Nuevo boletín quincenal donde os comentamos las principales noticias relacionadas con el mundo de la ciberseguridad.
Comenzamos con la noticia de que Movistar se ha visto afectada por un ciberataque. La compañía detectó actividad inusual en los sistemas a través de un acceso irregular desde direcciones IP sospechosas , por lo que procedió a bloquear el acceso a dichas IP. No se hallaron indicios de sustracción de datos sensibles.
Por otro lado, el gobierno nicaragüense es acusado por Facebook de usar cuentas falsas. Facebook ha informado de la eliminación de casi 1000 cuentas, 140 páginas, 24 grupos y 363 cuentas de Instagram por ser utilizadas por el gobierno nicaragüense para realizar prácticas de desacreditación contra partidos de la oposición. No es la primera vez que las redes sociales son utilizadas como herramientas políticas.
Asimismo, surgen varios ransomware que afectan tanto al mundo Minecraft como a los casinos en reservas de nativos americanos. Respecto a Minecraft, el ransomware robó cuentas de jugadores japoneses cifrando sus dispositivos Windows a través de listas falsas. Para descifrar los dispositivos, los ciberdelincuentes exigían un rescate de 2.000 yenes (unos 15 euros) en tarjetas prepago. En cuanto a los casinos en reservas de nativos americanos, el Buró Federal de Investigaciones (FBI) alertó de la existencia de una agresiva campaña de ransomware que ha provocado la paralización de operaciones y el cierre de salas de juegos, restaurantes y otras áreas comunes.
Otro caso es el de cibercriminales que instalan software de secuestro falso en sitios web de WordPress. Al ingresar en las plataformas comprometidas, los administradores del sitio web encontraban una breve nota de rescate mencionando que el sitio web había sido cifrado y que las víctimas tenían que enviar 0.1 bitcoin a una dirección mencionada en la nota de rescate. Sin embargo, los especialistas de seguridad reportaron que los sitios web no estaban cifrados, y que los criminales únicamente querían engañar las víctimas para obtener ganancias rápidas.
La F1 tampoco se libra de ciberataques. Durante sus eventos, los cibercriminales ponen el foco en la información que los equipos intercambian (telemetría de los coches, archivos de vídeo y audio, cronometraje, puntuación…). En palabras de “DarkTrace”, plataforma de ciberdefensa del equipo McLaren Racing, gracias al uso de la Inteligencia Artificial (IA) los ataques pueden detectarse y frenarse a tiempo independientemente del país en el que estén las escuderías.
También es de destacar la presentación, por parte de Lourdes Herrero, Jefa del Servicio de Confianza Digital, de la Conselleria de Hacienda y Modelo Económico, del “Plan de choque de Ciberseguridad de las Entidades Locales” en Infocaldero.
En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:
- Vulnerabilidades 0-day en los cortafuegos GlobalProtect Portal VPN de Palo Alto. “Palo Alto Networks” (PAN) proporcionó una actualización que corrige la vulnerabilidad CVE-2021-3064. Esta vulnerabilidad afecta a los cortafuegos de PAN que utilizan GlobalProtect Portal VPN y permite la ejecución remota de código sin autenticación en instalaciones vulnerables del producto.
- Google advierte de ataques tipo 0-day en dispositivos Apple. Google identifica vulnerabilidades a través de las cuales los delincuentes utilizaban un conocido «exploit» que permitía realizar una ejecución remota de código (CVE-2021-1789) para después realizar un segundo Zero-day no público con la finalidad de escalar privilegios en el equipo de la víctima (CVE-2021-30869).
- Múltiples fallos de seguridad de BusyBox amenazan a los dispositivos IoT. Se identificaron varias vulnerabilidades críticas en la utilidad BusyBox de Linux que podrían ser explotadas para provocar una condición de denegación de servicio (DoS) y, en algunos casos, incluso conducir a fugas de información y ejecución remota de código (CVE-2021-42373, CVE-2021-42374, CVE-2021-42375, entre otras).
- Múltiples vulnerabilidades en TIBCO PartnerExpress. Se identificaron varias vulnerabilidades que permiten ataques de clickjacking (CVE-2021-43048), Cross-Site Scripting (CVE-2021-43047) y tokens de sesión (CVE-2021-43046).
- Múltiples vulnerabilidades en Moodle. Las vulnerabilidades encontradas afectan a la restauración de archivos de backup (CVE-2021-3943), a un parámetro URL de la herramienta de administrador “filetype” (CVE-2021-43558 ), y al token de comprobación de la función “delete related badge” (CVE-2021-43559).
- Vulnerabilidad crítica en el kernel de Linux, la cual podría llevar a la ejecución remota de código y a un compromiso total del sistema. La vulnerabilidad (CVE-2021-43267) se encuentra en el módulo de comunicación transparente entre procesos (TIPC) del «kernel» de Linux, concretamente en el fichero “net/tipc/crypto.c”.
- Varias vulnerabilidades de riesgo alto corregidas en Mozilla Firefox 94. Dichas vulnerabilidades son de riesgo alto, y han sido clasificadas con los códigos CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, MOZ-2021-0003 y MOZ-2021-0007.
- Vulnerabilidades XSS en el core de Drupal. Se han reportado dos vulnerabilidades (CVE-2021-41165 y CVE-2021-41164).
- Actualizaciones de seguridad de Microsoft de noviembre de 2021, que constan de 7 vulnerabilidades clasificadas 6 como críticas, 50 importantes y 23 sin severidad asignada. Las vulnerabilidades publicadas se corresponden con DoS, escalada de privilegios, divulgación de información y otras vulnerabilidades Zeroday (CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209, CVE-2021-42292, CVE-2021-42321…).