Os remitimos otra quincena más nuestro boletín con las principales noticias relacionadas con la ciberseguridad.
Comenzamos con la noticia de que la empresa Quickfox, servicio gratuito de VPN, ha expuesto accidentalmente información sensible de un millón de usuarios de su plataforma. El origen del problema fue un fallo de configuración de las restricciones de acceso a ElasticSearch del sistema ELK (ElasticSearch, Logstash y Kibana). Entre los datos expuestos, vemos: nombres, números de teléfono, dispositivos de acceso, direcciones IP, e incluso, contraseñas almacenadas “hasheadas” utilizando MD-5.
Por otra parte, un cibercriminal logra acceder a los sistemas del Registro Nacional de las Personas en Argentina (RENAPER), organismo encargado de la identificación y registro de sus ciudadanos, exponiendo miles de registros confidenciales de políticos, celebridades y ciudadanos argentinos, y amenazando con exponer más datos si no se paga un rescate de 17.000 USD en bitcoin.
También se ha destapado una campaña de estafa global de SMS Premium “Ultima SMS”, presente en más de 80 aplicaciones de “Google Play Store”, y que engaña a los usuarios para que se suscriban a SMS premium. Una vez descargadas, estas aplicaciones comprueban la ubicación del dispositivo, el IMEI y el número de teléfono para determinar en qué idioma mostrar la estafa. A pesar de producirse la suscripción SMS premium, las funcionalidades anunciadas no se desbloquean.
Otra noticia importante hace referencia a los dispositivos con conexión a Internet. Se han detectado múltiples vulnerabilidades ZeroDay en dispositivos IoT de vigilancia de bebés, que permiten a los atacantes ejecutar código arbitrario. En este sentido, los atacantes pueden descubrir cámaras en buscadores IoT como Shodan y comprometerlas fácilmente.
Ante la situación actual vivida por la pandemia, se están produciendo múltiples fraudes de certificados de vacunación COVID-19 del Servicio Nacional de Salud de Ucrania. En este sentido, los cibercriminales accedieron a las bases de datos con el objetivo de modificar los registros sanitarios y evadir los controles de vacunación, ofreciendo certificados falsos a un precio de 100 euros aproximadamente.
En lo que respecta a las alertas y actualizaciones más relevantes de la quincena, han sido:
- El fallo de WordPress que permite restablecer y/o borrar sitios web vulnerables por medio del plugin “Hasthemes Demo Importer” al que solo pueden acceder administradores. Es necesario actualizar el plugin para corregir la vulnerabilidad.
- Una vulnerabilidad crítica, de autenticación de GoCD permite a un atacante no autenticado extraer los tokens y otra información sensible. La solución está en actualizar a la nueva versión disponible.
- Se ha descubierto que Garuda Linux realiza una creación y autenticación de usuarios muy insegura, ya que permite a un usuario suplantar la cuenta creada. El problema se ha solucionado con la nueva versión.
- También se ha detectado una autenticación inadecuada en NGNIX Service Mesh de F5, pues permite a un atacante autenticado o no, acceder a snapshots. Se ha catalogado como una vulnerabilidad crítica y debe actualizarse a su última versión.
- Posibles desbordamientos de búfer en productos HP (CVE-2021-39238). Se aconseja actualizar la versión de firmware correspondiente al modelo de impresora.
- Prácticamente todos los compiladores de código y muchos entornos de desarrollo de software están afectados por las vulnerabilidades críticas encontradas en Unicode, ya que a través del exploit “Trojan Source” se puede hackear prácticamente cualquier software.
- Múltiples vulnerabilidades críticas en Jenkins, debiendo actualizar cuanto antes para solucionarlas.