Una quinzena més us remetem el nostre butlletí amb les principals notícies relacionades amb el món de la ciberseguretat.
Comencem amb la notícia que un atac de denegació de servei (DoS) deixa Corea del Nord sense Internet i genera falles en tot el país. Els arxius de registre i els registres de xarxa van mostrar que els llocs web en els dominis web de Corea del Nord eren inaccessibles perquè el Sistema de Noms de Domini (DNS) va deixar de comunicar les rutes a seguir pels paquets de dades.
Al mateix temps, els clients de Vodafone Portugal van ser objecte d’un altre ciberatac que els va deixar sense servei durant tot el dia. Aquest ciberatac va afectar els serveis essencials de Vodafone, incloent-hi televisió i mòbil. L’atac va arribar a prop de 3,4 milions de llars i quasi 5 milions de dispositius mòbils. No es van comprometre dades de clients.
D’altra banda, cal destacar l’atac a una aplicació 2FA que va infectar 10.000 víctimes a través de Google Play. L’aplicació que funcionava com a autentificador 2FA contenia un troià bancari, “Vultur Stealer”, l’objectiu del qual era robar dades financeres de l’usuari gràcies als amplis permisos que oferia. Va estar més de dues setmanes en Google Play fins que va ser eliminada.
Dues infraestructures crítiques també són objecte d’un ciberatac a Alemanya, Oiltankin Group i Mabanaft Group. La primera d’aquestes es dedica a la gestió de tancs d’emmagatzematge en terminals per a petroli, gas i productes químics, i la segona, a la venda a l’engròs i distribució de gasoil per a calefacció, gasolina, dièsel i combustible per a avions. Aquest ciberatac va posar en perill les seues operacions al país teutó.
Quant a Microsoft:
- Ha restringit les macros d’Excel 4.0 per defecte per a contindre malware. Encara que les macros són una gran utilitat d’Excel per a la realització d’activitats repetitives amb facilitat, són un vector d’atac comú per als ciberdelinqüents. Aquests atacs de malware s’executen sense avisar.
- Ha fet front al major atac DDoS de la història amb 3,47 terabits i 340 milions de paquets per segon. Un client d’Azure a la regió asiàtica va ser objecte de l’atac massiu. La generació del tràfic maliciós va estar distribuïda entre unes 10.000 fonts diferents de tot el món. Per a dur a terme l’atac es va usar la tècnica de reflectiment de paquets UDP destinats a port 80, explotant diferents protocols.
Per la nostra part, informar-vos de la nova edició 2022 de cursos gratuïts en línia de seguretat impartits per CSIRT-CV a través de la plataforma SAPS. El termini de matriculació està obert des del 31 de gener fins al 31 de desembre, ambdós inclusivament. Així mateix, informar-vos de la possibilitat d’organitzar Jornades de ciberseguretat en els centres de Secundària de Castelló, València i Alacant, l’objectiu de les quals és augmentar el nivell de maduresa en ciberseguretat entre els adolescents.
Pel que fa a alertes i actualitzacions, les més rellevants són:
- Vulnerabilitat en IBM Security Verify Access. Vulnerabilitat crítica (CVE-2021-39070) del servei d’autenticació de control d’accés avançat que pot permetre a un atacant autenticar-se com qualsevol usuari del sistema.
- Vulnerabilitat crítica de tipus RCE en Samba (CVE-2021-44142). Aquesta vulnerabilitat de lectura/escriptura de heap fora de límits permet als atacants executar codi maliciós com root en les instal·lacions de Samba afectades que utilitzen el mòdul VFS vfs_fruit. Afecta totes les versions de Samba anteriors a la 4.13.17.
- Múltiples vulnerabilitats en productes Cisco. Vulnerabilitats crítiques que podrien permetre a un atacant executar codi maliciós, escalar privilegis, executar comandaments arbitraris, omissió d’autenticació, executar programari no signat o denegar el servei (CVE-2022-20699, CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20708, entre altres).
- Múltiples vulnerabilitats en IBM Planning Analytics. 11 vulnerabilitats que podrien causar impacte en la confidencialitat, integritat i disponibilitat, denegació de servei, desbordament de memòria, accedir a directoris restringits, o prendre el control del sistema (CVE-2021-38892, CVE-2020-2722, CVE-2021-36090, CVE-2021-2388, CVE-2021-2161, entre altres).
- Wocu Monitoring és vulnerable a Cross-Site Scripting (XSS) persistent. A aquesta vulnerabilitat se li ha assignat el codi CVE-2021-4035. Aquesta vulnerabilitat ha sigut resolta per A3Sec en la versió 48.2 publicada el 03/12/2021.
- Vulnerabilitat d’inici de sessió en email Zimbra. Aquesta vulnerabilitat està permetent hackejar mitjans i agències governamentals. Els ciberdelinqüents usen phishing per a executar un atac XAS a través de codi de JavaScript, la qual cosa permet el robatori de cookies de sessió.
- Actualitzacions de seguretat de Microsoft de febrer de 2022. Aquestes actualitzacions solucionen 94 vulnerabilitats, entre aquestes: denegació de servei, escalada de privilegis, elusió de mesures de seguretat, o spoofing.