Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
23/11/2018
Boletín 10/11/2018 - 23/11/2018
Os contamos a continuación algunas de las noticias más relevantes sobre ciberseguridad acontecidas durante esta última quincena.
En primer lugar es destacable el hecho de que una vez más, y como ya viene siendo habitual, uno de los sectores más atacados por la ciberdelincuencia es el sector financiero. En las últimas semanas han sido publicadas diferentes noticias que apuntan a un incremento de la actividad y efectividad de los ataques, estamos hablando por ejemplo del Banco Consorcio y prácticamente todos los bancos de Pakistán.
Por otra parte, en la cumbre de París denominada “París Peace Forum”, países y empresas de la tecnología firmaron un pacto de ciberseguridad, aunque sin contar con la adhesión de EE.UU., Rusia, China y Reino Unido. Cabe destacar que el pacto no impone ninguna sanción para aquéllos que lo hayan firmado y lo incumplan, con lo que por el momento queda en una mera declaración de intenciones.
Otra noticia, bastante curiosa y paradójica, ha sido la de que el ministro de ciberseguridad japonés jamás ha usado una computadora. Cuanto menos es indudable que con esa medida el grado de protección de sus datos es insuperable.
Las ciberamenazas no excluyen a los drones. Si eres usuario de un dron DJI, tu información puede verse comprometida debido a una vulnerabilidad XSS que permitiría que un atacante inyecte código malicioso que sustraiga las cookies de sesión de la víctima que acceda a la aplicación web.
Cabe destacar también que la conocida red social Instagram ha expuesto accidentalmente contraseñas de los usuarios que hayan hecho uso de su funcionalidad “Descarga tus datos”. Se recomienda a los usuarios afectados que cambien sus contraseñas y borren el historial de su navegador lo antes posible.
También la plataforma Amazon informa de que algunas de sus cuentas de usuario han sido expuestas. Debido a un error en su portal, se expusieron los nombres y direcciones de correo electrónico de algunos de sus clientes. El error técnico ya ha sido subsanado.
Por último, pero no por ello menos importante, recordaros que desde CSIRT-CV nos sumamos una vez más a la iniciativa de celebrar el Día Internacional de la eliminación de la violencia contra la mujer, que será el próximo 25 de noviembre, y aprovechamos para recordaros algunos consejos para prevenir la violencia de género en el ámbito tecnológico.
Actualización de programas
En cuanto a actualizaciones publicadas debido al descubrimiento de vulnerabilidades recientes, cabe destacar que se ha detectado una vulnerabilidad en WooCommerce de WordPress. El fallo permite la escalada de privilegios y podría afectar a los más de 4 millones de usuarios que utilizan este plugin.
También es notoria la nueva actualización de seguridad de SAP, que lanza su correspondiente parche de seguridad mensual para corregir las vulnerabilidades descubiertas en sus productos.
Y por último, comentaros que se han descubierto también varias vulnerabilidades de ejecución remota de código, redireccionamiento abierto, inyección de comandos y exposición de información que afectan a vSphere Data Protection VDP de VMWare.
- Vulnerabilidad CSRF en Moodle - 20/11/2018
- Vulnerabilidad en GDPR Compliance para WordPress - 13/11/2018
- XSS persistente en Evernote - 12/11/2018
- Estafa de criptomonedas a través de Twitter - 19/11/2018
- Nuevo error de seguridad en Facebook - 15/11/2018
- Boletines de seguridad Microsoft para Noviembre de 2018 - 14/11/2018