blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

Malware: 3 campañas que debes conocer y recomendaciones para estar prevenido

NextVision

0

Malware: 3 campañas que debes conocer y recomendaciones para evitarlas

Te contamos sobre Zloader, Elephant-beetle y Avoslocker-ransomware, campañas de malware que han tenido miles de víctimas y gran perjuicio económico para sus afectados.

A continuación, descubre además las recomendaciones para evitar caer en ataques de estas características.

Si requieres más información sobre nuestros excelentes planes y servicios de Awareness para concientizarte en ciberseguridad junto a tu equipo y evitar caer en ataques, no dudes en comunicarte con nosotros haciendo  click aquí.

Zloader, un malware bancario diseñado para robar credenciales de usuario e información privada. Las campañas anteriores de Zloader, que se vieron en 2020, usaron documentos maliciosos, sitios para adultos y anuncios de Google para infectar sistemas.

La evidencia de la nueva campaña se anunció por primera vez a principios de noviembre de 2021. Dicha campaña se cobró 2170 víctimas en 111 países al 2 de enero de 2022, con la mayoría de las partes afectadas ubicadas en los EE.UU., Canadá, India, Indonesia y Australia.

Las técnicas incorporadas en la cadena de infección incluyen el uso de software de administración remota (RMM) legítimo para obtener acceso inicial a la máquina objetivo.

El malware explota el método de verificación de firma digital de Microsoft para inyectar su carga útil en una DLL firmada del sistema para evadir aún más las defensas del sistema.

Cadena de infección

La infección comienza con la instalación del software Atera en la máquina de la víctima.

malware zloader

Atera es un software de administración y monitoreo remoto empresarial legítimo, diseñado para uso de TI. Los autores de la campaña crearon este instalador (b9d403d17c1919ee5ac6f1475b645677a4c03fe9) con una dirección de correo electrónico temporal: ‘ Antik.Corp@mailto.plus ‘. El archivo imita una instalación de Java, al igual que en campañas anteriores de Zloader.

malware

Una vez que el agente está instalado en la máquina, el atacante tiene acceso completo al sistema y puede cargar/descargar archivos, ejecutar scripts, etc. Atera ofrece una prueba gratuita de 30 días para nuevos usuarios, tiempo suficiente para el atacante. para obtener sigilosamente el acceso inicial.

Después de la instalación del agente, el atacante carga y ejecuta dos archivos .bat en el dispositivo mediante la función “Ejecutar script”:

  • defenderr.bat se utiliza para modificar las preferencias de Windows Defender.
  • load.bat se utiliza para cargar el resto del malware.

El resto de archivos están alojados en el dominio teamworks455[.]com y se descargan desde allí.

El script load.bat descarga y ejecuta new.bat, que verifica los privilegios de administrador y los solicita mediante el script BatchGotAdmin . Luego continúa descargando otro archivo bat (new1.bat). Este nuevo script agrega más exclusiones a Windows Defender para diferentes carpetas, deshabilita diferentes herramientas en la máquina que podrían usarse para detección e investigación, como cmd.exe y el administrador de tareas. También descarga otros archivos en la carpeta %appdata%:

  • 9092.dll: la carga útil principal, Zloader.
  • adminpriv.exe – Nsudo.exe. Habilita la ejecución de programas con privilegios elevados.
  • appContast.dll: se usa para ejecutar 9092.dll y new2.bat.
  • reboot.dll: también se usa para ejecutar 9092.dll.
  • new2.bat: desactiva el “Modo de aprobación del administrador” y apaga la computadora.
  • auto.bat: se coloca en la carpeta de inicio para la persistencia del arranque.

RECOMENDACIONES:

  • Aplicar la actualización de Microsoft para la verificación estricta de Authenticode. No se aplica por defecto.
  • No instalar programas de fuentes o sitios desconocidos.
  • Impedir el uso de Atera o, de lo contrario, monitorearlo y restringirlo.
  • Utilizar el monitoreo de aplicaciones para controlar la ejecución de archivos .bat y el lanzamiento de cualquier .msi.

 

AteraAgent Scripts:

Defenderr.bat – 1CA89010E866FB97047383A7F6C83C00C3F31961

Load.bat – F3D73BE3F4F5393BE1BC1CF81F3041AAD8BE4F8D

www.teamworks455[.]com

ARCHIVOS:

Java.msi – B9D403D17C1919EE5AC6F1475B645677A4C03FE9

nuevo.bat – 0926F8DF5A40B58C6574189FFB5C170528A6A34D

nuevo1.bat – 9F1C72D2617B13E591A866196A662FEA590D5677

nuevo2.bat – DE0FA1529BC652FF3C10FF16871D88F2D39901A0

9092.dll – A25D33F3F8C2DA6DC35A64B16229D5F0692FB5C5, 7A57118EE3122C9BDB45CF7A9B2EFD72FE258771, 2C0BC274BC2FD9DAB82330B837711355170FC606

Adminpriv.exe – 3A80A49EFAAC5D839400E4FB8F803243FB39A513

appContast.dll – 117318262E521A66ABA4605262FA2F8552903217

reiniciar.dll – F3B3CF03801527C24F9059F475A9D87E5392DAE9

auto.bat – 3EA3B79834C2C2DBCE0D24C73B022A2FF706B4C6

URL

www.teamworks455[.]com

hxxps://asdfghdsajkl[.]com/gate.php

hxxps://iasudjghnasd[.]com/gate.php

hxxps://kdjwhqejqwij[.]com/gate.php

hxxps://kjdhsasghjds[.]com/gate.php

hxxps://dkisuaggdjhna[.]com/gate.php

hxxps://dquggwjhdmq[.]com/gate.php

hxxps://lkjhgfgsdshja[.]com/gate.php

hxxps://daksjuggdhwa[.]com/gate.php

hxxps://eiqwuggejqw[.]com/gate.php

hxxps://djshggadasj[.]com/gate.php

El ataque se basa en la simplicidad para ocultarse a simple vista, sin necesidad de desarrollar herramientas sofisticadas o exploits.

Utilizan más de 80 herramientas y scripts únicos, el grupo ejecuta sus ataques durante largos períodos de tiempo, mezclándose con el entorno del objetivo y pasando completamente desapercibido mientras libera silenciosamente a las organizaciones de grandes cantidades de dinero. 

Elephant Beetle parece enfocarse principalmente en objetivos latinoamericanos.

El grupo es muy competente con los ataques basados ​​en Java y, en muchos casos, tiene como objetivo aplicaciones Java heredadas que se ejecutan en máquinas basadas en Linux como medio de entrada inicial al entorno. Más allá de eso, el grupo incluso implementa su propia aplicación web Java completa en las máquinas de las víctimas para cumplir sus órdenes mientras la máquina también ejecuta aplicaciones legítimas.

Elephant Beetle opera en un patrón sigiloso y bien organizado, realizando de manera eficiente cada fase de su plan de ataque una vez dentro de un entorno comprometido:

Durante la primera fase, que puede durar hasta un mes, el grupo se enfoca en desarrollar capacidades cibernéticas operativas dentro de la organización infectada . El grupo estudia el panorama digital y planta backdoors mientras personaliza sus herramientas para trabajar dentro de la red de la víctima.

Luego, el grupo pasa varios meses estudiando este entorno, enfocándose en la operación financiera e identificando cualquier falla. Durante esta etapa, observan el software y la infraestructura para comprender el proceso técnico de las transacciones financieras legítimas.

El grupo luego crea transacciones fraudulentas en el medio ambiente. Estas transacciones imitan el comportamiento legítimo y extraen cantidades incrementales de dinero de la víctima. Aunque la cantidad de dinero robado en una sola transacción puede parecer insignificante, el grupo acumula numerosas transacciones por lo que asciende a millones de dólares.

Si durante sus esfuerzos se descubre y bloquea cualquier actividad de robo, el grupo simplemente permanece oculto durante unos meses solo para regresar y apuntar a un sistema diferente.

Una vez que el servidor web se ha visto comprometido, el atacante utiliza un escáner Java personalizado que obtiene una lista de direcciones IP para un puerto específico o una interfaz HTTP.

Habiendo identificado posibles puntos de pivote del servidor interno, los actores usan credenciales comprometidas o fallas de RCE para propagarse lateralmente a otros dispositivos en la red.

sygnia

Los investigadores de Sygnia han observado al grupo durante dos años y pueden confirmar que los actores de la amenaza explotan las siguientes fallas:

  • Inyección de lenguaje de expresión de aplicaciones Primefaces (CVE-2017-1000486)
  • Explotación de deserialización SOAP de WebSphere Application Server (CVE-2015-7450)
  • Explotación de servlet de invocador de SAP NetWeaver (CVE-2010-5326)
  • Ejecución remota de código de SAP NetWeaver ConfigServlet (EDB-ID-24963)

Las cuatro vulnerabilidades anteriores permiten a los actores ejecutar código arbitrario de forma remota a través de un shell web ofuscado y especialmente diseñado.

 

Recomendaciones

‘Elephant Beetle’ usa variables de código y nombres de archivos en español, y la mayoría de las direcciones IP C2 que usan están basadas en México.

Además, el escáner de red escrito en Java se cargó a Virus Total desde Argentina, probablemente durante la fase inicial de desarrollo y prueba.

  • Mantener los parches de actualización al día.
  • Evite usar el procedimiento ‘xp_cmdshell’ y desactívelo en servidores MS-SQL. Supervise los cambios de configuración y el uso de ‘xp_cmdshell’.
  • Supervise las implementaciones de WAR y valide que la funcionalidad de implementación de paquetes esté incluida en la política de registro de las aplicaciones relevantes.
  • Busque y supervise la presencia y creación de un archivo .class sospechoso en las carpetas temporales de las aplicaciones de WebSphere.
  • Supervise los procesos que fueron ejecutados por procesos de servicios primarios del servidor web (es decir, ‘w3wp.exe’, ‘tomcat6.exe’) o por procesos relacionados con la base de datos (es decir, ‘sqlservr.exe’).
  • Implemente y verifique la segregación entre la DMZ y los servidores internos.

 

Hashes


md5 d1337b9e8bac0ee285492b89f895cadb

sha1 93a2d7c3a9b83371d96a575c15fe6fce6f9d50d3

sha256 b20f667c2539954744ddcb7f1d673c2a6dc0c4a934df45a3cca15a203a661c88

sha256 b23621caf5323e2207d8fbf5bee0a9bd9ce110af64b8f5579a80f2767564f917

sha1 4bed038c66e7fdbbfb0365669923a73fbc9bb8f4

sha256 9f5f3a9ce156213445d08d1a9ea99356d2136924dc28a8ceca6d528f9dbd718b

md5 a92669ec8852230a10256ac23bbf4489

md5 6a09bc6c19c4236c0bd8a01953371a29

sha256 05732e84de58a3cc142535431b3aa04efbe034cc96e837f93c360a6387d8faad

sha256 16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5

sha256 674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd

sha1 d1387f3c94464d81f1a64207315b13bf578fd10c

md5 ac3b4ecacfaac834da24fa8dd380606c

md5 4489e8cb847cccf4d2d87ee3372e8235

md5 0b26021f37f01f00cc6cf880bd3d7f68

md5 33c22962e43cef8627cbc63535f33fce

md5 9e484e32505758a6d991c33652ad1b14

md5 b130215dd140fa47d06f6e1d5ad8e941

md5 f4b56e8b6c0710f1e8a18dc4f11a4edc

sha1 16a71f2ffc1bb24b2862295072831b698ae38f3a

sha1 2e309fa21194a069feb02ff0cd9cafe06d84f94d

sha1 4ab56883ddcb3d3e9af22aa73898d5ca7d2250a6

sha1 72906cec6bc424f8a9db5ca28ece2d2d2200dba2

sha256 61257b4ef15e20aa9407592e25a513ffde7aba2f323c2a47afbc3e588fc5fcaf

sha256 84ac021af9675763af11c955f294db98aeeb08afeacd17e71fb33d8d185feed5

md5 05355b74ca15b230e64a419c1f97e99e

md5 089542d815fbb1bfd7ffc962131f82be

md5 096d652310c3b248015242db427acded

md5 0d7a08e7f58bfe020c59d739911ee519

md5 0f14fad6fcadc250f1e8873da22143e2

md5 154a6bfe1b651582f77341561fdc68a4

md5 254d3286f92cdf2377b452231d03c0c0

md5 274a9bf3f78bdfc3fbb63520b2c0a9bd

md5 27c9e13c9d82935d1b199e2e0bbd262b

md5 2b3211adfa73e2508e98a09a54fe9755

md5 2dcb13e75e9b58b9546154e00a0b9665

md5 37a6d23b84a9477888678060ed4a3ef8

md5 4701909f47bba7b0eb33a3de944a9f04

md5 481fff46383b00b534ef53fe87579435

md5 4926d1b5d792793cccb46feaf17e72ae

md5 4bed9c8d06a3ba7215c49f139ca0dd16

md5 5045679706eb31a0989e49cce1dde5e0

md5 562f0570530c7f7ddf844a7eb88a0d43

md5 56cfcd709b5bea9f7eb49e959ee15a7e

md5 572fdd23399eb5612c62a0906ad50c06

md5 577e181ec1d59bccbf181391944d66e2

md5 590852c116da7e63d806dc6843846f31

md5 591d4df7a83856b49158dc8d34f16c3b

md5 5b306430ed7f9db91c94ca6a9b065efe

md5 5e83f542f729f7ae77982826e6bfaa0c

md5 6251920d4f0d6e9c176790f0757d4761

md5 6b7a67204c6369623e449d1c476e3273

md5 6e0bd9113d86e8b0baca936fc508ae73

md5 6f7a2c1d59fb896b42b8116fc1330fcc

Para más información ingresar al link

Una familia de ransomware emergente que se autodenomina Avos Locker ha estado intensificando los ataques al mismo tiempo que realiza un esfuerzo significativo para deshabilitar los productos de seguridad de endpoints.

malware

Sophos Rapid Response descubrió que los atacantes habían iniciado sus computadoras de destino en modo seguro para ejecutar el ransomware, como lo habían hecho los operadores de las ahora desaparecidas familias de ransomware Snatch , REvil y BlackMatter.

La razón de esto es que muchos, si no la mayoría, de los productos de seguridad de endpoints no se ejecutan en modo seguro, una configuración de diagnóstico especial en la que Windows desactiva la mayoría de los controladores y el software de terceros, y puede hacer que las máquinas protegidas no sean seguras.

Los atacantes de Avos Locker no solo reinician las máquinas en modo seguro para las etapas finales del ataque. También modifican la configuración de inicio del modo seguro para poder instalar y usar la herramienta comercial de administración de TI AnyDesk mientras las computadoras con Windows aún se ejecutaban en modo seguro. 

Los atacantes también parecen haber aprovechado otra herramienta comercial de administración de TI conocida como PDQ Deploy para enviar scripts por lotes de Windows a las máquinas que planeaban atacar.

 

Recomendaciones

Trabajar en Modo seguro hace que proteger las computadoras sea aún más difícil, porque Microsoft no permite que las herramientas de seguridad de endpoints se ejecuten en Modo seguro.

Los productos de Sophos detectan, por comportamiento, el uso de varias claves de registro Run y ​​RunOnce para hacer cosas como por ejemplo reiniciar en modo seguro o ejecutar archivos después de un reinicio. 

  • Mantén el software actualizado y active las actualizaciones automáticas siempre que sea posible
  • Aplicar políticas de contraseñas seguras y autenticación multifactor (MFA)
  • Realice copias de seguridad y pruebe periódicamente su restauración.
  • Reduzca la superficie de ataque mediante la eliminación de servicios y software no utilizados o innecesarios
  • Mitigar los ataques de fuerza bruta.
  • Habilite la protección contra manipulaciones para evitar que los atacantes desinstalen su software de seguridad.

Hasches

MD5 e09183041930f37a38d0a776a63aa673

MD5 27fc2796210dc3bfdede6a69ac8fa3dd

MD5 825d6049ba8600ee5fefd817ac5444b4

MD5 377676b06b8a28e60d638ab67df2bdb0

MD5 40f2238875fcbd2a92cfefc4846a15a8

MD5 b76d1d3d2d40366569da67620cf78a87

SHA-1 05c63ce49129f768d31c4bdb62ef5fb53eb41b54

SHA-1 b86ece05d5adbd421b0e50709ce95d25a79ea46e

SHA-1 31c4dfbf7029c5ca8334042faaf906477be1ec17

SHA-1 c8ef1f4a8cba7f04497a1b83011b4945d5274bbc

SHA-1 06dce6a5df6ee0099602863a47e2cdeea4e34764

SHA-1 ae23c0227afc973f11d6d08d898a6bb7516418e2

SHA-256 7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1

SHA-256 f810deb1ba171cea5b595c6d3f816127fb182833f7a08a98de93226d4f6a336f

SHA-256 c0a42741eef72991d9d0ee8b6c0531fc19151457a8b59bdcf7b6373d1fe56e02

SHA-256 84d94c032543e8797a514323b0b8fd8bd69b4183f17351628b13d1464093af2d

SHA-256 6cc510a772d7718c95216eb56a84a96201241b264755f28875e685f06e95e1a2

SHA-256 718810b8eeb682fc70df602d952c0c83e028c5a5bfa44c506756980caf2edebb

Ciberseguridad 2022: Tendencias y nuevos ciberataques

NextVision

0

La ciberseguridad se ha convertido en una de las mayores preocupaciones de las juntas directivas de las organizaciones. Debido a la pandemia ocasionada por el Covid-19, y a la acelerada transformación digital que trajo aparejada, nuevos riesgos y brechas de seguridad han surgido. 

El nuevo paradigma establecido por la actual normalidad de “teletrabajo” o “trabajo híbrido” ha ocasionado que todas las organizaciones deban desarrollar o establecer una postura defensiva en ciberseguridad para evitar o minimizar los ciberataques que pueda sufrir su organización.

 

¿Cuáles son algunas de las tendencias en ciberseguridad para este 2022?

 

1- Red/malla de ciberseguridad: una red de ciberseguridad permitirá desplegar las herramientas de ciberseguridad donde más se necesiten. 

Debido a la acelerada digitalización de los negocios, la ciberseguridad de las empresas necesita estar en constante transformación y adaptación a las nuevas tecnologías. Esto requiere soluciones de ciberseguridad flexibles y ágiles que permitan a la organización avanzar hacia el futuro de manera segura. 

 

2- Intensificación de las medidas de seguridad en las empresas: 

Debido al aumento de ataques, a las nuevas brechas de ciberseguridad a partir del traspaso de las oficinas a las casas, y a la cada vez más frecuente paralización de la actividad en las organizaciones por motivos de ciberseguridad, los directivos al mando de las organizaciones están desarrollando estrategias a través de expertos y especialistas en la materia. Esto produce que los controles de seguridad sean intensificados. La detección de los riesgos, su análisis y posterior estrategia de mitigación, mediante la incorporación de un servicio como NV Plan Director de Seguridad , incentivará a tu organización a llegar a una situación ideal de control de la ciberseguridad. 

 

3- Autenticación como medida de ciberseguridad: 

El teletrabajo o trabajo híbrido y la migración a aplicaciones en la nube han consolidado la tendencia en ciberseguridad actual de  autenticación y establecimiento de usuario y contraseña como medida principal de seguridad. La verificación de la identidad no es una medida nueva pero adquiere especial importancia  a partir de que los atacantes comienzan a apuntar con sus ataques a estos procesos y herramientas de acceso. El servicio de NV Awareness nos permite inculcar en los empleados de nuestra organización una concienciación y formación técnica en el cuidado de la información sensible y el uso de sus habituales herramientas digitales para evitar que caigan en este tipo de ciberfraudes. 

 

4- Las contraseñas inseguras son actualmente la principal brecha explotada en los ataques

Los ciberdelincuentes están atacando directamente las infraestructuras de identidad de las instituciones y organizaciones públicas/estatales para el robo de información sensible. La multi-verificación de identidad está creciendo como una solución a esta brecha de seguridad pero no debería ser la única medida a establecer.  Los factores de autenticación deben estar debidamente configurados, mantenidos y monitorizados para que sean totalmente efectivos. 

 

5- Análisis y gestión del ciberriesgo de terceras partes y proveedores:

La consolidación de la estrategia de seguridad en nuestros vendors es una pieza clave en el sistema de ciberseguridad de cualquier empresa. Cada vez se conocen más noticias de grandes empresas que han sido vulneradas a través de brechas de seguridad de sus vendors. Saber si las terceras partes que conforman nuestra cadena de valor son seguras es sumamente importante, ya que forman parte de nuestra superficie de ataque. Disponer de un servicio en tu organización como NV Vendor Risk Management, te permitirá automatizar procesos de manera segura con tus proveedores y gestionarlos eficientemente. Además, detectará brechas de seguridad en vuestras relaciones. 

 

6- La gestión de identidad de las máquinas

A medida que avanza la transformación digital, crece exponencialmente la incorporación de entidades artificiales que componen las aplicaciones modernas. Por lo tanto, la gestión de identidad de las máquinas se ha convertido en una parte crucial de las operaciones de ciberseguridad. 

Todas las aplicaciones modernas se componen de servicios que están conectados por API. Los atacantes pueden usar el acceso API de sus proveedores a datos sensibles. Las herramientas y técnicas para la administración de identidades de máquinas en toda la empresa aún están en pleno desarrollo. Sin embargo, una estrategia para administrar las identidades, los certificados y la información contenida en estas máquinas, permitirá que su organización asegure eficazmente su transformación digital.

 

7- Simulación de brechas y ataques: un método para validar el nivel de seguridad de las organizaciones. 

El continuo testeo y validación de los controles de seguridad ayudará a verificar el sistema de seguridad de una empresa frente a los potenciales ciberataques. Los ataques de ingeniería social como el phishing y el ransomware ponen en constante riesgo los datos e información sensible de las empresas por lo que deben ser un foco de constante verificación de los sistemas de ciberseguridad frente a ellos ya que los cibercriminales aprovechan que es más fácil vulnerar a las personas para obtener información de las empresas que intentando atacar los sistemas o tecnologías. Un servicio de Awareness con un programa único e integral que guía a la organización con estrategias que incluyan la educación y transformación de los hábitos de los empleados es fundamental para combatirlos.

 

8- Técnicas de privacidad y protección de datos en uso: 

Las técnicas informáticas que mejoran la privacidad y que protegen los datos mientras se utilizan, a diferencia de cuando están en reposo, permiten el procesamiento seguro de datos, el intercambio, las transferencias transfronterizas y el análisis, incluso en entornos no confiables.

Esta tecnología se está transformando rápidamente de la investigación académica a proyectos reales, lo que permite nuevas formas de uso compartido de datos e información sensible con un riesgo reducido de filtraciones.

 

Pero, ¿cuáles son exactamente estos ataques a los que nos enfrentamos?

 

Según FortiGuard Labs, en 2022 los ciberdelincuentes estarán más activos que nunca con los ataques ransomware.

Las  amenazas continuarán apuntando hacia toda la superficie de ataque de manera que los equipos de seguridad deberán luchar y asegurar todas las vías de entrada  posibles, especialmente a medida que estas mismas organizaciones hagan la transición a los entornos de trabajo híbridos, es decir, al teletrabajo.

 

Nuevos ataques:

 

  • Estrategias de planificación, desarrollo y armamentismo: se cree que los ciberatacantes dedicarán mayor esfuerzo al estudio, al reconocimiento y al descubrimiento de brechas de seguridad y nuevas herramientas mediante las cuales atacar. 
  • Nuevos vectores de ataque: Afectan a plataformas como Linux, que hasta ahora no habían sido un blanco de ataque principal para los ciberdelincuentes pero que han empezado a sufrir ciberataques como Vermilion Strike,que ataca con capacidades de acceso remoto sin ser detectado. 
  • Ataques dirigidos a sistemas de tecnología operativa (OT): debido a la convergencia de las redes IT y OT se han producido nuevos ataques dirigidos a estas a través de redes domésticas comprometidas y de los dispositivos de los trabajadores en remoto. Anteriormente se trataban de ataques llevados a cabo por ciberdelincuentes muy especializados pero  actualmente existen kits de ataque disponibles para utilizarlos en la web oscura. 
  • Nuevos ataques “Living off the hand”: se trata de ataques que no necesitan desarrollar archivos maliciosos desde cero. Por el contrario, aprovechan las puertas de entrada que ya existen en los sistemas informáticos a través de la infraestructura  de las organizaciones, accediendo a programas confiables, que no  despertarían ninguna sospecha, introduciendo en ellos códigos maliciosos. Este malware conseguirá eludir los sistemas de protección tradicional y luego robará sistemas, aplicaciones e información crítica mientras evita la detección.

 

En consideración de todas estas cuestiones, recomendamos  un enfoque holístico e integrado de los sistemas de ciberseguridad para protegerse ante esta nueva oleada de ataques. Es fundamental implementar una  estrategia unificada de  seguimiento en las organizaciones para proteger los datos, la información y las transacciones de principio a fin. 

Una administración centralizada de la ciberseguridad permitirá garantizar la aplicación de las políticas de seguridad, que las configuraciones y actualizaciones de los sistemas se lleven a cabo en los plazos establecidos y por último, que los eventos sospechosos que puedan surgir en cualquier parte de la red de la organización se detecten y recopilen de manera organizada y centralizada. 

Las ciberamenazas parecen estar en plena aceleración por lo que, si los sistemas y herramientas de ciberseguridad no están actualizados y listos para proteger a su organización de las próximas generaciones de amenazas que surgen constantemente, puede ser demasiado tarde para implementar una solución. 

 

Como hemos visto a lo largo de este artículo, en NextVision, un servicio de Awareness te permitirá una organización cibersegura y protegida mediante la educación de tus empleados en el uso de la tecnología y el cuidado de la información para evitar estos nuevos métodos de ciberataques; un servicio de VRM (Vendor Risk Management) ayudará a consolidar tu sistema de ciberseguridad mediante el control de tus proveedores/vendor y además, con tu servicio de Plan Director de Seguridad podrás desarrollar planes estratégicos de ciberseguridad creados en función de los objetivos de tu organización, que te permitan definir y priorizar los proyectos de seguridad a fin de anticipar y reducir los riesgos a los que tu empresa está expuesta. Para más información contacta con nosotros: info@nextvision.com

 

Fuentes: Gartner, Fortinet

CVE: Vulnerabilidades Enero 2022

NextVision

0

CVE: Vulnerabilidades Enero 2022

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 07/12/2021

• ACTUALIZACIÓN: 17/01/2022

• RESUMEN: La falla específica existe dentro del servicio de control de acceso a la red. El servicio carga un archivo de configuración de OpenSSL desde una ubicación no segura.

• PRODUCTO AFECTADO: FortiClient para MacOS versiones 6.4.3 y anteriores.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Esta vulnerabilidad permite a los atacantes locales aumentar los privilegios en las instalaciones afectadas de Fortinet FortiClient Network Access Control. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Actualice a FortiClient para MacOS versión 6.4.4 o superior.
Actualice a FortiClient para MacOS versión 7.0.0 o superior.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.6

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 14/01/2022

• ACTUALIZACIÓN: 14/01/2022

• RESUMEN: Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) podría permitir que un atacante remoto autenticado eleve sus privilegios a Administrador. Esta vulnerabilidad se debe a la falta de validación del lado del servidor de los permisos de usuario.

• PRODUCTO AFECTADO: Cisco Unified CCMP
Cisco Unified CCDM

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un sistema vulnerable. Una explotación exitosa podría permitir al atacante crear cuentas de administrador. Con estas cuentas, el atacante podría acceder y modificar la telefonía y los recursos de usuario en todas las plataformas unificadas que están asociadas al Cisco Unified CCMP vulnerable. Para explotar con éxito esta vulnerabilidad, un atacante necesitaría credenciales de usuario avanzado válidas.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 25/12/2021

• ACTUALIZACIÓN: 12/01/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite en "SoftwareBus_dispatchNormalEPMsgOut" en el módulo del kernel KCodes NetUSB. Ciertos dispositivos D-Link, Edimax, NETGEAR, TP-Link, Tenda y Western Digital se ven afectados por un desbordamiento de enteros por parte de un atacante no autenticado. No se puede descartar la ejecución remota de código desde la interfaz WAN (puerto TCP 20005); sin embargo, se consideró que la explotabilidad era de "complejidad bastante significativa" pero no "imposible".

• PRODUCTO AFECTADO: D7800 anteriores a 1.0.1.68.
R6400v2 anteriores a 1.0.4.122.
R6700v3 anteriores a 1.0.4.122.

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda instalar las actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 11/01/2022

• ACTUALIZACIÓN: 14/01/2022

• RESUMEN: La vulnerabilidad existe debido a una validación insuficiente de la extensión IKE de Windows de entrada proporcionada por el usuario. La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).

• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS).

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 11/01/2022

• ACTUALIZACIÓN: 13/01/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro de la función de soporte de tráiler HTTP en la pila de protocolo HTTP (http.sys).

• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud HTTP especialmente diseñada al servidor web, desencadenar un desbordamiento de búfer y ejecutar código arbitrario en el sistema.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: CVE-2021-44024 - CVE-2021-45440 - CVE-2021-45441

• FECHA DIVULGACIÓN: 29/12/2021

• ACTUALIZACIÓN: 06/01/2022

• RESUMEN: La vulnerabilidad existe dentro del Servicio de escaneo en tiempo real. Al crear un enlace simbólico, un atacante puede abusar del servicio para sobrescribir un archivo.

• PRODUCTO AFECTADO: Trend Micro Apex One (2019, SaaS). Trend Micro Worry-Free Business Security (10.0 SP1,SaaS).

• CAUSAS: Elevación de privilegios.

• CONSECUENCIAS: Un atacante local podría crear un archivo especialmente diseñado con contenido arbitrario que podría otorgar información local. Escalamiento de privilegios en el sistema afectado. Ten en cuenta: Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: TrendMicro recomienda aplicar los parches y/o compiaciones correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: CVE-2021-35244 - CVE-2021-35248

• FECHA DIVULGACIÓN: 20/12/2021

• ACTUALIZACIÓN: 03/01/2022

• RESUMEN: La vulnerabilidad existe debido a restricciones de acceso incorrectas. Numerosas funciones peligrosas expuestas dentro de Orion Core permiten la inyección de SQL de solo lectura que conduce en escalar privilegios.

• PRODUCTO AFECTADO: Orion Core versiones anteriores a 2020.2.6 HF 3.

• CAUSAS: Método o función peligrosa expuesta.

• CONSECUENCIAS: Un atacante con pocos privilegios de usuario puede robar hash de contraseña. Cualquier usuario de Orion, incluida una cuenta de invitado, puede consultar la entidad Orion. UserSettings y enumerar los usuarios y sus configuraciones básicas.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda instalar las actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 04/01/2022

• ACTUALIZACIÓN: 07/01/2022

• RESUMEN: La vulnerabilidad existe dentro del componente SCSI. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en el montón de longitud fija. La emulación de dispositivo de CD-ROM en VMware Workstation, Fusion y ESXi tiene una vulnerabilidad de desbordamiento de pila.

• PRODUCTO AFECTADO: VMware ESXi (7.0, 6.7 before ESXi670-202111101-SG and 6.5 before ESXi650-202110101-SG), VMware Workstation (16.2.0) and VMware Fusion (12.2.0).

• CAUSAS: Desbordamiento de búfer basado en Heap.

• CONSECUENCIAS: Un atacante con acceso a una máquina virtual con emulación de dispositivo de CD-ROM puede aprovechar esta vulnerabilidad junto con otros problemas para ejecutar código en el hipervisor desde una máquina virtual.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Enero 2022, comunícate con nuestro equipo enviándonos tus comentarios aquí.

CVE: Vulnerabilidades Diciembre 2021

NextVision

0

CVE: Vulnerabilidades Diciembre 2021

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 10

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/12

• ACTUALIZACIÓN: 16/12

• RESUMEN: La vulnerabilidad Log4j se reportó como crítica ya que afecta a la librería de registro Apache Log4j basada en Java. El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.

• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 a 2.14.1

• CAUSAS: Deserialización de datos que no son de confianza.
Validación de entrada incorrecta. vConsumo no controlado de recursos.

• CONSECUENCIAS:Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico


• MITIGACIÓN: Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: CVE-2021-44228

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 20/12

• RESUMEN: La vulnerabilidad se encontró ya que la corrección para la dirección CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas.
Log4j 2.16.0 (Java 8) y 2.12.2 (Java 7) solucionan este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada.

• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 beta 9 a 2.12.1 y 2.13.0 a 2.15.0.

• CAUSAS: Denegación de servicio

• CONSECUENCIAS: Un atacante podría controlar los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}) o un patrón de mapa de contexto de subprocesos ( % X,% mdc o% MDC) para crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que da como resultado una fuga de información y la ejecución remota de código en algunos entornos y la ejecución de código local en todos los entornos.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad:Alto


• MITIGACIÓN: Se recomienda actualizar a Log4j 2.16.0, ya que soluciona este problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI de forma predeterminada.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 8.1

• CVES RELACIONADOS: CVE-2021-44228

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 16/12

• RESUMEN: La vulnerabilidad se encontró en JMSAppender dentro Log4j 1.2 y es vulnerable a la deserialización de datos que no son de confianza cuando el atacante tiene acceso de escritura a la configuración de Log4j.
Este problema solo afecta a Log4j 1.2 cuando se configura específicamente para usar JMSAppender, que no es el predeterminado. Apache Log4j 1.2 llegó al final de su vida útil en agosto de 2015. Los usuarios deben actualizar a Log4j 2, ya que resuelve muchos otros problemas de las versiones anteriores.

• PRODUCTO AFECTADO: Apache Log4j, versiones 1.2.x

• CAUSAS: Deserialización de datos que no son de confianza.

• CONSECUENCIAS: El atacante puede proporcionar configuraciones TopicBindingName y TopicConnectionFactoryBindingName, lo que hace que JMSAppender realice solicitudes JNDI que dan como resultado la ejecución remota de código de manera similar a CVE-2021-44228

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Se recomienda eliminar JMSAppender en la configuración de Log4j si se utiliza, como así también eliminar la clase JMSAppender de la ruta de clases. Restringir el acceso del usuario del sistema operativo en la plataforma que ejecuta la aplicación para evitar que el atacante modifique la configuración de Log4j.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.7

• CVES RELACIONADOS: CVE-2021-43242, CVE-2021-42320, CVE-2021-42309

• FECHA DIVULGACIÓN: 15/12

• ACTUALIZACIÓN: 15/12

• RESUMEN: La vulnerabilidad existe debido al procesamiento incorrecto de los datos proporcionados por el usuario. Un atacante remoto puede falsificar el contenido de la página ya que se realiza validación insuficiente de la entrada proporcionada por el usuario.

• PRODUCTO AFECTADO: Microsoft SharePoint Server: 2013, 2016, 2019

• CAUSAS: Ejecución de código remoto (RCE)

• CONSECUENCIAS: La vulnerabilidad permite a un atacante remoto realizar un ataque de suplantación de identidad.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Bajo


• MITIGACIÓN: Se recomienda realizar las actualizaciones correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.1

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 15/12

• RESUMEN: La vulnerabilidad suplanta la identidad del instalador de AppX afectando a Microsoft Windows. Los atacantes han estado aprovechando esta vulnerabilidad para instalar paquetes que incluyen algunas familias de malware como son Emotet, TrickBot o Bazaloader.

• PRODUCTO AFECTADO: Instalador Windows AppX

• CAUSAS: Suplantación de identidad

• CONSECUENCIAS: Un atacante podría crear un archivo adjunto malicioso para utilizarlo en campañas de phishing. El atacante tendría que convencer al usuario de que abra el archivo adjunto especialmente diseñado. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Microsoft recomienda verificar las actualizaciones y consultar las secciones Mitigaciones y Soluciones para obtener información importante sobre los pasos que puede tomar para proteger su sistema de esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.3

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 15/12

• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta en la aplicación de Microsoft Office. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

• PRODUCTO AFECTADO: Microsoft Office en todas las versiones.

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 8/12

• ACTUALIZACIÓN: 9/12

• RESUMEN: La vulnerabilidad existe por el desbordamiento de enteros en el asignador de memoria de SSLVPN en FortiOS anterior a 7.0.1 y puede permitir que un atacante no autenticado corrompa los datos de control a través de solicitudes específicamente diseñadas a SSLVPN, lo que da como resultado la ejecución de código potencialmente arbitrario.

• PRODUCTO AFECTADO: FortiOS, version 7.0.1 y anteriores

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante puede ejecutar remotamente código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Fortinet recomienda realizar las actualizaciones correspondientes que solucionaran la vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.5

• CVES RELACIONADOS: CVE-2021-44228

• FECHA DIVULGACIÓN: 18/12

• ACTUALIZACIÓN: 26/12

• RESUMEN: La vulnerabilidad de Apache Log4J no protege la recursividad incontrolada de búsquedas autorreferenciales. Esto permite que un atacante con control sobre los datos del mapa de contexto de subprocesos cause una denegación de servicio cuando se interpreta una cadena elaborada.

• PRODUCTO AFECTADO: Apache Log4j2 versiones 2.0-alpha1 a 2.16.0

• CAUSAS: Denegación de servicio

• CONSECUENCIAS: Un atacante podría explotar la vulnerabilidad de la recursión de referencias a sí mismas entre lookups; pudiendo fabricar entradas maliciosas que contengan lookups recursivos. Principalmente para provocar una excepción que fuerce la finalización del proceso con un código de error, de modo que podría ser aprovechado para la realización de un ataque de denegación de servicio.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar a la última versión de Log4j 2.17.0 en la cuál se resuelven los fallos de seguridad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Diciembre 2021, comunícate con nuestro equipo enviándonos tus comentarios aquí.

Recomendaciones de ciberseguridad para tener en cuenta de cara a las compras navideñas

NextVision

0

Se acercan las Navidades y comienza la época de mayor consumo del año. La mayoría de las compras se realizan a través de plataformas e-commerce y los ciberdelincuentes aprovechan especialmente estas fechas para atacar a los usuarios

Debemos estar prevenidos y tener conciencia de los posibles riesgos a los que nos enfrentamos cuando tratamos de hacer una compra online.

Aquí te compartimos recomendaciones que es importante que tengamos en cuenta para comprar de manera segura:

 

  • Haz siempre uso de plataformas conocidas: estar atentos de dónde estamos comprando. Ingresando en páginas web oficiales evitaremos caer en fraudes. Además, debemos sospechar de páginas donde se ofrezcan productos a muy bajo precio o gratuitos.

 

  • Revisa el sitio web antes de empezar a comprar: empieza por el navegador comprobando que la URL y el dominio de la web son normales, es decir, comprueba que la dirección comienza por https:// y que contiene el nombre exacto del negocio sin cambios ni errores ortográficos. Muchos ciberdelincuentes intentan suplantar la identidad de los negocios con dominios falsificados.

 

  • Pon atención a los mensajes masivos: no entres en ofertas dudosas que se comparten en redes sociales y analiza si un producto o un servicio se ofrece a un precio “demasiado” reducido. Comprueba siempre las ofertas a través de los sitios oficiales.

 

  • No difundas el fraude: siempre que exista alguna duda sobre el origen del negocio, no compartas ofertas con otros usuarios ya que el boca a boca en el entorno digital ayuda a que se propaguen. Nunca hagas clic en enlaces de supuestas ofertas compartidas vía aplicaciones de mensajería instantánea ya que en muchas ocasiones se encuentran bajo un enlace cortado y no podemos saber con claridad qué hay detrás de estos links.

 

  • Evitar riesgos en redes abiertas: no compres ni compartas datos bancarios cuando estés conectado a una red pública.

 

  • Intentar limitar la información personal que compartes: si tienes la sensación de que en una página web te están pidiendo datos que no es necesario compartir, revisa el sitio web y comunícate con la tienda para consultarles.

 

  • Ten precaución con los mensajes de texto que lleguen a tu móvil o a tu correo electrónico avisando sobre la “llegada de un paquete” o sobre un “pedido por pagar” sospechoso: Antes de clicar, revisa tu página oficial de mensajería o el sitio web donde has realizado la compra y consulta el estado de tu pedido.

 

  • Trata de usar siempre tarjetas virtuales: es decir, intenta no utilizar tu tarjeta de crédito, haz uso de tarjetas prepago que te proporcione tu banco. Con ellas, podrás cargar el importe exacto de tus compras evitando así el posible robo de dinero.

 

  • Actualiza los equipos electrónicos: mantener al día el software y el sistema operativo de todos tus equipos y aplicaciones es un requisito de ciberseguridad indispensable. Además, recuerda cambiar tus contraseñas frecuentemente y siempre que adquieras un dispositivo electrónico nuevo.

 

  • Utiliza la autenticación de dos factores: el uso de una contraseña y un código de seguridad limitará a los ciberdelincuentes cuando intenten entrar en los dispositivos de los usuarios.

 

Desde NextVision, creemos que es fundamental promover una cultura de la ciberseguridad para evitar vernos afectados por los ciberatacantes que aprovechan los despistes de los usuarios para robar información sensible o realizar estafas.

 

Ante la duda, ¡evita hacer clic!

Alerta de Seguridad Crítica: Apache Log4j Vulnerability

NextVision

0

Última actualización: Jueves 17 de diciembre del 2021

Alerta de Seguridad Crítica: Apache Log4j Vulnerability

Ha sido detectada una vulnerabilidad critica (Apache Log4j Vulnerability) que afecta a la librería de registro Apache Log4j basada en Java.

EXPLICACIÓN

Esta vulnerabilidad afecta a la librería de registro Java Apache log4j, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registros y cuyo fin es dejar una constancia de una determinada transacción en tiempo de ejecución. Log4j también permite filtrar los mensajes en función de su importancia.

El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.

El mecanismo de Apache Log4j utiliza las funciones JNDI de la configuración. Los mensajes de registro y los parámetros no protegen contra el protocolo LDAP controlado por atacantes y endpoints relacionados con JNDI.

Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.

CAUSAS:

  • Deserialización de datos que no son de confianza.
  • Validación de entrada incorrecta.
  • Consumo no controlado de recursos.

MITIGACIÓN Y RECOMENDACIONES:

NextVision recomienda:

1. Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar en True.

2. Revisar aplicaciones de Java:

3. Revisar si se ha tenido un aumento de conexiones DNS: Los intentos se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS puede ser indicativo de explotación exitosa.

4. Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j.

5. Revisar si tiene uno de estos aplicativos.

6. Revisar en logs estos IOC.

7. En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi” se pueden apoyar en los estos scripts.

8. Revisar si se está usando log4j.

  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • No instalar parches no oficiales
Apache recomienda:

1. Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS.

2. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS.

3. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket.

4. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.

RECOMENDACIONES DE NUESTROS PARTNERS

A continuación, te compartimos las acciones de mitigación que deben implementar en tu organización en caso de contar con servicios de los siguientes vendors:

  • Fortinet
  • Sophos
  • Kaspersky
  • Forcepoint
  • F-Secure
  • SecurityScorecard
  • Symantec
fortinet

Fortinet ha creado una alerta para este incidente que permite realizar un seguimiento y aplicar protecciones contra el problema utilizando Fortinet Security Fabric.

Protección de firma IPS (FortiOS)

Fortinet ha lanzado la firma IPS Apache.Log4j.Error.Log.Remote.Code.Execution, con VID 51006 para abordar esta amenaza. Esta firma se lanzó inicialmente en el paquete IPS (versión 19.215). Hay que tener en cuenta que,  dado que se trata de una versión de emergencia, la acción predeterminada para esta firma está configurada para aprobar y hay que modificar las acciones según las necesidades.

Cortafuegos de aplicaciones web (FortiWeb y FortiWeb Cloud)

Las firmas de aplicaciones web para prevenir esta vulnerabilidad se agregaron en la base de datos 0.00301 y se actualizaron en la última versión 0.00305 para una cobertura adicional.

Productos de Fortinet afectados

Para los productos afectados por Fortinet, consulte aquí para obtener más detalles. Este Aviso se actualizará a medida que se implementen las mitigaciones y se publiquen versiones modificadas.

sophos

SophosLabs

Han implementado una serie de reglas IPS para escanear en busca de tráfico que intente aprovechar la vulnerabilidad Log4J.

Dicha vulnerabilidad requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico de explotación de todos los servicios conectados a Internet (Sophos IPS actualmente bloquea el tráfico que coincide con las firmas de explotación conocidas de Log4J). Pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración en Log4J.

Log4j Kaspersky

Kaspersky

Kaspersky tiene conocimiento de las PoC en el dominio público y de la posible explotación de CVE-2021-44228 por parte de los ciberdelincuentes. Nuestros productos protegen contra ataques que aprovechan la vulnerabilidad, incluido el uso de PoC. Los posibles nombres de detección son:

UMIDS: Intrusion.Generic.CVE-2021-44228.

PDM: Exploit.Win32.Generic

Veredictos de KATA :

Exploit.CVE-2021-44228.TCP.C & C

Exploit.CVE-2021-44228.HTTP.C & C

Exploit.CVE-2021-44228.UDP.C & C

Mitigaciones para CVE-2021-44228

  • Instale la versión más reciente de la biblioteca, 2.15.0. si es posible. Puedes descargarlo en la página del proyecto . Si usa la biblioteca en un producto de terceros, debe monitorear e instalar actualizaciones oportunas del proveedor de software.
  • Siga las pautas del proyecto Apache Log4j .
  • Utilice una solución de seguridad con componentes de gestión de parches, vulnerabilidad y prevención de exploits, como Kaspersky Endpoint Security for Business. Nuestro componente de prevención automática de exploits supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.
  • Utilice soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response , que identifican y detienen los ataques en las primeras etapas.
  • Productos de Kaspersky afectados

Los productos de Kaspersky no se ven afectados por la vulnerabilidad CVE-2021-44228.

Indicadores de compromiso (COI)

1cf9b0571decff5303ee9fe3c98bb1f1

194db367fbb403a78d63818c3168a355

18cc66e29a7bc435a316d9c292c45cc6

1780d9aaf4c048ad99fa93b60777e3f9

163e03b99c8cb2c71319a737932e9551

Forcepoint Apache Log4j Vulnerability

Forcepoint

Productos afectados

  • Seguridad de datos
  • Seguridad de correo electrónico
  • Filtro y seguridad web
  • Puerta de enlace de seguridad web
  • TRITON AP-WEB
  • Forcepoint Web Security Cloud
  • TRITON AP-EMAIL
  • Forcepoint Email Security Cloud
  • TRITON AP-ENDPOINT Web
  • TRITON AP-ENDPOINT DLP
  • Siguiente Firewall de generación (NGFW)
  • Forcepoint DLP
  • Forcepoint Email Security
  • Forcepoint URL Filtering
  • Forcepoint Web Security
  • Forcepoint DLP Endpoint
  • Forcepoint Web Security Endpoint
  • Forcepoint One Endpoint.

 

Descripción de la vulnerabilidad

Se ha identificado una vulnerabilidad crítica que permite a un atacante remoto no autenticado ejecutar código arbitrario que compromete el servicio de administración. El componente vulnerable se ha identificado como Java log4j. A esta vulnerabilidad se le ha asignado la identificación CVE-2021-44228.

Para obtener la lista completa de productos Forcepoint y su estado actual, consulte Vulnerabilidad de ejecución remota de código de día cero Apache log4j CVE-2021-44228.

Forcepoint Cloud

Forcepoint Cloud Security Gateway (CSG) como Cloud Web Security y Cloud Email no son vulnerables.

Forcepoint DLP

Forcepoint DLP Manager se considera vulnerable debido a la versión de log4j que se está utilizando y se recomienda aplicar los pasos de mitigación.

El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:

CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint DLP

Forcepoint Security Manager (Web, correo electrónico y DLP)

Forcepoint Security Manager se considera vulnerable debido a la versión de log4j que se está utilizando; sin embargo, Forcepoint no ha podido replicar las vulnerabilidades conocidas de la vulnerabilidad. Sin embargo, es muy recomendable aplicar los pasos de mitigación.

El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:

CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint Security Manager

Soluciones alternativas

Recomiendan implementar esta mitigación lo antes posible. Forcepoint también está trabajando para lanzar nuevas versiones con las bibliotecas log4j actualizadas incluidas.

El proveedor, proporcionará a los clientes un script que realizaría esta mitigación manual de manera automatizada. El script se publicará como una revisión a través del sitio web de soporte. El desarrollo de la secuencia de comandos ya está en progreso y proporcionaremos actualizaciones a medida que continuamos con nuestras pruebas.

fsecure

F-Secure

Han identificado que esta vulnerabilidad también afecta a los siguientes productos:

  • F-Secure Policy Manager
  • F-Secure Policy Manager for Linux
  • F-Secure Policy Manager Proxy
  • F-Secure Policy Manager Proxy for Linux
  • F-Secure Endpoint Proxy

Todas las versiones de estos productos están afectados. 

El procedimiento para solventar esta vulnerabilidad es el siguiente:

1. Descargar el parche desde el servidor de F-Secure.

2. Comprobar el hash SHA256 del archivo, si es posible, para verificar su integridad. Debería ser 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0.

3. Detener el servicio Policy Manager Server.

4. Copiar el archivo descargado en:

• Administrador de políticas de Windows: C:\Program Files (x86)\F-Secure\Management Server 5\lib\

• Windows Endpoint Proxy: C:\Program Files\F-Secure\ElementsConnector\lib

• Linux (todos los productos): /opt/f-secure/fspms/lib 

• Iniciar el servicio Policy Manager Server.

Tras el reinicio del servicio, el parche se aplicará automáticamente.

Log4j

Security Scorecard

A medida que se desarrolla la situación, SecurityScorecard se compromete a ayudarlo a evaluar el impacto potencial en su organización y sus terceros. Siga los siguientes cinco pasos de inmediato: 

1. Compruebe si su organización se ve afectada.

Es probable que cualquier activo se vea afectado si ejecuta una versión de Log4j posterior a la 2.0 y anterior a la 2.15.0, la versión fija. Revise los resultados del análisis de vulnerabilidades más recientes, que probablemente contengan la ubicación de cualquier instalación de Log4j activa en el entorno. También puede consultar los registros de aplicaciones en la nube en busca de cadenas que coincidan con la sintaxis jndi.ldap . Esto identificará cualquier instancia de escaneo o intentos de explotación activos.

Nota: Un sistema solo está potencialmente comprometido si la solicitud fue procesada por una versión vulnerable de Log4j. De lo contrario, la actividad no debe considerarse sospechosa.

2. Actualice a Log4j versión 2.15.0 inmediatamente.

Encuentre la última versión en la página de descarga de Log4j . La versión 2.15.0 requiere Java 8 o posterior, así que asegúrese de que Java esté ejecutando esta versión.

Importante: Verifique que no haya varias instalaciones de Log4j en una máquina afectada, ya que esto puede significar que existen varios archivos de configuración. Cada uno de estos puede contener una versión vulnerable de Log4j. Deberá corregir cada uno de ellos de forma independiente.

3. Envíe nuestro cuestionario Log4Shell a sus terceros con Atlas.

Una nueva plantilla de cuestionario titulada Preguntas Log4Shell ahora está disponible en Atlas. Si ya tiene Atlas, puede enviar este cuestionario a sus terceros de inmediato. Si no tiene Atlas, regístrese en atlas.securityscorecard.io o mire este video y aproveche los cinco créditos gratuitos que puede usar para enviar cuestionarios.

4. Haga cuatro preguntas a sus terceros: 

  • ¿Conoce la vulnerabilidad de log4shell?
  • ¿Está utilizando una versión vulnerable de log4j?

5. Si la respuesta es sí… 

  • ¿Ha iniciado actividades de remediación o mitigación?
  • ¿Cuándo espera completar su remediación? 

Para más información ingresa aquí.

symantec

Symantec

Symantec protege contra los intentos de explotación de dicha vulnerabilidad con las siguientes detecciones:

Basado en archivos

  • CL.Suspexec! Gen106
  • CL.Suspexec! Gen107
  • CL.Suspexec! Gen108
  • Linux.Kaiten 
  • Caballo de Troya 
  • Trojan.Maljava

Basado en aprendizaje automático

  • Heur.AdvML.C

Basado en red

  • Log4j2 RCE CVE-2021-44228: Ataque
  • Log4j2 RCE CVE-2021-44228 2: Ataque
  • Respuesta LDAP maliciosa: Ataque
  • Log4j2 RCE CVE-2021-44228: Auditoría
  • Respuesta LDAP maliciosa: Auditoría
  • Archivo sospechoso de clase Java que ejecuta comandos arbitrarios: Auditoría

Basado en políticas

DCS proporciona una gama de protección para las cargas de trabajo del servidor contra esta vulnerabilidad:

  • Las políticas de prevención evitan que el malware se elimine o ejecute en el sistema
  • Capacidad para bloquear o limitar LDAP, http y otro tráfico de cargas de trabajo del servidor y aplicaciones en contenedores utilizando log4j2 a servidores internos de confianza.
  • El sandboxing de las políticas de prevención brinda protección para RCE al evitar la ejecución de herramientas de uso dual, el robo de credenciales y la protección de recursos y archivos críticos del sistema.

En caso de usar SEPM, la versión 12 no contempla ninguna solución ya que ese complemento esta desactualizado y Apache ya no da soporte:

Apache Log4j Vulnerability

En SEPM 14, en el servidor debemos hacer lo siguiente:

1. Botón derecho en Inicio e ir a System

1 Apache Log4j Vulnerability

2. Clic en Advanced System settings

2 Apache Log4j Vulnerability

3. Clic en Environment Variables

3 Apache Log4j Vulnerability

4. Clic en New y en la ventana que se nos abre agregar en el campo variable LOG4J_FORMAT_MSG_NO_LOOKUPS y en valor true.

4 Apache Log4j Vulnerability

Si cuentas con soporte de NextVision, contáctanos para darte mayor asesoramiento. En caso contrario, puedes comunicarte con el equipo comercial para más información sobre nuestros servicios de consultoría/soporte:

Desde ya, quedamos a disposición para cualquier consulta o inquietud.

Departamento de Tecnología de NextVision

Terceros o no terceros, ¿esa es la cuestión?

NextVision

0

*Por Roberto Heker, Director de NV. Para ISMS Forum.

El diseño de una estrategia de ciberseguridad requiere evaluar diferentes aspectos que abarcan la predicción, prevención, detección y respuesta. Dentro de este esquema es importante considerar la relación que hay entre la compañía y sus proveedores.

Efectivamente, en la búsqueda de lograr más eficiencia para el negocio esta relación ha ido creciendo con la digitalización. Sin embargo, esta interdependencia ha creado un potencial impacto en la ciberseguridad que no debe desdeñarse. Por lo que las compañías deben no solo proteger sus propias redes sino también disponer de medidas que mitiguen riesgos sobre las conexiones con la cadena de suministros.

Es ya redundante, pero no por innecesario, mencionar a los incidentes sufridos por Colonial cuyo incidente afectó a gran cantidad de compañías, ocasionando falta de combustible en varios estados de EEUU. O el de Kaseya, un proveedor de servicios administrados de tecnología, que, debido a una alteración en su solución, llevó a que 1500 clientes recibieron un malware en sus redes.

Es entonces necesario disponer de un programa de seguridad que contemple el riesgo proveniente de terceras partes.  Cada industria tiene sus propias regulaciones, particularidades y desafíos que difieren de otras. Pero el problema es el mismo para todas las organizaciones: una huella digital expandida a través de los proveedores que las hace más vulnerables. Y esta combinación crea el escenario perfecto para ser aprovechado por los ciberdelincuentes.

Se pueden hacer varias aproximaciones sobre el abordaje a realizar para el gobierno de terceras partes, pero podemos resumirlo en:

  • Planificar la evaluación del impacto que una brecha de seguridad, producto de terceros, pueda tener en el negocio. Los parámetros a considerar abarcan la discontinuidad del servicio, la reputación, las finanzas, la continuidad de la operación, los regulatorios, entre otros.
  • Assessment de terceros, a partir del riesgo inherente del servicio o solución a proveer y cómo mitigarlo para lograr uno residual, propio del apetito de riesgo de la empresa.
  • Contratos asociados al rol y responsabilidades del proveedor como su nivel de riesgo para la organización. Esto incluye también el proceso de terminación del contrato, que debe detallar la transición en el momento de su finalización.
  • Operación y monitorización para poder detectar variaciones en el riesgo asociado al servicio o producto suplidos.

Cuando planeamos la contratación de un servicio, debemos primero evaluar qué criticidad tendrá para nuestra organización, y así determinar si es crítica, alta, moderada o baja. A partir de aquí podremos definir qué tipo y con qué frecuencia ejecutaremos nuestros assessment.

Para el assessment podemos adoptar distintos modelos de análisis, que van desde el uso de cuestionarios para evaluación de requerimientos de seguridad, hasta ratings, evaluaciones técnicas de seguridad y certificaciones.

Todas son utilizadas en distintas instancias. Por ejemplo, soluciones de ratings cómo SecurityScorecard permiten una muy buena escalabilidad, monitorización continua con bajo o ningún esfuerzo de implementación. Lógicamente deben complementarse con una mirada interna, como es el uso de cuestionarios. Disponer de una herramienta como SecurityScorecard permitiría implantar reglas antes las que, si el rating de un tercero se reduce en un valor determinado, enviarle a éste entonces un cuestionario que indague en las causas de esta modificación.

En cuanto a los contratos, éstos dependerán de la industria, la criticidad del negocio y del servicio, considerándose incluir en el mismo tópicos como análisis de riesgo, assessments, colaboración en la respuesta ante incidentes, cloud security, endpoint security entre otros.

Al vendor no solo se lo debe evaluar durante el onboarding sino a lo largo de  todo el ciclo de vida de la relación. Es un trabajo complejo, pero si lo queremos hacer más gestionable, es conveniente segmentar de acuerdo a la criticidad de cada servicio. De este modo se podrá focalizar el monitoreo más minucioso en los proveedores más críticos.

Precisamente mencionábamos arriba herramientas de rating como SecurityScorecard que facilitan esta monitorización con muy bajo esfuerzo, automatizando acciones ante eventos que hacen más confortable el trabajo del equipo de profesionales de nuestra organización. Este tipo de soluciones no son por sí mismas las únicas que deberían instrumentarse, pero sí son claves en cualquier programa. Incluso integrables a un SOAR o soluciones de ticketing, por ejemplo.

Por lo tanto, cuando hablamos de decenas, cientos o incluso miles de proveedores,es importante saber que disponemos de potentes servicios de evaluación y monitorización de fácil implementación que nos ayudará en la tarea de gestión y evaluación. 

Debe insistirse en el punto de que la evaluación de terceros es un área que más pronto que tarde las empresas deben madurar. Se debe lograr un programa integral que reúna herramientas y procesos que lleven a mitigar este riesgo. Y no se trata de implantar una herramienta o un cuestionario estándar.  Una herramienta de scoring o rating no nos dará toda la perspectiva para una evaluación completa. Pero como cualquier herramienta de scoring en otras industrias (como la financiera o seguros), nos permitirán identificar cuando algo no está bien. Y nos llevarán a indagar más a fondo sobre qué está ocurriendo con lo que se está evaluando.

Concluyendo, la ciberseguridad cada día debe incorporar nuevas perspectivas. Ya hemos visto que durante 2020 fue necesario revisar los modelos de trabajo, obligando a una aceleración de la digitalización de las empresas que trajo un fuerte impacto en la ciberseguridad. La interdependencia tecnológica con proveedores es incluso anterior a la pandemia, y requiere que se preste atención a este tema. No es necesario esperar que una brecha en un tercero nos haga reflexionar sobre esta problemática. En ciberseguridad hay que ser. No cabe el no ser.

 

Artículo de ISMS Forum aquí.

NV presente en ISMS Forum 2021

NextVision

0

El jueves 25 de noviembre, se llevó a cabo la XXIII Jornada Internacional de Seguridad de la Información de ISMS Forum, uno de los eventos de ciberseguridad más importantes de Europa.

El mismo tuvo lugar en Madrid, con aproximadamente unas 500 personas que asistieron de la jornada. Desde NextVision, auspiciamos este importante evento que reunió a los referentes más importantes de la industria. 

Roberto Heker, director de NextVision participó en una de las mesas redondas donde se habló de Estrategias de Ciberseguridad en la Gestión de Ciberriesgos de Terceras Partes, donde profundizó sobre la importancia de la cadena de suministros en una estrategia sólida de ciberseguridad.
Además, estuvimos presentes en nuestro stand donde invitamos a los asistentes a realizar un scoring de ciberriesgo, y pudimos conversar más en detalle sobre los diferentes servicios que estamos impulsando desde NextVision:
Muchas gracias al equipo de ISMS Forum, a nuestro partner SecurityScorecard y a todos los clientes y visitantes que compartieron junto a nosotros esta importante jornada.

7 Recomendaciones de Ciberseguridad

NextVision

0

Un mundo digital seguro comienza contigo: A más conectividad, más seguridad.

 

Cada 30 de noviembre conmemoramos el Día Mundial de la Ciberseguridad con nuestra visión de construir una cultura cibersegura. .

Por ello y para concienciar sobre los riesgos que existen en el mundo digital, aconsejamos implementar las siguientes recomendaciones de ciberseguridad para evitar ser víctimas de un ciberataque.

7 Recomendaciones de Ciberseguridad

ACTUALIZA TU SOFTWARE CON REGULARIDAD

Una actualización de software puede incluir parches de seguridad, corrección de errores y solución de vulnerabilidades.

Es indispensable que mantengas actualizado tu sistema operativo, tus aplicaciones, tu navegador, etc.

1. ACTUALIZA TU SOFTWARE CON REGULARIDAD
2. ANTE LA DUDA, DESCONFÍA Y PIENSA ANTES DE HACER CLIC

DESCONFÍA ANTE LA DUDA Y PIENSA ANTES DE HACER CLIC

Te recomendamos que nunca abras un archivo adjunto y no hagas clic en un enlace de remitentes no reconocidos o correos que no esperabas recibir.

En promociones, ofertas, sorteos o mensajes de remitentes conocidos que realizan solicitudes extrañas, confirma primero su veracidad.

CONTROLA TUS HUELLAS DIGITALES

Las huellas digitales son un conjunto de acciones digitales rastreables.

Es sumamente importante que compruebes tus actividades con regularidad y elimines las cuentas que no utilizas, a modo de detectar actividades sospechosas.

Restablece la contraseña de las cuentas a las que no ingresaste durante un largo tiempo.

3. CONTROLA TUS HUELLAS DIGITALES
PROTEGE TUS CONTRASEÑAS

PROTEGE TUS CONTRASEÑAS

Actualiza tus contraseñas periódicamente y no las reutilices en tus redes sociales ni en sitios potencialmente inseguros. Crea contraseñas fáciles de recordar y difíciles de adivinar.

Utiliza 8 caracteres como mínimo y combina, por ejemplo, mayúsculas, minúsculas, números y caracteres especiales.

UTILIZA EL DOBLE FACTOR DE AUTENTICACIÓN

En aplicaciones, plataformas, correos electrónicos, redes sociales y en todo software que lo permita, implementa el doble factor de autenticación para añadir una barrera más de seguridad.

Compartimos tutoriales para implementarlo en:

5. UTILIZA EL DOBLE FACTOR DE AUTENTICACIÓN
6. HAZ COPIAS DE SEGURIDAD DE LA INFORMACIÓN CON REGULARIDAD

HAZ COPIAS DE SEGURIDAD DE LA INFORMACIÓN CON REGULARIDAD

Contar con un backup de la información almacenada es una medida para minimizar el impacto de un ciberataque y asegurar la continuidad del trabajo.

Las copias de seguridad deberían estar cifradas y disponibles para restaurar en caso de ser necesario.

ESTABLECE CONEXIONES SEGURAS

No conectes tus dispositivos a redes Wi-Fi públicas y recuerda utilizar una red privada virtual (VPN). Esto, garantizará que la conexión esté encriptada, dificultando el acceso de un atacante.

7. ESTABLECE CONEXIONES SEGURAS

El 80% de los ciberataques comienzan con un fallo humano. Los ciberdelincuentes lo saben

Comparte estas recomendaciones de ciberseguridad y fomentemos juntos la concientización para mantenernos más seguros y atentos, evitando caer en ciberataques.

Fraudes en la red: qué hacer y cómo evitarlos

NextVision

0

Hoy en día la sociedad invierte gran parte de su tiempo en el mundo online, no solo por ocio, trabajo y entretenimiento, sino que busca soluciones a problemas concretos en la red. Es por ello, que los delitos también se han adaptado a esta nueva actualidad. 

 

Los fraudes online más populares en 2021

Los fraudes, estafas o engaños por internet representan más del 80% de los ciberdelitos cometidos en 2021. Por esta razón, vamos a realizar un listado para detectar los fraudes online más comunes que usan los ciberdelincuentes para robar dinero y/o datos personales.  

 

  • Correos electrónicos o SMS que se hacen pasar por Correos y/u otras empresas de mensajería.

El comercio online ha aumentado, por ello, los estafadores han aprovechado este incremento de tráfico para la sustracción de datos haciéndose pasar por entidades de envío.

 

 

  •  Falsos emails de la Agencia Tributaria y otros organismos oficiales.

¡Cuidado con este tipo de emails! Suelen vincular una página web falsa para que introduzcas tu información personal. Asegúrate de que son páginas y correos oficiales.

 

 

  • Códigos falsos de verificación de WhatsApp.

En este tipo de fraude el estafador busca configurar en su teléfono cuentas de WhatsApp ajenas. Es recomendable no proporcionar códigos de confirmación a números desconocidos.

 

 

  • Comunicados falsos sobre el Covid.

Los estafadores aprovechan la angustia de la población para difundir links o enlaces a páginas web fraudulentas y de este modo robar o sustraer datos personales. Para informarse sobre la vacunación y la actualidad de la pandemia, es recomendable visitar webs oficiales.

 

 

  • Confirmaciones de compra de plataformas e-commerce.

Puedes encontrar emails sobre confirmación de pedido y/o incluso emails donde aseguran que ha habido problemas o intentos de inicio con tu cuenta de Amazon, Mercado Libre. ¡Evítalos! Revisa directamente el estado de tu cuenta desde la web o App oficial.

 

 

  • Phishing de bancos y servicios de pago.

Correos electrónicos donde se hacen pasar por bancos o servicios de pagos como PayPal. Para evitar este tipo de fraudes, accede a tu cuenta bancaria siempre siempre desde la aplicación o página web oficial.

 

 

  • Robo de cuentas en Instagram y/u otras RRSS.

Correos electrónicos donde los ciberdelincuentes declaran que tu cuenta de Instagram y/u otras RRSS va a ser eliminada, ha sido denunciada o ha habido un intento de sustracción. Encontraríamos un enlace a una web que simula la RRSS para dejar nuestros datos personales.

 

 

  • Estafas con criptomonedas.

Anuncios fraudulentos donde se ofrecen servicios de inversión de monedas.

.

 

  • Phishing de plataformas de streaming (Netflix, Amazon Prime, HBO o Disney Plus).

Correos electrónicos fraudulentos para acceder a tus cuentas de plataformas de streaming. Simulan ser páginas oficiales para acceder a los datos personales.

 

 

  • Cupones de descuento de grandes empresas.

Cupones, sorteos, códigos de descuento… todo desde correos electrónicos o SMS que redirigen a una página web fraudulenta. Para confirmar estos sorteos o códigos, es conveniente dirigirse a la página oficial.

 

 

Tips y consejos generales para evitar este tipo de estafas

Como hemos podido comprobar, existen numerosas formas de cometer estafas online y es posible que sin darnos cuenta, hayamos caído en su trampa. ¿Cómo debemos reaccionar en el caso de que estemos afectados en uno de estos ciberdelitos?

Si has proporcionado tu número de teléfono en alguno de estos engaños o descargado alguna app, es conveniente vigilar la factura de teléfono y ver que todo está en orden. En numerosas ocasiones, te suscriben a servicios SMS premium.

La mayoría de estas estafas se hacen de manera involuntaria, para prevenir este tipo de situaciones lo ideal es ponerse en contacto con la compañía de telefónica, para desactivar la opción de suscribirse a servicios SMS premium.

De la misma manera, si has proporcionado sin ser consciente tu datos de cuenta bancaria en una página web fraudulenta, vigila los cargos posteriores y ponte en contacto con tu entidad bancaria. Es recomendable prevenir solicitando una nueva tarjeta y dar de baja la actual.

 

¿Qué podemos hacer para evitar estos ciberdelitos?

Principalmente, como usuario o empresa, debes evitar dar tu información personal en una llamada o mensaje no solicitado.

En el caso de realizar transferencias de dinero, procura enviar a alguien que conoces personalmente y en el caso de ser una gran suma, realizarlo de forma fraccionada

Del mismo modo, es conveniente usar servicios confiables que ofrecen protecciones de seguridad.

En el caso de pago a proveedores habituales, también estate atento a cualquier correo que pueda aparentar ser de dicho proveedor solicitando un cambio en el pago del servicio. Dicho proveedor pudo haber sido hackeado para cometer fraudes a terceros.

 

 

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones de fraude cibernético. Así mismo, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar de manera particular y empresarial y fomentar la construcción de una cultura cibersegura.