Publicación Alerta CSIRT-CV
Boletín de alertas
Desde CSIRT-CV informamos de la vulnerabilidad descubierta en la suite ofimática LibreOffice y OpenOffice. Esta vulnerabilidad puede ser ejecutada a través de un documento .ODT, especialmente diseñado, para realizar una ejecución remota de código en estas dos herramientas ofimáticas. A esta vulnerabilidad se la ha identificado con el código CVE-2018-16858.
Para corregir la vulnerabilidad, LibreOffice, aconseja actualizar a la última versión disponible de la suite desde su pagina web oficial https://www.libreoffice.org/.
OpenOffice no ha publicado todavía una actualización que corrija la vulnerabilidad, pero como solución temporal desde INCIBE recomiendan renombrar el archivo "pythonscript.py", ubicado en "\OpenOffice4\program".
Más información:
https://thehackernews.com/2019/02/hacking-libreoffice-openoffice.html
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/vulnerabilidad-las-suites-ofimatica-openoffice-y-libreoffice
https://www.libreoffice.org/about-us/security/advisories/cve-2018-16858/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16858
-
Vulnerabilidad en OpenOffice y Libreoffice -
08/02/2019
A través de un documento .ODT especialmente diseñado se podría realizar una ejecución remota de código en estas dos herramientas ofimáticas.Font: Hispasec - Una al día
Alerta
Desde CSIRT-CV les informamos de la aparición de vulnerabilidades críticas en distintos modelos de routers de diferentes fabricantes enfocados a uso doméstico, pequeñas y medianas empresas, así como modelos de NAS que se cree pueda afectar a más de 500000 routers de unos 54 paises en todo el mundo y que una vez comprometidos puedan ser utilizados como botnet para realizar diversos ataques dirigidos de DDOS, escaneo y reconocimiento de puertos TCP, exfiltración de datos de usuario y ataques contra infraestructuras SCADA.
Las marcas y modelos afectados son los siguientes:
Linksys: E1200 E2500 WRVS4400N
Versiones Mirkotik Router OS para cloud core routers: 1016 1036 1072
Netgear: DGN2200 R6400 R7000 R8000 WNR1000 WNR2000
Qnap (NAS): TS251 TS439 Pro
TP-LINK: R600VPN
El malware VPNFilter está considerado como muy sofisticado, según investigadores de Cisco tiene bastantes similitudes con BlackEnergy, un malware destinado al ataque contra infraestructuras críticas SCADA y sobretodo centrales elétricas y empresas relacionadas con el sector energético, supuestamente utilizado por el gobierno ruso en operaciones dirigidas contra Ucrania.
La infección y posterior toma de control consta de 3 fases reconocidas, donde en una primera se introduce el malware que actúa como command and control y que consigue persistencia tras un reinicio y sirve como lanzadera para lanzar la segunda fase, que aunque no es persistente a reinicios ya permite ejecutar código remoto, exfiltración de información, descarga de ficheros del sistema y acceso a la configuración del dispositivo, así como autodestruir el sistema si se desea.
En la tercera fase se busca añadir funcionalidad modular en forma de plugins al malware no persistente de la fase 2, donde se instala un sniffer de red que analiza todo el tráfico de la consiguiente red incluyendo robo de credenciales y monitorización de protocolos SCADA, así como añadir funcionalidades de comunicación mediante TOR para ocultar la exfltración de información y posterior ejecución de comandos remotos.
Las recomendaciones de seguridad por parte de CSIRT-CV son:
1. Restaurar el router de fábrica para eliminar el código malicioso persistente.
2. Actualizar el firmware del dispositivo a la última versión disponible.
En caso de no tener parche disposible por parte del fabricante para el modelo concreto y no poder restaurar el router de fábrica se recomienda al menos reiniciarlo para que las fases 2 y 3 pierdan la persistencia.
Hay noticias de que el FBI ha encontrado y bloqueado un servidor de comand and control relacionado con este tipo de malware, pero es probable que los routers comprometidos puedan ser infectados de nuevo cambiando la dirección del servidor por lo que únicamente reiniciar no es la opción más recomendable.
Más información: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/el-malware-vpnfilter-afecta-routers-y-dispositivos
Fuente: https://blog.talosintelligence.com/2018/05/VPNFilter.html
-
Botnet hackea 500.000 routers -
25/05/2018
Cisco detecta una botnet ubicada en 54 paises de medio millón de routers implicadosFont: blog.segu-info
Alerta
Buenos días,
Acorde al cumplimiento del Reglamento General de Protección de Datos de la Unión Europea (RGPD), el cual es aplicable desde el 25 de mayo de 2018, le informamos que CSIRT-CV no cede los datos, de sus listas de suscriptores de boletines, a terceros.
El objetivo de este correo electrónico es informarle de que su nombre, y otra información de contacto personal, reside actualmente en nuestros sistemas internos para realizar estos envíos principalmente.
Deseamos que nuestros boletines, enviados por correo electrónico, que informan sobre las alertas de seguridad más críticas actualmente, le sean de interés. Si no desea continuar recibiendo estos boletines puede darse de baja mediante este enlace.
Esperamos seguir contando con su usted entre nuestros suscriptores.
Un saludo,
CSIRT-CV.
-
Desde mañana será de aplicación el nuevo RGPD -
24/05/2018
Mañana día 25 de mayo vence la fecha para que empresas y organizaciones apliquen el nuevo RGPDFont: CSIRT-CV
Alerta
Se ha publicado una nueva vulnerabilidad que afecta a los clientes de correo electrónico que utilizan OpenPGP y S/MIME para cifrar los mensajes de correo.
Al parecer existe un fallo en el modo como algunos clientes de correo tratan la gestión de errores de OpenPGP y S/MIME, lo que podría provocar que un atacante pudiera tener la capacidad de poder exfiltrar el contenido del mensaje cifrado.
Para más información puede visitar el siguiente enlace:
-
Vulnerabilidad: usuarios de correos cifrados deben desactivar plugins de descifrado de correo -
15/05/2018
Se ha anunciado una vulnerabilidad que podría comprometer las comunicaciones cifradas a través de correo electrónico que utilicen los protocolos PGP o S/MIMEFont: Hispasec - Una al día
Alerta
Se ha detectado una nueva vulnerabilidad crítica en productos Cisco ASA. Esta vulnerabilidad reside en la funcionalidad Secure Sockets Layer (SSL) VPN del software Cisco Adaptive Security Appliance (ASA).
Esta vulnerabilidad puede permitir a un atacante ejecutar código de forma remota o causar una denegación de servicio sobre los productos afectados.
Para más información visitar el siguiente enlace:
-
Vulnerabilidad crítica en productos Cisco ASA -
31/01/2018
Se ha detectado una vulnerabilidad categorizada como crítica en los productos Cisco Adaptative Security Appliance, conocidos como Cisco ASA, que podría permitir a un atacante ejecutar código de forma remota o causar una denegación de servicio en los dispositivos vulnerables.
Alerta
Hoy se ha descubierto una grave vulnerabilidad en equipos Macintosh. Se explica en la siguiente alerta:
-
Descubierto un error de seguridad en OS X -
29/11/2017
Acceder a un ordenador de Apple sin necesidad de contraseña es posible gracias a una vulnerabilidadFont: El País
Alerta
A lo largo del día de hoy se ha detectado un nuevo ransomware de rápida propagación llamado Bad Rabbit con un funcionamiento similar a los ya conocidos Wannacry y Petya, que utiliza como método principal de infección una falsa actualización de Adobe Flash.
Es importante tener los equipos actualizados y parcheados completamente a fecha de hoy.
Microsoft ha publicado una guía con acciones de prevención para este ransomware.
Más información:
A continuación podrá encontrar información más detallada de la noticia publicada en nuestro portal:
-
Nuevo ransomware Bad Rabbit -
25/10/2017
El ransomware explota la misma vulnerabilidad que Wannacry para propagarseFont: blog.segu-info
Alerta
El pasado lunes 16 de octubre de 2017 os informamos de nuevas vulnerabilidades que afectan al protocolo de cifrado de comunicaciones de redes inalámbricas WPA2 y que podría permitir a un atacante espiar las comunicaciones de una Wi-Fi protegida y dependiendo de la configuración de la red, manipular los datos de la comunicación. Entre los sistemas afectados se encuentran móviles, ordenadores y demás clientes Wi-Fi.
En este enlace podéis encontrar información de los fabricantes afectados y de los parches de actualización correspondientes según van publicándose.
Más información en la siguiente alerta:
-
Logran romper la seguridad del protocolo WPA2 de las redes Wi-Fi -
16/10/2017
Han sido publicadas graves vulnerabilidades que afectan al protocolo de cifrado de comunicaciones WPA2 de las redes Wi-Fi. Esta vulnerabilidad podría permitir a un atacante espiar las comunicaciones de una Wi-Fi protegida y dependiendo de la configuración de la red, manipular los datos de la comunicación.Font: Xataka
Alerta
Usuarios de equipos Microsoft Windows están reportando que la nueva actualización liberada por Microsoft, concretamente KB4041676 para Windows 10 Creators Update, está causando que sus equipos se bloqueen y dejen de responder mostrando un pantallazo azul.
El problema afecta principalmente a equipos disponen de soporte para USB-C, aun cuando no dispongan del puerto.
Se recomienda no aplicar la actualización KB4041676 para Windows 10 Creators Update y deshabilitar UCSI desde la BIOS del sistema.
-
Actualización de Microsoft está inutilizando equipos -
13/10/2017
El problema afecta principalmente a equipos con USB tipo CFont: Gizmodo
Alerta
Actualmente se está distribuyendo de forma masiva una campaña de correos maliciosos que suplantan a la entidad bancaria Bankia.
-
Campaña masiva de correos phishing suplantando a Bankia -
05/10/2017
Se ha detectado un envío masivo de correos, suplantando la imagen de Bankia, para propagar malware a través de un archivo adjunto.Font: CSIRT-CV