Nuevo boletín quincenal de CSIRT-CV, donde resumiremos las noticias y alertas de ciberseguridad más destacadas de estas últimas dos semanas.
Comenzamos hablando de Google, que ha lanzado una nueva versión de su gestor de contraseñas para el navegador de Google Chrome. En esta nueva versión, el usuario puede acceder a todas sus contraseñas y comprobar mediante un simple clic si su contraseña es segura. La herramienta se encargará de comprobarlo mediante una serie de reglas, y además consultará si ha sido comprometida en alguna fuga de datos. En caso de ser una contraseña comprometida, reportará un aviso al usuario y le propondrá un cambio de contraseña.
También queremos destacar que tras examinarse 23 aplicaciones para Android, se ha descubierto que los desarrolladores de aplicaciones móviles han dejado expuestos los datos personales de más de 100 millones de usuarios a través de una serie de configuraciones erróneas de servicios en la nube de terceros. Dicha información incluía correos electrónicos, mensajes de chat, ubicación, contraseñas y fotos, lo cual, en manos de ciberdelincuentes, podría dar lugar a fraudes, hurto de identidad y robos de servicios.
Dentro del entorno web, encontramos el plugin de WordPress ‘ReDi Restaurant Booking’, con más de 1.000 instalaciones activas, el cual permite a los negocios de restauración gestionar las reservas de sus clientes. A través de éste, los clientes pueden consultar los espacios de tiempo disponibles, y en caso de estar libres, realizar una reserva. Pero el pasado día 15 de abril, se detectó una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la que, durante la reserva, la aplicación solicita al usuario la fecha y hora de la reserva, además de nombre, teléfono, email y comentarios adicionales. Ninguno de estos datos son saneados antes de ser almacenados en la base de datos de la aplicación, por lo que, permitiría a un atacante inyectar código JavaScript malicioso con objeto de robar información sensible de los clientes a través de sus reservas, e incluso, para filtrar la clave API privada del plugin.
Siempre hemos aconsejado tener mucha precaución con los dispositivos que se conectan a Internet. En esta ocasión hemos visto como la funcionalidad Sidewalk de los dispositivos de Amazon permitirá compartir tu red a otros dispositivos desconocidos que se encuentren cerca. El objetivo de Amazon es crear una red inalámbrica de largo alcance, con la que proporcionar conectividad a dispositivos que no dispongan de ella. Aunque el protocolo de esta funcionalidad sea seguro, sigue habiendo dudas sobre los problemas de seguridad que puede generar, ya que podría introducir vulnerabilidades con las que atacar a los propios dispositivos. Además, los usuarios deberán desactivar manualmente la funcionalidad en sus dispositivos accediendo a los ajustes del dispositivo, ya que cuando comience a funcionar el próximo 8 de junio ésta estará activada por defecto.
Y como el ransomware sigue siendo un ataque en auge, en este caso la empresa estadounidense Bose ha sido la última víctima de un ransomware que se instaló en la compañía a través de una hoja de cálculo que contenía información personal de trabajadores y ex-trabajadores. La empresa no ha realizado ningún pago por este ciberataque y ha tomado medidas de protección y precaución.
Para terminar nuestro apartado de noticias, os recordamos un artículo que hemos publicado en nuestra web de concienciación, donde os hablamos de la suplantación de identidad, que consiste en hacerse pasar por otra persona para obtener un beneficio o lograr propósitos ilícitos. Está tipificada como delito en el Código Penal y hoy en día, el robo de la identidad digital es un ciberataque muy frecuente. Los ciberdelincuentes, con tu identidad, podrían obtener una hipoteca, un crédito, desviar dinero, comprar por Internet y muchas cosas más.
Últimas Alertas
- Vulnerabilidad de día cero en un plugin de WordPress que afecta a más de 17.000 sitios. Este plugin está orientado a comercios online y el fallo permitiría a un atacante tomar control del sitio. Los detalles del error no se han publicado para prevenir que sea explotado a gran escala, pero se han recopilado algunos compromisos para ayudar a los administradores de sistemas a detectar si un WordPress ha sido atacado aprovechando la vulnerabilidad.
- Vulnerabilidades en productos Cisco de alta severidad, las cuales permitirían a un atacante la ejecución de código arbitrario.
- Vulnerabilidad en el core de Drupal, descubierta en la librería CKEditor, debida a un error en el análisis de HTML que podría conducir a un ataque XSS.
- Varias vulnerabilidades importantes en productos VMware, siendo crítica la posible ejecución remota de código.
- Múltiples vulnerabilidades en dispositivos que soportan especificaciones Bluetooth, donde diferentes fabricantes se han visto afectados, incluídos Android Open Source Project, Cisco, Intel, entre otros.
Recordamos a nuestros lectores, que en nuestra web concienciaT también tienen mucha información y recursos a modo de infografías, guías y cursos donde mejorar los conocimientos en ciberseguridad.