Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
No podemos negar que la protección de datos personales ha sido una temática en auge durante los últimos años, potenciada además por la pandemia. Ahora bien, si es tan importante como muestra la realidad, ¿por qué es uno de los últimos temas del orden del día de una empresa?
Sabemos que, en el día a día, una compañía se enfrenta a diversos problemas pero la protección de datos personales de sus clientes no debería ser un tema menor.
Las consecuencias negativas que acarrea la falta de cuidado y prevención en el tratamiento de los datos de cualquier organización puede llegar a ser difícil de reparar.
En un estudio presentado en Dell Technologies Forum 2021, los resultados demuestran que, en muchos casos, los datos dejan de ser una utilidad para pasar a ser un problema y una de las causas de este fenómeno está en las debilidades de seguridad y privacidad de los datos.
Llegada del RGPD a España:
A nivel Europeo la llegada del RGPD ha llevado a las empresas a implementar mejoras en sus sistemas de protección de datos personales. Sabemos que las sanciones por incumplimiento de RGPD pueden llegar a afectar gravemente, no solo a la economía de una empresa si no también a su reputación.
Sin embargo, para algunas empresas, la protección de datos no es un tema “tan importante”. Esto lo podemos atribuir a distintos motivos como: las bajas cantidades de las multas por incumplimiento, la falta de actualización de nuestra Ley de Protección de datos Personales o incluso a una cultura reactiva y no preventiva.
Por otro lado, también encontramos un camino esperanzador donde empresas de diversas industrias invierten en una cultura de protección de datos, capacitana su personal, adoptan medidas técnicas y organizativas para luchar por una mejor gestión y cuidado de sus datos. También, implementando programas de cumplimiento de la legislación vigente.
Estas compañías saben que cuidar de sus datos, lejos de suponer un gasto supone una inversión. Algunas de las consecuencias positivas de esta cultura en protección de datos personales en las compañías son:
Beneficios de una Cultura en Protección de Datos:
Tener siempre identificados los riesgos asociados a los tratamientos de datos que se lleven a cabo dentro de la compañía.
Identificar proveedores que garanticen una adecuada protección de datos.
Adaptarse fácilmente a cambios regulatorios de protección de datos.
Saber cómo responder ante brechas de seguridad que afecten a datos personales.
Evitar sanciones, fuga de datos y pérdida de imagen.
Desde NextVision creemos que es fundamental implementar una cultura en protección de datos personales en las compañías como respuesta ante incidentes que afecten a nuestros datos personales y como prevención y protección de lo que, hoy en día, se considera el activo más valioso de un negocio, sus datos.
Por ello, gracias a nuestro servicio NV Protección de Datos Personales, podrás desarrollar una Cultura en Protección de Datos en tu organización e implementar las herramientas y sistemas necesarios para proteger todos tus datos sensibles y los de tus clientes.
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 6.1
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 11/05/2022
• ACTUALIZACIÓN: 18/05/2022
• RESUMEN: La vulnerabilidad existe debido a una desinfección insuficiente de los datos proporcionados por el usuario.
• PRODUCTO AFECTADO: FortiOS versión 7.0.3 e inferior,
FortiOS versión 6.4.8 e inferior,
FortiOS versión 6.2.10 e inferior,
FortiOS versión 6.0.14 a 6.0.0.
FortiProxy versión 7.0.1 y anteriores,
FortiProxy versión 2.0.7 a 2.0.0.
• CAUSAS: Ejecución de codigo no autorizado.
• CONSECUENCIAS: Un atacante remoto podria engañar a la víctima para que siga un enlace especialmente diseñado y ejecute código HTML y script arbitrario en el navegador del usuario en el contexto de un sitio web vulnerable. La explotación exitosa de esta vulnerabilidad puede permitir que un atacante remoto robe información potencialmente confidencial, cambie la apariencia de la página web, realice ataques de phishing y de descarga oculta.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: Actualice a FortiProxy versión 7.0.2 o superior.
Actualice a FortiProxy versión 2.0.8 o superior.
Actualice a FortiOS versión 7.0.4 o superior.
Actualice a FortiOS versión 6.4.9 o superior.
• RESUMEN: La vulnerabilidad existe debido a una sanitización insuficiente de los datos proporcionados por el usuario.
• PRODUCTO AFECTADO: FortiNAC versión 8.3.7
FortiNAC versión 8.5.0 a 8.5.2
FortiNAC versión 8.5.4
FortiNAC versión 8.6.0
FortiNAC versión 8.6.2 a 8.6.5
FortiNAC versión 8.7.0 a 8.7.6
FortiNAC versión 8.8.0 a 8.8. 11
FortiNAC versión 9.1.0 a 9.1.5
FortiNAC versión 9.2.0 a 9.2.2
• CAUSAS: SQL injection
• CONSECUENCIAS: Un usuario remoto podria enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.
• MITIGACIÓN: Actualizar a FortiNAC versión 10.0.0 o superior,
Actualizar a FortiNAC versión 9.4.0 o superior,
Actualizar a FortiNAC versión 9.2.3 o superior,
Actualizar a FortiNAC versión 9.1.6 o superior,
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta
• PRODUCTO AFECTADO: QNAP QVR, afecta a las versiones anteriores a la 5.1.6 compilación 20220401.
• CAUSAS: Ejecución de codigo remoto
• CONSECUENCIAS: Un atacante remoto no autenticado podria pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios en el sistema de destino.
• RESUMEN: La vulnerabilidad existe debido a una validación insuficiente de los archivos durante la carga de archivos en el punto final /fileupload
• PRODUCTO AFECTADO: Administrador de API WSO2: 2.2.0 - 4.0.0
Servidor de identidad WSO2: 5.2.0 - 5.11.0
Análisis del servidor de identidad WSO2: 5.4.0 - 5.6.0
WSO2 Identity Server como administrador de claves: 5.3.0 - 5.10.0
Integrador empresarial WSO2: 6.2.0 - 6.6.0
Banca abierta AM: 1.3.0 - 2.0.0
KM de Banca Abierta: 1.3.0 - 1.5.0
• CAUSAS: Ejecución de codigo remoto
• CONSECUENCIAS: Un atacante remoto no autenticado podrea cargar un archivo malicioso con una secuencia transversal de directorio de disposición de contenido para colocarlo en el directorio webroot y ejecutarlo en el servidor.
• RESUMEN: La vulnerabilidad existe debido a una vulnerabilidad de inyección de argumentos en el componente de autenticación basado en navegador del controlador ODBC Magnitude Simba Amazon Redshift e implica una validación incorrecta de los tokens de autenticación
• RESUMEN: La vulnerabilidad existe debido a la falta de autenticación en la API REST de iControl en " /mgmt/tm/util/bash "
• PRODUCTO AFECTADO: F5 BIG-IP:
16.1.2.2 : afecta a versiones anteriores a 16.1.2.2
15.1.5.1 : afecta a versiones anteriores a 15.1.5.1
14.1.4.6 : afecta a versiones anteriores a 14.1.4.6
13.1.5 : afecta a versiones anteriores a la 13.1.5
12.1.6 : afecta a 12.1.6 y versiones anteriores
11.6.5 : afecta a 11.6.5 y versiones anteriores
• CAUSAS: Autenticación faltante para función crítica.
• CONSECUENCIAS: Un atacante remoto no autenticado podria enviar una solicitud HTTP POST especialmente diseñada al puerto de administración y/o direcciones IP propias y ejecutar comandos arbitrarios en el sistema.
• RESUMEN: La vulnerabilidad existe debido a que la aplicación no impone adecuadamente las restricciones de seguridad en el controlador "Anti Rootkit" dentro del controlador del kernel "aswArPot.sys" en aswArPot+0xc4a3
• PRODUCTO AFECTADO: Avast Antivirus: antes de 22.1
AVG Antivirus: antes de 22.1
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podria realizar la omision de las restricciones de seguridad y elevar los privilegios en el sistema.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda actualizar a la version mas reciente.
• CONSECUENCIAS: Un atacante remoto podria engañar a la víctima para que se conecte a un servidor web malicioso y recupere el nombre de usuario y la IP del cliente de un proxy web a través de solicitudes HTTP del mismo origen que activan páginas de códigos de estado HTTP generadas por proxy.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Actualice a FortiGate versión 7.0.4 o superior.
Actualice a FortiGate versión 6.4.9 o superior.
• CONSECUENCIAS: Un atacante podria ejecutar código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
• CONSECUENCIAS: Un atacante podria abusar de esta vulnerabilidad para reemplazar secuencias de comandos que networkd-dispatcher cree que son propiedad de root por otras que no lo son. Junto con la vulnerabilidad (CVE-2022-29799), esto permite la escalada de privilegios al sobrescribir archivos arbitrarios en el sistema.
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 9.8
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 01/04/2022
• ACTUALIZACIÓN: 19/04/2022
• RESUMEN: La vulnerabilidad existe cuando se utiliza la funcionalidad de enrutamiento, es posible que un usuario proporcione un SpEL especialmente diseñado como una expresión de enrutamiento que puede resultar en la ejecución remota de código y el acceso a los recursos locales.
• PRODUCTO AFECTADO: Función Spring Cloud Function versiones 3.1.6, 3.2.2 y todas las versiones antiguas y no compatibles.
• CAUSAS: Control inadecuado de generación de código. Inyección de código.
• CONSECUENCIAS: Un atacante remoto podria enviar una solicitud HTTP especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
• RESUMEN: La vulnerabilidad existe debido a la inyección de plantillas del lado del servidor.
• PRODUCTO AFECTADO: VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
• CAUSAS: Ejecución de codigo remoto
• CONSECUENCIAS: Un atacante remoto podria enviar una solicitud HTTP especialmente diseñada y realizar una inyección de plantilla del lado del servidor
• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro del controlador del sistema de archivos de registro comunes de Windows.
• PRODUCTO AFECTADO: Microsoft Windows 10, 8.1, 7.
Windows Server 2008, 2012, 2016, 2019
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podria ejecutar un programa especialmente diseñado para provocar daños en la memoria y ejecutar código arbitrario con privilegios elevados.
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta dentro del componente de bibliotecas en Oracle GraalVM Enterprise Edition.
• CONSECUENCIAS: Un atacante remoto no autenticado podria aprovechar esta vulnerabilidad para interrumpir el servicio y manipular datos. Esta vulnerabilidad también se puede explotar mediante el uso de API en el componente especificado.
• RESUMEN: La vulnerabilidad existe debido a un error de límite cuando se arrastra un archivo con la extensión .7z al área Ayuda>Contenido.
• PRODUCTO AFECTADO: 7-Zip hasta el 21.07
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante remoto podria engañar a la víctima para que descargue y arrastre un archivo especialmente diseñado, desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema de destino bajo el proceso 7zFM.exe
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta en el tiempo de ejecución de llamada a procedimiento remoto.
• PRODUCTO AFECTADO: Microsoft Windows 10, 8.1, 7.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto podría enviar una llamada RPC especialmente diseñada a un host RPC y ejecutar código arbitrario en el sistema de destino.
• RESUMEN: La vulnerabilidad potencial existe en LenovoVariable SMI Handler debido a una validación insuficiente en algunos modelos de portátiles
Un controlador utilizado durante los procesos de fabricación más antiguos en algunos dispositivos portátiles Lenovo de consumo que se incluyó por error en la imagen del BIOS.
Un controlador utilizado durante el proceso de fabricación en algunos dispositivos portátiles Lenovo de consumo que no se desactivó por error.
• PRODUCTO AFECTADO: Multiples portatiles Lenovo
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podria obtener acceso local y privilegios elevados al ejecutar código arbitrario mediante la modificación de una variable NVRAM.
• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro del subsistema AppleAVD.
• PRODUCTO AFECTADO: macOS Monterey 12.3.1
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante podría ejecutar un programa especialmente diseñado para activar una escritura fuera de los límites y ejecutar código arbitrario con privilegios de kernel.
• RESUMEN: La vulnerabilidad existe debido a una validación insuficiente de la entrada proporcionada por el usuario en el Portal de usuario y Webadmin.
• PRODUCTO AFECTADO: Sophos Firewall versión anteriores a 18.5 MR3
• CAUSAS:Omisión de autenticación
• CONSECUENCIAS: Un atacante remoto podria enviar solicitudes especialmente diseñadas a la interfaz web y ejecutar código arbitrario en el sistema.
• RESUMEN: La vulnerabilidad existe debido a la presencia de credenciales codificadas en el código de la aplicación dentro del registro basado en OmniAuth.
• PRODUCTO AFECTADO: GitLab posterior a 14.9 a 14.9.2, posterior a 14.8 a 14.8.5, posterior a 14.7 a 14.7.7.
• CAUSAS:Uso de credenciales codificadas.
• CONSECUENCIAS: Un atacante remoto podría obtener acceso completo al sistema utilizando las credenciales codificadas.
La interdependencia de nuestras empresas con aquellas que integran la cadena de suministros es cada vez más alta.
La cantidad de productos y servicios que se contratan a terceros hacen que no podamos ignorar a nuestros proveedores en el análisis de ciberriesgos que realizamos para nuestra organización. Precisamente, en 2020 el Foro Económico Mundial destaca la importancia de la ciberseguridad en este ámbito, el de la cadena de suministros. Entre sus recomendaciones se encuentra:
“el uso de herramientas de ciberinteligencia para poder enfrentar el escenario de amenazas que tienen las organizaciones en la actualidad”.
La Gestión del Riesgo de Terceras Partes (TPRM) o Vendor Risk Management (VRM) es una preocupación que cada vez estará más presente entre las prioridades del CISO. No se trata ya de regulaciones, que hay que cumplirlas, sino de una necesidad de negocio que se ha disparado debido a la transformación digital y la digitalización acelerada por la pandemia. Los incidentes originados en ataques a terceros son cada vez más frecuentes y resonantes, como SolarWinds, Kayesa, Pulse. Según Gartner, para 2025, el 60 % de las organizaciones utilizarán el riesgo de ciberseguridad como un factor determinante en la realización de transacciones de terceros.
La falta de medidas específicas para prevenir el riesgo de terceros es considerable en la mayoría de las empresas. Como sabemos, la superficie de ataque está integrada no solo por aplicaciones y dispositivos propios, sino que la integración de los terceros en esta superficie tiene un impacto directo en nuestra seguridad. De hecho, no solo son los terceros el problema, sino también las cuartas partes, es decir, sus proveedores, a los que ellos delegan servicios. Esto es también fuente de vulnerabilidades que afectan a nuestra red.
En consecuencia, los CISO tienen desafíos para TPRM:
> Mejorar el análisis de terceros que actualmente se ejecuta a través de hojas de cálculo, correos electrónicos o procesadores de texto.
> La Transformación Digital que ha expandido la superficie de ataque de modo exponencial.
> Digitalización acelerada.
> Acceso remoto, tanto de propios como de terceros.
> Compliance.
> Los boards, particularmente aquellos donde los Fondos de Inversión tienen un peso significativo. Estos pueden exigir un buen nivel de ciberseguridad y un reporting adecuado.
> Los ciberseguros que hacen una evaluación de la postura de ciberseguridad de la empresa y de su cadena de suministros.
Los equipos de trabajo están desbordados de tareas, problema que se agudiza con los frecuentes incidentes. En consecuencia, el team de seguridad no tiene otra opción que enfocarse en lo urgente, es decir, los problemas a corto plazo y el mediano o largo plazo quedan pospuestos hasta próximo aviso.
Sin embargo, es posible agilizar la mejora en TPRM. Esta mejora debe tener una perspectiva 360º. Esto se logra obteniendo información consistente de todo el ecosistema del proveedor. La mirada es tanto desde afuera, evaluando la huella digital, como interna mediante formularios de requisitos de seguridad.
Son ampliamente conocidas las plataformas de scoring que miden la postura de ciberseguridad con información pública. Las mejores lo hacen detallando en forma transparente su proceso de análisis. Pero como el análisis de terceros también debe contemplar los procesos internos, estas plataformas ofrecen formularios que valoren las prácticas internas de la organización a estudiar. Se potencia este trabajo cuando a su vez se integran a herramientas de gestión y de seguridad como SIEM, Ticketing, Análisis de Vulnerabilidades, etc.
Es decir, que las herramientas que permiten la gestión del riesgo de terceros utilizan tanto fuentes de información externas como internas y así determinan indicadores muy útiles, que no pretenden ser perfectos, sino óptimos.
Es claro que en estos momentos más que nunca, tenemos un grado de exposición considerable. Y para disponer de una visibilidad completa de esta exposición, es indispensable que seamos capaces de reconocer a una parte vital de nuestra superficie de ataque como son los terceros, y en consecuencia, los ciberriesgos que estos nos generan. Por lo tanto, la implementación de un buen Plan de Gestión de Riesgos de Terceros hace posible mitigar estos riesgos. Y dentro de ese plan, la utilización de una potente solución de scoring y formularios de requisitos de seguridad, son clave para la homologación y monitorizacióncontinua de la cadena de suministros.
“El eslabón que no podemos permitir que se rompa”.
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 7.8
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 07/03/2022
• ACTUALIZACIÓN: 11/03/2022
• RESUMEN: La vulnerabilidad existe dentro del Servicio Auxiliar de Bitdefender. Al crear un enlace simbólico, un atacante puede abusar del servicio para sobrescribir un archivo.
• PRODUCTO AFECTADO: BitDefender Total Security versiones anteriores a la 26.0.10.45.
BitDefender Internet Security versiones anteriores a la 26.0.10.45.
BitDefender Antivirus Plus versiones anteriores a la 26.0.10.45
BitDefender Endpoint Security Tools for Windows versiones anteriores a la 7.4.3.140.
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podria aumentar los privilegios en las instalaciones afectadas de Bitdefender Total Security. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe en el manejo de objetos PDEV. El problema se debe a la falta de validación de la existencia de un objeto antes de realizar operaciones en el objeto.
• PRODUCTO AFECTADO: Microsoft Windows 10 All version.
Microsoft Windows 8 All version.
Microsoft Windows 7 All version.
Microsoft Windows Server 2008, 2012, 2016, 2019.
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podria aumentar los privilegios en las instalaciones afectadas de Microsoft Windows. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe dentro del mecanismo de cambio de contraseña. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema.
• PRODUCTO AFECTADO: Microsoft Defender for IoT
• CAUSAS: Ejecución de codigo remoto
• CONSECUENCIAS: Un atacante podria aumentar los privilegios en las instalaciones afectadas de Microsoft Azure Defender para IoT. Un atacante primero debe obtener la capacidad de ejecutar código como usuario de www-data en el sistema de destino para aprovechar esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe en el manejo de los elementos textPath. El problema se debe a la falta de validación de la existencia de un objeto antes de realizar operaciones en el objeto.
• PRODUCTO AFECTADO: Mozilla Firefox
• CAUSAS: Ejecución de codigo remoto
• CONSECUENCIAS: Un atacante remoto podria ejecutar código arbitrario en las instalaciones afectadas de Mozilla Firefox. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda actualizar a la version mas reciente.
• RESUMEN: La vulnerabilidad específica existe en el manejo del protocolo AMF. Los datos manipulados en un mensaje de protocolo AMF pueden desencadenar la deserialización de datos que no son de confianza.
• PRODUCTO AFECTADO: Apache Flex BlazeDS 4.7.2 y anteriores.
• CAUSAS: Divulgación de información
• CONSECUENCIAS: Un atacante remoto podria ejecutar código arbitrario en las instalaciones afectadas de Cisco Nexus Dashboard Fabric Controller. No se requiere autenticación para aprovechar esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe en las versiones anteriores a la 0.5.4, estas no implementan la caducidad de la contraseña ni la comprobación de la caducidad de la cuenta cuando se autentica mediante PAM.
• PRODUCTO AFECTADO: Foxcpp maddy anteriores a 0.5.4.
• CAUSAS: Caducidad de sesion insuficiente.
Uso de clave después de su vencimiento.
• CONSECUENCIAS: Un atacante podria utilizar credenciales caducadas y acceder a los sistemas.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda aplicar el parche está disponible como parte de la versión 0.5.4.
• RESUMEN: La vulnerabilidad existe dentro de sentcms en /user/upload/upload y /admin/upload/upload. Ambas interfaces son vulnerables a la carga de archivos arbitrarios a través de una interfaz de carga de archivos no autorizada.
• PRODUCTO AFECTADO: Sentcms 4.0.x
• CAUSAS: Carga sin restricciones
• CONSECUENCIAS: Un atacante podría ejecutar código PHP a través de / user/ upload/ upload.
¡Sí! Estuvimos presente en el III Foro Regional de ISMS Forum, en Barcelona, junto a nuestro partner SecurityScorecard, aliado estratégico de nuestra solución Vendor Risk Management.
El jueves 17 de marzo, nuestro equipo se presentó en la mesa redonda organizada en Casa Convalescéncia UAB Campus.
Nos presentamos ante más de 200 profesionales del sector de la ciberseguridad, reunidos en este evento centrado en novedades del gobierno de la ciberseguridad, ciberamenazas, el nuevo marco de certificación para los profesionales de la ciberseguridad, entre otras temáticas.
Como representante de NextVision, nuestro director Roberto Heker presentó su exposición en relación a la Gestión del Riesgo de Terceras Partes (TPRM) o Vendor Risk Management (VRM).
Presentó los principales desafíos que tienen los CISO entorno al TPRM:
> Mejorar el análisis de terceros que actualmente se ejecuta a través de hojas de cálculo, correos electrónicos o procesadores de texto.
> La Transformación Digital que ha expandido la superficie de ataque de modo exponencial.
> Digitalización acelerada.
> Acceso remoto, tanto de propios como de terceros.
> Compliance.
> Los boards, particularmente aquellos donde los Fondos de Inversión tienen un peso significativo. Estos pueden exigir un buen nivel de ciberseguridad y un reporting adecuado.
> Los ciberseguros que hacen una evaluación de la postura de ciberseguridad de la empresa y de su cadena de suministros.
• Conoce más acerca de VRM en el artículo de Roberto Heker “Terceros: el eslabón débil de la cadena” haciendo click aquí.
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 7.8
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 09/02/2022
• ACTUALIZACIÓN: 11/02/2022
• RESUMEN: La vulnerabilidad existe en el uso de canalizaciones con nombre. El problema resulta de permitir que un proceso que no es de confianza se haga pasar por el cliente de una canalización.
• PRODUCTO AFECTADO: ESET NOD32 Antivirus
ESET Internet Security
ESET Smart Security
ESET Endpoint Antivirus for Windows
ESET Endpoint Security for Windows
ESET Server Security for Microsoft Windows Server
ESET File Security for Microsoft Windows Server
ESET Server Security for Microsoft Azure
ESET Security for Microsoft SharePoint Server
ESET Mail Security for IBM Domino
ESET Mail Security for Microsoft Exchange Server
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría aumentar los privilegios en las instalaciones afectadas de ESET Endpoint Antivirus. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe debido a que falta un control de enlace en el código de análisis del indicador RTCP de WhatsApp para Android, iOS Business y Desktop.
• PRODUCTO AFECTADO: WhatsApp para Android v2.21.23.2.
WhatsApp Business para Android v2.21.23.2.
WhatsApp para iOS v2.21.230.6.
WhatsApp Business para iOS 2.21.230.7.
WhatsApp Desktop v2.2145.0.
• CAUSAS: Lectura fuera de los límites
• CONSECUENCIAS: Un atacante podría permitir una lectura de almacenamiento dinámico fuera de los límites si envía un paquete RTCP con formato incorrecto durante una llamada establecida.
• RESUMEN: La vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en el kernel de Windows, lo que conduce a la omisión de las restricciones de segurida
• PRODUCTO AFECTADO: Microsoft Windows 7 / 8.1 / 10.
Microsoft Windows Server 2008 / 2012 / 2016 / 2019.
• CAUSAS: SQL injection
• CONSECUENCIAS: Un atacante podría ejecutar de manera local un payload y elevar los privilegios en el sistema.
• RESUMEN: La vulnerabilidad existe en el complemento de WordPress Paid Memberships Pro anterior a 2.6.7 no escapa del código de descuento en una de sus rutas REST (disponible para usuarios no autenticados) antes de usarlo en una instrucción SQL
• PRODUCTO AFECTADO: Paid Memberships Pro anteriores a 2.6.7.
• CAUSAS: SQL injection
• CONSECUENCIAS: Un atacante podría realizar un SQL injection.
• RESUMEN: La vulnerabilidad que existe debido a un problema de concatenación de las solicitudes de NetWeaver, Content Server y Web Dispatches que podría utilizarse para comprometer cualquier aplicación Java o ABAP basada en NetWeaver con la configuración por defecto.
• PRODUCTO AFECTADO: SAP SE - Plataforma SAP NetWeaver y ABAP. SAP Web Dispatcher. Servidor de contenido SAP
• CAUSAS: Interpretación inconsistente de solicitudes HTTP
• CONSECUENCIAS: Un atacante no autenticado puede anteponer la solicitud de una víctima con datos arbitrarios. De esta forma, el atacante puede ejecutar funciones haciéndose pasar por la víctima o envenenar los cachés web intermediarios. Un ataque exitoso podría comprometer completamente la Confidencialidad, la Integridad y la Disponibilidad del sistema
• RESUMEN: La vulnerabilidad existe debido a un error de límite al procesar solicitudes HTTP. Múltiples vulnerabilidades en los enrutadores de las series RV160, RV260, RV340 y RV345 de Cisco Small Business podrían permitir que un atacante realice multiples acciones.
• PRODUCTO AFECTADO: Cisco Small Business RV Series Router Firmware
• CAUSAS: Desbordamiento de búfer basado en pila
• CONSECUENCIAS: Un atacante remoto podría enviar una solicitud HTTP especialmente diseñada al dispositivo que actúa como SSL VPN Gateway, provocar daños en la memoria y ejecutar código arbitrario en el sistema de destino con privilegios de raíz.
• RESUMEN: La vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en Microsoft Power BI, lo que conduce a la omisión de las restricciones de seguridad y a la escalada de privilegios.
• PRODUCTO AFECTADO: Microsoft PowerBI-client JS SDK
• CAUSAS: Divulgación de información
• CONSECUENCIAS: Un atacante podría permitir que un administrador remoto aumente los privilegios en el sistema.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: Microsoft recomienda que actualicen PowerBI Client JS SDK a la versión 2.19.1.
• RESUMEN: La vulnerabilidad existe en la lectura/ escritura fuera de los límites en el módulo VFS "vfs_fruit" que proporciona compatibilidad con los clientes SMB de Apple.
• PRODUCTO AFECTADO: Samba anteriores a la 4.13.17
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario como root en las instalaciones de Samba afectadas que usan el módulo VFS vfs_fruit.
• MITIGACIÓN: Se recomienda a los administradores de Samba que actualicen a estas versiones o apliquen el parche lo antes posible para mitigar el defecto.
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta. Un usuario autenticado remoto puede enviar solicitudes HTTP GET especialmente diseñadas a los controladores de configuración WAD y ejecutar comandos arbitrarios del sistema operativo en el sistema de destino.
• PRODUCTO AFECTADO: FortiWeb versión 6.4.1.
FortiWeb versión 6.3.15.
FortiWeb versión 6.2.6 y anteriores.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante podría ejecutar comandos de shell arbitrarios en el sistema de destino.
• RESUMEN: LLa vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en Microsoft Diagnostics Hub Standard Collector Runtime, lo que conduce a la omisión de las restricciones de seguridad y a la escalada de privilegios.
• PRODUCTO AFECTADO: Microsoft Windows 10.
Microsoft Windows Server 2016, 2019
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Un atacante podría elevar privilegios en el sistema afectado.
En este artículo, vamos a hablar sobre Zloader, Elephant-beetle y Avoslocker-ransomware, campañas de malware que han tenido miles de víctimas y gran perjuicio económico para sus afectados.
A continuación, podrás encontrar una descripción detallada de en qué consisten estas campañas de malware además de recomendaciones para evitar caer en ataques de estas características.
Si requieres más información sobre nuestros excelentes planes y servicios de Awareness para concientizarte en ciberseguridad junto a tu equipo y evitar caer en ataques, no dudes en comunicarte con nosotros haciendo click aquí.[/vc_column_text]
Zloader, un malware bancario diseñado para robar credenciales de usuario e información privada. Las campañas anteriores de Zloader, que se vieron en 2020, usaron documentos maliciosos, sitios para adultos y anuncios de Google para infectar sistemas.
La evidencia de la nueva campaña se anunció por primera vez a principios de noviembre de 2021. Dicha campaña se cobró 2170 víctimas en 111 países al 2 de enero de 2022, con la mayoría de las partes afectadas ubicadas en los EE.UU, Canadá, India, Indonesia y Australia.
Las técnicas incorporadas en la cadena de infección incluyen el uso de software de administración remota (RMM) legítimo para obtener acceso inicial a la máquina objetivo.
El malware explota el método de verificación de firma digital de Microsoft para inyectar su carga útil en una DLL firmada del sistema para evadir aún más las defensas del sistema.
CADENA DE INFECCIÓN:
La infección comienza con la instalación del software Atera en la máquina de la víctima.
Atera es un software de administración y monitoreo remoto empresarial legítimo, diseñado para uso de TI. Los autores de la campaña crearon este instalador (b9d403d17c1919ee5ac6f1475b645677a4c03fe9) con una dirección de correo electrónico temporal: ‘ Antik.Corp@mailto.plus ‘. El archivo imita una instalación de Java, al igual que en campañas anteriores de Zloader.
Una vez que el agente está instalado en la máquina, el atacante tiene acceso completo al sistema y puede cargar/descargar archivos, ejecutar scripts, etc. Atera ofrece una prueba gratuita de 30 días para nuevos usuarios, tiempo suficiente para el atacante para obtener sigilosamente el acceso inicial.
Después de la instalación del agente, el atacante carga y ejecuta dos archivos.bat en el dispositivo mediante la función “Ejecutar script“:
defenderr.bat se utiliza para modificar las preferencias de Windows Defender.
load.bat se utiliza para cargar el resto del malware.
El resto de archivos están alojados en el dominio teamworks455[.]com y se descargan desde allí.
El script load.bat descarga y ejecuta new.bat, que verifica los privilegios de administrador y los solicita mediante el script BatchGotAdmin . Luego continúa descargando otro archivo bat (new1.bat).
Este nuevo script agrega más exclusiones a Windows Defender para diferentes carpetas, deshabilita diferentes herramientas en la máquina que podrían usarse para detección e investigación, como cmd.exe y el administrador de tareas. También descarga otros archivos en la carpeta %appdata%:
9092.dll: la carga útil principal, Zloader.
adminpriv.exe – Nsudo.exe. Habilita la ejecución de programas con privilegios elevados.
appContast.dll: se usa para ejecutar 9092.dll y new2.bat.
reboot.dll: también se usa para ejecutar 9092.dll.
new2.bat: desactiva el “Modo de aprobación del administrador” y apaga la computadora.
auto.bat: se coloca en la carpeta de inicio para la persistencia del arranque.
RECOMENDACIONES:
Aplicar la actualización de Microsoft para la verificación estricta de Authenticode. No se aplica por defecto.
No instalar programas de fuentes o sitios desconocidos.
Impedir el uso de Atera o, de lo contrario, monitorearlo y restringirlo.
Utilizar el monitoreo de aplicaciones para controlar la ejecución de archivos .bat y el lanzamiento de cualquier .msi.
El ataque se basa en la simplicidad para ocultarse a simple vista, sin necesidad de desarrollar herramientas sofisticadas o exploits.
Utilizan más de 80 herramientas y scripts únicos, el grupo ejecuta sus ataques durante largos períodos de tiempo, mezclándose con el entorno del objetivo y pasando completamente desapercibido mientras libera silenciosamente a las organizaciones de grandes cantidades de dinero.
Elephant Beetle parece enfocarse principalmente en objetivos latinoamericanos.
El grupo es muy competente con los ataques basados en Java y, en muchos casos, tiene como objetivo aplicaciones Java heredadas que se ejecutan en máquinas basadas en Linux como medio de entrada inicial al entorno. Más allá de eso, el grupo incluso implementa su propia aplicación web Java completa en las máquinas de las víctimas para cumplir sus órdenes mientras la máquina también ejecuta aplicaciones legítimas.
Elephant Beetle opera en un patrón sigiloso y bien organizado, realizando de manera eficiente cada fase de su plan de ataque una vez dentro de un entorno comprometido:
Durante la primera fase, que puede durar hasta un mes, el grupo se enfoca en desarrollar capacidades cibernéticas operativas dentro de la organización infectada . El grupo estudia el panorama digital y planta backdoors mientras personaliza sus herramientas para trabajar dentro de la red de la víctima.
En una segunda fase, el grupo pasa varios meses estudiando este entorno, enfocándose en la operación financiera e identificando cualquier falla. Durante esta etapa, observan el software y la infraestructura para comprender el proceso técnico de las transacciones financieras legítimas.
El grupo crea transacciones fraudulentas en el medio ambiente durante la tercera fase. Estas transacciones imitan el comportamiento legítimo y extraen cantidades incrementales de dinero de la víctima. Aunque la cantidad de dinero robado en una sola transacción puede parecer insignificante, el grupo acumula numerosas transacciones por lo que asciende a millones de dólares.
Si durante sus esfuerzos se descubre y bloquea cualquier actividad de robo, el grupo simplemente permanece oculto durante unos meses solo para regresar y apuntar a un sistema diferente.
Una vez que el servidor web se ha visto comprometido, el atacante utiliza un escáner Java personalizado que obtiene una lista de direcciones IP para un puerto específico o una interfaz HTTP.
Habiendo identificado posibles puntos de pivote del servidor interno, los actores usan credenciales comprometidas o fallas de RCE para propagarse lateralmente a otros dispositivos en la red.
Los investigadores de Sygnia han observado al grupo durante dos años y pueden confirmar que los actores de la amenaza explotan las siguientes fallas:
Inyección de lenguaje de expresión de aplicaciones Primefaces (CVE-2017-1000486)
Explotación de deserialización SOAP de WebSphere Application Server (CVE-2015-7450)
Explotación de servlet de invocador de SAP NetWeaver (CVE-2010-5326)
Ejecución remota de código de SAP NetWeaver ConfigServlet (EDB-ID-24963)
Las cuatro vulnerabilidades anteriores permiten a los actores ejecutar código arbitrario de forma remota a través de un shell web ofuscado y especialmente diseñado.
RECOMENDACIONES:
‘Elephant Beetle’ usa variables de código y nombres de archivos en español, y la mayoría de las direcciones IP C2 que usan están basadas en México.
Además, el escáner de red escrito en Java se cargó a Virus Total desde Argentina, probablemente durante la fase inicial de desarrollo y prueba.
Mantener los parches de actualización al día.
Evite usar el procedimiento ‘xp_cmdshell’ y desactívelo en servidores MS-SQL. Supervise los cambios de configuración y el uso de ‘xp_cmdshell’.
Supervise las implementaciones de WAR y valide que la funcionalidad de implementación de paquetes esté incluida en la política de registro de las aplicaciones relevantes.
Busque y supervise la presencia y creación de un archivo .class sospechoso en las carpetas temporales de las aplicaciones de WebSphere.
Supervise los procesos que fueron ejecutados por procesos de servicios primarios del servidor web (es decir, ‘w3wp.exe’, ‘tomcat6.exe’) o por procesos relacionados con la base de datos (es decir, ‘sqlservr.exe’).
Implemente y verifique la segregación entre la DMZ y los servidores internos.
Una familia de ransomware emergente que se autodenomina Avos Locker ha estado intensificando los ataques al mismo tiempo que realiza un esfuerzo significativo para deshabilitar los productos de seguridad de endpoints.
Sophos Rapid Response descubrió que los atacantes habían iniciado sus computadoras de destino en modo seguro para ejecutar el ransomware, como lo habían hecho los operadores de las ahora desaparecidas familias de ransomware Snatch , REvil y BlackMatter.
La razón de esto es que muchos, si no la mayoría, de los productos de seguridad de endpoints no se ejecutan en modo seguro, una configuración de diagnóstico especial en la que Windows desactiva la mayoría de los controladores y el software de terceros, y puede hacer que las máquinas protegidas no sean seguras.
Los atacantes de Avos Locker no solo reinician las máquinas en modo seguro para las etapas finales del ataque. También, modifican la configuración de inicio del modo seguro para poder instalar y usar la herramienta comercial de administración de TIAnyDesk mientras las computadoras con Windows aún se ejecutaban en modo seguro.
Los atacantes también parecen haber aprovechado otra herramienta comercial de administración de TI conocida como PDQ Deploy para enviar scripts por lotes de Windows a las máquinas que planeaban atacar.
RECOMENDACIONES:
Trabajar en Modo seguro hace que proteger las computadoras sea aún más difícil, porque Microsoft no permite que las herramientas de seguridad de endpoints se ejecuten en Modo seguro.
Los productos de Sophos detectan, por comportamiento, el uso de varias claves de registro Run y RunOnce para hacer cosas como por ejemplo reiniciar en modo seguro o ejecutar archivos después de un reinicio.
Mantén el software actualizado y active las actualizaciones automáticas siempre que sea posible
Aplicar políticas de contraseñas seguras y autenticación multifactor (MFA)
Realice copias de seguridad y pruebe periódicamente su restauración.
Reduzca la superficie de ataque mediante la eliminación de servicios y software no utilizados o innecesarios
Mitigar los ataques de fuerza bruta.
Habilite la protección contra manipulaciones para evitar que los atacantes desinstalen su software de seguridad.
La ciberseguridad se ha convertido en una de las mayores preocupaciones de las juntas directivas de las organizaciones. Debido a la pandemia ocasionada por el Covid-19, y a la acelerada transformación digital que trajo aparejada, nuevos riesgos y brechas de seguridad han surgido.
El nuevo paradigma establecido por la actual normalidad de “teletrabajo” o “trabajo híbrido” ha ocasionado que todas las organizaciones deban desarrollar o establecer una postura defensiva en ciberseguridad para evitar o minimizar los ciberataques que pueda sufrir su organización.
¿Cuáles son algunas de las tendencias en ciberseguridad para este 2022?
1- Red/malla de ciberseguridad: una red de ciberseguridad permitirá desplegar las herramientas de ciberseguridad donde más se necesiten.
Debido a la acelerada digitalización de los negocios, la ciberseguridad de las empresas necesita estar en constante transformación y adaptación a las nuevas tecnologías. Esto requiere soluciones de ciberseguridad flexibles y ágiles que permitan a la organización avanzar hacia el futuro de manera segura.
2- Intensificación de las medidas de seguridad en las empresas:
Debido al aumento de ataques, a las nuevas brechas de ciberseguridad a partir del traspaso de las oficinas a las casas, y a la cada vez más frecuente paralización de la actividad en las organizaciones por motivos de ciberseguridad, los directivos al mando de las organizaciones están desarrollando estrategias a través de expertos y especialistas en la materia. Esto produce que los controles de seguridad sean intensificados. La detección de los riesgos, su análisis y posterior estrategia de mitigación, mediante la incorporación de un servicio como NVPlan Director de Seguridad, incentivará a tu organización a llegar a una situación ideal de control de la ciberseguridad.
3- Autenticación como medida de ciberseguridad:
El teletrabajo o trabajo híbrido y la migración a aplicaciones en la nube han consolidado la tendencia en ciberseguridad actual de autenticación y establecimiento de usuario y contraseña como medida principal de seguridad. La verificación de la identidad no es una medida nueva pero adquiere especial importancia a partir de que los atacantes comienzan a apuntar con sus ataques a estos procesos y herramientas de acceso. El servicio de NV Awarenessnos permite inculcar en los empleados de nuestra organización una concienciación y formación técnica en el cuidado de la información sensible y el uso de sus habituales herramientas digitales para evitar que caigan en este tipo de ciberfraudes.
4- Las contraseñas inseguras son actualmente la principal brecha explotada en los ataques:
Los ciberdelincuentes están atacando directamente las infraestructuras de identidad de las instituciones y organizaciones públicas/estatales para el robo de información sensible. La multi-verificación de identidad está creciendo como una solución a esta brecha de seguridad pero no debería ser la única medida a establecer. Los factores de autenticación deben estar debidamente configurados, mantenidos y monitorizados para que sean totalmente efectivos.
5- Análisis y gestión del ciberriesgo de terceras partes y proveedores:
La consolidación de la estrategia de seguridad en nuestros vendors es una pieza clave en el sistema de ciberseguridad de cualquier empresa. Cada vez se conocen más noticias de grandes empresas que han sido vulneradas a través de brechas de seguridad de sus vendors. Saber si las terceras partes que conforman nuestra cadena de valor son seguras es sumamente importante, ya que forman parte de nuestra superficie de ataque. Disponer de un servicio en tu organización como NV Vendor Risk Management, te permitirá automatizar procesos de manera segura con tus proveedores y gestionarlos eficientemente. Además, detectará brechas de seguridad en vuestras relaciones.
6- La gestión de identidad de las máquinas:
A medida que avanza la transformación digital, crece exponencialmente la incorporación de entidades artificiales que componen las aplicaciones modernas. Por lo tanto, la gestión de identidad de las máquinas se ha convertido en una parte crucial de las operaciones de ciberseguridad.
Todas las aplicaciones modernas se componen de servicios que están conectados por API. Los atacantes pueden usar el acceso API de sus proveedores a datos sensibles. Las herramientas y técnicas para la administración de identidades de máquinas en toda la empresa aún están en pleno desarrollo. Sin embargo, una estrategia para administrar las identidades, los certificados y la información contenida en estas máquinas, permitirá que su organización asegure eficazmente su transformación digital.
7- Simulación de brechas y ataques: un método para validar el nivel de seguridad de las organizaciones.
El continuo testeo y validación de los controles de seguridad ayudará a verificar el sistema de seguridad de una empresa frente a los potenciales ciberataques. Los ataques de ingeniería social como el phishing y el ransomware ponen en constante riesgo los datos e información sensible de las empresas por lo que deben ser un foco de constante verificación de los sistemas de ciberseguridad frente a ellos ya que los cibercriminales aprovechan que es más fácil vulnerar a las personas para obtener información de las empresas que intentando atacar los sistemas o tecnologías. Un servicio de Awareness con un programa único e integral que guía a la organización con estrategias que incluyan la educación y transformación de los hábitos de los empleados es fundamental para combatirlos.
8- Técnicas de privacidad y protección de datos en uso:
Las técnicas informáticas que mejoran la privacidad y que protegen los datos mientras se utilizan, a diferencia de cuando están en reposo, permiten el procesamiento seguro de datos, el intercambio, las transferencias transfronterizas y el análisis, incluso en entornos no confiables.
Esta tecnología se está transformando rápidamente de la investigación académica a proyectos reales, lo que permite nuevas formas de uso compartido de datos e información sensible con un riesgo reducido de filtraciones.
Pero,¿cuáles son exactamente estos ataques a los que nos enfrentamos?
Según FortiGuard Labs, en 2022 los ciberdelincuentes estarán más activos que nunca con los ataques ransomware.
Las amenazas continuarán apuntando hacia toda la superficie de ataque de manera que los equipos de seguridad deberán luchar y asegurar todas las vías de entrada posibles, especialmente a medida que estas mismas organizaciones hagan la transición a los entornos de trabajo híbridos, es decir, al teletrabajo.
Nuevos ataques:
Estrategias de planificación, desarrollo y armamentismo:se cree que los ciberatacantes dedicarán mayor esfuerzo al estudio, al reconocimiento y al descubrimiento de brechas de seguridad y nuevas herramientas mediante las cuales atacar.
Nuevos vectores de ataque: Afectan a plataformas como Linux, que hasta ahora no habían sido un blanco de ataque principal para los ciberdelincuentes pero que han empezado a sufrir ciberataques como Vermilion Strike,que ataca con capacidades de acceso remoto sin ser detectado.
Ataques dirigidos a sistemas de tecnología operativa (OT): debido a la convergencia de las redes IT y OT se han producido nuevos ataques dirigidos a estas a través de redes domésticas comprometidas y de los dispositivos de los trabajadores en remoto. Anteriormente se trataban de ataques llevados a cabo por ciberdelincuentes muy especializados pero actualmente existen kits de ataque disponibles para utilizarlos en la web oscura.
Nuevos ataques “Living off the hand”: se trata de ataques que no necesitan desarrollar archivos maliciosos desde cero. Por el contrario, aprovechan las puertas de entrada que ya existen en los sistemas informáticos a través de la infraestructura de las organizaciones, accediendo a programas confiables, que no despertarían ninguna sospecha, introduciendo en ellos códigos maliciosos. Este malware conseguirá eludir los sistemas de protección tradicional y luego robará sistemas, aplicaciones e información crítica mientras evita la detección.
En consideración de todas estas cuestiones, recomendamos un enfoque holístico e integrado de los sistemas de ciberseguridad para protegerse ante esta nueva oleada de ataques. Es fundamental implementar una estrategia unificada de seguimiento en las organizaciones para proteger los datos, la información y las transacciones de principio a fin.
Una administración centralizada de la ciberseguridad permitirá garantizar la aplicación de las políticas de seguridad, que las configuraciones y actualizaciones de los sistemas se lleven a cabo en los plazos establecidos y por último, que los eventos sospechosos que puedan surgir en cualquier parte de la red de la organización se detecten y recopilen de manera organizada y centralizada.
Las ciberamenazas parecen estar en plena aceleración por lo que, si los sistemas y herramientas de ciberseguridad no están actualizados y listos para proteger a su organización de las próximas generaciones de amenazas que surgen constantemente, puede ser demasiado tarde para implementar una solución.
Como hemos visto a lo largo de este artículo, en NextVision, un servicio de Awareness te permitirá una organización cibersegura y protegida mediante la educación de tus empleados en el uso de la tecnología y el cuidado de la información para evitar estos nuevos métodos de ciberataques; un servicio de VRM (Vendor Risk Management) ayudará a consolidar tu sistema de ciberseguridad mediante el control de tus proveedores/vendor y además, con tu servicio de Plan Director de Seguridad podrás desarrollar planes estratégicos de ciberseguridad creados en función de los objetivos de tu organización, que te permitan definir y priorizar los proyectos de seguridad a fin de anticipar y reducir los riesgos a los que tu empresa está expuesta. Para más información contacta con nosotros: info@nextvision.com
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos:Crítico, Alto, Medio y Bajo.
• GRAVEDAD: 9.8
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 21/01/2022
• ACTUALIZACIÓN: 26/01/2022
• RESUMEN: Vulnerabilidad de inyección SQL en Sourcecodester Budget and Expense Tracker System v1 de oretnom23
• PRODUCTO AFECTADO: Sourcecodester Budget and Expense Tracker System v1
• CAUSAS: Inyección SQL.
• CONSECUENCIAS: Un atacante podría ejecutar comandos SQL arbitrarios a través del campo de nombre de usuario.
• RESUMEN: La vulnerabilidad existe dentro del Endpoint Agent. La vulnerabilidad de Resolución de enlace incorrecta antes del acceso al archivo ("Seguimiento de enlace") en el componente EPAG de Bitdefender Endpoint Security Tools para Windows.
• PRODUCTO AFECTADO: Versión anterior a 7.1.2.33 Endpoint Security Tools for Windows
• CAUSAS: Denegación de servicio.
• CONSECUENCIAS: Un atacante podría crear de manera local una condición de denegación de servicio en las instalaciones afectadas de Bitdefender GravityZone. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Alto
• MITIGACIÓN: Se recomienda actualizar a la version mas reciente.
• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta dentro del componente Pipeline Manager en Oracle Communications Billing and Revenue Management.
• PRODUCTO AFECTADO: Version 12.0.0.3.
Versión 12.0.0.4.
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Communications Billing and Revenue Management.
• RESUMEN: La vulnerabilidad existe dentro de la implementación del servidor TFTP. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en las operaciones con archivos.
• PRODUCTO AFECTADO: Versiones anteriores a la 6.1.32.
• CAUSAS: Acceso no autorizado
• CONSECUENCIAS: Un atacante loca podría divulgar información confidencial sobre las instalaciones afectadas de Oracle VirtualBox. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema huésped de destino para aprovechar esta vulnerabilidad.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Bajo - Disponibilidad: Bajo
• MITIGACIÓN: Se recomienda actualizar a la versión mas reciente.
• RESUMEN: La vulnerabilidad está en la falta de validación al procesar solicitudes AJAX, permitiendo al atacante actualizar la opción “user_can_register” y configurar la opción “default_role” a administrador.
• CAUSAS: Falsificación de solicitud entre sitios (CSRF)
• CONSECUENCIAS: Un atacante podría actualizar opciones arbitrarias en un sitio que se puede usar para crear una cuenta de usuario administrativo y otorgar acceso privilegiado completo a un sitio comprometido
• RESUMEN: La vulnerabilidad se encuentra relacionada a una función desconocida dentro del código de la aplicación afectada por desbordamiento de búfer a través de la manipulación de un input desconocido.
• PRODUCTO AFECTADO: Zoom Client for Meetings (for Android, iOS, Linux, macOS, and Windows) before version 5.8.4
Zoom Client for Meetings for Blackberry (for Android and iOS) before version 5.8.1
Zoom Client for Meetings for intune (for Android and iOS) before version 5.8.4
Zoom Client for Meetings for Chrome OS before version 5.0.1
Zoom Rooms for Conference Room (for Android, AndroidBali, macOS, and Windows) before version 5.8.3
Controllers for Zoom Rooms (for Android, iOS, and Windows) before version 5.8.3
Zoom VDI Windows Meeting Client before version 5.8.4
Zoom VDI Azure Virtual Desktop Plugins (for Windows x86 or x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) before version 5.8.4.21112
Zoom VDI Citrix Plugins (for Windows x86 or x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) before version 5.8.4.21112
Zoom VDI VMware Plugins (for Windows x86 or x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) before version 5.8.4.21112
Zoom Meeting SDK for Android before version 5.7.6.1922
Zoom Meeting SDK for iOS before version 5.7.6.1082
Zoom Meeting SDK for macOS before version 5.7.6.1340
Zoom Meeting SDK for Windows before version 5.7.6.1081
Zoom Video SDK (for Android, iOS, macOS, and Windows) before version 1.1.2
Zoom On-Premise Meeting Connector Controller before version 4.8.12.20211115
Zoom On-Premise Meeting Connector MMR before version 4.8.12.20211115
Zoom On-Premise Recording Connector before version 5.1.0.65.20211116
Zoom On-Premise Virtual Room Connector before version 4.4.7266.20211117
Zoom On-Premise Virtual Room Connector Load Balancer before version 2.5.5692.20211117
Zoom Hybrid Zproxy before version 1.0.1058.20211116
Zoom Hybrid MMR before version 4.6.20211116.131_x86-64
• CAUSAS: Desbordamiento de búfer.
• CONSECUENCIAS: Un atacante podría ejecutar código remoto en los equipos clientes a través de la explotación de un desbordamiento del buffer de los clientes de videoconferencia de Zoom.
• RESUMEN: La vulnerabilidad se encuentra asociada a una función desconocida dentro del código de la aplicación, cuyo input desconocido es manipulado para realizar escalamiento de privilegios.
• PRODUCTO AFECTADO: Zoom Client for Meetings (para Android, iOS, Linux, macOS y Windows) antes de la versión 5.8.4
Zoom Client for Meetings para Blackberry (para Android e iOS) antes de la versión 5.8.1
Zoom Client for Meetings para Intune (para Android e iOS) antes de la versión 5.8.4
Zoom Client for Meetings para Chrome OS antes de la versión 5.0.1
Zoom Rooms para Conference Room (para Android, AndroidBali, macOS y Windows) antes de la versión 5.8.3
Controladores para Zoom Rooms (para Android, iOS y Windows) antes de la versión 5.8.3
Zoom VDI Windows Meeting Client antes de la versión 5.8.4
Complementos Zoom VDI Azure Virtual Desktop (para Windows x86 o x64, IGEL x64, Ubuntu x64, HP ThinPro OS x64) antes de la versión 5.8.4.21112
Zoom VDI Citrix Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4.21112
Zoom VDI VMware Plugins (para Windows x86 o x64, Mac Universal Installer & Uninstaller, IGEL x64, eLux RP6 x64, HP ThinPro OS x64, Ubuntu x64, CentOS x 64, Dell ThinOS) antes de la versión 5.8.4.21112
Zoom Meeting SDK para Android antes de la versión 5.7.6.1922
Zoom Meeting SDK para iOS antes de la versión 5.7.6.1082
Zoom Meeting SDK para Windows anterior a la versión 5.7.6.1081
Zoom Meeting SDK para Mac antes de la versión 5.7.6.1340
Zoom Video SDK (para Android, iOS, macOS y Windows) antes de la versión 1.1.2
Zoom On-Premise Meeting Connector antes de la versión 4.8.12.20211115
Zoom On-Premise Meeting Connector MMR antes de la versión 4.8.12.20211115
Zoom On-Premise Recording Connector antes de la versión 5.1.0.65.20211116
Zoom On-Premise Virtual Room Connector antes de la versión 4.4.7266.20211117
Zoom On-Premise Virtual Room Connector Load Balancer antes de la versión 2.5.5692.20211117
Zoom Hybrid Zproxy antes de la versión 1.0.1058.20211116
Zoom Hybrid MMR antes de la versión 4.6.20211116.131_x86-64
• CAUSAS: Elevación de privilegios.
Lectura fuera de los limites.
• CONSECUENCIAS: Un atacante podría ejecutar código remoto en los equipos clientes a través de la explotación de la memoria del proceso.
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Bajo - Disponibilidad: Alto
• MITIGACIÓN: La empresa recomienda realizar las actualizaciones que parchean la vulnerabilidad.
• RESUMEN: La vulnerabilidad existe en la pantalla de inicio de sesión web de Serv-U para la autenticación LDAP. Esta permitía caracteres que no estaban suficientemente desinfectados. SolarWinds ha actualizado el mecanismo de entrada para realizar una validación y desinfección adicionales. Tenga en cuenta: no se ha detectado ningún efecto descendente ya que los servidores LDAP ignoraron los caracteres incorrectos.
• PRODUCTO AFECTADO: Serv-U versiones anteriores a la 15.3.
• CAUSAS: Validacion de entrada incorrecta.
• CONSECUENCIAS: Un atacante remoto no autenticado puede enviar una solicitud especialmente diseñada que puede eludir la filtración implementada e influir en la consulta LDAP inicial.
• IMPACTO:
- Confidencialidad: Bajo - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda realizar las actualizaciones pertinentes.
• RESUMEN: La falla específica existe dentro del servicio de control de acceso a la red. El servicio carga un archivo de configuración de OpenSSL desde una ubicación no segura.
• PRODUCTO AFECTADO: FortiClient para MacOS versiones 6.4.3 y anteriores.
• CAUSAS: Elevación de privilegios
• CONSECUENCIAS: Esta vulnerabilidad permite a los atacantes locales aumentar los privilegios en las instalaciones afectadas de Fortinet FortiClient Network Access Control. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• RESUMEN: Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) podría permitir que un atacante remoto autenticado eleve sus privilegios a Administrador. Esta vulnerabilidad se debe a la falta de validación del lado del servidor de los permisos de usuario.
• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un sistema vulnerable. Una explotación exitosa podría permitir al atacante crear cuentas de administrador. Con estas cuentas, el atacante podría acceder y modificar la telefonía y los recursos de usuario en todas las plataformas unificadas que están asociadas al Cisco Unified CCMP vulnerable. Para explotar con éxito esta vulnerabilidad, un atacante necesitaría credenciales de usuario avanzado válidas.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Alto - Disponibilidad: Bajo
• MITIGACIÓN: Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.
• RESUMEN: La vulnerabilidad existe debido a un error de límite en "SoftwareBus_dispatchNormalEPMsgOut" en el módulo del kernel KCodes NetUSB. Ciertos dispositivos D-Link, Edimax, NETGEAR, TP-Link, Tenda y Western Digital se ven afectados por un desbordamiento de enteros por parte de un atacante no autenticado. No se puede descartar la ejecución remota de código desde la interfaz WAN (puerto TCP 20005); sin embargo, se consideró que la explotabilidad era de "complejidad bastante significativa" pero no "imposible".
• PRODUCTO AFECTADO: D7800 anteriores a 1.0.1.68.
R6400v2 anteriores a 1.0.4.122.
R6700v3 anteriores a 1.0.4.122.
• CAUSAS: Desbordamiento de búfer
• CONSECUENCIAS: Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.
• RESUMEN: La vulnerabilidad existe debido a una validación insuficiente de la extensión IKE de Windows de entrada proporcionada por el usuario. La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).
• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS).
• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro de la función de soporte de tráiler HTTP en la pila de protocolo HTTP (http.sys).
• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
• CAUSAS: Ejecución de código remoto
• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud HTTP especialmente diseñada al servidor web, desencadenar un desbordamiento de búfer y ejecutar código arbitrario en el sistema.
• RESUMEN: La vulnerabilidad existe dentro del Servicio de escaneo en tiempo real. Al crear un enlace simbólico, un atacante puede abusar del servicio para sobrescribir un archivo.
• PRODUCTO AFECTADO: Trend Micro Apex One (2019, SaaS). Trend Micro Worry-Free Business Security (10.0 SP1,SaaS).
• CAUSAS: Elevación de privilegios.
• CONSECUENCIAS: Un atacante local podría crear un archivo especialmente diseñado con contenido arbitrario que podría otorgar información local. Escalamiento de privilegios en el sistema afectado. Ten en cuenta: Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Medio - Disponibilidad: Medio
• MITIGACIÓN: TrendMicro recomienda aplicar los parches y/o compiaciones correspondientes.
• RESUMEN: La vulnerabilidad existe debido a restricciones de acceso incorrectas. Numerosas funciones peligrosas expuestas dentro de Orion Core permiten la inyección de SQL de solo lectura que conduce en escalar privilegios.
• CONSECUENCIAS: Un atacante con pocos privilegios de usuario puede robar hash de contraseña. Cualquier usuario de Orion, incluida una cuenta de invitado, puede consultar la entidad Orion. UserSettings y enumerar los usuarios y sus configuraciones básicas.
• IMPACTO:
- Confidencialidad: Alto - Integridad: Medio - Disponibilidad: Alto
• MITIGACIÓN: Se recomienda instalar las actualizaciones desde el sitio web del proveedor.
• RESUMEN: La vulnerabilidad existe dentro del componente SCSI. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en el montón de longitud fija. La emulación de dispositivo de CD-ROM en VMware Workstation, Fusion y ESXi tiene una vulnerabilidad de desbordamiento de pila.
• PRODUCTO AFECTADO: VMware ESXi (7.0, 6.7 before ESXi670-202111101-SG and 6.5 before ESXi650-202110101-SG), VMware Workstation (16.2.0) and VMware Fusion (12.2.0).
• CAUSAS: Desbordamiento de búfer basado en Heap.
• CONSECUENCIAS: Un atacante con acceso a una máquina virtual con emulación de dispositivo de CD-ROM puede aprovechar esta vulnerabilidad junto con otros problemas para ejecutar código en el hipervisor desde una máquina virtual.
• IMPACTO:
- Confidencialidad: Medio - Integridad: Alto - Disponibilidad: Medio
• MITIGACIÓN: Se recomienda aplicar los parches correspondientes.
This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
