Como cada quincena, ponemos a vuestra disposición un nuevo boletín sobre las principales noticias relacionadas con el mundo de la ciberseguridad.
Iniciamos con el ciberataque masivo a varios sitios web del Gobierno ucraniano. Como resultado, los sitios web del Ministerio de Relaciones Exteriores y otras agencias gubernamentales permanecieron temporalmente inactivos. El CERT ucraniano señaló que el ataque podría haberse perpetrado explotando una vulnerabilidad en el CMS (CVE-2021-32648).
Cruz Roja también ha sido objeto de un ciberataque que ha comprometido información de unas 500.000 personas. Estos datos pertenecen a al menos 60 sociedades internacionales de Cruz Roja. La información filtrada procede de un programa llamado “Restoring family links”, cuya finalidad es ayudar a personas a reencontrarse con familiares tras catástrofes, conflictos o migraciones.
Asimismo, descubren varios sitios web falsos del Liverpool Football Club que instalan el malware «Donald Trump». En este sentido, especialistas en ciberseguridad reportaron la existencia de un empaquetador de malware empleado para entregar toda clase de troyanos de acceso remoto (RAT), así como el malware “Donald Trump” (DTPacker) destinado al robo de información.
Por otro lado, se descubren en España dos campañas de suplantación de identidad. En el primer lugar, se detectó una campaña de correos electrónicos fraudulentos que afecta a la Guardia civil cuyo objetivo era extorsionar a sus víctimas a través de la sextorsión. En segundo lugar, se detectó una campaña de SMS fraudulentos (smishing) contra Correos cuyo objetivo era redirigir a las víctimas hacia una web falsa para hacerles pagar unos gastos de envío de un supuesto paquete enviado.
En el entorno Google destacar:
-
-
- La creación de una nueva API para Privacy Sandbox con el objetivo de mejorar la privacidad de los usuarios. Esta API aumenta la transparencia y el control de los datos desde el propio navegador. No obstante, países como Alemania o Reino Unido se han mostrado reticentes a la propuesta por considerar que invade la privacidad de los usuarios.
-
-
-
- El nuevo método de Google Drive para detectar archivos maliciosos. Si un archivo cuenta en su interior algún tipo de malware, phishing o ransomware, el sistema lo detectará y avisará al usuario. Las advertencias se mostrarán en la previsualización.
-
Por último, mencionar que hoy (28 de enero) es el “Día de la Privacidad de la Información”. Su objetivo es concienciar y promover las mejores prácticas de privacidad y protección de la información. Se celebra actualmente en los EE.UU, Canadá, India y 47 países europeos.
En lo que respecta a alertas y actualizaciones, las más relevantes son:
-
-
- Dos vulnerabilidades críticas en Amazon AWS Cloud. Estas dos vulnerabilidades permiten la divulgación de archivos y credenciales de usuario. La primera vulnerabilidad reside en AWS CloudFormation, y la segunda, en AWS Glue.
-
-
-
- Vulnerabilidad crítica en Cisco Unified CCMP y CCDM. El fallo se encuentra en la interfaz de administración basada en web de Unified CCMP y Unified CCDM. Se debe a una falta de validación de los permisos de usuario del lado del servidor (CVE-2022-20658). Se ha solucionado en las versiones Unified CCMP / CCDM 11.6.1 ES17, 12.01 ES5 y 12.5.1 ES5.
-
-
-
- Múltiples vulnerabilidades en Moodle. Estas vulnerabilidades posibilitan la inyección SQL en el código de obtención de actividad h5p intentos de usuario (CVE-2022-0332), y el CSRF en la eliminación de la alineación de insignias (CVE-2022-0335).
-
-
-
- Múltiples vulnerabilidades en el core de Drupal. Se han publicado 4 vulnerabilidades de severidad media (CVE-2021-41183, CVE-2021-41182, CVE-2016-7103, CVE-2010-5312).
-
-
-
- Vulnerabilidad en el Kernel de Linux (CVE-2022-0185). La vulnerabilidad se encuentra en el sistema Filesystem Context, concretamente en la función legacy_parse_param. Los atacantes pueden aprovechar un movimiento de escape de contenedor y obtener control del sistema operativo del host y los contenedores que se estén ejecutando.
-
-
-
- Omisión de autentificación en ManageEngine Desktop Central. Esta vulnerabilidad podría permitir a un atacante remoto realizar acciones no autorizadas en el servidor (CVE-2021-44757).
-
-
-
- Vulnerabilidad de escalada de privilegios local en pkexec de polkit (CVE-2021-4034). Se descubre una vulnerabilidad de corrupción de memoria en pkexec de polkit, un programa SUID-root que se instala por defecto en todas las distribuciones principales de Linux.
-
-
-
- Limitación incorrecta de la ruta a un directorio restringido en Liferay Portal. Vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (path traversal) en Hypermedia REST APIs de Liferay Portal. Esta vulnerabilidad podría permitir a un atacante remoto acceder a archivos fuera de com.liferay.headless.discovery.web/META-INF/resources a través del parámetro ‘parameter’.
-
-
-
- Vulnerabilidad en el navegador SAFARI. Vulnerabilidad crítica que permite la filtración de datos confidenciales del usuario, incluyendo registros del historial de navegación y cuentas de Google vinculadas. El error reside en la implementación de IndexedDB de Safari en Mac e iOS, por lo que un sitio web puede ver los nombres de las bases de datos de cualquier dominio.
-
-
-
- Actualizaciones críticas en Oracle. Esta actualización resuelve 497 vulnerabilidades, algunas de las cuales son críticas. Las vulnerabilidades afectan a Oracle Database o a Oracle Fusion Middleware, Oracle Solaris …
-