

També durant aquest període s’ha detectat una vulnerabilitat en el S.O. de BlackBerry que podria afectar milions de cotxes i equipament mèdic. L’error detectat en el S.O. QNX RTOS podria permetre executar un codi un arbitrari en els dispositius afectats. En el cas d’aconseguir executar aquest codi, els dispositius podrien quedar inutilitzats i, fins i tot, es podria arribar a controlar-los.

Una altra notícia interessant ha sigut la publicació per part d’Emsisoft d’un software de desencriptat per al ransomware SynAck. Per a poder utilitzar l’eina és necessari fer ús de la nota rebuda quan es va patir l’atac.

Durant els últims dies s’ha publicat una notícia relacionada amb una vulnerabilitat en Microsoft Power Apps. Un error de configuració en l’API ODdata podria comportar l’accés públic a informació confidencial. Entre la informació exposada podria haver-hi dades del seguiment de contactes COVID-19, dates de vacunació, números de seguretat social de demandants d’ocupació, etc.

Finalment, us tornem a recordar que a través del Pla Valencià de Capacitació en Ciberseguretat estem conscienciant els nostres adolescents en matèria de Ciberserguretat. Per a això, el pròxim curs continuarem amb la realització de les jornades presencials i en línia que realitzem des de CSIRT-CV en els centres de secundària de la Comunitat Valenciana. Esperem que el nou curs escolar ens brinde l’oportunitat d’estar presents en tots els centres que ens ho sol·liciten. Podeu consultar tota la informació en la nostra web concienciaT.

Comentem les actualitzacions més rellevants d’aquesta quinzena:

    • Actualització de seguretat de Joomla! 4.0.2. Un control d’accés inadequat en com_media de l’administrador de mitjans podria permetre a un usuari eliminar arxius mitjançant l’execució de comandaments.
    • S’ha publicat un pedaç de seguretat per a FortiWeb. La vulnerabilitat publicada afecta la versió 6.3.7 i les anteriors, per la qual cosa es recomana actualitzar a l’última versió publicada 6.3.8.
    • S’ha detectat una vulnerabilitat en el navegador Brave que provoca la revelació d’informació sensible. La vulnerabilitat afecta la versió 1.27 i les anteriors, per la qual cosa s’haurà d’actualitzar com més prompte millor a la versió 1.28.
Posted on

Pla de xoc de ciberseguretat de les Entitats Locals

A conseqüència dels últims ciberatacs contra municipis de la Comunitat Valenciana, el Ple del Consell ha aprovat, amb data 19 de juny de 2021, l’adjudicació a l’empresa S2 Grupo de Innovación en Procesos Organizativos SL d’un contracte d’emergència per a prestar els serveis del Pla de xoc de ciberseguretat per a les entitats locals de la Comunitat Valenciana, que s’adeqüe a les característiques i els riscos dels municipis i desenvolupe les mesures de protecció, millora de seguretat, implantació i suport tècnic necessàries, a més d’ajudar aquestes entitats en el compliment de les obligacions derivades de l’Esquema Nacional de Seguretat.

Segons es pot veure en la mateixa pàgina de la DGTIC aquest pla tindrà una duració d’un any i pretén dotar totes les entitats locals de la Comunitat Valenciana —moltes de les quals no disposen de personal amb coneixements específics de ciberseguretat— dels elements i processos necessaris per a millorar les seues capacitats en aquest àmbit.

El Pla, que ja s’ha iniciat contactant amb aquestes entitats per a recollir informació, compta, a més, amb la col·laboració del CCN-CERT i de la Direcció General d’Administració Local i té com a objectiu, en primer lloc, desplegar eines per a protegir els municipis dels principals tipus de ciberatacs que estan patint (majoritàriament, programari de segrest o ransomware), en segon lloc desplegar, en aquells municipis en què es considere necessari, sondes que permeten detectar al més prompte possible situacions de risc i, en tercer lloc, preparar els municipis de manera bàsica perquè, en el cas que tinga èxit un ciberatac, l’impacte en els serveis essencials siga mínim.

Per a resoldre qualsevol dubte o consulta que puga sorgir a una entitat local sobre les accions que es duen a terme, poden contactar amb el CSIRT-CV pels mitjans habituals que s’indiquen en el nostre formulari de contacte.