Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 7.8
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 09/02/2022
• ACTUALIZACIÓN: 11/02/2022
• RESUMEN: La vulnerabilidad existe en el uso de canalizaciones con nombre. El problema resulta de permitir que un proceso que no es de confianza se haga pasar por el cliente de una canalización.
• PRODUCTO AFECTADO: ESET NOD32 Antivirus
ESET Internet Security
ESET Smart Security
ESET Endpoint Antivirus for Windows
ESET Endpoint Security for Windows
ESET Server Security for Microsoft Windows Server
ESET File Security for Microsoft Windows Server
ESET Server Security for Microsoft Azure
ESET Security for Microsoft SharePoint Server
ESET Mail Security for IBM Domino
ESET Mail Security for Microsoft Exchange Server
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría aumentar los privilegios en las instalaciones afectadas de ESET Endpoint Antivirus. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe debido a que falta un control de enlace en el código de análisis del indicador RTCP de WhatsApp para Android, iOS Business y Desktop.
• PRODUCTO AFECTADO: WhatsApp para Android v2.21.23.2.
WhatsApp Business para Android v2.21.23.2.
WhatsApp para iOS v2.21.230.6.
WhatsApp Business para iOS 2.21.230.7.
WhatsApp Desktop v2.2145.0.
• CAUSAS: Lectura fuera de los límites
• CONSECUENCIAS: Un atacante podría permitir una lectura de almacenamiento dinámico fuera de los límites si envía un paquete RTCP con formato incorrecto durante una llamada establecida.
• RESUMEN: La vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en el kernel de Windows, lo que conduce a la omisión de las restricciones de segurida
• PRODUCTO AFECTADO: Microsoft Windows 7 / 8.1 / 10.
Microsoft Windows Server 2008 / 2012 / 2016 / 2019.
• CAUSAS: SQL injection
• CONSECUENCIAS: Un atacante podría ejecutar de manera local un payload y elevar los privilegios en el sistema.
• RESUMEN: La vulnerabilidad existe en el complemento de WordPress Paid Memberships Pro anterior a 2.6.7 no escapa del código de descuento en una de sus rutas REST (disponible para usuarios no autenticados) antes de usarlo en una instrucción SQL
• PRODUCTO AFECTADO: Paid Memberships Pro anteriores a 2.6.7.
• CAUSAS: SQL injection
• CONSECUENCIAS: Un atacante podría realizar un SQL injection.
• RESUMEN: La vulnerabilidad que existe debido a un problema de concatenación de las solicitudes de NetWeaver, Content Server y Web Dispatches que podría utilizarse para comprometer cualquier aplicación Java o ABAP basada en NetWeaver con la configuración por defecto.
• PRODUCTO AFECTADO: SAP SE - Plataforma SAP NetWeaver y ABAP. SAP Web Dispatcher. Servidor de contenido SAP
• CAUSAS: Interpretación inconsistente de solicitudes HTTP
• CONSECUENCIAS: Un atacante no autenticado puede anteponer la solicitud de una víctima con datos arbitrarios. De esta forma, el atacante puede ejecutar funciones haciéndose pasar por la víctima o envenenar los cachés web intermediarios. Un ataque exitoso podría comprometer completamente la Confidencialidad, la Integridad y la Disponibilidad del sistema
• RESUMEN: La vulnerabilidad existe debido a un error de límite al procesar solicitudes HTTP. Múltiples vulnerabilidades en los enrutadores de las series RV160, RV260, RV340 y RV345 de Cisco Small Business podrían permitir que un atacante realice multiples acciones.
• PRODUCTO AFECTADO: Cisco Small Business RV Series Router Firmware
• CAUSAS: Desbordamiento de búfer basado en pila
• CONSECUENCIAS: Un atacante remoto podría enviar una solicitud HTTP especialmente diseñada al dispositivo que actúa como SSL VPN Gateway, provocar daños en la memoria y ejecutar código arbitrario en el sistema de destino con privilegios de raíz.
• RESUMEN: La vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en Microsoft Power BI, lo que conduce a la omisión de las restricciones de seguridad y a la escalada de privilegios.
• PRODUCTO AFECTADO: Microsoft PowerBI-client JS SDK
• CAUSAS: Divulgación de información
• CONSECUENCIAS: Un atacante podría permitir que un administrador remoto aumente los privilegios en el sistema.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Microsoft recomienda que actualicen PowerBI Client JS SDK a la versión 2.19.1.
• RESUMEN: La vulnerabilidad existe en la lectura/ escritura fuera de los límites en el módulo VFS "vfs_fruit" que proporciona compatibilidad con los clientes SMB de Apple.
• PRODUCTO AFECTADO: Samba anteriores a la 4.13.17
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario como root en las instalaciones de Samba afectadas que usan el módulo VFS vfs_fruit.
• MITIGACIÓN: Se recomienda a los administradores de Samba que actualicen a estas versiones o apliquen el parche lo antes posible para mitigar el defecto.
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta. Un usuario autenticado remoto puede enviar solicitudes HTTP GET especialmente diseñadas a los controladores de configuración WAD y ejecutar comandos arbitrarios del sistema operativo en el sistema de destino.
• PRODUCTO AFECTADO: FortiWeb versión 6.4.1.
FortiWeb versión 6.3.15.
FortiWeb versión 6.2.6 y anteriores.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante podría ejecutar comandos de shell arbitrarios en el sistema de destino.
• RESUMEN: LLa vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en Microsoft Diagnostics Hub Standard Collector Runtime, lo que conduce a la omisión de las restricciones de seguridad y a la escalada de privilegios.
• PRODUCTO AFECTADO: Microsoft Windows 10.
Microsoft Windows Server 2016, 2019
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría elevar privilegios en el sistema afectado.
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 9.8
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 21/01/2022
• ACTUALIZACIÓN: 26/01/2022
• RESUMEN: Vulnerabilidad de inyección SQL en Sourcecodester Budget and Expense Tracker System v1 de oretnom23
• PRODUCTO AFECTADO: Sourcecodester Budget and Expense Tracker System v1
• CAUSAS: Inyección SQL.
• CONSECUENCIAS: Un atacante podría ejecutar comandos SQL arbitrarios a través del campo de nombre de usuario.
• RESUMEN: La vulnerabilidad existe dentro del Endpoint Agent. La vulnerabilidad de Resolución de enlace incorrecta antes del acceso al archivo ("Seguimiento de enlace") en el componente EPAG de Bitdefender Endpoint Security Tools para Windows.
• PRODUCTO AFECTADO: Versión anterior a 7.1.2.33 Endpoint Security Tools for Windows
• CAUSAS: Denegación de servicio.
• CONSECUENCIAS: Un atacante podría crear de manera local una condición de denegación de servicio en las instalaciones afectadas de Bitdefender GravityZone. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Alto
• MITIGACIÓN: Se recomienda actualizar a la version mas reciente.
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta dentro del componente Pipeline Manager en Oracle Communications Billing and Revenue Management.
• PRODUCTO AFECTADO: Version 12.0.0.3.
Versión 12.0.0.4.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Communications Billing and Revenue Management.
• RESUMEN: La vulnerabilidad existe dentro de la implementación del servidor TFTP. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en las operaciones con archivos.
• PRODUCTO AFECTADO: Versiones anteriores a la 6.1.32.
• CAUSAS: Acceso no autorizado
• CONSECUENCIAS: Un atacante loca podría divulgar información confidencial sobre las instalaciones afectadas de Oracle VirtualBox. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema huésped de destino para aprovechar esta vulnerabilidad.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Bajo - Disponibilidad: Bajo
• MITIGACIÓN: Se recomienda actualizar a la versión mas reciente.
• RESUMEN: La vulnerabilidad está en la falta de validación al procesar solicitudes AJAX, permitiendo al atacante actualizar la opción “user_can_register” y configurar la opción “default_role” a administrador.
• CAUSAS: Falsificación de solicitud entre sitios (CSRF)
• CONSECUENCIAS: Un atacante podría actualizar opciones arbitrarias en un sitio que se puede usar para crear una cuenta de usuario administrativo y otorgar acceso privilegiado completo a un sitio comprometido
• RESUMEN: La vulnerabilidad se encuentra relacionada a una función desconocida dentro del código de la aplicación afectada por desbordamiento de búfer a través de la manipulación de un input desconocido.
• PRODUCTO AFECTADO: Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.8.4
Zoom Client for Meetings for Blackberry (for Android and iOS) before version 5.8.1
Zoom Client for Meetings for intune (for Android and iOS) before version 5.8.4
Zoom Client for Meetings for Chrome OS before version 5.0.1
Zoom Rooms for Conference Room (for Android, AndroidBali, macOS, and Windows) before version 5.8.3
Controllers for Zoom Rooms (for Android, iOS, and Windows) before version 5.8.3
Zoom VDI Windows Meeting Client before version 5.8.4
Zoom VDI Azure Virtual Desktop Plugins (for Windows x86 or x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) before version 5.8.4.21112
Zoom VDI Citrix Plugins (for Windows x86 or x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) before version 5.8.4.21112
Zoom VDI VMware Plugins (for Windows x86 or x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) before version 5.8.4.21112
Zoom Meeting SDK for Android before version 5.7.6.1922
Zoom Meeting SDK for iOS before version 5.7.6.1082
Zoom Meeting SDK for macOS before version 5.7.6.1340
Zoom Meeting SDK for Windows before version 5.7.6.1081
Zoom Video SDK (for Android, iOS, macOS, and Windows) before version 1.1.2
Zoom On-Premise Meeting Connector Controller before version 4.8.12.20211115
Zoom On-Premise Meeting Connector MMR before version 4.8.12.20211115
Zoom On-Premise Recording Connector before version 5.1.0.65.20211116
Zoom On-Premise Virtual Room Connector before version 4.4.7266.20211117
Zoom On-Premise Virtual Room Connector Load Balancer before version 2.5.5692.20211117
Zoom Hybrid Zproxy before version 1.0.1058.20211116
Zoom Hybrid MMR before version 4.6.20211116.131_x86-64
• CAUSAS: Desbordamiento de búfer.
• CONSECUENCIAS: Un atacante podría ejecutar código remoto en los equipos clientes a través de la explotación de un desbordamiento del buffer de los clientes de videoconferencia de Zoom.
• RESUMEN: La vulnerabilidad se encuentra asociada a una función desconocida dentro del código de la aplicación, cuyo input desconocido es manipulado para realizar escalamiento de privilegios.
• PRODUCTO AFECTADO: Zoom Client for Meetings (para Android, iOS, Linux, macOS y Windows) antes de la versión 5.8.4
Zoom Client for Meetings para Blackberry (para Android e iOS) antes de la versión 5.8.1
Zoom Client for Meetings para Intune (para Android e iOS) antes de la versión 5.8.4
Zoom Client for Meetings para Chrome OS antes de la versión 5.0.1
Zoom Rooms para Conference Room (para Android, AndroidBali, macOS y Windows) antes de la versión 5.8.3
Controladores para Zoom Rooms (para Android, iOS y Windows) antes de la versión 5.8.3
Zoom VDI Windows Meeting Client antes de la versión 5.8.4
Complementos Zoom VDI Azure Virtual Desktop (para Windows x86 o x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) antes de la versión 5.8.4.21112
Zoom VDI Citrix Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4.21112
Zoom VDI VMware Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4.21112
Zoom Meeting SDK para Android antes de la versión 5.7.6.1922
Zoom Meeting SDK para iOS antes de la versión 5.7.6.1082
Zoom Meeting SDK para Windows anterior a la versión 5.7.6.1081
Zoom Meeting SDK para Mac antes de la versión 5.7.6.1340
Zoom Video SDK (para Android, iOS, macOS y Windows) antes de la versión 1.1.2
Zoom On-Premise Meeting Connector antes de la versión 4.8.12.20211115
Zoom On-Premise Meeting Connector MMR antes de la versión 4.8.12.20211115
Zoom On-Premise Recording Connector antes de la versión 5.1.0.65.20211116
Zoom On-Premise Virtual Room Connector antes de la versión 4.4.7266.20211117
Zoom On-Premise Virtual Room Connector Load Balancer antes de la versión 2.5.5692.20211117
Zoom Hybrid Zproxy antes de la versión 1.0.1058.20211116
Zoom Hybrid MMR antes de la versión 4.6.20211116.131_x86-64
• CAUSAS: Elevación de privilegios.
Lectura fuera de los limites.
• CONSECUENCIAS: Un atacante podría ejecutar código remoto en los equipos clientes a través de la explotación de la memoria del proceso.
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Bajo - Disponibilidad: Alto
• MITIGACIÓN: La empresa recomienda realizar las actualizaciones que parchean la vulnerabilidad.
• RESUMEN: La vulnerabilidad existe en la pantalla de inicio de sesión web de Serv-U para la autenticación LDAP. Esta permitía caracteres que no estaban suficientemente desinfectados. SolarWinds ha actualizado el mecanismo de entrada para realizar una validación y desinfección adicionales. Tenga en cuenta: no se ha detectado ningún efecto descendente ya que los servidores LDAP ignoraron los caracteres incorrectos.
• PRODUCTO AFECTADO: Serv-U versiones anteriores a la 15.3.
• CAUSAS: Validacion de entrada incorrecta.
• CONSECUENCIAS: Un atacante remoto no autenticado puede enviar una solicitud especialmente diseñada que puede eludir la filtración implementada e influir en la consulta LDAP inicial.
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda realizar las actualizaciones pertinentes.
• RESUMEN: La falla específica existe dentro del servicio de control de acceso a la red. El servicio carga un archivo de configuración de OpenSSL desde una ubicación no segura.
• PRODUCTO AFECTADO: FortiClient para MacOS versiones 6.4.3 y anteriores.
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Esta vulnerabilidad permite a los atacantes locales aumentar los privilegios en las instalaciones afectadas de Fortinet FortiClient Network Access Control. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• RESUMEN: Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) podría permitir que un atacante remoto autenticado eleve sus privilegios a Administrador. Esta vulnerabilidad se debe a la falta de validación del lado del servidor de los permisos de usuario.
• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un sistema vulnerable. Una explotación exitosa podría permitir al atacante crear cuentas de administrador. Con estas cuentas, el atacante podría acceder y modificar la telefonía y los recursos de usuario en todas las plataformas unificadas que están asociadas al Cisco Unified CCMP vulnerable. Para explotar con éxito esta vulnerabilidad, un atacante necesitaría credenciales de usuario avanzado válidas.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Alto - Disponibilidad: Bajo
• MITIGACIÓN: Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe debido a un error de límite en "SoftwareBus_dispatchNormalEPMsgOut" en el módulo del kernel KCodes NetUSB. Ciertos dispositivos D-Link, Edimax, NETGEAR, TP-Link, Tenda y Western Digital se ven afectados por un desbordamiento de enteros por parte de un atacante no autenticado. No se puede descartar la ejecución remota de código desde la interfaz WAN (puerto TCP 20005); sin embargo, se consideró que la explotabilidad era de "complejidad bastante significativa" pero no "imposible".
• PRODUCTO AFECTADO: D7800 anteriores a 1.0.1.68.
R6400v2 anteriores a 1.0.4.122.
R6700v3 anteriores a 1.0.4.122.
• CAUSAS: Desbordamiento de búfer
• CONSECUENCIAS: Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.
• RESUMEN: La vulnerabilidad existe debido a una validación insuficiente de la extensión IKE de Windows de entrada proporcionada por el usuario. La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).
• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS).
• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro de la función de soporte de tráiler HTTP en la pila de protocolo HTTP (http.sys).
• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud HTTP especialmente diseñada al servidor web, desencadenar un desbordamiento de búfer y ejecutar código arbitrario en el sistema.
• RESUMEN: La vulnerabilidad existe dentro del Servicio de escaneo en tiempo real. Al crear un enlace simbólico, un atacante puede abusar del servicio para sobrescribir un archivo.
• PRODUCTO AFECTADO: Trend Micro Apex One (2019, SaaS). Trend Micro Worry-Free Business Security (10.0 SP1,SaaS).
• CAUSAS: Elevación de privilegios.
• CONSECUENCIAS: Un atacante local podría crear un archivo especialmente diseñado con contenido arbitrario que podría otorgar información local. Escalamiento de privilegios en el sistema afectado. Ten en cuenta: Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: TrendMicro recomienda aplicar los parches y/o compiaciones correspondientes.
• RESUMEN: La vulnerabilidad existe debido a restricciones de acceso incorrectas. Numerosas funciones peligrosas expuestas dentro de Orion Core permiten la inyección de SQL de solo lectura que conduce en escalar privilegios.
• CONSECUENCIAS: Un atacante con pocos privilegios de usuario puede robar hash de contraseña. Cualquier usuario de Orion, incluida una cuenta de invitado, puede consultar la entidad Orion. UserSettings y enumerar los usuarios y sus configuraciones básicas.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Alto
• MITIGACIÓN: Se recomienda instalar las actualizaciones desde el sitio web del proveedor.
• RESUMEN: La vulnerabilidad existe dentro del componente SCSI. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en el montón de longitud fija. La emulación de dispositivo de CD-ROM en VMware Workstation, Fusion y ESXi tiene una vulnerabilidad de desbordamiento de pila.
• PRODUCTO AFECTADO: VMware ESXi (7.0, 6.7 before ESXi670-202111101-SG and 6.5 before ESXi650-202110101-SG), VMware Workstation (16.2.0) and VMware Fusion (12.2.0).
• CAUSAS: Desbordamiento de búfer basado en Heap.
• CONSECUENCIAS: Un atacante con acceso a una máquina virtual con emulación de dispositivo de CD-ROM puede aprovechar esta vulnerabilidad junto con otros problemas para ejecutar código en el hipervisor desde una máquina virtual.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda aplicar los parches correspondientes.
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 10
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 10/12
• ACTUALIZACIÓN: 16/12
• RESUMEN: La vulnerabilidad Log4j se reportó como crítica ya que afecta a la librería de registro Apache Log4j basada en Java. El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.
• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 a 2.14.1
• CAUSAS: Deserialización de datos que no son de confianza.
Validación de entrada incorrecta.
vConsumo no controlado de recursos.
• CONSECUENCIAS:Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.
• MITIGACIÓN: Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS.
En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS.
Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket.
Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.
• RESUMEN: La vulnerabilidad se encontró ya que la corrección para la dirección CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas. Log4j 2.16.0 (Java 8) y 2.12.2 (Java 7) solucionan este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada.
• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 beta 9 a 2.12.1 y 2.13.0 a 2.15.0.
• CAUSAS: Denegación de servicio
• CONSECUENCIAS: Un atacante podría controlar los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}) o un patrón de mapa de contexto de subprocesos ( % X,% mdc o% MDC) para crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que da como resultado una fuga de información y la ejecución remota de código en algunos entornos y la ejecución de código local en todos los entornos.
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Alto - Disponibilidad:Alto
• MITIGACIÓN: Se recomienda actualizar a Log4j 2.16.0, ya que soluciona este problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI de forma predeterminada.
• RESUMEN: La vulnerabilidad se encontró en JMSAppender dentro Log4j 1.2 y es vulnerable a la deserialización de datos que no son de confianza cuando el atacante tiene acceso de escritura a la configuración de Log4j.
Este problema solo afecta a Log4j 1.2 cuando se configura específicamente para usar JMSAppender, que no es el predeterminado. Apache Log4j 1.2 llegó al final de su vida útil en agosto de 2015. Los usuarios deben actualizar a Log4j 2, ya que resuelve muchos otros problemas de las versiones anteriores.
• CAUSAS: Deserialización de datos que no son de confianza.
• CONSECUENCIAS: El atacante puede proporcionar configuraciones TopicBindingName y TopicConnectionFactoryBindingName, lo que hace que JMSAppender realice solicitudes JNDI que dan como resultado la ejecución remota de código de manera similar a CVE-2021-44228
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Alto - Disponibilidad: Bajo
• MITIGACIÓN: Se recomienda eliminar JMSAppender en la configuración de Log4j si se utiliza, como así también eliminar la clase JMSAppender de la ruta de clases. Restringir el acceso del usuario del sistema operativo en la plataforma que ejecuta la aplicación para evitar que el atacante modifique la configuración de Log4j.
• RESUMEN: La vulnerabilidad existe debido al procesamiento incorrecto de los datos proporcionados por el usuario. Un atacante remoto puede falsificar el contenido de la página ya que se realiza validación insuficiente de la entrada proporcionada por el usuario.
• PRODUCTO AFECTADO: Microsoft SharePoint Server: 2013, 2016, 2019
• CAUSAS: Ejecución de código remoto (RCE)
• CONSECUENCIAS: La vulnerabilidad permite a un atacante remoto realizar un ataque de suplantación de identidad.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Bajo
• MITIGACIÓN: Se recomienda realizar las actualizaciones correspondientes.
• RESUMEN: La vulnerabilidad suplanta la identidad del instalador de AppX afectando a Microsoft Windows. Los atacantes han estado aprovechando esta vulnerabilidad para instalar paquetes que incluyen algunas familias de malware como son Emotet, TrickBot o Bazaloader.
• PRODUCTO AFECTADO: Instalador Windows AppX
• CAUSAS: Suplantación de identidad
• CONSECUENCIAS: Un atacante podría crear un archivo adjunto malicioso para utilizarlo en campañas de phishing. El atacante tendría que convencer al usuario de que abra el archivo adjunto especialmente diseñado. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Alto - Disponibilidad: Bajo
• MITIGACIÓN: Microsoft recomienda verificar las actualizaciones y consultar las secciones Mitigaciones y Soluciones para obtener información importante sobre los pasos que puede tomar para proteger su sistema de esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta en la aplicación de Microsoft Office. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
• PRODUCTO AFECTADO: Microsoft Office en todas las versiones.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Alto - Disponibilidad: Bajo
• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.
• RESUMEN: La vulnerabilidad existe por el desbordamiento de enteros en el asignador de memoria de SSLVPN en FortiOS anterior a 7.0.1 y puede permitir que un atacante no autenticado corrompa los datos de control a través de solicitudes específicamente diseñadas a SSLVPN, lo que da como resultado la ejecución de código potencialmente arbitrario.
• PRODUCTO AFECTADO: FortiOS, version 7.0.1 y anteriores
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante puede ejecutar remotamente código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Alto - Disponibilidad: Bajo
• MITIGACIÓN: Fortinet recomienda realizar las actualizaciones correspondientes que solucionaran la vulnerabilidad.
• RESUMEN: La vulnerabilidad de Apache Log4J no protege la recursividad incontrolada de búsquedas autorreferenciales. Esto permite que un atacante con control sobre los datos del mapa de contexto de subprocesos cause una denegación de servicio cuando se interpreta una cadena elaborada.
• PRODUCTO AFECTADO: Apache Log4j2 versiones 2.0-alpha1 a 2.16.0
• CAUSAS: Denegación de servicio
• CONSECUENCIAS: Un atacante podría explotar la vulnerabilidad de la recursión de referencias a sí mismas entre lookups; pudiendo fabricar entradas maliciosas que contengan lookups recursivos. Principalmente para provocar una excepción que fuerce la finalización del proceso con un código de error, de modo que podría ser aprovechado para la realización de un ataque de denegación de servicio.
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Alto - Disponibilidad: Alto
• MITIGACIÓN: Se recomienda actualizar a la última versión de Log4j 2.17.0 en la cuál se resuelven los fallos de seguridad.
Última actualización: Jueves 17 de diciembre del 2021
Alerta de Seguridad Crítica: Apache Log4j Vulnerability
Ha sido detectada una vulnerabilidad critica (Apache Log4j Vulnerability) que afecta a la librería de registro Apache Log4j basada en Java.
EXPLICACIÓN
Esta vulnerabilidad afecta a la librería de registro Java Apache log4j, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registros y cuyo fin es dejar una constancia de una determinada transacción en tiempo de ejecución.Log4j también permite filtrar los mensajes en función de su importancia.
El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.
El mecanismo de Apache Log4j utiliza las funciones JNDI de la configuración. Los mensajes de registro y los parámetros no protegen contra el protocolo LDAP controlado por atacantes y endpoints relacionados con JNDI.
Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.
CAUSAS:
Deserialización de datos que no son de confianza.
Validación de entrada incorrecta.
Consumo no controlado de recursos.
MITIGACIÓN Y RECOMENDACIONES:
NextVision recomienda:
1.Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar en True.
3. Revisar si se ha tenido un aumento de conexiones DNS: Los intentos se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS puede ser indicativo de explotación exitosa.
4. Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j.
7.En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi” se pueden apoyar en losestos scripts.
8. Revisar si se está usando log4j.
Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
No instalar parches no oficiales
Apache recomienda:
1. Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS.
2. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS.
3. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket.
4. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.
RECOMENDACIONES DE NUESTROS PARTNERS
A continuación, te compartimos las acciones de mitigación que deben implementar en tu organización en caso de contar con servicios de los siguientes vendors:
Fortinet
Sophos
Kaspersky
Forcepoint
F-Secure
SecurityScorecard
Symantec
Fortinet ha creado una alerta para este incidente que permite realizar un seguimiento y aplicar protecciones contra el problema utilizando Fortinet Security Fabric.
Protección de firma IPS (FortiOS)
Fortinet ha lanzado la firma IPS Apache.Log4j.Error.Log.Remote.Code.Execution, con VID 51006 para abordar esta amenaza. Esta firma se lanzó inicialmente en el paquete IPS (versión 19.215). Hay que tener en cuenta que, dado que se trata de una versión de emergencia, la acción predeterminada para esta firma está configurada para aprobar y hay que modificar las acciones según las necesidades.
Cortafuegos de aplicaciones web (FortiWeb y FortiWeb Cloud)
Las firmas de aplicaciones web para prevenir esta vulnerabilidad se agregaron en la base de datos 0.00301 y se actualizaron en la última versión 0.00305 para una cobertura adicional.
Productos de Fortinet afectados
Para los productos afectados por Fortinet, consulte aquí para obtener más detalles. Este Aviso se actualizará a medida que se implementen las mitigaciones y se publiquen versiones modificadas.
SophosLabs
Han implementado una serie de reglas IPS para escanear en busca de tráfico que intente aprovechar la vulnerabilidad Log4J.
Dicha vulnerabilidad requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico de explotación de todos los servicios conectados a Internet (Sophos IPS actualmente bloquea el tráfico que coincide con las firmas de explotación conocidas de Log4J). Pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración en Log4J.
Kaspersky
Kaspersky tiene conocimiento de las PoC en el dominio público y de la posible explotación de CVE-2021-44228 por parte de los ciberdelincuentes. Nuestros productos protegen contra ataques que aprovechan la vulnerabilidad, incluido el uso de PoC. Los posibles nombres de detección son:
UMIDS: Intrusion.Generic.CVE-2021-44228.
PDM: Exploit.Win32.Generic
Veredictos de KATA :
Exploit.CVE-2021-44228.TCP.C & C
Exploit.CVE-2021-44228.HTTP.C & C
Exploit.CVE-2021-44228.UDP.C & C
Mitigaciones para CVE-2021-44228
Instale la versión más reciente de la biblioteca, 2.15.0. si es posible. Puedes descargarlo en la página del proyecto . Si usa la biblioteca en un producto de terceros, debe monitorear e instalar actualizaciones oportunas del proveedor de software.
Siga las pautas del proyecto Apache Log4j .
Utilice una solución de seguridad con componentes de gestión de parches, vulnerabilidad y prevención de exploits, como Kaspersky Endpoint Security for Business. Nuestro componente de prevención automática de exploits supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.
Utilice soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response , que identifican y detienen los ataques en las primeras etapas.
Productos de Kaspersky afectados
Los productos de Kaspersky no se ven afectados por la vulnerabilidad CVE-2021-44228.
Se ha identificado una vulnerabilidad crítica que permite a un atacante remoto no autenticado ejecutar código arbitrario que compromete el servicio de administración. El componente vulnerable se ha identificado como Java log4j. A esta vulnerabilidad se le ha asignado la identificación CVE-2021-44228.
Forcepoint Security Manager (Web, correo electrónico y DLP)
Forcepoint Security Manager se considera vulnerable debido a la versión de log4j que se está utilizando; sin embargo, Forcepoint no ha podido replicar las vulnerabilidades conocidas de la vulnerabilidad. Sin embargo, es muy recomendable aplicar los pasos de mitigación.
El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:
Recomiendan implementar esta mitigación lo antes posible. Forcepoint también está trabajando para lanzar nuevas versiones con las bibliotecas log4j actualizadas incluidas.
El proveedor, proporcionará a los clientes un script que realizaría esta mitigación manual de manera automatizada. El script se publicará como una revisión a través del sitio web de soporte. El desarrollo de la secuencia de comandos ya está en progreso y proporcionaremos actualizaciones a medida que continuamos con nuestras pruebas.
F-Secure
Han identificado que esta vulnerabilidad también afecta a los siguientes productos:
F-Secure Policy Manager
F-Secure Policy Manager for Linux
F-Secure Policy Manager Proxy
F-Secure Policy Manager Proxy for Linux
F-Secure Endpoint Proxy
Todas las versiones de estos productos están afectados.
El procedimiento para solventar esta vulnerabilidad es el siguiente:
2.Comprobar el hash SHA256 del archivo, si es posible, para verificar su integridad. Debería ser 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0.
3. Detener el servicio Policy Manager Server.
4.Copiar el archivo descargado en:
• Administrador de políticas de Windows: C:\Program Files (x86)\F-Secure\Management Server 5\lib\
• Windows Endpoint Proxy: C:\Program Files\F-Secure\ElementsConnector\lib
• Linux (todos los productos): /opt/f-secure/fspms/lib
• Iniciar el servicio Policy Manager Server.
Tras el reinicio del servicio, el parche se aplicará automáticamente.
Security Scorecard
A medida que se desarrolla la situación, SecurityScorecard se compromete a ayudarlo a evaluar el impacto potencial en su organización y sus terceros. Siga los siguientes cinco pasos de inmediato:
1. Compruebe si su organización se ve afectada.
Es probable que cualquier activo se vea afectado si ejecuta una versión de Log4j posterior a la 2.0 y anterior a la 2.15.0, la versión fija. Revise los resultados del análisis de vulnerabilidades más recientes, que probablemente contengan la ubicación de cualquier instalación de Log4j activa en el entorno. También puede consultar los registros de aplicaciones en la nube en busca de cadenas que coincidan con la sintaxis jndi.ldap . Esto identificará cualquier instancia de escaneo o intentos de explotación activos.
Nota: Un sistema solo está potencialmente comprometido si la solicitud fue procesada por una versión vulnerable de Log4j. De lo contrario, la actividad no debe considerarse sospechosa.
2. Actualice a Log4j versión 2.15.0 inmediatamente.
Encuentre la última versión en la página de descarga de Log4j . La versión 2.15.0 requiere Java 8 o posterior, así que asegúrese de que Java esté ejecutando esta versión.
Importante: Verifique que no haya varias instalaciones de Log4j en una máquina afectada, ya que esto puede significar que existen varios archivos de configuración. Cada uno de estos puede contener una versión vulnerable de Log4j. Deberá corregir cada uno de ellos de forma independiente.
3. Envíe nuestro cuestionario Log4Shell a sus terceros con Atlas.
Una nueva plantilla de cuestionario titulada Preguntas Log4Shell ahora está disponible en Atlas. Si ya tiene Atlas, puede enviar este cuestionario a sus terceros de inmediato. Si no tiene Atlas, regístrese en atlas.securityscorecard.io o mire este video y aproveche los cinco créditos gratuitos que puede usar para enviar cuestionarios.
4. Haga cuatro preguntas a sus terceros:
¿Conoce la vulnerabilidad de log4shell?
¿Está utilizando una versión vulnerable de log4j?
5. Si la respuesta es sí…
¿Ha iniciado actividades de remediación o mitigación?
Symantec protege contra los intentos de explotación de dicha vulnerabilidad con las siguientes detecciones:
Basado en archivos
CL.Suspexec! Gen106
CL.Suspexec! Gen107
CL.Suspexec! Gen108
Linux.Kaiten
Caballo de Troya
Trojan.Maljava
Basado en aprendizaje automático
Heur.AdvML.C
Basado en red
Log4j2 RCE CVE-2021-44228: Ataque
Log4j2 RCE CVE-2021-44228 2: Ataque
Respuesta LDAP maliciosa: Ataque
Log4j2 RCE CVE-2021-44228: Auditoría
Respuesta LDAP maliciosa: Auditoría
Archivo sospechoso de clase Java que ejecuta comandos arbitrarios: Auditoría
Basado en políticas
DCS proporciona una gama de protección para las cargas de trabajo del servidor contra esta vulnerabilidad:
Las políticas de prevención evitan que el malware se elimine o ejecute en el sistema
Capacidad para bloquear o limitar LDAP, http y otro tráfico de cargas de trabajo del servidor y aplicaciones en contenedores utilizando log4j2 a servidores internos de confianza.
El sandboxing de las políticas de prevención brinda protección para RCE al evitar la ejecución de herramientas de uso dual, el robo de credenciales y la protección de recursos y archivos críticos del sistema.
En caso de usar SEPM, la versión 12 no contempla ninguna solución ya que ese complemento esta desactualizado y Apache ya no da soporte:
En SEPM 14, en el servidor debemos hacer lo siguiente:
1. Botón derecho en Inicio e ir a System
2.Clic en Advanced System settings
3.Clic en Environment Variables
4.Clic en New y en la ventana que se nos abre agregar en el campo variable LOG4J_FORMAT_MSG_NO_LOOKUPS y en valor true.
Si cuentas con soporte de NextVision, contáctanos para darte mayor asesoramiento. En caso contrario, puedes comunicarte con el equipo comercial para más información sobre nuestros servicios de consultoría/soporte:
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 9.0
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 16/09
• ACTUALIZACIÓN: 29/11
• RESUMEN: La vulnerabilidad contiene una uri-path de solicitud manipulada que puede hacer que mod_proxy reenvíe la solicitud a un servidor de origen elegido por el usuario remoto.
• PRODUCTO AFECTADO: Apache HTTP Server, version 2.4.48 y versiones anteriores
• CAUSAS: Falsificación de solicitudes del lado del servidor. Elevación de privilegios.
• CONSECUENCIAS: Un atacante podría forzar al módulo mod_proxy (si está habilitado) a dirigir las conexiones a un servidor de origen que hayan elegido y hacer que parezca que el servidor está enviando la solicitud, posiblemente saltándose los controles de acceso como los cortafuegos que impiden a los atacantes acceder a las URLs directamente.
• RESUMEN: Esta vulnerabilidad permite a los atacantes locales escalar los privilegios en las instalaciones afectadas de Kaspersky Password Manager. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• PRODUCTO AFECTADO: Kaspersky Password Manager para Windows anterior a 9.0.2 Patch R.
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios de integridad media y ejecutar código en el contexto del usuario actual con integridad alta.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: Kaspersky ha solucionado dicha vulnerabilidad.
• RESUMEN: La vulnerabilidad se encuentra dentro del instalador del producto. El problema se debe a los permisos incorrectos configurados en una carpeta. El atacante puede hacer uso de dicha vulnerabilidad para elevar privilegios y ejecutar código arbitrario como SYSTEM.
• PRODUCTO AFECTADO: Adobe Creative Cloud 5.5 y versión anterior.
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante local podría elevar privilegios en el instalador de Adobe Creative Cloud. El atacante debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar dicha vulnerabilidad.
• RESUMEN: Esta vulnerabilidad existe dentro del servicio de Windows Installer. Si se llegara a explotar se podría abusar del servicio para eliminar un archivo o directorio pudiendo ejecutar código arbitrario como SYSTEM.
• PRODUCTO AFECTADO: Windows 7, 8.1, 10, 11.
Windows Server 2008, 2012, 2019, 2022
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría escalar privilegios en las versiones afectadas de Mirosoft Windows mediante la ejecución de código con pocos privilegios en el sistema destino.
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Bajo - Disponibilidad: Alto
• MITIGACIÓN: Microsoft lo solucionó lanzando el parche en el Patch Tuesday.
• RESUMEN: Esta vulnerabilidad no valida la entrada enviada en las solicitudes para actualizar la configuración del proxy de red, lo que podría llevar a la inyección de comandos remotos en la imagen local por un administrador del portal web.
• PRODUCTO AFECTADO: Controlador de conector de reunión local de Zoom antes de la versión 4.6.348.20201217
Zoom MMR de Meeting Connector en las instalaciones antes de la versión 4.6.348.20201217
Conector de grabación local de Zoom antes de la versión 3.8.42.20200905
Zoom del conector de sala virtual en las instalaciones antes de la versión 4.4.6620.20201110
Balanceador de carga del conector de sala virtual en las instalaciones de Zoom antes de la versión 2.5.5495.20210326
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario en el servidor a través de privilegios de usuario root.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Bajo
• MITIGACIÓN: El fabricante recomienda actualizar a la última versión disponible que corrige esta vulnerabilidad.
• RESUMEN: La vulnerabilidad permite al hardware la activación de la lógica de prueba o depuración en tiempo de ejecución para algunos procesadores Intel, esto permite que un usuario no autenticado pueda elevar privilegios a través del acceso físico.
• PRODUCTO AFECTADO: Intel CPU
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría ejecutar un exploit para extraer la clave de cifrado de los dispositivos y obtener acceso a la información.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Alto - Disponibilidad: Bajo
• MITIGACIÓN: Intel recomienda que los usuarios de los procesadores Intel afectados se actualicen a la última versión proporcionada por el fabricante del sistema que resuelve estos problemas.
• RESUMEN: La vulnerabilidad existe dentro del servicio UPnP, que escucha en el puerto TCP 5000 de forma predeterminada. Al analizar el encabezado de la solicitud uuid, el proceso no valida correctamente la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija.
• PRODUCTO AFECTADO: NETGEAR versión R6400v2 1.0.4.106_10.0.80
• CAUSAS: Desbordamiento de búfer
• CONSECUENCIAS: Un atacante adyacente a la red podría ejecutar código arbitrario en los dispositivos afectados. No se requiere autenticación para dicha explotación.
• RESUMEN: Esta vulnerabilidad existe por la debilidad en un subsistema SSH, una función desconocida del componente Key-based SSH Authentication Handler es afectada.
• PRODUCTO AFECTADO: Cisco Policy Suite con versiones anteriores a la 21.2.0.
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: El atacante podría hacer uso de esta vulnerabilidad si logra conectarse a un dispositivo afectado a través de SSH. Con la creación de un exploit podría iniciar sesión remota sin autenticarse en un sistema con usuario root.
• MITIGACIÓN: Cisco recomienda actualizar a la última versión lanzada teniendo en cuenta que si las versiones anteriores de Cisco Policy Suite se actualizan a la versión 21.2.0, las claves SSH predeterminadas aún deben cambiarse manualmente.
Por otra parte, las claves SSH predeterminadas deben cambiarse.
• RESUMEN: La vulnerabilidad de ejecución de código remoto (RCE) se produce, ya que existe un falla de una validación incorrecta en los argumentos command-let (cmdlet)
• PRODUCTO AFECTADO: Microsoft Exchange Server Exchange 2016 y 2019
• CAUSAS: Remote Code Execution (RCE)
• CONSECUENCIAS: Un atacante remoto y autenticado podría tomar el control total de Exchange Server mediante el envío de paquetes malintencionados al servidor.
• RESUMEN: Se ha descubierto que, mediante la omisión de funciones de seguridad, los atacantes pueden instalar código malicioso para engañar a los usuarios al abrir un archivo de Excel.
• PRODUCTO AFECTADO: Microsoft Office 365 Apps para empresas / 2013 RT SP1 / 2013 SP1 / 2016/2019 / LTSC hasta 2021
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría ejecutar código si la victima abre un archivo malicioso especialmente diseñado y de esta forma escalar privilegios.
• RESUMEN: Se ha descubierto un problema en GitLab CE/ EE que afecta a todas las versiones a partir de la 11.9.
GitLab no estaba validando correctamente los archivos de imagen que se pasaron a un analizador de archivos, lo que resultó en la ejecución de comando remoto.
Esta vulnerabilidad se publicó el 14 de abril del 2021 y se categorizó con un CVSS 9,9, pero en la ultima revisión se aumentó a 10.0.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.
• PRODUCTO AFECTADO: Versiones de GitLab Enterprise Edition (EE) y GitLab Community Edition (CE) a partir de la 11.9.
• CAUSAS: Invalidación de archivos de imagen que lleva a realizar un RCE.
• CONSECUENCIAS: Un atacante remoto podría ejecutar comandos arbitrarios como gitusuario debido al mal manejo de ExifTool de los archivos DjVu. El atacante, para explotar esta vulnerabilidad, no necesita una Autenticación, CSRF token o un endpoint HTTP válido.
• RESUMEN: La vulnerabilidad ManageEngine ADSelfService Plus es una solución de autoservicio de administración de contraseñas e inicio de sesión único para Active Directory y aplicaciones en la nube.
La misma se podría aprovechar para tomar el control de un sistema. Una campaña china de ciberespionaje recientemente fue descubierta explotando la vulnerabilidad de Zoho.
• PRODUCTO AFECTADO: ADSelfService Plus builds up to 6113
• CAUSAS: Ejecución de código remoto (RCE) y path traversal.
• CONSECUENCIAS: El atacante puede cargar un archivo .zip que contiene un Java Server Pages (JSP) WebShell hace pasar por un certificado X509: service.cer. Luego, se realizan solicitudes a diferentes puntos de la API para explotar aún más el sistema de la víctima.
• RESUMEN: La vulnerabilidad cuenta con un problema en net/tipc/crypto.c dentro del kernel de Linux en las versiones anteriores de 5.14.16.
La funcion Transparent Inter-Process Communication (TIPC) permite que un usuario malintencionado remoto se aproveche de la invalidación de los tamaños que proporciona el usuario para el tipo de mensaje MSG_CRYPTO.
• PRODUCTO AFECTADO: Linux Kernel hasta 5.14.15
• CAUSAS:Desbordamiento de memoria.
• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario dentro del kernel, comprometiendo en su totalidad el sistema afectado ya que existe una falta de comprobación para el campo keylen del mensaje MSG_CRPPTO.
Esto causaría un desbordamiento de memoria y la escritura fuera del límite asignado.
• RESUMEN: Esta vulenerabilidad de corrupción de memoria afecta al firewall de PAN que utiliza GlobalProtect portal VPN. Los investigadores de Randori crearon un exploit que es capaz de obtener shell en el objetivo y acceder a datos de configuración y robar credenciales.
• PRODUCTO AFECTADO: Palo Alto PAN-OS versiones posteriores a 8.1.17.
• CAUSAS: Buffer Overflow. Ejecución remota de código sin autenticación.
• CONSECUENCIAS: Un atacante no autenticado en la red podría generar interrupción y ejecutar código arbitrario con privilegios root y moverse lateralmente.
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• RESUMEN: Una función desconocida del componente Safe Browsing es afectada por estas vulnerabilidades. Mediante la manipulación de un input se causa la vulnerabilidad de clase de desbordamiento de búfer.
• PRODUCTO AFECTADO: Navegador Google Chrome en Windows, MacOS y Linux
• CAUSAS: Desbordamiento de búfer
• CONSECUENCIAS: Un atacante que explote con éxito esta vulnerabilidad puede causar daños en la memoria (Use After Free) en IV8 a través de una página HTML diseñada que podría ejecutar de forma remota código arbitrario y obtener el control total del sistema.
Por otra parte, el atacante también podría aprovechar una implementación inapropiada en la memoria para obtener de forma remota información confidencial de la memoria del proceso a través de una página HTML maliciosamente diseñada.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Google recomienda actualizar a la version estable 94.0.4606.71
• RESUMEN: Si los archivos, fuera de la raíz del documento, no están protegidos por "REQUIRE ALL DENIED", estas solicitudes pueden tener éxito. La vulnerabilidad también podría permitir a los atacantes filtrar la fuente de archivos interpretados como scripts CGI.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.
• PRODUCTO AFECTADO: Servidor HTTP Apache versión 2.4.49
• CAUSAS: Path Traversal
• CONSECUENCIAS: Un atacante que explote con éxito la vulnerabilidad puede asignar una URL a archivos fuera de la raíz del documento pudiendo leer archivos arbitrarios del servidor web.
Por otra parte, se podría crear solicitudes especiales que causen problemas de DoS en el servidor web explotando con éxito el CVE-2021-41524.
Asimismo, si el atacante logra cargar archivos diseñados especialmente en el servidor HTTP Apache, podría obtener privilegios de administrador por completo dentro del servidor.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda actualizar a Apache HTTP Server versión 4.51
• RESUMEN: Esta vulnerabilidad es de tipo use-after-free y se encuentra en el controlador Win32k y la misma puede ser explotada con una técnica para filtrar las direcciones base de los módulos del kernel.
A su vez, se parchea un total de 74 vulnerabilidades, que se sanitizan con la actualización de cada martes, llamada Patch Tuesday.
Del total de vulnerabilidades, CVE-2021- 40449 es la que cuenta con mayor impacto.
• PRODUCTO AFECTADO: Microsoft Windows 7/ 8.1/ 10 /11 x64 x86 arm64, Windows Server 2008/ 2012/ 2016 /2019
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría explotar dicha vulnerabilidad mediante la escalación de privilegio y lanzar un troyano de acceso remoto, como MysterySnail, el cual les daría acceso al sistema de la víctima.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Bajo - Disponibilidad: Alto
• MITIGACIÓN: La empresa recomienda actualizar los productos afectados.
• RESUMEN: Una vulnerabilidad en la CLI del software Cisco IOS XE SD-WAN podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios de root.
• PRODUCTO AFECTADO: Software Cisco IOS XE SD-WAN
• CAUSAS: La vulnerabilidad se debe a una validación de entrada insuficiente por parte de la CLI del sistema.
• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad al autenticarse en un dispositivo afectado y enviar una entrada diseñada a la CLI del sistema. Un exploit exitoso podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de root.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: No existen soluciones alternativas que aborden esta vulnerabilidad.
• RESUMEN: Esta vulnerabilidad se observa en un error de JavaScript generado por MSHTML. Al terminar el periodo de prueba, WinRAR da aviso al usuario a través de una notificación "notifier.rarlab [.] com”, que al interceptarse y modificarse se podría hacer uso para realizar una ejecución de código.
• PRODUCTO AFECTADO: WinRAR version 5.70
• CAUSAS: Ejecución de código remoto a través de un error por MSHTML.
• CONSECUENCIAS: Un atacante podría realizar una ejecución remota de código con archivos RAR en las versiones anteriores a la 5.7. Esto se puede llevar a cabo a través de un exploit conocido, como lo es el CVE-2018-20250. Si un atacante ya cuenta con el acceso al mismo dominio de red mediante esta vulnerabilidad también se podría realizar un ataque de suplantación de identidad, ARP Spoofing.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda actualizar a la versión más reciente que el fabricante ha liberado.
Nuestro partner Kaspersky, realizó un estudio donde comparó datos desde el 2019 a la fecha y anunció un incremento superlativo de ataques Ransomware. Este tipo de ataque se ha escuchado recientemente en numerosas ocasiones, siendo algunos de los últimos y más conocidos el hackeo de REvil a Kaseya, compañía de software de Estados Unidos.
También fueron difundidos masivamente los ataques a las empresas JBS, Apple, Accenture, incluso la ONU y a Colonial Pipeline; esta última reconoció que accedió a un pago de u$s5 millones para recuperar sus activos.
Los valores del Ataque de Ransomware
Durante el año se pagó un total acumulado de casi U$S 50 millones en todo el mundo en concepto de rescate ante ransomwares. En cuanto a los distintos tipos de este ataque, el que mayores ingresos registró hasta la fecha es Conti, con más de U$S 14 millones. Le sigue REvil/Sodinokibi, con más de U$S 11 millones.
El aumento de ataques se produce a partir de que el pago promedio, a comparación del año pasado, aumentara un 171%, superando los U$S 312.000.
El acceso remoto a partir del home office y la piratería son los principales vectores de ataque, tanto para consumidores como para empresas.
El informe creado por Kaspersky sobre América Latina toma como referencia los 20 programas maliciosos más populares, los cuales representan más de 728 millones de intentos de infección en la región, un promedio de 35 ataques por segundo.
La pandemia tomó desprevenidos a los usuarios y, sobre todo, a las empresas, ya que no contaban con medidas para reconocer las amenazas en un entorno cambiante como el que se generó.
«El 73% de los empleados que trabajan desde casa no han recibido ninguna orientación o formación específica sobre ciberseguridad para mantenerse a salvo de los riesgos y, tan sólo el 53% de ellos utiliza una VPN para conectarse a las redes corporativas. Por lo tanto, el teletrabajo puede suponer un gran riesgo para la seguridad de la organización», señala el partner de NV.
La conclusión es clara: La seguridad de las tecnologías para el trabajo remoto debe ser prioridad.
Actualmente, estamos viendo un aumento del 25% en los ciberdelitos en todo el mundo. En estos momentos, España es el 9° país del mundo más atacado y Argentina lo sigue, entrando en el puesto 34° de la lista durante septiembre.
«El reciente cambio en las prácticas laborales, así como la digitalización, la llegada del 5G y el eventual crecimiento del número de dispositivos IoT, entre otras cosas, contribuirán a un aumento general de la ciberdelincuencia en todo el mundo. Los ciberataques seguirán creciendo exponencialmente en sofisticación y volumen». Indican desde Kaspersky.
Respecto a esto, Gartner coincide también. Todo indica que para 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques.
Desde el punto de vista de Kaspersky, los ataques de ransomware«Siguen cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se perfeccionan».Teniendo esto en cuenta, señala que no hay marcha atrás. El fenómeno seguirá creciendo:«Causan y seguirán causando más trastornos que antes».
Todo el mundo es susceptible de caer en ataques de ransomware, phishing o smishing. Incluso alguien entrenado para detectar una falsificación puede a veces tener dificultades para determinar si un mensaje es de phishing o es una comunicación legítima.
El número de ciberdelincuentes está creciendo y por eso es sumamente importante poder educarnos a través de la ciberconcientización. Realizando actividades de hardening sobre los usuarios les estaremos brindando herramientas para disminuir los posibles vectores de ataque sobre la compañía.
Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones reactivas en las que debemos lidiar con pagos de rescates que financian el ciberdelito y no garantizan el recupero de la información. Contamos con una guía de preparación ante el ransomware.
Además, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar a los colaboradores de cada organización y fomentar así la construcción de una cultura cibersegura.
La ingeniería social es la práctica en donde los ciberdelincuentes obtienen información confidencial a través de la manipulación de los usuarios para que se salten todos los procedimientos de seguridad que deberían seguir para protegerse.
¿Has recibido alguna vez el mail de un supuesto banco que te alerta porque la cuenta fue cancelada y debes hacer clic para introducir tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar información sensible para acceder a entornos más protegidos como los corporativos, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.
También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o incluso de la empresa para la cual trabaja. Aquí es necesario preguntarse ¿Están informadas las empresas y los usuarios sobre este tipo de tácticas? y ¿sabemos cómo reaccionar ante ellas?
Ingeniería Social en el ámbito corporativo y personal de los usuarios:
En la actualidad es más fácil engañar a una persona para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear un sistema, el cual seguramente contará con controles y alertas de seguridad que impedirán el ataque.
Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados y usuarios informados y capacitados, esta podría ser la mayor amenaza de seguridad para las organizaciones, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.
Existen diferentes técnicas de ingeniería social, como:
Ofrecer recompensas opremios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
Phishing: correos fraudulentos que engañan para que la víctima comparta información sensible.
Robo de identidad: hacerse pasar por otra persona para obtener datos privilegiados.
Scareware: alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
Baiting: uso de USBs con malware que se dejan en lugares públicos para que alguien los encuentre y los conecte a su ordenador o dispositivo.
Hacking de email, envío de spam a contactos, etc.
Vishing: el criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia o por un empleado de una empresa que solicita información personal para solucionar una incidencia de un servicio contratado.
El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización o a un usuario habitual de la red para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle emails segmentados y relevantes para que al final haga clic en un enlace malicioso infectando así su ordenador.
Por último, encontramos el Fraude del CEO/Suplantación del CEO que tiene lugar cuando es un alto directivo el blanco de ataque de los ciberdelincuentes. Estos ciberataques tratan de sustraer las credenciales de inicio de sesión o mail. De esta manera, podrían hacerse pasar por un directivo y autorizar una transferencia bancaria fraudulenta o acceder a información muy confidencial de la organización.
¿Qué podemos hacer para prevenir estos ciberataques?
Como podemos comprobar, es fundamental que las compañías y la sociedad en general adopten una cultura cibersegura que brinde capacitación continua y para que mantenga la información actualizada acerca de las amenazas vigentes. Es recomendable que dentro de la estrategia de seguridad se considere:
Ayudar a los trabajadores y usuarios particulares a entender por qué es tan importante que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar riesgos y crear programas de capacitación a medida de estas necesidades.
Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas.
Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
Promover el uso del doble factor de autenticación para evitar el robo de identidad en nuestro correo electrónico y en nuestras redes sociales habituales como LinkedIn o Facebook.
Fomentar el empleo de contraseñas seguras para también evitar la suplantación de nuestra identidad. Debemos aprender a crear contraseñas seguras para protegernos en la red.
Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.
Porque como hemos visto, la ingeniería social representa un riesgo muy alto y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por ello, la seguridad de la información debe considerarse también como un proceso cultural, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.
Por todo ello, en NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contáctenos!
En la sociedad hiperconectada en la que vivimos, se producen ciberataques todos los días. Varios de ellos son graves y pueden acabar con la infraestructura digital de una empresa. Es el caso del ataque de Ransomware que sufrieron multitud de despachos profesionales hace dos semanas en Lleida, España.
En dicho ciberataque se encriptaron valiosos datos de gestorías, asesorías y otras empresas. Es decir, se secuestraron miles de archivos de dichos negocios gracias a un ciberataque a Esofitec, distribuidora leridana de servidores cloud.
¿Qué significa esto? Que el ataque fue perpetrado a un proveedor de servidores, y trajo como consecuencia la afectación de cientos de clientes que hacen uso de ellos para el almacenamiento de información crítica. Hoy en día, son cada vez más crecientes los ciberataques que sufren las organizaciones a través de brechas de seguridad de sus terceras partes.
A pesar de que la empresa ya se ha puesto manos a la obra para recuperar los datos, los hackers responsables de este ciberataque han pedido una cuantiosa recompensa por devolverlos. Las empresas afectadas se han empezado a organizar para comenzar el proceso legal por los perjuicios sufridos.
¿En qué consiste un ciberataque Ransomware?
Un ransomware es un ciberataque cuyo objetivo es el de “secuestrar” un dispositivo. Es decir, el ciberdelincuente bloquea el acceso al dispositivo a su legítimo dueño, y pide un rescate por reestablecer dicho acceso.
Este tipo de ciberataques no son una novedad. De hecho, hace unos meses hablábamos del ransomware Sodinokibi, que tuvo un impacto global, aunque no afectó a servicios críticos. Y, como expertos, hemos desarrollado una guía ransomware que puedes descargarte para profundizar más en esta materia.
Lo que ha llamado mucho la atención del caso de Esofitec es que ha sido un ciberataque dentro de la nube. Ha sido un ataque enfocado en pymes y solo posible a través de una brecha en una tercera parte, en este caso el proveedor de servidores. Este tipo de incidentes ponen de relieve la necesidad de realizar un análisis de riesgos sobre el impacto que puede provocar también un tercero.
Desde hace años se utilizan los servidores cloud en multitud de empresas precisamente como una forma de evitar ataques a dispositivos físicos. Sin embargo, a principios del año pasado ya empezaban a salir a la luz investigaciones que mostraban una mayor sofisticación de este malware. Y también un nuevo objetivo: la nube. Atacar la nube significa una oportunidad de llegar a más víctimas.
¿Cómo protegernos de un ransomware?
El caso de leida ha dado mucho que hablar por las graves consecuencias que ha tenido. No obstante, noticias así nos hacen revisar y replantear la seguridad de nuestros archivos.
Hay algunas acciones que podemos llevar a cabo para estar preparados ante un ataque ransomware, incluso si se produce en la nube.
1. Concienciación respecto a correos sospechosos
El principal medio por el que se producen este tipo de ataques es el correo electrónico. Lo primero es que todo el mundo tenga esta información para que se puedan prevenir los ataques. Monitorizar correos sospechosos y no ejecutar archivos contenidos en esos correos son acciones básicas que todo usuario ha de considerar.
2. Copias de seguridad
Tener varios backups de datos siempre es una buena manera de estar prevenidos. Estas copias han de ser ubicadas en servidores distintos (incluyendo servidores locales para no depender enteramente de la nube), tener incorporadas distintos métodos de autenticación y en distintas localizaciones. Si el ataque se produce en uno de los servidores, podemos seguir accediendo a los datos en las copias de seguridad.
3. Autenticación en dos pasos
En cuanto a los métodos de autenticación, es más seguro usar aquellos que necesitan de dos pasos. Es decir, que no solo dependan de una contraseña para poder acceder a los datos. Mensajes SMS, métodos biométricos, aplicaciones específicas, etc.
4. Protocolo de respuesta
La concienciación sobre este tipo de ataques no solo pasa por un conocimiento general. Las empresas que dependan de una infraestructura digital necesitan tener un protocolo específico para este tipo de situaciones. Un protocolo dedicado a detectar, paliar y compensar de alguna manera el ataque, si es que este no se puede evitar finalmente.
Hay una sofisticación de los ciberataques según evolucionan también los procesos de seguridad informática. Es importante que las empresas se mantengan al día con este tipo de noticias para poder actualizar sus protocolos de respuesta; y también que gestionen los riesgos a partir de una definición y priorización de proyectos. Incluyendo en estas consideraciones la monitorización de proveedores, pues, como hemos visto, pueden ser una fuente de brechas de seguridad.
Para alinear estas prioridades con las inversiones y con los objetivos estratégicos de las empresas, en NextVision ofrecemos un servicio de consultoría de Plan Director diseñado para cubrir estas necesidades. Por otra parte, ya que multitud de empresas no cuentan con un CISO (Chief Information Security Officer) dentro de su estructura, también contamos con el servicio de CISO as a service. Y por supuesto que es importante contar con una buena gestión del ciberriesgo de terceras partes. En este sentido, podemos colaborar con nuestro servicio NV Vendor Risk Management.
Contáctanos para saber más sobre estos servicios a medida y sobre cómo podemos ayudarte en la seguridad digital de tu empresa.
Algunas versiones de FortiOS son potencialmente vulnerables a un desbordamiento del buffer overflow.
Resumen
Una vulnerabilidad de desbordamiento de búfer basada en un alto número de procesamiento de mensajes del Protocolo de control de enlace en FortiOS puede permitir que un atacante remoto con credenciales VPN SSL válidas bloquee el demonio VPN SSL enviando un paquete LCP grande, cuando el modo túnel está habilitado. La ejecución de código arbitrario puede ser teóricamente posible, aunque prácticamente muy difícil de lograr en este contexto.
Impacto
Negación de servicio
Productos afectados
Versiones de FortiOS 5.6.12 y anteriores.
Versiones de FortiOS 6.0.10 y anteriores.
Versiones de FortiOS 6.2.4 y anteriores.
Versiones de FortiOS 6.4.1 y anteriores.
¿Cómo solucionamos el problema?
Para versiones 6.0: Actualice a la versión 6.0.11 o superior de FortiOS.
Para versiones 6.2: Actualice a la versión 6.2.5 o superior de FortiOS.
Para versiones 6.4: Actualice a la versión 6.4.2 o superior de FortiOS.
Workaround: Desactive el modo de túnel.
Soporte
Contá con nosotros!
Comunicate con nuestro equipo para ayudarte en la actualización del sistema operativo o si necesitás actualizar tus equipos Fortinet.
This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.