Nou butlletí quinzenal on us comentem les principals notícies relacionades amb el món de la ciberseguretat.
Comencem amb la notícia que Movistar s’ha vist afectada per un ciberatac. La companyia va detectar activitat inusual en els sistemes a través d’un accés irregular des d’adreces IP sospitoses, per la qual cosa va procedir a bloquejar l’accés a aquestes IP. No es van trobar indicis de sostracció de dades sensibles.
D’altra banda, el govern nicaragüenc és acusat per Facebook d’usar comptes falsos. Facebook ha informat de l’eliminació de prop de 1.000 comptes, 140 pàgines, 24 grups i 363 comptes d’Instagram per ser utilitzades pel govern nicaragüenc per a realitzar pràctiques de desacreditació contra partits de l’oposició. No és la primera vegada que les xarxes socials són utilitzades com a eines polítiques.
Així mateix, sorgeixen diversos segrestadors (ransomware) que afecten tant el món Minecraft com els casinos en reserves de nadius americans. Respecte a Minecraft, el segrestador va robar comptes de jugadors japonesos xifrant els seus dispositius Windows a través de llistes falses. Per a desxifrar els dispositius, els ciberdelinqüents exigien un rescat de 2.000 iens (uns 15 euros) en targetes prepagament. Quant als casinos en reserves de nadius americans, el Buró Federal d’Investigacions (FBI) va alertar de l’existència d’una agressiva campanya de programari de segrest que ha provocat la paralització d’operacions i el tancament de sales de jocs, restaurants i altres àrees comunes.
Un altre cas és el de cibercriminals que instal·len programari de segrest fals en llocs web de WordPress. En ingressar en les plataformes compromeses, els administradors del lloc web trobaven una breu nota de rescat esmentant que el lloc web havia sigut xifrat i que les víctimes havien d’enviar 0.1 bitcoin a una adreça esmentada en la nota de rescat. No obstant això, els especialistes de seguretat van reportar que els llocs web no estaven xifrats, i que els criminals únicament volien enganyar les víctimes per a obtindre guanys ràpids.
La F1 tampoc es deslliura de ciberatacs. Durant els seus esdeveniments, els cibercriminals posen el focus en la informació que els equips intercanvien (telemetria dels cotxes, arxius de vídeo i àudio, cronometratge, puntuació…). En paraules de “DarkTrace”, plataforma de ciberdefensa de l’equip McLaren Racing, gràcies a l’ús de la intel·ligència artificial (IA) els atacs poden detectar-se i frenar-se a temps independentment del país on es troben les escuderies.
També cal destacar la presentació, per part de Lourdes Herrero, cap del Servei de Confiança Digital, de la Conselleria d’Hisenda i Model Econòmic, del “Pla de xoc de Ciberseguretat de les Entitats Locals” en Infocaldero.
Pel que fa a les alertes i actualitzacions més rellevants de la quinzena, han sigut:
- Vulnerabilitats 0-day en els tallafocs GlobalProtect Portal VPN de Palo Alto. “Palo Alto Networks” (PAN) va proporcionar una actualització que corregeix la vulnerabilitat CVE-2021-3064. Aquesta vulnerabilitat afecta els tallafocs de PA que utilitzen GlobalProtect Portal VPN i permet l’execució remota de codi sense autenticació en instal·lacions vulnerables del producte.
- Google adverteix d’atacs tipus 0-day en dispositius Apple. Google identifica vulnerabilitats a través de les quals els delinqüents utilitzaven un conegut «exploit» que permetia realitzar una execució remota de codi (CVE-2021-1789) per a després realitzar un segon Zero-day no públic amb la finalitat d’escalar privilegis en l’equip de la víctima (CVE-2021-30869).
- Múltiples fallades de seguretat de BusyBox amenacen als dispositius IoT. Es van identificar diverses vulnerabilitats crítiques en la utilitat BusyBox de Linux que podrien ser explotades per a provocar una condició de denegació de servei (Dos) i, en alguns casos, fins i tot conduir a fugides d’informació i execució remota de codi (CVE-2021-42373, CVE-2021-42374, CVE-2021-42375, entre altres).
- Múltiples vulnerabilitats en TIBCO PartnerExpress. Es van identificar diverses vulnerabilitats que permeten atacs de segrest de clic (clickjacking, CVE-2021-43048), injecció indirecta de scripts (Cross-Site Scripting, CVE-2021-43047) i criptovalors de sessió (tokens, CVE-2021-43046).
- Múltiples vulnerabilitats en Moodle. Les vulnerabilitats trobades afecten la restauració d’arxius de còpia de seguretat (backup, CVE-2021-3943), a un paràmetre URL de l’eina d’administrador “filetype” (CVE-2021-43558), i al criptovalor (token) de comprovació de la funció “delete related badge” (CVE-2021-43559).
- Vulnerabilitat crítica en el kernel de Linux, la qual podria portar a l’execució remota de codi i a un compromís total del sistema. La vulnerabilitat (CVE-2021-43267) es troba en el mòdul de comunicació transparent entre processos (TIPC) del «kernel» de Linux, concretament en el fitxer “net/tipc/crypto.c”.
- Diverses vulnerabilitats de risc alt corregides en Mozilla Firefox 94. Aquestes vulnerabilitats són de risc alt, i han sigut classificades amb els codis CVE-2021-38503, CVE-2021-38504, CVE-2021-38505, CVE-2021-38506, CVE-2021-38507, MOZ-2021-0003 i MOZ-2021-0007.
- Vulnerabilitats XSS en el core de Drupal. S’han reportat dues vulnerabilitats (CVE-2021-41165 i CVE-2021-41164).
- Actualitzacions de seguretat de Microsoft de novembre de 2021, que consten de 7 vulnerabilitats classificades 6 com a crítiques, 50 importants i 23 sense severitat assignada. Les vulnerabilitats publicades es corresponen amb DoS, escalada de privilegis, divulgació d’informació i altres vulnerabilitats Zeroday (CVE-2021-38631, CVE-2021-41371, CVE-2021-43208, CVE-2021-43209, CVE-2021-42292, CVE-2021-42321…).