Categoría: Boletines

Un viernes más os hacemos llegar nuestro boletín con las noticias más interesantes de los últimos quince días.

Comenzábamos la quincena con una posible filtración de datos de los usuarios de la plataforma DigitalOcean. Según se informaba en la noticia, la filtración se produjo por la exposición de un documento con información confidencial. Parece ser que los técnicos podrían haber dejado un documento interno, público en Internet, ese documento contendría datos como correos electrónicos, nombres de usuario, notas e información de ventas, entre otros.

Por otro lado, os informábamos que siguen apareciendo nuevas estafas relacionadas con COVID-19, en este caso se trataba de SMS fraudulentos sobre ayudas económicas falsas. Los mensajes contenían enlaces que dirigían una web falsa que invitaba al usuario a pulsar en un botón para solicitar la falsa ayuda. El objetivo realmente era recopilar datos personales y bancarios.

Siguiendo con la temática de COVID-19, os comunicábamos que las fuerzas de seguridad de Rumanía habían detenido a los presuntos organizadores de un ataque ransomware a instituciones sanitarias del país. Durante las detenciones se incautó diferente malware que permitía tanto el acceso remoto como el bloqueo mediante ransomware de los equipos atacados.

También que os recordábamos que el pasado 17 de mayo se celebró el Día mundial de Internet. En CSIRT-CV quisimos celebrar este día, y publicamos en nuestro portal concienciaT una infografía con consejos acerca del uso de Internet.

En cuanto las actualizaciones de programas, destacamos las actualizaciones de Microsoft del mes de mayo, en las que se corrigen un total de 111 vulnerabilidades, 13 de ellas se consideradas de nivel crítico. Igualmente Adobe también publicaba su boletín en el que se solucionaban 36 vulnerabilidades en los productos Acrobat, Reader y Adobe DNG Software Development Kit, 16 se consideraban críticas y 12 de ellas afectarían a Adobe Acrobat y Reader.

También nos hacíamos eco de una importante vulnerabilidad en smartphones Samsung lanzados desde 2014 con versiones de Android 4.4.4 o superiores, incluyendo las últimas versiones O (8.x), P (9.0) y Q (10.0). Se trataba de un fallo «click cero», es decir, aquellos que pueden comprometer un dispositivo sin necesidad de hacer clicks y sin contacto. Por suerte Samsung ya ha liberado una actualización este mes de mayo la cual debe aplicarse lo antes posible.

Además durante esta semana os alertábamos sobre una importante actualización de moodle, en ella se corrigen dos vulnerabilidades, las cuales permitían ejecución de código y ataques XSS.

Finalmente informaros que ya se han liberado las versiones de iOS y iPadOS 13.5 Apple que corrigen las vulnerabilidades por las cuales se permitía el acceso remoto a mensajes almacenados en el mail.

Recopilamos en este nuevo boletín quincenal, las últimas noticias y alertas que han venido aconteciendo en materia de ciberseguridad.

Durante este período de confinamiento que nos obliga a teletrabajar en la medida de lo posible, y donde el uso de aplicaciones de videoconferencia es un requisito para mantener la comunicación entre los equipo de trabajo, queremos avisar de la importancia de descargar las aplicaciones desde los sitios oficiales, ya que se ha encontrado malware de control remoto en instaladores de Zoom que estaban disponibles en diferentes webs de descarga, principalmente desde «Bit.ly». Además, queremos hacer hincapié en la necesidad de mantener las aplicaciones actualizadas, para corregir las posibles vulnerabilidades que van siendo detectadas. En el caso de Zoom, cada vez que iniciemos sesión, deberemos hacer clic en nuestra foto de perfil y elegir la opción «Comprobar actualizaciones», ya que no se descargan de manera automática y debemos hacer la búsqueda nosotros.

Aprovechando la situación laboral de muchos ciudadanos, que están pendientes de comunicaciones por parte de las administraciones, se ha detectado una campaña masiva de phishing suplantando a la Seguridad Social, donde se le envía a la víctima un correo indicando que de manera precipitada, pulse un enlace para recibir un ingreso. La finalidad no es otra que descargarnos un malware que nos robará las credenciales de acceso y que acabará por vaciarnos la cuenta bancaria. Te recomendamos leer nuestra guía sobre «Cómo identificar un phishing«, disponible en nuestra web de concienciación: https://concienciat.gva.es/tutoriales/guia-para-identificar-phishing/

También Nintendo ha sido víctima de los ciberdelincuentes. Más de 160.000 cuentas fueron comprometidas mediante la suplantación del inicio de sesión de Nintendo Network ID. Con ello consiguieron información personal de los usuarios afectados, por lo que se recomienda restablecer las contraseñas de acceso, utilizar el doble factor de autenticación y usar contraseñas diferentes para NNID y la cuenta de Nintendo. Otra noticia una semana después, ponía de manifiesto más problemas de seguridad en Nintendo, ya que el código fuente del sistema operativo y el diseño de la consola de Nintendo Wii habían sido filtrados.

Respecto a las alertas más importantes de esta quincena, destacan las siguientes:

Vulnerabilidades críticas han sido detectadas en varias extensiones educativas de WordPress, que son utilizadas en más de 100.000 sitios educativos, como academias, colegios y universidades.

También millones de data centers se han visto afectados por vulnerabilidades críticas de SaltStack (RCE), por lo que recomendamos a los usuarios que actualicen a la última versión.

Por último, y también con valoración crítica, la plataforma Citrix ShareFile que permite la compartición de archivos confidenciales en las empresas, podría sufrir un robo de la información almacenada. Se debe actualizar inmediatamente la plataforma.

Como de costumbre, vamos con el repaso de la actualidad de la seguridad de la información de esta quincena.

Motivado por el alto número de «Fake News» que están circulando por la red relacionadas con el COVID-19, ayer CSIRT-CV recuperó su campaña «Stop Fake News» para ayudar a los internautas a identificar y frenar la difusión de bulos online. El contenido completo de la campaña, que se creó hace ya un año, puede consultarse en el siguiente enlace, aunque durante los próximos días los seguidores de nuestras redes sociales podrán recordar el contenido recibiendo consejos diarios.

Por desgracia las acciones maliciosas que están aprovechando el impacto del coronavirus no se limitan solo a la desinformación:

• • Varios hospitales estadounidenses han sufrido infecciones por ransomware debido a sus conexiones VPN, tan necesarias en estas situaciones de teletrabajo.
  • Circula mucha desinformación acerca de la seguridad de las plataformas de videoconferencia como Zoom. Por ello el CCN ha publicado una guía de uso seguro de la aplicación. A pesar de las informaciones vertidas, la aplicación tiene niveles de seguridad equiparables al resto de plataformas, por lo que mientras se actualice regularmente, no existen motivos para la alarma.
  • El propio FBI alertaba de la alta actividad fraudulenta alentada por la situación generada por coronavirus, aunque parece que se consiguen avances en la desactivación de grupos organizados y sitios web maliciosos con esta temática.

Tampoco han faltado las ya habituales filtraciones de datos: la plataforma Aptoide, una de las principales alternativas a Google Play para la descarga de aplicaciones Android, ha sufrido una filtración de datos de cerca de 20 millones de usuarios, aunque se estima que la cifra puede ser mayor y que solo se ha publicado una parte de la información robada.

Aunque escapa de la filtraciones habituales, también ha sido noticia la filtración del código fuente de los conocidos juegos CS:GO y Team Fortress2, ambos de la compañía Valve.

En el apartado técnico, cabe destacar la importancia de actualizar los sistemas Windows para solventar la importante vulnerabilidad en SMBv3, ya que se ha anunciado la existencia de un exploit funcional para conseguir ejecución remota de código.

También recomendamos actualizar el popular software Foxit Reader y PhantomPDF, por disponer de graves vulnerabilidades que pueden comprometer la seguridad de los equipos de nuestros lectores.

Por último cerramos el boletín alertando a los usuarios de iOS de que se ha descubierto una vulnerabilidad que permite atacar dispositivos Apple de forma remota mediante correos electrónicos maliciosos. No obstante, Apple ya ha parchado estos fallos en la beta más reciente de iOS 13.4.5, por lo que se espera que se libere una actualización global en breve.

Dado que mañana es festivo, adelantamos un día nuestro boletín quincenal para que no os perdáis todo lo acontecido durante estas dos últimas semanas.

Comenzamos con una de las noticias más recientes en nuestro portal. Se trata de una campaña de phishing masiva que se está produciendo actualmente en todo el país. Los correos maliciosos recibidos contienen el asunto “Denuncia Oficial XXXXXX, se inició una investigación contra su empresa» y tratan de suplantar a la Inspección de Trabajo y Seguridad Social (ITSS).
Estos correos deben eliminarse inmediatamente y no acceder a ninguno de sus enlaces.

Otro tema a destacar durante estos últimos días han sido los ataques, de tipo 0-day, contra redes empresariales que usan dispositivos de red fabricados por la empresa DrayTek. Se recomienda a los usuarios de estos dispositivos deshabilitar el acceso remoto a sus routers así como, actualizar a las últimas versiones.

Durante el estado de alarma muchos programas han visto aumentado su uso, debido a un mayor número de personas que realizan teletrabajo. Uno de esos programas ha sido Zoom, una aplicación para la comunicación en línea. Los hackers se aprovechan de ello puesto que, ya se han detectado más de 1.700 dominios y ejecutables falsos de la aplicación para engañar a las víctimas y propagar malware.

Respecto a las alertas y vulnerabilidades destacamos el descubrimiento de una vulnerabilidad, de tipo Cross Site Scripting, en el software Tiki-Wiki CMS. Esta vulnerabilidad ha sido descubierta por nuestro equipo CSIRT-CV.

A finales de marzo también se informó de un bug en Windows 10. El fallo produce la pérdida de Internet en caso de utilizar un proxy, configurado manual o automáticamente, incluyendo el uso de una VPN. Está prevista una solución para principios de abril.

Y para finalizar, recomendamos actualizar a la última versión de los navegadores web Firefox y Firefox ESR, tanto para Windows, MacOS y Linux, debido a dos vulnerabilidades 0-day detectadas.