Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/11/2013

Boletín 05/11/2013 - 15/11/2013

La Generalitat ha presentado su estrategia de seguridad para la protección de sus proyectos TIC en el VII Congreso Nacional de Auditoría, Seguridad y Gobierno de Tecnologías de la Información, organizado por la Asociación de Auditoría y Control de los Sistemas de Información de la Comunidad Valenciana, ISACA Valencia. Se ha definido una metodología, denominada gvLOGOS, para la gestión de sus servicios y proyectos TIC y consiste en un proceso de gestión que incorpora la seguridad de manera transversal en todos los proyectos.

Tal como comentamos en el boletín anterior, tras la intrusión que sufrió Adobe en sus sistemas, la empresa ha reconocido el robo del código fuente de varios de sus productos y de unos 130 millones de credenciales. Las claves de acceso de los usuarios estaban cifradas pero con un método que no es suficientemente seguro, además estaban asociadas a la cuenta de correo de cada usuario de forma que se han realizado varios análisis sobre la calidad de las claves, e incluso un Top100 de las más utilizadas (e inseguras) junto con una comparativa de las empresas del IBEX35 que podrían tener usuarios con credenciales comprometidas. Todo esto nos hace reiterar la necesidad de utilizar claves robustas y disponer de distintas claves para distintos servicios.

Los incidentes no afectan solamente a grandes empresas o proyectos. Toda la información que maneja un negocio tiene valor y por tanto es susceptible de ser amenazada. Una empresa que no dispone de ninguna medida de seguridad pone sus datos y la confianza de sus clientes en peligro. A medida que las organizaciones más grandes avanzan en seguridad, los cibercriminales dirigen sus ataques hacia las PYME y no se debe bajar la guardia.

Tal como aparece en un reciente informe, los ataques de phishing mantienen o aumentan ligeramente su intensidad, siendo destacable el caso de los portales de phishing para Apple iOS con un incremento particularmente notable. Se debe estar alerta y mostrarse cautelosos durante la temporada de compras navideña, a fin de evitar que nuestros datos personales y financieros se vean comprometidos. En CSIRT-cv hemos elaborado una guía sobre el phishing que pretende ayudar al internauta en la identificación de este tipo de estafa.

Actualizaciones de programas:

Esta semana tenemos actualizaciones de varios productos de amplia difusión. Por una parte tenemos los habituales boletines de Microsoft que en esta ocasión se trata de ocho boletines de seguridad, siendo 3 de ellos críticos y el resto importantes. Se centran en Microsoft Windows, Internet Explorer y Microsoft Office. Cabe señalar que queda pendiente de resolución la vulnerabilidad 0-day anunciada la semana pasada y que afectaba a Office. Entre tanto, Microsoft ha publicado una salvaguarda temporal.

Otro habitual es Adobe, quien ha publicado dos boletines de seguridad, cada uno para corregir dos vulnerabilidades, en ColdFusion y Flash Player.

Una alerta crítica que podría afectar a un gran número de servidores es la vulnerabilidad descubierta en OpenSSH que permitiría la ejecución de código en caso de tener habilitado el algoritmo de cifrado AES-GCM. Para solucionar esto, se puede aplicar el parche correspondiente o deshabilitar dicho algoritmo en la configuración del servicio.

Otra aplicación ampliamente utilizada que ha sido objecto de actualización es Joomla!, quien ha tenido que publicar una actualización (2.5.16) tan sólo siete horas después de publicar la versión 2.5.15. En esta última se corregían tres fallos críticos en el núcleo del CMS.

Por último, cPanel también ha publicado una actualización para corregir un error de seguridad y varias vulnerabilidades que podrían permitir la inserción de código, escalar privilegios o manipular determinada información, entre otros.

CSIRT-CV