Categoría: Boletines

Continuamos con nuestro boletín quincenal para recordar las noticias y alertas ocurridas en las dos últimas semanas.

Desde CSIRT-CV siempre hemos hecho hincapié en la seguridad de los dispositivos IoT (dispositivos conectados a Internet), como pone de manifiesto la noticia que publicamos por las vulnerabilidades encontradas en el asistente virtual Alexa de Amazon. Para estar más informado sobre la seguridad en IoT, recomendamos visitar nuestra web de concienciación donde se puede consultar más información al respecto y consultar nuestra infografía sobre consejos IoT.

Respecto a incidentes sucedidos en esta quincena, destacan varios ataques de ransomware, que como podemos comprobar afectan a diferentes sectores empresariales:

• • La compañia multinacional de seguros, MAPFRE, reconocía ser víctima de un ataque de ransomware que dificultó la correcta prestación de sus servicios durante ese fin de semana.
  • La universidad de Utah nueva víctima de ransomware que logra hacerse con algunos datos almacenados en sus servidores y ante las amenazas recibidas de ser publicados, accedió a pagar el rescate.
  • La compañía Volkswagen Group fue infectada por el ransomware CONTI. Ahora se enfrenta a problemas legales tras la publicación, por parte de los ciberdelincuentes, de los datos de clientes que habían sido robados.

Puesto que estos ataques de Ransomware provocan el cifrado de los datos almacenados en nuestros equipos conectados a la red, y nos solicitan un rescate económico que no siempre garantiza la recuperación de esos datos, os animamos a consultar una de las campañas de CSIRT-CV donde se indican varios consejos para mantener a salvo nuestros datos.

Los investigadores de seguridad están luchando contra este tipo de ataques, y hemos sabido que Bitdefender ha logrado publicar una herramienta que permite descifrar archivos infectados con el ransomware WannaRen.

También las campañas de Phishing siguen suplantando a diferentes empresas:

• • Entre ellas, Netflix sufrió una suplantación de identidad con la intención de robar los datos de sus usuarios, quienes recibían un correo electrónico cuyo asunto era «Alerta de notificación» y el cual incluía un enlace fraudulento para realizar el pago de la supuesta deuda, pero en verdad la única intención era robar las credenciales y datos de los usuarios.
  • También continúan los phishing que suplantan a la Seguridad Social y a la Agencia Tibutaria, los cuales incluyen enlaces a páginas falsas o incitan a la descarga de archivos maliciosos.

El Phishing sigue siendo uno de los métodos más utilizados por los atacantes para conseguir el robo de información. Para que puedas estar más informado al respecto y ayudarte a reconocer este tipo de campañas fraudulentas, te animamos a leer nuestra «Guía para reconocer el phishing«

Actualización de programas:
Respecto a las actualizaciones importantes que han aparecido esta quincena, destacamos:

• • Microsoft publicó el Boletín de Seguridad del mes de agosto, que corrige 120 vulnerabilidades, siendo 17 de ellas críticas.
  • Apenas unos días después, se publica una actualización de emergencia para Windows 8.1 y Server 2012 R2, y se recomienda actualizar cuanto antes.
  • Vulnerabilidad crítica en varios productos CISCO, debido al uso de credenciales por defecto y de credenciales estáticas.
  • Corregida una grave vulnerabilidad en Google Chrome versión 85, por lo que se recomienda actualizar el navegador a la última versión.

Como cada quincena, en este boletín repasaremos las noticias y alertas de ciberseguridad más destacadas de las últimas dos semanas.

El mes comenzó con la noticia acerca de la detención de los responsables del mayor hackeo a Twitter hasta la fecha, que ocupó las principales portadas durante la quincena pasada. Recordemos que se accedió a cuentas de famosos, políticos y demás personas influyentes con la finalidad de estafar bitcoins a sus seguidores, aunque es cierto que para la gran repercusión que tuvo, el botín no fue excesivamente espectacular.

No obstante, no solo Twitter ha sido objeto de los ciberatacantes ya que la compañía Canon ha sufrido un ataque en múltiples servicios exponiendo hasta 10 GB de fotos y videos. La infección afectó a sus servidores de e-mail, cuentas de Microsoft Teams, al sitio web de la compañía e incluso el servicio de almacenamiento en la nube image.canon. Todo indica que la compañía se ha visto afectada hace unos días por el ransomware Maze.

Un caso similar ha sufrido Intel, quien también ha visto como 20gb de información potencialmente sensible era robada y publicada.

Si bien es cierto que por desgracia estos robos a grandes corporaciones están a la orden del día, cuando se trata de datos sensibles de ciudadanos, el asunto se vuelve aun más peliagudo: ha sido el caso de una base de datos con 115.000 registros de habitantes argentinos relacionados con el COVID19, que fue publicada en línea sin disponer de contraseña ni ninguna otra medida de seguridad. La base de datos contiene las solicitudes de «permisos de circulación” de los ciudadanos que pueden salir a la calle a pesar de las restricciones impuestas durante la pandemia. Entre los datos expuestos se encuentran los nombres, números de identidad nacional y claves de identificación fiscal, entre otros, como el número de teléfono.

Dejando de lado los robos, tampoco ha sido una buena quincena para los fabricantes de micro procesadores:

• • Se ha descubierto que las recientes vulnerabilidades Meltdown y Foreshadow afectan no solo a procesadores Intel, sino que AMD o ARM (por ejemplo), también son vulnerables. También se ha descubierto que las mitigaciones aplicadas sobre Intel no son suficientes.
  • Durante una conocida conferencia de seguridad, se hicieron públicas 6 vulnerabilidades en Snapdragon de Qualcomm que afectarían al 40% de los teléfonos que montan estos chips.

Si atendemos a temas menos técnicos, China ha sorprendido al mundo aumentando las capacidades de bloqueo de su “Gran cortafuegos”, utilizado para bloquear y censurar el flujo de información con el resto de países. Si bien hasta ahora existían técnicas para evitar este cortafuegos, se ha empezado a bloquear TLS1.3 con ESNI, de modo que se evitan conexiones entre direcciones anónimas.

Por otro lado, compartimos con nuestros lectores la nueva sección sobre desinformación publicada por el CCN, en la que se han reunido diversos recursos de interés, con el objetivo final de que todo usuario sea capaz de identificar una campaña de desinformación. Entre los primeros contenidos disponibles, encontramos infografías, píldoras multimedia, y un informe sobre buenas prácticas contra la desinformación.

Por último, en lo que se refiere a actualizaciones de software para el gran público, recomendamos revisar estas noticias con importantes actualizaciones para productos Adobe (incluido Photoshop y Bridge) y los habituales parches de Microsoft liberados esta semana.

A continuación, repasaremos las noticias y alertas de ciberseguridad más destacadas de las últimas dos semanas.

Comenzamos este boletín destacando la creación del convenio de colaboración entre INCIBE y CSIRT-CV. El objetivo es el desarrollo y coordinación de acciones conjuntas en materia de ciberseguridad. INCIBE podrá participar en acontecimientos, seminarios o talleres organizados por CSIRT-CV.

Otra noticia que también ha destacado ha sido la creación del Foro Nacional de Ciberseguridad, el pasado día 22 de julio. De esta forma, queda constituido un espacio de colaboración público-privada impulsado por el Consejo de Seguridad Nacional, cuyo objetivo es generar cultura de ciberseguridad, ofrecer apoyo a la Industria e I+D+i y brindar una oportunidad para la formación y el talento en ciberseguridad.

Por otra parte, esta semana se publicó la noticia sobre la infección sufrida en Garmin por el ransomware WastedLocker. En un principio, varios departamentos de esta firma de accesorios y servicios deportivos habrían sido atacados provocando una parada en la cadena de producción, durante varios días, así como que el servicio Garmin Connect también dejase de funcionar.

Respecto a las alertas destacamos las siguientes tres:

• • Boletines de seguridad de Apple: recientemente se han publicado cinco nuevos boletines, que solucionan hasta 37 vulnerabilidades para diferentes productos de Apple. Las versiones afectas son las anteriores a iOS 13.6, iPadOS 13.6, macOS Catalina 10.15.6, Safari 13.1.2, watchOS 6.2.8 y tvOS 13.4.8.
  • Vulnerabilidades en Moodle: diversos fallos ponen en riesgo esta plataforma relacionada con la formación online. Las versiones afectadas son la 3.9, desde la versión 3.8 a la 3.8.3, desde la 3.7 a la 3.7.6, desde la 3.5 a la 3.5.12 y versiones anteriores sin soporte.
  • Actualización de Apache Tomcat: descubiertas dos vulnerabilidades de criticidad alta, que podrían provocar denegaciones de servicio a través de una cantidad elevada de peticiones HTTP. Se recomienda actualizar a las versiones 10.0.0-M7, 9.0.37, 8.5.57 o posteriores.

Un viernes más os hacemos llegar nuestro boletín con las noticias más interesantes de los últimos quince días.

Comenzamos nuestro boletín haciéndonos eco de un posible hackeo a las cámaras de videovigilancia de Moscú  según informaba la noticia se han puesto a la venta el acceso a cámaras en escuelas, calles, parques, oficinas y hospitales en la dark web. Las autoridades están restringiendo el número de empleados con acceso a los sistemas, para evitar que las credenciales terminen expuestas. Incluso, algunos de esos sistemas podrían controlarse de forma remota.

También durante esta quincena os anunciábamos una estafa relacionada con la Copa GNP en la que se prometía como regalo el balón oficial de la copa. Se trataba de una campaña de ingeniería social, que se activaba a través de WhatsApp, y pretendía instalar en los dispositivos de los usuarios una herramienta de seguridad de dudosa procedencia. Además, el usuario debía compartir el mensaje con 15 contactos previamente, antes de «ganar» su balón.

Otra noticia muy importante que queremos destacar es la aprobación de un convenio de colaboración en materia de ciberseguridad entre CSIRT-CV y el Centro Criptológico Nacional (CCN). La colaboración entre CSIRT-CV y el CNI-CCN dio comienzo hace más de una década, cuando CSIRT-CV era el único CERT autonómico de España. Durante todo este tiempo, se ha ido instrumentalizando a través de sucesivos convenios que la han hecho cada vez más fructífera.

Durante esta semana también se ha publicado una noticia sobre el posible hackeo a varias cuentas de twitter de cuentas (de grandes fortunas e importantes empresas) de forma simultánea. Las cuentas hackeadas mostraban un mensaje en el que invitaban a los internautas a enviar sus Bitcoins a una cuenta, con la promesa de que la cantidad sería devuelta por duplicado.

Además durante estos días anunciábamos la finalización de nuestra campaña «Ciber-vuelta al cole:No te la dejes para septiembre». Durante estos días, desde CSIRT-CV os hemos ido dando algunos consejos para que tanto los los padres y/o tutores, como los menores, naveguen y hagan uso de las tecnologías educativas de forma segura en la Red. Si todavía no has visitado nuestra campaña aún puedes hacerlo a través de nuestras redes sociales y nuestro portal de concienciaT.

Así mismo también os recordamos  el inicio de la segunda edición de los cursos de seguridad de CSIRT-CV 2020 en la que se presenta la novedad de un nuevo curso, cuyo temario trata sobre el Reglamento General de Protección de Datos.

Os invitamos a todos a participar en los cursos que consideréis de vuestro interés. Acaba el año estando al día en temas de seguridad sobre smartphones, malware, correo electrónico, RGPD y compras online, entre otros muchos. Accede a nuestra web de concienciación para ver toda nuestra oferta formativa: concienciaT.

En cuanto a las alertas de estas últimas semanas destacamos SigRed: ejecución de código remoto en Microsoft Server correspondiente a la vulnerabilidad con CVE-2020-1350. Esta vulnerabilidad afecta a los servidores DNS de Microsoft y ha sido clasificada como crítica, con 10 puntos sobre 10 en el sistema de puntuación CVSS. Esta vulnerabilidad de ejecución de código remoto se produce cuando los servidores DNS de Windows no pueden gestionar correctamente las peticiones. Según Microsoft este problema podría ser aprovechada por un gusano para llegar a comprometer los equipos vulnerables sin necesidad de interacción de los usuarios. Recomendamos parchear lo antes posible

Múltiples actualizaciones de productos CISCO, recomendamos actualizar a las nuevas versiones lo antes posible.

Además de dos vulnerabilidades Zero-day, la primera de ellas en Python, donde el fallo se debía en cómo interactúan IPv4Interface y IPv6Interface. Sus funciones hash devuelven 32 y 64 respectivamente, pero Lib/ipaddress.py para estas versiones de Python, calcula incorrectamente el valor del hash. El segundo Zero-day afecta Zoom para Windows 7 el fallo permite ejecutar comandos remotamente en el equipo atacado. Para ejecutarse, es necesario que el usuario ejecute alguna acción, como puede ser, descargar un fichero, por lo que se recomienda extremar las precauciones y actualizar la aplicación lo antes posible.