Nuevo boletín quincenal de CSIRT-CV con las noticias y alertas publicadas en estas dos últimas semanas.
Comenzamos con una noticia referente a la importancia de mantener actualizado el software de todos nuestros dispositivos informáticos, lo cual forma parte del llamado ciclo de vida de un producto, donde su fabricante nos proporciona actualizaciones que mejoran el rendimiento y la seguridad, corrigiendo las vulnerabilidades que van siendo detectadas. Pero llega un momento en que finaliza ese ciclo de vida y el fabricante deja de proporcionarnos actualizaciones correctivas, lo que nos obliga a cambiar de dispositivo por otro modelo más actual y que mantenga aún el soporte técnico. Es el caso de una noticia que publicamos referente a una vulnerabilidad crítica en algunos modelos de routers Cisco, los cuales ya no van a recibir actualización y ello obliga a sustituirlos por otros modelos.
Mantener al día las actualizaciones nos ayudará a evitar infecciones por malware, que suelen perseguir el robo de información personal y credenciales de acceso. Es el caso del troyano bancario Janeleiro, que tiene como objetivo usuarios corporativos en Brasil de diferentes sectores. Utiliza ventanas emergentes a modo de phishing para suplantar a entidades bancarias y robar las credenciales de acceso.
Otra forma de infectarnos con algún malware es a través de la instalación de aplicaciones en nuestros dispositivos, como se evidencia en la noticia que publicamos donde cientos de miles de usuarios de Huawei han sido afectados por apps maliciosas. Una de las 10 aplicaciones halladas en Huawei AppGallery comprometidas con código malicioso resultó ser el peligroso troyano Android.Joker operando a través de la suscripción no autorizada a servicios Premium. Se trata de una app maliciosa disfrazada como una herramienta del sistema Android que permite a los actores de amenazas desplegar toda clase de ataques, incluyendo la inhabilitación del servicio Google Play Protect, instalación de software malicioso adicional, anuncios fraudulentos y publicación de reseñas falsas.
También podemos descargar malware de manera involuntaria cuando buscamos en Internet y descargamos contenido desde fuentes no fiables. Este es el caso de SolarMaker, un malware incluido en plantillas empresariales de descarga gratuita mediante redirecciones en Google. El grupo de actores maliciosos detrás de este RAT ha creado alrededor de 100.000 páginas con palabras clave como «template», «invoice», «receipt», «questionnaire» y «resume» para atraer a los usuarios. Cuando la persona accede a la página y hace clic en el botón de descarga, es redireccionada a un sitio controlado por los ciberdelincuentes. Entonces se produce la descarga del contenido malicioso.
Cabe señalar que las vulnerabilidades están presentes en todo tipo de software, y esta semana hemos visto la noticia de un bug en Whatsapp que lo hace vulnerable a ataques Man in the Disk, y que afecta a los dispositivos que utilizan versiones de Android iguales o inferiores a la 9. Con la explotación de esta vulnerabilidad el atacante sería capaz de modificar los datos intercambiados entre la aplicación y el disco, obteniendo el acceso a todos los datos que se encuentren en el almacenamiento externo, incluidas las conversaciones, fotos o videos de Whatsapp. Para solventar este problema, Whatsapp ha lanzado un parche de seguridad donde se establece el almacenamiento de su aplicación en un “scoped storage”.
Y para concluir las noticias de nuestro boletín quincenal, comentaros que ya ha finalizado nuestra campaña: “10 consejos para NO ser víctima de un fraude del CEO”. Durante estas 2 semanas os hemos proporcionado una serie de recomendaciones para evitar que las organizaciones públicas y/o privadas sean víctimas de este tipo de delitos, cada día más frecuentes, y que se valen de sofisticadas técnicas de ingeniería social para que el ataque resulte exitoso.
Finalizamos este boletín con las alertas más importantes sobre actualizaciones:
- La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de abril, consta de 117 vulnerabilidades, clasificadas 19 como críticas, 89 como importantes y 9 sin severidad asignada.
- Nueva versión 5.7.1 para WordPress que corrige numerosos errores y dos problemas de seguridad.
- Vulnerabilidad crítica de ejecución remota de código en Pulse Connect Secure, por lo que se recomienda actualizar tan pronto esté la nueva versión disponible.
- Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades que afectan a múltiples productos.
- Vulnerabilidad crítica en el core de Drupal, por lo que se recomienda llevar a cabo las actualizaciones cuanto antes.
La ciberseguridad es muy importante, y por ello recomendamos mantenerse informado, para lo cual podéis visitar nuestros portales CSIRT-CV y concienciaT, así como seguirnos en nuestras redes sociales Facebook y Twitter.