Tornem de les vacances d’estiu amb un nou butlletí en el qual recollim els principals esdeveniments del mes de setembre i un resum de les vulnerabilitats detectades. En aquesta ocasió, tenim una vulnerabilitat especialment important, ja que la seua detecció ha sigut per part del nostre equip de Red Team.
Durant el mes de setembre, el CSIRT-CV ha llançat diverses comunicacions relacionades amb els esdeveniments que podeu conéixer tot seguit.
Dia Internacional del Teletreball
El passat 16 de setembre es va celebrar el Dia Internacional del Teletreball, una efemèride que hauria passat desapercebuda si no haguera sigut per la pandèmia de la COVID-19, que va estendre la seua implementació al llarg del planeta.
Implementar el teletreball suposa grans beneficis per a la plantilla, com la conciliació familiar o disposar de personal en diferents llocs geogràfics, però també pot comportar riscos per a la privacitat i la seguretat de la informació de la mateixa empresa.
Per això, en CSIRT-CV hem elaborat una guia de seguretat perquè pugues treballar de manera segura sempre que et trobes fora de l’oficina.
Accedeix al nostre portal de concienciaT i coneix el nostre comunicat complet.
Red Team del CSIRT-CV ocupa la primera posició del rànquing de CCN
Gràcies a reportar vulnerabilitats, dos companys del Red Team del CSIRT-CV, Pablo Arias Rodríguez i Jorge Alberto Palma Reyes, han aconseguit el primer lloc del rànquing d’investigadors amb 16 vulnerabilitats reportades fins ara.
El Red Team (Equip d’Atac) del CSIRT-CV participa, des de 2020, en el programa CVE coordinat pel CNA d’INCIBE com a investigadors de problemes de seguretat.
Cal ressaltar que les vulnerabilitats reportades estan solucionades en l’última versió del producte afectat.
Coneix més detall sobre aquest esdeveniment a través del següent enllaç.
Alertes de seguretat
Finalment, recollim les tres alertes de seguretat més destacables en aquest mes:
- Vulnerabilitats en ARCONTE Áurea: Arconte Áurea és un programari per a l’enregistrament, emmagatzematge i gestió de tota la informació generada en els tribunals judicials, desenvolupada per Fujitsu. L’equip del CSIRT-CV ha detectat 5 vulnerabilitats, que ja van ser reportades i sobre les quals es va saber que afectaven les versions del producte inferiors a la 1.5.0.0. Actualment, totes aquestes es troben solucionades, inclosa la versió 1.6.2.3.
- Programari Pegasus en iPhones: Aquest programari maliciós és conegut per ser un programari espia capaç de llegir missatges, rastrejar telefonades i recopilar contrasenyes, entre altres. Apple va llançar dijous actualitzacions de seguretat d’emergència per a iOS, iPadOS, macOS i watchOS per a abordar dues fallades de dia zero que han sigut explotades. La companyia recomana als seus usuaris aplicar les actualitzacions disponibles per a tots els dispositius i sistemes operatius.
- Omissió d’autenticació en Cisco BroadWorks i serveis Xtended: Cisco ha publicat una vulnerabilitat de severitat crítica que podria permetre que un atacant remot, no autenticat, falsifique les credencials necessàries per a accedir a un sistema afectat. La vulnerabilitat afecta Cisco BroadWorks Application Delivery Platform i Cisco BroadWorks Xtended Services Platform si s’executa una versió vulnerable de Cisco BroadWorks. Per això, Cisco ha llançat actualitzacions de programari gratuïtes que solucionen la vulnerabilitat.
T’animem a compartir aquest butlletí amb els teus col·legues, familiars i amics per a promoure entre tots una Cultura de la Ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.
Si tens cap inquietud sobre ciberseguretat o necessitat de formació en aquesta àrea, no dubtes a visitar les nostres webs on trobaràs consells, cursos, informes i molt més contingut: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ així com seguir les nostres xarxes socials: Facebook (CSIRT-CV) i X (antic Twitter) (@CSIRTCV).