blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

Alerta de Seguridad Crítica: Apache Log4j Vulnerability

NextVision

0

Última actualización: Jueves 17 de diciembre del 2021

Alerta de Seguridad Crítica: Apache Log4j Vulnerability

Ha sido detectada una vulnerabilidad critica (Apache Log4j Vulnerability) que afecta a la librería de registro Apache Log4j basada en Java.

EXPLICACIÓN

Esta vulnerabilidad afecta a la librería de registro Java Apache log4j, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registros y cuyo fin es dejar una constancia de una determinada transacción en tiempo de ejecución. Log4j también permite filtrar los mensajes en función de su importancia.

El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.

El mecanismo de Apache Log4j utiliza las funciones JNDI de la configuración. Los mensajes de registro y los parámetros no protegen contra el protocolo LDAP controlado por atacantes y endpoints relacionados con JNDI.

Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.

CAUSAS:

  • Deserialización de datos que no son de confianza.
  • Validación de entrada incorrecta.
  • Consumo no controlado de recursos.

MITIGACIÓN Y RECOMENDACIONES:

NextVision recomienda:

1. Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar en True.

2. Revisar aplicaciones de Java:

3. Revisar si se ha tenido un aumento de conexiones DNS: Los intentos se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS puede ser indicativo de explotación exitosa.

4. Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j.

5. Revisar si tiene uno de estos aplicativos.

6. Revisar en logs estos IOC.

7. En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi” se pueden apoyar en los estos scripts.

8. Revisar si se está usando log4j.

  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • No instalar parches no oficiales
Apache recomienda:

1. Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS.

2. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS.

3. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket.

4. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.

RECOMENDACIONES DE NUESTROS PARTNERS

A continuación, te compartimos las acciones de mitigación que deben implementar en tu organización en caso de contar con servicios de los siguientes vendors:

  • Fortinet
  • Sophos
  • Kaspersky
  • Forcepoint
  • F-Secure
  • SecurityScorecard
  • Symantec
fortinet

Fortinet ha creado una alerta para este incidente que permite realizar un seguimiento y aplicar protecciones contra el problema utilizando Fortinet Security Fabric.

Protección de firma IPS (FortiOS)

Fortinet ha lanzado la firma IPS Apache.Log4j.Error.Log.Remote.Code.Execution, con VID 51006 para abordar esta amenaza. Esta firma se lanzó inicialmente en el paquete IPS (versión 19.215). Hay que tener en cuenta que,  dado que se trata de una versión de emergencia, la acción predeterminada para esta firma está configurada para aprobar y hay que modificar las acciones según las necesidades.

Cortafuegos de aplicaciones web (FortiWeb y FortiWeb Cloud)

Las firmas de aplicaciones web para prevenir esta vulnerabilidad se agregaron en la base de datos 0.00301 y se actualizaron en la última versión 0.00305 para una cobertura adicional.

Productos de Fortinet afectados

Para los productos afectados por Fortinet, consulte aquí para obtener más detalles. Este Aviso se actualizará a medida que se implementen las mitigaciones y se publiquen versiones modificadas.

sophos

SophosLabs

Han implementado una serie de reglas IPS para escanear en busca de tráfico que intente aprovechar la vulnerabilidad Log4J.

Dicha vulnerabilidad requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico de explotación de todos los servicios conectados a Internet (Sophos IPS actualmente bloquea el tráfico que coincide con las firmas de explotación conocidas de Log4J). Pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración en Log4J.

Log4j Kaspersky

Kaspersky

Kaspersky tiene conocimiento de las PoC en el dominio público y de la posible explotación de CVE-2021-44228 por parte de los ciberdelincuentes. Nuestros productos protegen contra ataques que aprovechan la vulnerabilidad, incluido el uso de PoC. Los posibles nombres de detección son:

UMIDS: Intrusion.Generic.CVE-2021-44228.

PDM: Exploit.Win32.Generic

Veredictos de KATA :

Exploit.CVE-2021-44228.TCP.C & C

Exploit.CVE-2021-44228.HTTP.C & C

Exploit.CVE-2021-44228.UDP.C & C

Mitigaciones para CVE-2021-44228

  • Instale la versión más reciente de la biblioteca, 2.15.0. si es posible. Puedes descargarlo en la página del proyecto . Si usa la biblioteca en un producto de terceros, debe monitorear e instalar actualizaciones oportunas del proveedor de software.
  • Siga las pautas del proyecto Apache Log4j .
  • Utilice una solución de seguridad con componentes de gestión de parches, vulnerabilidad y prevención de exploits, como Kaspersky Endpoint Security for Business. Nuestro componente de prevención automática de exploits supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.
  • Utilice soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response , que identifican y detienen los ataques en las primeras etapas.
  • Productos de Kaspersky afectados

Los productos de Kaspersky no se ven afectados por la vulnerabilidad CVE-2021-44228.

Indicadores de compromiso (COI)

1cf9b0571decff5303ee9fe3c98bb1f1

194db367fbb403a78d63818c3168a355

18cc66e29a7bc435a316d9c292c45cc6

1780d9aaf4c048ad99fa93b60777e3f9

163e03b99c8cb2c71319a737932e9551

Forcepoint Apache Log4j Vulnerability

Forcepoint

Productos afectados

  • Seguridad de datos
  • Seguridad de correo electrónico
  • Filtro y seguridad web
  • Puerta de enlace de seguridad web
  • TRITON AP-WEB
  • Forcepoint Web Security Cloud
  • TRITON AP-EMAIL
  • Forcepoint Email Security Cloud
  • TRITON AP-ENDPOINT Web
  • TRITON AP-ENDPOINT DLP
  • Siguiente Firewall de generación (NGFW)
  • Forcepoint DLP
  • Forcepoint Email Security
  • Forcepoint URL Filtering
  • Forcepoint Web Security
  • Forcepoint DLP Endpoint
  • Forcepoint Web Security Endpoint
  • Forcepoint One Endpoint.

 

Descripción de la vulnerabilidad

Se ha identificado una vulnerabilidad crítica que permite a un atacante remoto no autenticado ejecutar código arbitrario que compromete el servicio de administración. El componente vulnerable se ha identificado como Java log4j. A esta vulnerabilidad se le ha asignado la identificación CVE-2021-44228.

Para obtener la lista completa de productos Forcepoint y su estado actual, consulte Vulnerabilidad de ejecución remota de código de día cero Apache log4j CVE-2021-44228.

Forcepoint Cloud

Forcepoint Cloud Security Gateway (CSG) como Cloud Web Security y Cloud Email no son vulnerables.

Forcepoint DLP

Forcepoint DLP Manager se considera vulnerable debido a la versión de log4j que se está utilizando y se recomienda aplicar los pasos de mitigación.

El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:

CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint DLP

Forcepoint Security Manager (Web, correo electrónico y DLP)

Forcepoint Security Manager se considera vulnerable debido a la versión de log4j que se está utilizando; sin embargo, Forcepoint no ha podido replicar las vulnerabilidades conocidas de la vulnerabilidad. Sin embargo, es muy recomendable aplicar los pasos de mitigación.

El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:

CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint Security Manager

Soluciones alternativas

Recomiendan implementar esta mitigación lo antes posible. Forcepoint también está trabajando para lanzar nuevas versiones con las bibliotecas log4j actualizadas incluidas.

El proveedor, proporcionará a los clientes un script que realizaría esta mitigación manual de manera automatizada. El script se publicará como una revisión a través del sitio web de soporte. El desarrollo de la secuencia de comandos ya está en progreso y proporcionaremos actualizaciones a medida que continuamos con nuestras pruebas.

fsecure

F-Secure

Han identificado que esta vulnerabilidad también afecta a los siguientes productos:

  • F-Secure Policy Manager
  • F-Secure Policy Manager for Linux
  • F-Secure Policy Manager Proxy
  • F-Secure Policy Manager Proxy for Linux
  • F-Secure Endpoint Proxy

Todas las versiones de estos productos están afectados. 

El procedimiento para solventar esta vulnerabilidad es el siguiente:

1. Descargar el parche desde el servidor de F-Secure.

2. Comprobar el hash SHA256 del archivo, si es posible, para verificar su integridad. Debería ser 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0.

3. Detener el servicio Policy Manager Server.

4. Copiar el archivo descargado en:

• Administrador de políticas de Windows: C:\Program Files (x86)\F-Secure\Management Server 5\lib\

• Windows Endpoint Proxy: C:\Program Files\F-Secure\ElementsConnector\lib

• Linux (todos los productos): /opt/f-secure/fspms/lib 

• Iniciar el servicio Policy Manager Server.

Tras el reinicio del servicio, el parche se aplicará automáticamente.

Log4j

Security Scorecard

A medida que se desarrolla la situación, SecurityScorecard se compromete a ayudarlo a evaluar el impacto potencial en su organización y sus terceros. Siga los siguientes cinco pasos de inmediato: 

1. Compruebe si su organización se ve afectada.

Es probable que cualquier activo se vea afectado si ejecuta una versión de Log4j posterior a la 2.0 y anterior a la 2.15.0, la versión fija. Revise los resultados del análisis de vulnerabilidades más recientes, que probablemente contengan la ubicación de cualquier instalación de Log4j activa en el entorno. También puede consultar los registros de aplicaciones en la nube en busca de cadenas que coincidan con la sintaxis jndi.ldap . Esto identificará cualquier instancia de escaneo o intentos de explotación activos.

Nota: Un sistema solo está potencialmente comprometido si la solicitud fue procesada por una versión vulnerable de Log4j. De lo contrario, la actividad no debe considerarse sospechosa.

2. Actualice a Log4j versión 2.15.0 inmediatamente.

Encuentre la última versión en la página de descarga de Log4j . La versión 2.15.0 requiere Java 8 o posterior, así que asegúrese de que Java esté ejecutando esta versión.

Importante: Verifique que no haya varias instalaciones de Log4j en una máquina afectada, ya que esto puede significar que existen varios archivos de configuración. Cada uno de estos puede contener una versión vulnerable de Log4j. Deberá corregir cada uno de ellos de forma independiente.

3. Envíe nuestro cuestionario Log4Shell a sus terceros con Atlas.

Una nueva plantilla de cuestionario titulada Preguntas Log4Shell ahora está disponible en Atlas. Si ya tiene Atlas, puede enviar este cuestionario a sus terceros de inmediato. Si no tiene Atlas, regístrese en atlas.securityscorecard.io o mire este video y aproveche los cinco créditos gratuitos que puede usar para enviar cuestionarios.

4. Haga cuatro preguntas a sus terceros: 

  • ¿Conoce la vulnerabilidad de log4shell?
  • ¿Está utilizando una versión vulnerable de log4j?

5. Si la respuesta es sí… 

  • ¿Ha iniciado actividades de remediación o mitigación?
  • ¿Cuándo espera completar su remediación? 

Para más información ingresa aquí.

symantec

Symantec

Symantec protege contra los intentos de explotación de dicha vulnerabilidad con las siguientes detecciones:

Basado en archivos

  • CL.Suspexec! Gen106
  • CL.Suspexec! Gen107
  • CL.Suspexec! Gen108
  • Linux.Kaiten 
  • Caballo de Troya 
  • Trojan.Maljava

Basado en aprendizaje automático

  • Heur.AdvML.C

Basado en red

  • Log4j2 RCE CVE-2021-44228: Ataque
  • Log4j2 RCE CVE-2021-44228 2: Ataque
  • Respuesta LDAP maliciosa: Ataque
  • Log4j2 RCE CVE-2021-44228: Auditoría
  • Respuesta LDAP maliciosa: Auditoría
  • Archivo sospechoso de clase Java que ejecuta comandos arbitrarios: Auditoría

Basado en políticas

DCS proporciona una gama de protección para las cargas de trabajo del servidor contra esta vulnerabilidad:

  • Las políticas de prevención evitan que el malware se elimine o ejecute en el sistema
  • Capacidad para bloquear o limitar LDAP, http y otro tráfico de cargas de trabajo del servidor y aplicaciones en contenedores utilizando log4j2 a servidores internos de confianza.
  • El sandboxing de las políticas de prevención brinda protección para RCE al evitar la ejecución de herramientas de uso dual, el robo de credenciales y la protección de recursos y archivos críticos del sistema.

En caso de usar SEPM, la versión 12 no contempla ninguna solución ya que ese complemento esta desactualizado y Apache ya no da soporte:

Apache Log4j Vulnerability

En SEPM 14, en el servidor debemos hacer lo siguiente:

1. Botón derecho en Inicio e ir a System

1 Apache Log4j Vulnerability

2. Clic en Advanced System settings

2 Apache Log4j Vulnerability

3. Clic en Environment Variables

3 Apache Log4j Vulnerability

4. Clic en New y en la ventana que se nos abre agregar en el campo variable LOG4J_FORMAT_MSG_NO_LOOKUPS y en valor true.

4 Apache Log4j Vulnerability

Si cuentas con soporte de NextVision, contáctanos para darte mayor asesoramiento. En caso contrario, puedes comunicarte con el equipo comercial para más información sobre nuestros servicios de consultoría/soporte:

Desde ya, quedamos a disposición para cualquier consulta o inquietud.

Departamento de Tecnología de NextVision

Terceros o no terceros, ¿esa es la cuestión?

NextVision

0

*Por Roberto Heker, Director de NV. Para ISMS Forum.

El diseño de una estrategia de ciberseguridad requiere evaluar diferentes aspectos que abarcan la predicción, prevención, detección y respuesta. Dentro de este esquema es importante considerar la relación que hay entre la compañía y sus proveedores.

Efectivamente, en la búsqueda de lograr más eficiencia para el negocio esta relación ha ido creciendo con la digitalización. Sin embargo, esta interdependencia ha creado un potencial impacto en la ciberseguridad que no debe desdeñarse. Por lo que las compañías deben no solo proteger sus propias redes sino también disponer de medidas que mitiguen riesgos sobre las conexiones con la cadena de suministros.

Es ya redundante, pero no por innecesario, mencionar a los incidentes sufridos por Colonial cuyo incidente afectó a gran cantidad de compañías, ocasionando falta de combustible en varios estados de EEUU. O el de Kaseya, un proveedor de servicios administrados de tecnología, que, debido a una alteración en su solución, llevó a que 1500 clientes recibieron un malware en sus redes.

Es entonces necesario disponer de un programa de seguridad que contemple el riesgo proveniente de terceras partes.  Cada industria tiene sus propias regulaciones, particularidades y desafíos que difieren de otras. Pero el problema es el mismo para todas las organizaciones: una huella digital expandida a través de los proveedores que las hace más vulnerables. Y esta combinación crea el escenario perfecto para ser aprovechado por los ciberdelincuentes.

Se pueden hacer varias aproximaciones sobre el abordaje a realizar para el gobierno de terceras partes, pero podemos resumirlo en:

  • Planificar la evaluación del impacto que una brecha de seguridad, producto de terceros, pueda tener en el negocio. Los parámetros a considerar abarcan la discontinuidad del servicio, la reputación, las finanzas, la continuidad de la operación, los regulatorios, entre otros.
  • Assessment de terceros, a partir del riesgo inherente del servicio o solución a proveer y cómo mitigarlo para lograr uno residual, propio del apetito de riesgo de la empresa.
  • Contratos asociados al rol y responsabilidades del proveedor como su nivel de riesgo para la organización. Esto incluye también el proceso de terminación del contrato, que debe detallar la transición en el momento de su finalización.
  • Operación y monitorización para poder detectar variaciones en el riesgo asociado al servicio o producto suplidos.

Cuando planeamos la contratación de un servicio, debemos primero evaluar qué criticidad tendrá para nuestra organización, y así determinar si es crítica, alta, moderada o baja. A partir de aquí podremos definir qué tipo y con qué frecuencia ejecutaremos nuestros assessment.

Para el assessment podemos adoptar distintos modelos de análisis, que van desde el uso de cuestionarios para evaluación de requerimientos de seguridad, hasta ratings, evaluaciones técnicas de seguridad y certificaciones.

Todas son utilizadas en distintas instancias. Por ejemplo, soluciones de ratings cómo SecurityScorecard permiten una muy buena escalabilidad, monitorización continua con bajo o ningún esfuerzo de implementación. Lógicamente deben complementarse con una mirada interna, como es el uso de cuestionarios. Disponer de una herramienta como SecurityScorecard permitiría implantar reglas antes las que, si el rating de un tercero se reduce en un valor determinado, enviarle a éste entonces un cuestionario que indague en las causas de esta modificación.

En cuanto a los contratos, éstos dependerán de la industria, la criticidad del negocio y del servicio, considerándose incluir en el mismo tópicos como análisis de riesgo, assessments, colaboración en la respuesta ante incidentes, cloud security, endpoint security entre otros.

Al vendor no solo se lo debe evaluar durante el onboarding sino a lo largo de  todo el ciclo de vida de la relación. Es un trabajo complejo, pero si lo queremos hacer más gestionable, es conveniente segmentar de acuerdo a la criticidad de cada servicio. De este modo se podrá focalizar el monitoreo más minucioso en los proveedores más críticos.

Precisamente mencionábamos arriba herramientas de rating como SecurityScorecard que facilitan esta monitorización con muy bajo esfuerzo, automatizando acciones ante eventos que hacen más confortable el trabajo del equipo de profesionales de nuestra organización. Este tipo de soluciones no son por sí mismas las únicas que deberían instrumentarse, pero sí son claves en cualquier programa. Incluso integrables a un SOAR o soluciones de ticketing, por ejemplo.

Por lo tanto, cuando hablamos de decenas, cientos o incluso miles de proveedores,es importante saber que disponemos de potentes servicios de evaluación y monitorización de fácil implementación que nos ayudará en la tarea de gestión y evaluación. 

Debe insistirse en el punto de que la evaluación de terceros es un área que más pronto que tarde las empresas deben madurar. Se debe lograr un programa integral que reúna herramientas y procesos que lleven a mitigar este riesgo. Y no se trata de implantar una herramienta o un cuestionario estándar.  Una herramienta de scoring o rating no nos dará toda la perspectiva para una evaluación completa. Pero como cualquier herramienta de scoring en otras industrias (como la financiera o seguros), nos permitirán identificar cuando algo no está bien. Y nos llevarán a indagar más a fondo sobre qué está ocurriendo con lo que se está evaluando.

Concluyendo, la ciberseguridad cada día debe incorporar nuevas perspectivas. Ya hemos visto que durante 2020 fue necesario revisar los modelos de trabajo, obligando a una aceleración de la digitalización de las empresas que trajo un fuerte impacto en la ciberseguridad. La interdependencia tecnológica con proveedores es incluso anterior a la pandemia, y requiere que se preste atención a este tema. No es necesario esperar que una brecha en un tercero nos haga reflexionar sobre esta problemática. En ciberseguridad hay que ser. No cabe el no ser.

 

Artículo de ISMS Forum aquí.

NV presente en ISMS Forum 2021

NextVision

0

El jueves 25 de noviembre, se llevó a cabo la XXIII Jornada Internacional de Seguridad de la Información de ISMS Forum, uno de los eventos de ciberseguridad más importantes de Europa.

El mismo tuvo lugar en Madrid, con aproximadamente unas 500 personas que asistieron de la jornada. Desde NextVision, auspiciamos este importante evento que reunió a los referentes más importantes de la industria. 

Roberto Heker, director de NextVision participó en una de las mesas redondas donde se habló de Estrategias de Ciberseguridad en la Gestión de Ciberriesgos de Terceras Partes, donde profundizó sobre la importancia de la cadena de suministros en una estrategia sólida de ciberseguridad.
Además, estuvimos presentes en nuestro stand donde invitamos a los asistentes a realizar un scoring de ciberriesgo, y pudimos conversar más en detalle sobre los diferentes servicios que estamos impulsando desde NextVision:
Muchas gracias al equipo de ISMS Forum, a nuestro partner SecurityScorecard y a todos los clientes y visitantes que compartieron junto a nosotros esta importante jornada.

7 Recomendaciones de Ciberseguridad

NextVision

0

Un mundo digital seguro comienza contigo: A más conectividad, más seguridad.

 

Cada 30 de noviembre conmemoramos el Día Mundial de la Ciberseguridad con nuestra visión de construir una cultura cibersegura. .

Por ello y para concienciar sobre los riesgos que existen en el mundo digital, aconsejamos implementar las siguientes recomendaciones de ciberseguridad para evitar ser víctimas de un ciberataque.

7 Recomendaciones de Ciberseguridad

ACTUALIZA TU SOFTWARE CON REGULARIDAD

Una actualización de software puede incluir parches de seguridad, corrección de errores y solución de vulnerabilidades.

Es indispensable que mantengas actualizado tu sistema operativo, tus aplicaciones, tu navegador, etc.

1. ACTUALIZA TU SOFTWARE CON REGULARIDAD
2. ANTE LA DUDA, DESCONFÍA Y PIENSA ANTES DE HACER CLIC

DESCONFÍA ANTE LA DUDA Y PIENSA ANTES DE HACER CLIC

Te recomendamos que nunca abras un archivo adjunto y no hagas clic en un enlace de remitentes no reconocidos o correos que no esperabas recibir.

En promociones, ofertas, sorteos o mensajes de remitentes conocidos que realizan solicitudes extrañas, confirma primero su veracidad.

CONTROLA TUS HUELLAS DIGITALES

Las huellas digitales son un conjunto de acciones digitales rastreables.

Es sumamente importante que compruebes tus actividades con regularidad y elimines las cuentas que no utilizas, a modo de detectar actividades sospechosas.

Restablece la contraseña de las cuentas a las que no ingresaste durante un largo tiempo.

3. CONTROLA TUS HUELLAS DIGITALES
PROTEGE TUS CONTRASEÑAS

PROTEGE TUS CONTRASEÑAS

Actualiza tus contraseñas periódicamente y no las reutilices en tus redes sociales ni en sitios potencialmente inseguros. Crea contraseñas fáciles de recordar y difíciles de adivinar.

Utiliza 8 caracteres como mínimo y combina, por ejemplo, mayúsculas, minúsculas, números y caracteres especiales.

UTILIZA EL DOBLE FACTOR DE AUTENTICACIÓN

En aplicaciones, plataformas, correos electrónicos, redes sociales y en todo software que lo permita, implementa el doble factor de autenticación para añadir una barrera más de seguridad.

Compartimos tutoriales para implementarlo en:

5. UTILIZA EL DOBLE FACTOR DE AUTENTICACIÓN
6. HAZ COPIAS DE SEGURIDAD DE LA INFORMACIÓN CON REGULARIDAD

HAZ COPIAS DE SEGURIDAD DE LA INFORMACIÓN CON REGULARIDAD

Contar con un backup de la información almacenada es una medida para minimizar el impacto de un ciberataque y asegurar la continuidad del trabajo.

Las copias de seguridad deberían estar cifradas y disponibles para restaurar en caso de ser necesario.

ESTABLECE CONEXIONES SEGURAS

No conectes tus dispositivos a redes Wi-Fi públicas y recuerda utilizar una red privada virtual (VPN). Esto, garantizará que la conexión esté encriptada, dificultando el acceso de un atacante.

7. ESTABLECE CONEXIONES SEGURAS

El 80% de los ciberataques comienzan con un fallo humano. Los ciberdelincuentes lo saben

Comparte estas recomendaciones de ciberseguridad y fomentemos juntos la concientización para mantenernos más seguros y atentos, evitando caer en ciberataques.

Fraudes en la red: qué hacer y cómo evitarlos

NextVision

0

Hoy en día la sociedad invierte gran parte de su tiempo en el mundo online, no solo por ocio, trabajo y entretenimiento, sino que busca soluciones a problemas concretos en la red. Es por ello, que los delitos también se han adaptado a esta nueva actualidad. 

 

Los fraudes online más populares en 2021

Los fraudes, estafas o engaños por internet representan más del 80% de los ciberdelitos cometidos en 2021. Por esta razón, vamos a realizar un listado para detectar los fraudes online más comunes que usan los ciberdelincuentes para robar dinero y/o datos personales.  

 

  • Correos electrónicos o SMS que se hacen pasar por Correos y/u otras empresas de mensajería.

El comercio online ha aumentado, por ello, los estafadores han aprovechado este incremento de tráfico para la sustracción de datos haciéndose pasar por entidades de envío.

 

 

  •  Falsos emails de la Agencia Tributaria y otros organismos oficiales.

¡Cuidado con este tipo de emails! Suelen vincular una página web falsa para que introduzcas tu información personal. Asegúrate de que son páginas y correos oficiales.

 

 

  • Códigos falsos de verificación de WhatsApp.

En este tipo de fraude el estafador busca configurar en su teléfono cuentas de WhatsApp ajenas. Es recomendable no proporcionar códigos de confirmación a números desconocidos.

 

 

  • Comunicados falsos sobre el Covid.

Los estafadores aprovechan la angustia de la población para difundir links o enlaces a páginas web fraudulentas y de este modo robar o sustraer datos personales. Para informarse sobre la vacunación y la actualidad de la pandemia, es recomendable visitar webs oficiales.

 

 

  • Confirmaciones de compra de plataformas e-commerce.

Puedes encontrar emails sobre confirmación de pedido y/o incluso emails donde aseguran que ha habido problemas o intentos de inicio con tu cuenta de Amazon, Mercado Libre. ¡Evítalos! Revisa directamente el estado de tu cuenta desde la web o App oficial.

 

 

  • Phishing de bancos y servicios de pago.

Correos electrónicos donde se hacen pasar por bancos o servicios de pagos como PayPal. Para evitar este tipo de fraudes, accede a tu cuenta bancaria siempre siempre desde la aplicación o página web oficial.

 

 

  • Robo de cuentas en Instagram y/u otras RRSS.

Correos electrónicos donde los ciberdelincuentes declaran que tu cuenta de Instagram y/u otras RRSS va a ser eliminada, ha sido denunciada o ha habido un intento de sustracción. Encontraríamos un enlace a una web que simula la RRSS para dejar nuestros datos personales.

 

 

  • Estafas con criptomonedas.

Anuncios fraudulentos donde se ofrecen servicios de inversión de monedas.

.

 

  • Phishing de plataformas de streaming (Netflix, Amazon Prime, HBO o Disney Plus).

Correos electrónicos fraudulentos para acceder a tus cuentas de plataformas de streaming. Simulan ser páginas oficiales para acceder a los datos personales.

 

 

  • Cupones de descuento de grandes empresas.

Cupones, sorteos, códigos de descuento… todo desde correos electrónicos o SMS que redirigen a una página web fraudulenta. Para confirmar estos sorteos o códigos, es conveniente dirigirse a la página oficial.

 

 

Tips y consejos generales para evitar este tipo de estafas

Como hemos podido comprobar, existen numerosas formas de cometer estafas online y es posible que sin darnos cuenta, hayamos caído en su trampa. ¿Cómo debemos reaccionar en el caso de que estemos afectados en uno de estos ciberdelitos?

Si has proporcionado tu número de teléfono en alguno de estos engaños o descargado alguna app, es conveniente vigilar la factura de teléfono y ver que todo está en orden. En numerosas ocasiones, te suscriben a servicios SMS premium.

La mayoría de estas estafas se hacen de manera involuntaria, para prevenir este tipo de situaciones lo ideal es ponerse en contacto con la compañía de telefónica, para desactivar la opción de suscribirse a servicios SMS premium.

De la misma manera, si has proporcionado sin ser consciente tu datos de cuenta bancaria en una página web fraudulenta, vigila los cargos posteriores y ponte en contacto con tu entidad bancaria. Es recomendable prevenir solicitando una nueva tarjeta y dar de baja la actual.

 

¿Qué podemos hacer para evitar estos ciberdelitos?

Principalmente, como usuario o empresa, debes evitar dar tu información personal en una llamada o mensaje no solicitado.

En el caso de realizar transferencias de dinero, procura enviar a alguien que conoces personalmente y en el caso de ser una gran suma, realizarlo de forma fraccionada

Del mismo modo, es conveniente usar servicios confiables que ofrecen protecciones de seguridad.

En el caso de pago a proveedores habituales, también estate atento a cualquier correo que pueda aparentar ser de dicho proveedor solicitando un cambio en el pago del servicio. Dicho proveedor pudo haber sido hackeado para cometer fraudes a terceros.

 

 

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones de fraude cibernético. Así mismo, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar de manera particular y empresarial y fomentar la construcción de una cultura cibersegura.

CVE: Vulnerabilidades y Fallas de Seguridad

NextVision

0

CVE: Vulnerabilidades de noviembre

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 16/09

• ACTUALIZACIÓN: 29/11

• RESUMEN: La vulnerabilidad contiene una uri-path de solicitud manipulada que puede hacer que mod_proxy reenvíe la solicitud a un servidor de origen elegido por el usuario remoto.

• PRODUCTO AFECTADO: Apache HTTP Server, version 2.4.48 y versiones anteriores

• CAUSAS: Falsificación de solicitudes del lado del servidor. Elevación de privilegios.

• CONSECUENCIAS: Un atacante podría forzar al módulo mod_proxy (si está habilitado) a dirigir las conexiones a un servidor de origen que hayan elegido y hacer que parezca que el servidor está enviando la solicitud, posiblemente saltándose los controles de acceso como los cortafuegos que impiden a los atacantes acceder a las URLs directamente.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Apache recomienda actualizar a la versión 2.4.49.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 25/08

• ACTUALIZACIÓN: 29/11

• RESUMEN: Esta vulnerabilidad permite a los atacantes locales escalar los privilegios en las instalaciones afectadas de Kaspersky Password Manager. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.

• PRODUCTO AFECTADO: Kaspersky Password Manager para Windows anterior a 9.0.2 Patch R.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios de integridad media y ejecutar código en el contexto del usuario actual con integridad alta.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Kaspersky ha solucionado dicha vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD:7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 22/11

• RESUMEN: La vulnerabilidad se encuentra dentro del instalador del producto. El problema se debe a los permisos incorrectos configurados en una carpeta. El atacante puede hacer uso de dicha vulnerabilidad para elevar privilegios y ejecutar código arbitrario como SYSTEM.

• PRODUCTO AFECTADO: Adobe Creative Cloud 5.5 y versión anterior.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante local podría elevar privilegios en el instalador de Adobe Creative Cloud. El atacante debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar dicha vulnerabilidad.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Adobe recomienda realizar las actualizaciónes correspondientes en su sitio web.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD:7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 12/11

• RESUMEN: Esta vulnerabilidad existe dentro del servicio de Windows Installer. Si se llegara a explotar se podría abusar del servicio para eliminar un archivo o directorio pudiendo ejecutar código arbitrario como SYSTEM.

• PRODUCTO AFECTADO: Windows 7, 8.1, 10, 11.
Windows Server 2008, 2012, 2019, 2022

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría escalar privilegios en las versiones afectadas de Mirosoft Windows mediante la ejecución de código con pocos privilegios en el sistema destino.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Bajo
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft lo solucionó lanzando el parche en el Patch Tuesday.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.2

• CVES RELACIONADOS: CVE-2021-34415; CVE-2021-34416

• FECHA DIVULGACIÓN: 30/09

• ACTUALIZACIÓN: 22/11

• RESUMEN: Esta vulnerabilidad no valida la entrada enviada en las solicitudes para actualizar la configuración del proxy de red, lo que podría llevar a la inyección de comandos remotos en la imagen local por un administrador del portal web.

• PRODUCTO AFECTADO: Controlador de conector de reunión local de Zoom antes de la versión 4.6.348.20201217
Zoom MMR de Meeting Connector en las instalaciones antes de la versión 4.6.348.20201217
Conector de grabación local de Zoom antes de la versión 3.8.42.20200905
Zoom del conector de sala virtual en las instalaciones antes de la versión 4.4.6620.20201110
Balanceador de carga del conector de sala virtual en las instalaciones de Zoom antes de la versión 2.5.5495.20210326

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario en el servidor a través de privilegios de usuario root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Bajo


• MITIGACIÓN: El fabricante recomienda actualizar a la última versión disponible que corrige esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 6.8

• CVES RELACIONADOS: CVE-2021-0158; CVE-2021-0157

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 22/11

• RESUMEN: La vulnerabilidad permite al hardware la activación de la lógica de prueba o depuración en tiempo de ejecución para algunos procesadores Intel, esto permite que un usuario no autenticado pueda elevar privilegios a través del acceso físico.

• PRODUCTO AFECTADO: Intel CPU

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar un exploit para extraer la clave de cifrado de los dispositivos y obtener acceso a la información.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Intel recomienda que los usuarios de los procesadores Intel afectados se actualicen a la última versión proporcionada por el fabricante del sistema que resuelve estos problemas.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 15/11

• ACTUALIZACIÓN: 17/11

• RESUMEN: La vulnerabilidad existe dentro del servicio UPnP, que escucha en el puerto TCP 5000 de forma predeterminada.
Al analizar el encabezado de la solicitud uuid, el proceso no valida correctamente la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija.

• PRODUCTO AFECTADO: NETGEAR versión R6400v2 1.0.4.106_10.0.80

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante adyacente a la red podría ejecutar código arbitrario en los dispositivos afectados. No se requiere autenticación para dicha explotación.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: NETGEAR publico correcciones para la vulnerabilidad y recomienda realizar la actualización.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 3/11

• ACTUALIZACIÓN: 4/11

• RESUMEN: Esta vulnerabilidad existe por la debilidad en un subsistema SSH, una función desconocida del componente Key-based SSH Authentication Handler es afectada.

• PRODUCTO AFECTADO: Cisco Policy Suite con versiones anteriores a la 21.2.0.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: El atacante podría hacer uso de esta vulnerabilidad si logra conectarse a un dispositivo afectado a través de SSH. Con la creación de un exploit podría iniciar sesión remota sin autenticarse en un sistema con usuario root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Cisco recomienda actualizar a la última versión lanzada teniendo en cuenta que si las versiones anteriores de Cisco Policy Suite se actualizan a la versión 21.2.0, las claves SSH predeterminadas aún deben cambiarse manualmente.
Por otra parte, las claves SSH predeterminadas deben cambiarse.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/11

• ACTUALIZACIÓN: 4/11

• RESUMEN: La vulnerabilidad de ejecución de código remoto (RCE) se produce, ya que existe un falla de una validación incorrecta en los argumentos command-let (cmdlet)

• PRODUCTO AFECTADO: Microsoft Exchange Server Exchange 2016 y 2019

• CAUSAS: Remote Code Execution (RCE)

• CONSECUENCIAS: Un atacante remoto y autenticado podría tomar el control total de Exchange Server mediante el envío de paquetes malintencionados al servidor.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/10

• ACTUALIZACIÓN: 10/10

• RESUMEN: Se ha descubierto que, mediante la omisión de funciones de seguridad, los atacantes pueden instalar código malicioso para engañar a los usuarios al abrir un archivo de Excel.

• PRODUCTO AFECTADO: Microsoft Office 365 Apps para empresas / 2013 RT SP1 / 2013 SP1 / 2016/2019 / LTSC hasta 2021

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar código si la victima abre un archivo malicioso especialmente diseñado y de esta forma escalar privilegios.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsft recomienda actualizar los parches disponibles a la fecha.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 10

• CVES RELACIONADOS: CVE-2021-22204

• FECHA DIVULGACIÓN: 23/04

• ACTUALIZACIÓN: 1/11

• RESUMEN: Se ha descubierto un problema en GitLab CE/ EE que afecta a todas las versiones a partir de la 11.9.
GitLab no estaba validando correctamente los archivos de imagen que se pasaron a un analizador de archivos, lo que resultó en la ejecución de comando remoto.
Esta vulnerabilidad se publicó el 14 de abril del 2021 y se categorizó con un CVSS 9,9, pero en la ultima revisión se aumentó a 10.0.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.

• PRODUCTO AFECTADO: Versiones de GitLab Enterprise Edition (EE) y GitLab Community Edition (CE) a partir de la 11.9.

• CAUSAS: Invalidación de archivos de imagen que lleva a realizar un RCE.

• CONSECUENCIAS: Un atacante remoto podría ejecutar comandos arbitrarios como gitusuario debido al mal manejo de ExifTool de los archivos DjVu. El atacante, para explotar esta vulnerabilidad, no necesita una Autenticación, CSRF token o un endpoint HTTP válido.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: GitLab recomienda actualizar las versiones disponibles y se agregó una validación adicional.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de actualización.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 7/09

• ACTUALIZACIÓN: 4/11

• RESUMEN: La vulnerabilidad ManageEngine ADSelfService Plus es una solución de autoservicio de administración de contraseñas e inicio de sesión único para Active Directory y aplicaciones en la nube.
La misma se podría aprovechar para tomar el control de un sistema. Una campaña china de ciberespionaje recientemente fue descubierta explotando la vulnerabilidad de Zoho.

• PRODUCTO AFECTADO: ADSelfService Plus builds up to 6113

• CAUSAS: Ejecución de código remoto (RCE) y path traversal.

• CONSECUENCIAS: El atacante puede cargar un archivo .zip que contiene un Java Server Pages (JSP) WebShell hace pasar por un certificado X509: service.cer. Luego, se realizan solicitudes a diferentes puntos de la API para explotar aún más el sistema de la víctima.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar y restablecer contraseñas.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 2/11

• ACTUALIZACIÓN: 06/11

• RESUMEN: La vulnerabilidad cuenta con un problema en net/tipc/crypto.c dentro del kernel de Linux en las versiones anteriores de 5.14.16.
La funcion Transparent Inter-Process Communication (TIPC) permite que un usuario malintencionado remoto se aproveche de la invalidación de los tamaños que proporciona el usuario para el tipo de mensaje MSG_CRYPTO.

• PRODUCTO AFECTADO: Linux Kernel hasta 5.14.15

• CAUSAS:Desbordamiento de memoria.

• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario dentro del kernel, comprometiendo en su totalidad el sistema afectado ya que existe una falta de comprobación para el campo keylen del mensaje MSG_CRPPTO.
Esto causaría un desbordamiento de memoria y la escritura fuera del límite asignado.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar a la versión 5.14.16, la cuál elimina esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de Actualización.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/11

• ACTUALIZACIÓN: 11/11

• RESUMEN: Esta vulenerabilidad de corrupción de memoria afecta al firewall de PAN que utiliza GlobalProtect portal VPN. Los investigadores de Randori crearon un exploit que es capaz de obtener shell en el objetivo y acceder a datos de configuración y robar credenciales.

• PRODUCTO AFECTADO: Palo Alto PAN-OS versiones posteriores a 8.1.17.

• CAUSAS: Buffer Overflow. Ejecución remota de código sin autenticación.

• CONSECUENCIAS: Un atacante no autenticado en la red podría generar interrupción y ejecutar código arbitrario con privilegios root y moverse lateralmente.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Paloalto recomienda aplicar los parches lanzados.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

CVE: Vulnerabilidades y Fallas de Seguridad

NextVision

0

CVE: Vulnerabilidades de octubre

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: CVE-2021-37975, CVE-2021-37976

• FECHA DIVULGACIÓN: 1/10

• ACTUALIZACIÓN: 15/10

• RESUMEN: Una función desconocida del componente Safe Browsing es afectada por estas vulnerabilidades. Mediante la manipulación de un input se causa la vulnerabilidad de clase de desbordamiento de búfer.

• PRODUCTO AFECTADO: Navegador Google Chrome en Windows, MacOS y Linux

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante que explote con éxito esta vulnerabilidad puede causar daños en la memoria (Use After Free) en IV8 a través de una página HTML diseñada que podría ejecutar de forma remota código arbitrario y obtener el control total del sistema.
Por otra parte, el atacante también podría aprovechar una implementación inapropiada en la memoria para obtener de forma remota información confidencial de la memoria del proceso a través de una página HTML maliciosamente diseñada.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: Google recomienda actualizar a la version estable 94.0.4606.71

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de actualizaciones.
• GRAVEDAD: 7.3

• CVES RELACIONADOS: CVE-2021-42013, CVE-2021-41524

• FECHA DIVULGACIÓN: 5/10

• ACTUALIZACIÓN: 11/10

• RESUMEN: Si los archivos, fuera de la raíz del documento, no están protegidos por "REQUIRE ALL DENIED", estas solicitudes pueden tener éxito. La vulnerabilidad también podría permitir a los atacantes filtrar la fuente de archivos interpretados como scripts CGI.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.

• PRODUCTO AFECTADO: Servidor HTTP Apache versión 2.4.49

• CAUSAS: Path Traversal

• CONSECUENCIAS: Un atacante que explote con éxito la vulnerabilidad puede asignar una URL a archivos fuera de la raíz del documento pudiendo leer archivos arbitrarios del servidor web.
Por otra parte, se podría crear solicitudes especiales que causen problemas de DoS en el servidor web explotando con éxito el CVE-2021-41524.
Asimismo, si el atacante logra cargar archivos diseñados especialmente en el servidor HTTP Apache, podría obtener privilegios de administrador por completo dentro del servidor.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda actualizar a Apache HTTP Server versión 4.51

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: CVE-2021-40450, CVE-2021-41357

• FECHA DIVULGACIÓN: 12/10

• ACTUALIZACIÓN: 19/10

• RESUMEN: Esta vulnerabilidad es de tipo use-after-free y se encuentra en el controlador Win32k y la misma puede ser explotada con una técnica para filtrar las direcciones base de los módulos del kernel.
A su vez, se parchea un total de 74 vulnerabilidades, que se sanitizan con la actualización de cada martes, llamada Patch Tuesday. Del total de vulnerabilidades, CVE-2021- 40449 es la que cuenta con mayor impacto.

• PRODUCTO AFECTADO: Microsoft Windows 7/ 8.1/ 10 /11 x64 x86 arm64, Windows Server 2008/ 2012/ 2016 /2019

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría explotar dicha vulnerabilidad mediante la escalación de privilegio y lanzar un troyano de acceso remoto, como MysterySnail, el cual les daría acceso al sistema de la víctima.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Bajo
- Disponibilidad: Alto


• MITIGACIÓN: La empresa recomienda actualizar los productos afectados.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 20/10

• ACTUALIZACIÓN: 16/10

• RESUMEN: Una vulnerabilidad en la CLI del software Cisco IOS XE SD-WAN podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios de root.

• PRODUCTO AFECTADO: Software Cisco IOS XE SD-WAN

• CAUSAS: La vulnerabilidad se debe a una validación de entrada insuficiente por parte de la CLI del sistema.

• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad al autenticarse en un dispositivo afectado y enviar una entrada diseñada a la CLI del sistema. Un exploit exitoso podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: No existen soluciones alternativas que aborden esta vulnerabilidad.

• REFERENCIAS:
- Publicación en página del proveedor.
• GRAVEDAD: 7.1

• CVES RELACIONADOS: CVE-2018-20250, CVE-2018-20253

• FECHA DIVULGACIÓN: 20/10

• ACTUALIZACIÓN: N/A

• RESUMEN: Esta vulnerabilidad se observa en un error de JavaScript generado por MSHTML. Al terminar el periodo de prueba, WinRAR da aviso al usuario a través de una notificación "notifier.rarlab [.] com”, que al interceptarse y modificarse se podría hacer uso para realizar una ejecución de código.

• PRODUCTO AFECTADO: WinRAR version 5.70

• CAUSAS: Ejecución de código remoto a través de un error por MSHTML.

• CONSECUENCIAS: Un atacante podría realizar una ejecución remota de código con archivos RAR en las versiones anteriores a la 5.7. Esto se puede llevar a cabo a través de un exploit conocido, como lo es el CVE-2018-20250. Si un atacante ya cuenta con el acceso al mismo dominio de red mediante esta vulnerabilidad también se podría realizar un ataque de suplantación de identidad, ARP Spoofing.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda actualizar a la versión más reciente que el fabricante ha liberado.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

Los ataques ransomware crecieron más de 700% durante el 2021

NextVision

0

Nuestro partner Kaspersky, realizó un estudio donde comparó datos desde el 2019 a la fecha y anunció un incremento superlativo de ataques Ransomware. Este tipo de ataque se ha escuchado recientemente en numerosas ocasiones, siendo algunos de los últimos y más conocidos el hackeo de REvil a Kaseya, compañía de software de Estados Unidos.

También fueron difundidos masivamente los ataques a las empresas JBS, Apple, Accenture, incluso la ONU y a Colonial Pipeline; esta última reconoció que accedió a un pago de u$s5 millones para recuperar sus activos.

 

Los valores del Ataque de Ransomware

Durante el año se pagó un total acumulado de casi U$S 50 millones en todo el mundo en concepto de rescate ante ransomwares. En cuanto a los distintos tipos de este ataque, el que mayores ingresos registró hasta la fecha es Conti, con más de U$S 14 millones. Le sigue REvil/Sodinokibi, con más de U$S 11 millones.

El aumento de ataques se produce a partir de que el pago promedio, a comparación del año pasado, aumentara un 171%, superando los U$S 312.000.

El acceso remoto a partir del home office y la piratería son los principales vectores de ataque, tanto para consumidores como para empresas.

El informe creado por Kaspersky sobre América Latina toma como referencia los 20 programas maliciosos más populares, los cuales representan más de 728 millones de intentos de infección en la región, un promedio de 35 ataques por segundo.

La pandemia tomó desprevenidos a los usuarios y, sobre todo, a las empresas, ya que no contaban con medidas para reconocer las amenazas en un entorno cambiante como el que se generó.

«El 73% de los empleados que trabajan desde casa no han recibido ninguna orientación o formación específica sobre ciberseguridad para mantenerse a salvo de los riesgos y, tan sólo el 53% de ellos utiliza una VPN para conectarse a las redes corporativas. Por lo tanto, el teletrabajo puede suponer un gran riesgo para la seguridad de la organización», señala el partner de NV.

 

La conclusión es clara: La seguridad de las tecnologías para el trabajo remoto debe ser prioridad.

 

Actualmente, estamos viendo un aumento del 25% en los ciberdelitos en todo el mundo. En estos momentos, España es el país del mundo más atacado y Argentina lo sigue, entrando en el puesto 34° de la lista durante septiembre.

«El reciente cambio en las prácticas laborales, así como la digitalización, la llegada del 5G y el eventual crecimiento del número de dispositivos IoT, entre otras cosas, contribuirán a un aumento general de la ciberdelincuencia en todo el mundo. Los ciberataques seguirán creciendo exponencialmente en sofisticación y volumen». Indican desde Kaspersky.

Respecto a esto, Gartner coincide también. Todo indica que para 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques.

Desde el punto de vista de Kaspersky, los ataques de ransomware «Siguen cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se perfeccionan». Teniendo esto en cuenta, señala que no hay marcha atrás. El fenómeno seguirá creciendo: «Causan y seguirán causando más trastornos que antes».

Todo el mundo es susceptible de caer en ataques de ransomware, phishing o smishing. Incluso alguien entrenado para detectar una falsificación puede a veces tener dificultades para determinar si un mensaje es de phishing o es una comunicación legítima.

El número de ciberdelincuentes está creciendo y por eso es sumamente importante poder educarnos a través de la ciberconcientización. Realizando actividades de hardening sobre los usuarios les estaremos brindando herramientas para disminuir los posibles vectores de ataque sobre la compañía.

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones reactivas en las que debemos lidiar con pagos de rescates que financian el ciberdelito y no garantizan el recupero de la información. Contamos con una guía de preparación ante el ransomware.

Además, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar a los colaboradores de cada organización y fomentar así la construcción de una cultura cibersegura.

Ingeniería Social: qué es y cómo actuar ante estos ataques

NextVision

0

La ingeniería social es la práctica en donde los ciberdelincuentes obtienen información confidencial a través de la manipulación de los usuarios para que se salten todos los procedimientos de seguridad que deberían seguir para protegerse. 

¿Has recibido alguna vez el mail de un supuesto banco que te alerta porque la cuenta fue cancelada y debes hacer clic para introducir tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar información sensible para acceder a entornos más protegidos como los corporativos, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o incluso de la empresa para la cual trabaja. Aquí es necesario preguntarse ¿Están informadas las empresas y los usuarios sobre este tipo de tácticas? y ¿sabemos cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo y personal de los usuarios:

En la actualidad es más fácil engañar a una persona para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear un sistema, el cual seguramente contará con controles y alertas de seguridad que impedirán el ataque. 

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados y usuarios informados y capacitados, esta podría ser la mayor amenaza de seguridad para las organizaciones, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing: correos fraudulentos que engañan para que la víctima comparta información sensible.

  • Robo de identidad: hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware: alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting: uso de USBs con malware que se dejan en lugares públicos para que alguien los encuentre y los conecte a su ordenador o dispositivo. 
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing: el criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia o por un empleado de una empresa que solicita información personal para solucionar una incidencia de un servicio contratado. 

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización o a un usuario habitual de la red para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle emails segmentados y relevantes para que al final haga clic en un enlace malicioso infectando así su ordenador. 

Por último, encontramos el Fraude del CEO/Suplantación del CEO que tiene lugar cuando es un alto directivo el blanco de ataque de los ciberdelincuentes. Estos ciberataques tratan de sustraer las credenciales de inicio de sesión o mail. De esta manera, podrían hacerse pasar por un directivo y autorizar una transferencia bancaria fraudulenta o acceder a información muy confidencial de la organización. 

¿Qué podemos hacer para prevenir estos ciberataques?

Como podemos comprobar, es fundamental que las compañías y la sociedad en general adopten una cultura cibersegura que brinde capacitación continua y para que mantenga la información actualizada acerca de las amenazas vigentes. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los trabajadores y usuarios particulares a entender por qué es tan importante que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación para evitar el robo de identidad en nuestro correo electrónico y en nuestras redes sociales habituales como LinkedIn o Facebook
  • Fomentar el empleo de contraseñas seguras para también evitar la suplantación de nuestra identidad. Debemos aprender a crear contraseñas seguras para protegernos en la red. 

 

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo muy alto y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por ello, la seguridad de la información debe considerarse también como un proceso cultural, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

 

Por todo ello, en NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contáctenos!

Buenas prácticas y consejos para protegerse del ramsomware

NextVision

0

El ransomware, también conocido como el malware de rescate lleva años siendo una de las amenazas más importantes para la seguridad de las empresas,  y continúa aumentando, utilizando técnicas que son cada vez más sofisticadas y específicas. Los líderes en seguridad y gestión de riesgos deben mirar más allá de los endpoints para ayudar a proteger a la organización del ransomware.

El ransomware continúa representando un riesgo significativo para las organizaciones.

Los ataques recientes han evolucionado: desde los ataques de propagación automática, como Wannacry y NotPetya a ejemplos más específicos, que atacan a una organización, en lugar de a puntos finales individuales. Las campañas de ransomware recientes, como REvil y Ryuk, se han convertido en «ransomware operado por humanos» , donde el ataque está bajo el control de un operador, en lugar de propagarse automáticamente. Estos ataques a menudo se aprovechan de debilidades de seguridad conocidas para obtener acceso. 

Según Gartner, en 2025 al menos el 75% de las organizaciones de TI se enfrentarán a uno o más ataques. Los investigadores documentaron un aumento dramático en los ataques de ransomware durante el año 2020 y esta cifra apunta a siete veces o mayores tasas de crecimiento. Las implicaciones de un ataque de ransomware pueden ser desde económicas, con costes de hasta 730.000 dólares de media a nivel mundial, hasta reputacionales y operacionales ( pérdida de datos, periodos largos de inactividad, archivos sensibles comprometidos…) para la compañía que lo sufre.

El avance de la tecnología y la modalidad reciente del teletrabajo está generando que cada vez los ataques sean mucho más inteligentes, sofisticados y por ende peligrosos. Por ello, es de suma importancia tener a disposición las soluciones y servicios necesarios para poder hacer frente a las ciberamenazas. 

Sugerimos a las organizaciones y líderes de ciberseguridad:

  • Prepararse para los ataques de ransomware construyendo una estrategia de preparación previa al incidente , que incluye respaldo, administración de activos y la restricción de privilegios de usuario.
  • Implementar medidas de detección mediante la implementación de tecnologías de detección basadas en anomalías de comportamiento para identificar ataques de ransomware.
  • Desarrollar y contar con servicios de respuesta a incidentes, con profesionales experimentados y programar simulacros regulares.

Desde NextVision con la finalidad de hacer frente al panorama actual y las necesidades que requieren tiempo, recursos y know how,  contamos con NV CIBERDEFENSA una propuesta pensada para robustecer la seguridad de nuestros clientes y ayudarlos a gestionar eficazmente los riesgos gracias a un servicio gestionado, modular y competitivo que permite predecir, prevenir, detectar y mitigar las posibles amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes en el mercado y por un equipo de consultores expertos. 

Nuestros expertos los acompañarán con consultoría especializada, servicios gestionados y tecnologías líderes en el mercado, que les permitirá tener visibilidad de la superficie de ataque así como predecir, prevenir, detectar a tiempo y responder inmediatamente en caso sea necesario.

Recomendaciones de nuestros expertos: 

Para administradores:

1. Mantener actualizados sus productos de seguridad.

2. Asegurarse de que sus endpoints estén bien protegidos.

3.Adoptar políticas de grupo con políticas de GPO.Comprobar regularmente las exclusiones.

4. Configurar Informes diarios y revisarlos periódicamente.

5. Contar con una protección de endpoints que incluya:

-Detección y Respuesta ante amenazas avanzadas (EDR)

-Protección ante amenazas desconocidas de día cero (Zero Day)

-Detección de comportamiento

-Protección de exploits

-Prevención de Intrusiones de Host (HIPS)

-Nube de inteligencia de amenazas

-Rollback de acciones maliciosas ante posible ataque de Ransomware

Para CISOs:

1. Implemente protección en capas, ante el considerable aumento de las extorsiones y ataques, utilice protección en capas para bloquear a los atacantes en tantos puntos como sea posible a través de tu entorno.

2. Combine expertos y tecnología anti-ransomware. Es clave disponer de una defensa en profundidad que integretecnología dedicada anti-ransomware y gestión a cargo de especialistas.

3. Implemente un proceso de gestión de vulnerabilidades basado en riesgos que incluya inteligencia de amenazas. El ransomware a menudo se basa en sistemas sin parches para permitir el movimiento lateral.

4. La conciencia de seguridad para los usuarios también es esencial…Eduque constantemente a los empleados para construir una cultura cibersegura en la organización.

5. Cuente con una estrategia o servicio de manejo de incidentes. Siempre hay que estar preparados.

6. Si su organización se infecta, no pague el rescate.

7. Cuente con un buen proceso y estrategia de copia de seguridad, es la principal línea de defensa contra el ransomware.

¡Contacta ya con nosotros y déjate asesorar por un equipo de consultores!

× ¿Cómo puedo ayudarte?