Us remetem una altra quinzena més el nostre butlletí amb les principals notícies relacionades amb la ciberseguretat.
Comencem amb la notícia que l’empresa Quickfox, servei gratuït de VPN, ha exposat accidentalment informació sensible d’un milió d’usuaris de la seua plataforma. L’origen del problema va ser una fallada de configuració de les restriccions d’accés a ElasticSearch del sistema ELK (ElasticSearch, Logstash i Kibana). Entre les dades exposades, veiem noms, números de telèfon, dispositius d’accés, adreces IP i fins i tot contrasenyes emmagatzemades “hashejades” utilitzant MD-5.
D’altra banda, un cibercriminal aconsegueix accedir als sistemes del Registre Nacional de les Persones a l’Argentina (RENAPER), organisme encarregat de la identificació i registre dels seus ciutadans, i exposa milers de registres confidencials de polítics, celebritats i ciutadans argentins, i amenaça d’exposar més dades si no es paga un rescat de 17.000 USD en bitcoins.
També s’ha destapat una campanya d’estafa global d’SMS premium “Ultima SMS”, present en més de huitanta aplicacions de “Google Play Store”, i que enganya els usuaris perquè se subscriguen a SMS premium. Una vegada descarregades, aquestes aplicacions comproven la ubicació del dispositiu, l’IMEI i el número de telèfon per a determinar en quin idioma mostrar l’estafa. A pesar de produir-se la subscripció SMS premium, les funcionalitats anunciades no es desbloquegen.
Una altra notícia important fa referència als dispositius amb connexió a Internet. S’han detectat múltiples vulnerabilitats de dia zero en dispositius IoT de vigilància de bebés, que permeten als atacants executar codi arbitrari. En aquest sentit, els atacants poden descobrir càmeres en cercadors IoT com Shodan i comprometre-les fàcilment.
Arran de la situació actual viscuda per la pandèmia, s’estan produint múltiples fraus de certificats de vacunació COVID-19 del Servei Nacional de Salut d’Ucraïna. En aquest sentit, els cibercriminals van accedir a les bases de dades amb l’objectiu de modificar els registres sanitaris i evadir els controls de vacunació, oferint certificats falsos a un preu de cent euros aproximadament.
Pel que fa a les alertes i actualitzacions més rellevants de la quinzena, han sigut:
- La fallada de WordPress, que permet restablir i/o esborrar llocs web vulnerables per mitjà del connector “Hasthemes Demo Importer“, al qual només poden accedir administradors. És necessari actualitzar el connector per a corregir la vulnerabilitat.
- Una vulnerabilitat crítica d’autenticació de GoCD permet a un atacant no autenticat extraure els tokens i una altra informació sensible. La solució és actualitzar a la nova versió disponible.
- S’ha descobert que Garuda Linux realitza una creació i autenticació d’usuaris molt insegura, ja que permet a un usuari suplantar el compte creat. El problema s’ha solucionat amb la nova versió.
- També s’ha detectat una autenticació inadequada en NGNIX Service Mesh de F5, perquè permet a un atacant autenticat o no accedir a snapshots. S’ha catalogat com una vulnerabilitat crítica i ha d’actualitzar-se a la seua última versió.
- Possibles desbordaments de memòria en productes HP (CVE-2021-39238). S’aconsella actualitzar la versió de firmware corresponent al model d’impressora.
- Pràcticament tots els compiladors de codi i molts entorns de desenvolupament de software estan afectats per les vulnerabilitats crítiques trobades en Unicode, ja que a través de l’exploit “Trojan Source” es pot piratejar pràcticament qualsevol software.
- Múltiples vulnerabilitats crítiques en Jenkins, en què s’ha d’actualitzar al més prompte possible per a solucionar-les.