blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

CVE: Vulnerabilidades Enero 2022

NextVision

0

CVE: Vulnerabilidades Enero 2022

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 07/12/2021

• ACTUALIZACIÓN: 17/01/2022

• RESUMEN: La falla específica existe dentro del servicio de control de acceso a la red. El servicio carga un archivo de configuración de OpenSSL desde una ubicación no segura.

• PRODUCTO AFECTADO: FortiClient para MacOS versiones 6.4.3 y anteriores.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Esta vulnerabilidad permite a los atacantes locales aumentar los privilegios en las instalaciones afectadas de Fortinet FortiClient Network Access Control. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Actualice a FortiClient para MacOS versión 6.4.4 o superior.
Actualice a FortiClient para MacOS versión 7.0.0 o superior.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.6

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 14/01/2022

• ACTUALIZACIÓN: 14/01/2022

• RESUMEN: Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) podría permitir que un atacante remoto autenticado eleve sus privilegios a Administrador. Esta vulnerabilidad se debe a la falta de validación del lado del servidor de los permisos de usuario.

• PRODUCTO AFECTADO: Cisco Unified CCMP
Cisco Unified CCDM

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a un sistema vulnerable. Una explotación exitosa podría permitir al atacante crear cuentas de administrador. Con estas cuentas, el atacante podría acceder y modificar la telefonía y los recursos de usuario en todas las plataformas unificadas que están asociadas al Cisco Unified CCMP vulnerable. Para explotar con éxito esta vulnerabilidad, un atacante necesitaría credenciales de usuario avanzado válidas.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones alternativas que aborden esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 25/12/2021

• ACTUALIZACIÓN: 12/01/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite en "SoftwareBus_dispatchNormalEPMsgOut" en el módulo del kernel KCodes NetUSB. Ciertos dispositivos D-Link, Edimax, NETGEAR, TP-Link, Tenda y Western Digital se ven afectados por un desbordamiento de enteros por parte de un atacante no autenticado. No se puede descartar la ejecución remota de código desde la interfaz WAN (puerto TCP 20005); sin embargo, se consideró que la explotabilidad era de "complejidad bastante significativa" pero no "imposible".

• PRODUCTO AFECTADO: D7800 anteriores a 1.0.1.68.
R6400v2 anteriores a 1.0.4.122.
R6700v3 anteriores a 1.0.4.122.

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante remoto puede desencadenar la corrupción de la memoria y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda instalar las actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 11/01/2022

• ACTUALIZACIÓN: 14/01/2022

• RESUMEN: La vulnerabilidad existe debido a una validación insuficiente de la extensión IKE de Windows de entrada proporcionada por el usuario. La vulnerabilidad permite que un atacante remoto realice un ataque de denegación de servicio (DoS).

• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante remoto puede pasar una entrada especialmente diseñada a la aplicación y realizar un ataque de denegación de servicio (DoS).

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 11/01/2022

• ACTUALIZACIÓN: 13/01/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro de la función de soporte de tráiler HTTP en la pila de protocolo HTTP (http.sys).

• PRODUCTO AFECTADO: Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud HTTP especialmente diseñada al servidor web, desencadenar un desbordamiento de búfer y ejecutar código arbitrario en el sistema.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: CVE-2021-44024 - CVE-2021-45440 - CVE-2021-45441

• FECHA DIVULGACIÓN: 29/12/2021

• ACTUALIZACIÓN: 06/01/2022

• RESUMEN: La vulnerabilidad existe dentro del Servicio de escaneo en tiempo real. Al crear un enlace simbólico, un atacante puede abusar del servicio para sobrescribir un archivo.

• PRODUCTO AFECTADO: Trend Micro Apex One (2019, SaaS). Trend Micro Worry-Free Business Security (10.0 SP1,SaaS).

• CAUSAS: Elevación de privilegios.

• CONSECUENCIAS: Un atacante local podría crear un archivo especialmente diseñado con contenido arbitrario que podría otorgar información local. Escalamiento de privilegios en el sistema afectado. Ten en cuenta: Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: TrendMicro recomienda aplicar los parches y/o compiaciones correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: CVE-2021-35244 - CVE-2021-35248

• FECHA DIVULGACIÓN: 20/12/2021

• ACTUALIZACIÓN: 03/01/2022

• RESUMEN: La vulnerabilidad existe debido a restricciones de acceso incorrectas. Numerosas funciones peligrosas expuestas dentro de Orion Core permiten la inyección de SQL de solo lectura que conduce en escalar privilegios.

• PRODUCTO AFECTADO: Orion Core versiones anteriores a 2020.2.6 HF 3.

• CAUSAS: Método o función peligrosa expuesta.

• CONSECUENCIAS: Un atacante con pocos privilegios de usuario puede robar hash de contraseña. Cualquier usuario de Orion, incluida una cuenta de invitado, puede consultar la entidad Orion. UserSettings y enumerar los usuarios y sus configuraciones básicas.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda instalar las actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 04/01/2022

• ACTUALIZACIÓN: 07/01/2022

• RESUMEN: La vulnerabilidad existe dentro del componente SCSI. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en el montón de longitud fija. La emulación de dispositivo de CD-ROM en VMware Workstation, Fusion y ESXi tiene una vulnerabilidad de desbordamiento de pila.

• PRODUCTO AFECTADO: VMware ESXi (7.0, 6.7 before ESXi670-202111101-SG and 6.5 before ESXi650-202110101-SG), VMware Workstation (16.2.0) and VMware Fusion (12.2.0).

• CAUSAS: Desbordamiento de búfer basado en Heap.

• CONSECUENCIAS: Un atacante con acceso a una máquina virtual con emulación de dispositivo de CD-ROM puede aprovechar esta vulnerabilidad junto con otros problemas para ejecutar código en el hipervisor desde una máquina virtual.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Enero 2022, comunícate con nuestro equipo enviándonos tus comentarios aquí.

CVE: Vulnerabilidades Diciembre 2021

NextVision

0

CVE: Vulnerabilidades Diciembre 2021

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 10

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/12

• ACTUALIZACIÓN: 16/12

• RESUMEN: La vulnerabilidad Log4j se reportó como crítica ya que afecta a la librería de registro Apache Log4j basada en Java. El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.

• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 a 2.14.1

• CAUSAS: Deserialización de datos que no son de confianza.
Validación de entrada incorrecta. vConsumo no controlado de recursos.

• CONSECUENCIAS:Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico


• MITIGACIÓN: Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: CVE-2021-44228

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 20/12

• RESUMEN: La vulnerabilidad se encontró ya que la corrección para la dirección CVE-2021-44228 en Apache Log4j 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas.
Log4j 2.16.0 (Java 8) y 2.12.2 (Java 7) solucionan este problema al eliminar la compatibilidad con los patrones de búsqueda de mensajes y deshabilitar la funcionalidad JNDI de forma predeterminada.

• PRODUCTO AFECTADO: Apache Log4j, versiones 2.0 beta 9 a 2.12.1 y 2.13.0 a 2.15.0.

• CAUSAS: Denegación de servicio

• CONSECUENCIAS: Un atacante podría controlar los datos de entrada del mapa de contexto de subprocesos (MDC) cuando la configuración de registro utiliza un diseño de patrón no predeterminado con una búsqueda de contexto (por ejemplo, $$ {ctx: loginId}) o un patrón de mapa de contexto de subprocesos ( % X,% mdc o% MDC) para crear datos de entrada maliciosos utilizando un patrón de búsqueda JNDI que da como resultado una fuga de información y la ejecución remota de código en algunos entornos y la ejecución de código local en todos los entornos.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad:Alto


• MITIGACIÓN: Se recomienda actualizar a Log4j 2.16.0, ya que soluciona este problema eliminando la compatibilidad con los patrones de búsqueda de mensajes y desactivando la funcionalidad JNDI de forma predeterminada.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 8.1

• CVES RELACIONADOS: CVE-2021-44228

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 16/12

• RESUMEN: La vulnerabilidad se encontró en JMSAppender dentro Log4j 1.2 y es vulnerable a la deserialización de datos que no son de confianza cuando el atacante tiene acceso de escritura a la configuración de Log4j.
Este problema solo afecta a Log4j 1.2 cuando se configura específicamente para usar JMSAppender, que no es el predeterminado. Apache Log4j 1.2 llegó al final de su vida útil en agosto de 2015. Los usuarios deben actualizar a Log4j 2, ya que resuelve muchos otros problemas de las versiones anteriores.

• PRODUCTO AFECTADO: Apache Log4j, versiones 1.2.x

• CAUSAS: Deserialización de datos que no son de confianza.

• CONSECUENCIAS: El atacante puede proporcionar configuraciones TopicBindingName y TopicConnectionFactoryBindingName, lo que hace que JMSAppender realice solicitudes JNDI que dan como resultado la ejecución remota de código de manera similar a CVE-2021-44228

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Se recomienda eliminar JMSAppender en la configuración de Log4j si se utiliza, como así también eliminar la clase JMSAppender de la ruta de clases. Restringir el acceso del usuario del sistema operativo en la plataforma que ejecuta la aplicación para evitar que el atacante modifique la configuración de Log4j.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.7

• CVES RELACIONADOS: CVE-2021-43242, CVE-2021-42320, CVE-2021-42309

• FECHA DIVULGACIÓN: 15/12

• ACTUALIZACIÓN: 15/12

• RESUMEN: La vulnerabilidad existe debido al procesamiento incorrecto de los datos proporcionados por el usuario. Un atacante remoto puede falsificar el contenido de la página ya que se realiza validación insuficiente de la entrada proporcionada por el usuario.

• PRODUCTO AFECTADO: Microsoft SharePoint Server: 2013, 2016, 2019

• CAUSAS: Ejecución de código remoto (RCE)

• CONSECUENCIAS: La vulnerabilidad permite a un atacante remoto realizar un ataque de suplantación de identidad.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Bajo


• MITIGACIÓN: Se recomienda realizar las actualizaciones correspondientes.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.1

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 15/12

• RESUMEN: La vulnerabilidad suplanta la identidad del instalador de AppX afectando a Microsoft Windows. Los atacantes han estado aprovechando esta vulnerabilidad para instalar paquetes que incluyen algunas familias de malware como son Emotet, TrickBot o Bazaloader.

• PRODUCTO AFECTADO: Instalador Windows AppX

• CAUSAS: Suplantación de identidad

• CONSECUENCIAS: Un atacante podría crear un archivo adjunto malicioso para utilizarlo en campañas de phishing. El atacante tendría que convencer al usuario de que abra el archivo adjunto especialmente diseñado. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Microsoft recomienda verificar las actualizaciones y consultar las secciones Mitigaciones y Soluciones para obtener información importante sobre los pasos que puede tomar para proteger su sistema de esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.3

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 14/12

• ACTUALIZACIÓN: 15/12

• RESUMEN: La vulnerabilidad existe debido a una validación de entrada incorrecta en la aplicación de Microsoft Office. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

• PRODUCTO AFECTADO: Microsoft Office en todas las versiones.

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante remoto puede enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 8/12

• ACTUALIZACIÓN: 9/12

• RESUMEN: La vulnerabilidad existe por el desbordamiento de enteros en el asignador de memoria de SSLVPN en FortiOS anterior a 7.0.1 y puede permitir que un atacante no autenticado corrompa los datos de control a través de solicitudes específicamente diseñadas a SSLVPN, lo que da como resultado la ejecución de código potencialmente arbitrario.

• PRODUCTO AFECTADO: FortiOS, version 7.0.1 y anteriores

• CAUSAS: Ejecución de código remoto

• CONSECUENCIAS: Un atacante puede ejecutar remotamente código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Fortinet recomienda realizar las actualizaciones correspondientes que solucionaran la vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.5

• CVES RELACIONADOS: CVE-2021-44228

• FECHA DIVULGACIÓN: 18/12

• ACTUALIZACIÓN: 26/12

• RESUMEN: La vulnerabilidad de Apache Log4J no protege la recursividad incontrolada de búsquedas autorreferenciales. Esto permite que un atacante con control sobre los datos del mapa de contexto de subprocesos cause una denegación de servicio cuando se interpreta una cadena elaborada.

• PRODUCTO AFECTADO: Apache Log4j2 versiones 2.0-alpha1 a 2.16.0

• CAUSAS: Denegación de servicio

• CONSECUENCIAS: Un atacante podría explotar la vulnerabilidad de la recursión de referencias a sí mismas entre lookups; pudiendo fabricar entradas maliciosas que contengan lookups recursivos. Principalmente para provocar una excepción que fuerce la finalización del proceso con un código de error, de modo que podría ser aprovechado para la realización de un ataque de denegación de servicio.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar a la última versión de Log4j 2.17.0 en la cuál se resuelven los fallos de seguridad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Diciembre 2021, comunícate con nuestro equipo enviándonos tus comentarios aquí.

Fraudes en la red: qué hacer y cómo evitarlos

NextVision

0

Hoy en día la sociedad invierte gran parte de su tiempo en el mundo online, no solo por ocio, trabajo y entretenimiento, sino que busca soluciones a problemas concretos en la red. Es por ello, que los delitos también se han adaptado a esta nueva actualidad. 

 

Los fraudes online más populares en 2021

Los fraudes, estafas o engaños por internet representan más del 80% de los ciberdelitos cometidos en 2021. Por esta razón, vamos a realizar un listado para detectar los fraudes online más comunes que usan los ciberdelincuentes para robar dinero y/o datos personales.  

 

  • Correos electrónicos o SMS que se hacen pasar por Correos y/u otras empresas de mensajería.

El comercio online ha aumentado, por ello, los estafadores han aprovechado este incremento de tráfico para la sustracción de datos haciéndose pasar por entidades de envío.

 

 

  •  Falsos emails de la Agencia Tributaria y otros organismos oficiales.

¡Cuidado con este tipo de emails! Suelen vincular una página web falsa para que introduzcas tu información personal. Asegúrate de que son páginas y correos oficiales.

 

 

  • Códigos falsos de verificación de WhatsApp.

En este tipo de fraude el estafador busca configurar en su teléfono cuentas de WhatsApp ajenas. Es recomendable no proporcionar códigos de confirmación a números desconocidos.

 

 

  • Comunicados falsos sobre el Covid.

Los estafadores aprovechan la angustia de la población para difundir links o enlaces a páginas web fraudulentas y de este modo robar o sustraer datos personales. Para informarse sobre la vacunación y la actualidad de la pandemia, es recomendable visitar webs oficiales.

 

 

  • Confirmaciones de compra de plataformas e-commerce.

Puedes encontrar emails sobre confirmación de pedido y/o incluso emails donde aseguran que ha habido problemas o intentos de inicio con tu cuenta de Amazon, Mercado Libre. ¡Evítalos! Revisa directamente el estado de tu cuenta desde la web o App oficial.

 

 

  • Phishing de bancos y servicios de pago.

Correos electrónicos donde se hacen pasar por bancos o servicios de pagos como PayPal. Para evitar este tipo de fraudes, accede a tu cuenta bancaria siempre siempre desde la aplicación o página web oficial.

 

 

  • Robo de cuentas en Instagram y/u otras RRSS.

Correos electrónicos donde los ciberdelincuentes declaran que tu cuenta de Instagram y/u otras RRSS va a ser eliminada, ha sido denunciada o ha habido un intento de sustracción. Encontraríamos un enlace a una web que simula la RRSS para dejar nuestros datos personales.

 

 

  • Estafas con criptomonedas.

Anuncios fraudulentos donde se ofrecen servicios de inversión de monedas.

.

 

  • Phishing de plataformas de streaming (Netflix, Amazon Prime, HBO o Disney Plus).

Correos electrónicos fraudulentos para acceder a tus cuentas de plataformas de streaming. Simulan ser páginas oficiales para acceder a los datos personales.

 

 

  • Cupones de descuento de grandes empresas.

Cupones, sorteos, códigos de descuento… todo desde correos electrónicos o SMS que redirigen a una página web fraudulenta. Para confirmar estos sorteos o códigos, es conveniente dirigirse a la página oficial.

 

 

Tips y consejos generales para evitar este tipo de estafas

Como hemos podido comprobar, existen numerosas formas de cometer estafas online y es posible que sin darnos cuenta, hayamos caído en su trampa. ¿Cómo debemos reaccionar en el caso de que estemos afectados en uno de estos ciberdelitos?

Si has proporcionado tu número de teléfono en alguno de estos engaños o descargado alguna app, es conveniente vigilar la factura de teléfono y ver que todo está en orden. En numerosas ocasiones, te suscriben a servicios SMS premium.

La mayoría de estas estafas se hacen de manera involuntaria, para prevenir este tipo de situaciones lo ideal es ponerse en contacto con la compañía de telefónica, para desactivar la opción de suscribirse a servicios SMS premium.

De la misma manera, si has proporcionado sin ser consciente tu datos de cuenta bancaria en una página web fraudulenta, vigila los cargos posteriores y ponte en contacto con tu entidad bancaria. Es recomendable prevenir solicitando una nueva tarjeta y dar de baja la actual.

 

¿Qué podemos hacer para evitar estos ciberdelitos?

Principalmente, como usuario o empresa, debes evitar dar tu información personal en una llamada o mensaje no solicitado.

En el caso de realizar transferencias de dinero, procura enviar a alguien que conoces personalmente y en el caso de ser una gran suma, realizarlo de forma fraccionada

Del mismo modo, es conveniente usar servicios confiables que ofrecen protecciones de seguridad.

En el caso de pago a proveedores habituales, también estate atento a cualquier correo que pueda aparentar ser de dicho proveedor solicitando un cambio en el pago del servicio. Dicho proveedor pudo haber sido hackeado para cometer fraudes a terceros.

 

 

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones de fraude cibernético. Así mismo, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar de manera particular y empresarial y fomentar la construcción de una cultura cibersegura.

CVE: Vulnerabilidades y Fallas de Seguridad

NextVision

0

CVE: Vulnerabilidades de noviembre

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 16/09

• ACTUALIZACIÓN: 29/11

• RESUMEN: La vulnerabilidad contiene una uri-path de solicitud manipulada que puede hacer que mod_proxy reenvíe la solicitud a un servidor de origen elegido por el usuario remoto.

• PRODUCTO AFECTADO: Apache HTTP Server, version 2.4.48 y versiones anteriores

• CAUSAS: Falsificación de solicitudes del lado del servidor. Elevación de privilegios.

• CONSECUENCIAS: Un atacante podría forzar al módulo mod_proxy (si está habilitado) a dirigir las conexiones a un servidor de origen que hayan elegido y hacer que parezca que el servidor está enviando la solicitud, posiblemente saltándose los controles de acceso como los cortafuegos que impiden a los atacantes acceder a las URLs directamente.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Apache recomienda actualizar a la versión 2.4.49.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 25/08

• ACTUALIZACIÓN: 29/11

• RESUMEN: Esta vulnerabilidad permite a los atacantes locales escalar los privilegios en las instalaciones afectadas de Kaspersky Password Manager. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad.

• PRODUCTO AFECTADO: Kaspersky Password Manager para Windows anterior a 9.0.2 Patch R.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios de integridad media y ejecutar código en el contexto del usuario actual con integridad alta.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Kaspersky ha solucionado dicha vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD:7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 22/11

• RESUMEN: La vulnerabilidad se encuentra dentro del instalador del producto. El problema se debe a los permisos incorrectos configurados en una carpeta. El atacante puede hacer uso de dicha vulnerabilidad para elevar privilegios y ejecutar código arbitrario como SYSTEM.

• PRODUCTO AFECTADO: Adobe Creative Cloud 5.5 y versión anterior.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante local podría elevar privilegios en el instalador de Adobe Creative Cloud. El atacante debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar dicha vulnerabilidad.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Adobe recomienda realizar las actualizaciónes correspondientes en su sitio web.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD:7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 12/11

• RESUMEN: Esta vulnerabilidad existe dentro del servicio de Windows Installer. Si se llegara a explotar se podría abusar del servicio para eliminar un archivo o directorio pudiendo ejecutar código arbitrario como SYSTEM.

• PRODUCTO AFECTADO: Windows 7, 8.1, 10, 11.
Windows Server 2008, 2012, 2019, 2022

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría escalar privilegios en las versiones afectadas de Mirosoft Windows mediante la ejecución de código con pocos privilegios en el sistema destino.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Bajo
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft lo solucionó lanzando el parche en el Patch Tuesday.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 7.2

• CVES RELACIONADOS: CVE-2021-34415; CVE-2021-34416

• FECHA DIVULGACIÓN: 30/09

• ACTUALIZACIÓN: 22/11

• RESUMEN: Esta vulnerabilidad no valida la entrada enviada en las solicitudes para actualizar la configuración del proxy de red, lo que podría llevar a la inyección de comandos remotos en la imagen local por un administrador del portal web.

• PRODUCTO AFECTADO: Controlador de conector de reunión local de Zoom antes de la versión 4.6.348.20201217
Zoom MMR de Meeting Connector en las instalaciones antes de la versión 4.6.348.20201217
Conector de grabación local de Zoom antes de la versión 3.8.42.20200905
Zoom del conector de sala virtual en las instalaciones antes de la versión 4.4.6620.20201110
Balanceador de carga del conector de sala virtual en las instalaciones de Zoom antes de la versión 2.5.5495.20210326

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario en el servidor a través de privilegios de usuario root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Bajo


• MITIGACIÓN: El fabricante recomienda actualizar a la última versión disponible que corrige esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

• GRAVEDAD: 6.8

• CVES RELACIONADOS: CVE-2021-0158; CVE-2021-0157

• FECHA DIVULGACIÓN: 9/11

• ACTUALIZACIÓN: 22/11

• RESUMEN: La vulnerabilidad permite al hardware la activación de la lógica de prueba o depuración en tiempo de ejecución para algunos procesadores Intel, esto permite que un usuario no autenticado pueda elevar privilegios a través del acceso físico.

• PRODUCTO AFECTADO: Intel CPU

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar un exploit para extraer la clave de cifrado de los dispositivos y obtener acceso a la información.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Bajo


• MITIGACIÓN: Intel recomienda que los usuarios de los procesadores Intel afectados se actualicen a la última versión proporcionada por el fabricante del sistema que resuelve estos problemas.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 15/11

• ACTUALIZACIÓN: 17/11

• RESUMEN: La vulnerabilidad existe dentro del servicio UPnP, que escucha en el puerto TCP 5000 de forma predeterminada.
Al analizar el encabezado de la solicitud uuid, el proceso no valida correctamente la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila de longitud fija.

• PRODUCTO AFECTADO: NETGEAR versión R6400v2 1.0.4.106_10.0.80

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante adyacente a la red podría ejecutar código arbitrario en los dispositivos afectados. No se requiere autenticación para dicha explotación.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: NETGEAR publico correcciones para la vulnerabilidad y recomienda realizar la actualización.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 3/11

• ACTUALIZACIÓN: 4/11

• RESUMEN: Esta vulnerabilidad existe por la debilidad en un subsistema SSH, una función desconocida del componente Key-based SSH Authentication Handler es afectada.

• PRODUCTO AFECTADO: Cisco Policy Suite con versiones anteriores a la 21.2.0.

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: El atacante podría hacer uso de esta vulnerabilidad si logra conectarse a un dispositivo afectado a través de SSH. Con la creación de un exploit podría iniciar sesión remota sin autenticarse en un sistema con usuario root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Cisco recomienda actualizar a la última versión lanzada teniendo en cuenta que si las versiones anteriores de Cisco Policy Suite se actualizan a la versión 21.2.0, las claves SSH predeterminadas aún deben cambiarse manualmente.
Por otra parte, las claves SSH predeterminadas deben cambiarse.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/11

• ACTUALIZACIÓN: 4/11

• RESUMEN: La vulnerabilidad de ejecución de código remoto (RCE) se produce, ya que existe un falla de una validación incorrecta en los argumentos command-let (cmdlet)

• PRODUCTO AFECTADO: Microsoft Exchange Server Exchange 2016 y 2019

• CAUSAS: Remote Code Execution (RCE)

• CONSECUENCIAS: Un atacante remoto y autenticado podría tomar el control total de Exchange Server mediante el envío de paquetes malintencionados al servidor.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsoft recomienda actualizar su lista de parches.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 9/10

• ACTUALIZACIÓN: 10/10

• RESUMEN: Se ha descubierto que, mediante la omisión de funciones de seguridad, los atacantes pueden instalar código malicioso para engañar a los usuarios al abrir un archivo de Excel.

• PRODUCTO AFECTADO: Microsoft Office 365 Apps para empresas / 2013 RT SP1 / 2013 SP1 / 2016/2019 / LTSC hasta 2021

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría ejecutar código si la victima abre un archivo malicioso especialmente diseñado y de esta forma escalar privilegios.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Microsft recomienda actualizar los parches disponibles a la fecha.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 10

• CVES RELACIONADOS: CVE-2021-22204

• FECHA DIVULGACIÓN: 23/04

• ACTUALIZACIÓN: 1/11

• RESUMEN: Se ha descubierto un problema en GitLab CE/ EE que afecta a todas las versiones a partir de la 11.9.
GitLab no estaba validando correctamente los archivos de imagen que se pasaron a un analizador de archivos, lo que resultó en la ejecución de comando remoto.
Esta vulnerabilidad se publicó el 14 de abril del 2021 y se categorizó con un CVSS 9,9, pero en la ultima revisión se aumentó a 10.0.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.

• PRODUCTO AFECTADO: Versiones de GitLab Enterprise Edition (EE) y GitLab Community Edition (CE) a partir de la 11.9.

• CAUSAS: Invalidación de archivos de imagen que lleva a realizar un RCE.

• CONSECUENCIAS: Un atacante remoto podría ejecutar comandos arbitrarios como gitusuario debido al mal manejo de ExifTool de los archivos DjVu. El atacante, para explotar esta vulnerabilidad, no necesita una Autenticación, CSRF token o un endpoint HTTP válido.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: GitLab recomienda actualizar las versiones disponibles y se agregó una validación adicional.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de actualización.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 7/09

• ACTUALIZACIÓN: 4/11

• RESUMEN: La vulnerabilidad ManageEngine ADSelfService Plus es una solución de autoservicio de administración de contraseñas e inicio de sesión único para Active Directory y aplicaciones en la nube.
La misma se podría aprovechar para tomar el control de un sistema. Una campaña china de ciberespionaje recientemente fue descubierta explotando la vulnerabilidad de Zoho.

• PRODUCTO AFECTADO: ADSelfService Plus builds up to 6113

• CAUSAS: Ejecución de código remoto (RCE) y path traversal.

• CONSECUENCIAS: El atacante puede cargar un archivo .zip que contiene un Java Server Pages (JSP) WebShell hace pasar por un certificado X509: service.cer. Luego, se realizan solicitudes a diferentes puntos de la API para explotar aún más el sistema de la víctima.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar y restablecer contraseñas.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 2/11

• ACTUALIZACIÓN: 06/11

• RESUMEN: La vulnerabilidad cuenta con un problema en net/tipc/crypto.c dentro del kernel de Linux en las versiones anteriores de 5.14.16.
La funcion Transparent Inter-Process Communication (TIPC) permite que un usuario malintencionado remoto se aproveche de la invalidación de los tamaños que proporciona el usuario para el tipo de mensaje MSG_CRYPTO.

• PRODUCTO AFECTADO: Linux Kernel hasta 5.14.15

• CAUSAS:Desbordamiento de memoria.

• CONSECUENCIAS: Un atacante podría ejecutar código arbitrario dentro del kernel, comprometiendo en su totalidad el sistema afectado ya que existe una falta de comprobación para el campo keylen del mensaje MSG_CRPPTO.
Esto causaría un desbordamiento de memoria y la escritura fuera del límite asignado.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Se recomienda actualizar a la versión 5.14.16, la cuál elimina esta vulnerabilidad.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de Actualización.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 10/11

• ACTUALIZACIÓN: 11/11

• RESUMEN: Esta vulenerabilidad de corrupción de memoria afecta al firewall de PAN que utiliza GlobalProtect portal VPN. Los investigadores de Randori crearon un exploit que es capaz de obtener shell en el objetivo y acceder a datos de configuración y robar credenciales.

• PRODUCTO AFECTADO: Palo Alto PAN-OS versiones posteriores a 8.1.17.

• CAUSAS: Buffer Overflow. Ejecución remota de código sin autenticación.

• CONSECUENCIAS: Un atacante no autenticado en la red podría generar interrupción y ejecutar código arbitrario con privilegios root y moverse lateralmente.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Paloalto recomienda aplicar los parches lanzados.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

CVE: Vulnerabilidades y Fallas de Seguridad

NextVision

0

CVE: Vulnerabilidades de octubre

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: CVE-2021-37975, CVE-2021-37976

• FECHA DIVULGACIÓN: 1/10

• ACTUALIZACIÓN: 15/10

• RESUMEN: Una función desconocida del componente Safe Browsing es afectada por estas vulnerabilidades. Mediante la manipulación de un input se causa la vulnerabilidad de clase de desbordamiento de búfer.

• PRODUCTO AFECTADO: Navegador Google Chrome en Windows, MacOS y Linux

• CAUSAS: Desbordamiento de búfer

• CONSECUENCIAS: Un atacante que explote con éxito esta vulnerabilidad puede causar daños en la memoria (Use After Free) en IV8 a través de una página HTML diseñada que podría ejecutar de forma remota código arbitrario y obtener el control total del sistema.
Por otra parte, el atacante también podría aprovechar una implementación inapropiada en la memoria para obtener de forma remota información confidencial de la memoria del proceso a través de una página HTML maliciosamente diseñada.

• IMPACTO:

- Confidencialidad: Medio
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: Google recomienda actualizar a la version estable 94.0.4606.71

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
- Publicación de actualizaciones.
• GRAVEDAD: 7.3

• CVES RELACIONADOS: CVE-2021-42013, CVE-2021-41524

• FECHA DIVULGACIÓN: 5/10

• ACTUALIZACIÓN: 11/10

• RESUMEN: Si los archivos, fuera de la raíz del documento, no están protegidos por "REQUIRE ALL DENIED", estas solicitudes pueden tener éxito. La vulnerabilidad también podría permitir a los atacantes filtrar la fuente de archivos interpretados como scripts CGI.
La corrección se encontró insuficiente para esta vulnerabilidad, ya que no considera las ramificaciones que no se limitaban a lecturas de archivo arbitrarias.

• PRODUCTO AFECTADO: Servidor HTTP Apache versión 2.4.49

• CAUSAS: Path Traversal

• CONSECUENCIAS: Un atacante que explote con éxito la vulnerabilidad puede asignar una URL a archivos fuera de la raíz del documento pudiendo leer archivos arbitrarios del servidor web.
Por otra parte, se podría crear solicitudes especiales que causen problemas de DoS en el servidor web explotando con éxito el CVE-2021-41524.
Asimismo, si el atacante logra cargar archivos diseñados especialmente en el servidor HTTP Apache, podría obtener privilegios de administrador por completo dentro del servidor.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda actualizar a Apache HTTP Server versión 4.51

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: CVE-2021-40450, CVE-2021-41357

• FECHA DIVULGACIÓN: 12/10

• ACTUALIZACIÓN: 19/10

• RESUMEN: Esta vulnerabilidad es de tipo use-after-free y se encuentra en el controlador Win32k y la misma puede ser explotada con una técnica para filtrar las direcciones base de los módulos del kernel.
A su vez, se parchea un total de 74 vulnerabilidades, que se sanitizan con la actualización de cada martes, llamada Patch Tuesday. Del total de vulnerabilidades, CVE-2021- 40449 es la que cuenta con mayor impacto.

• PRODUCTO AFECTADO: Microsoft Windows 7/ 8.1/ 10 /11 x64 x86 arm64, Windows Server 2008/ 2012/ 2016 /2019

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante podría explotar dicha vulnerabilidad mediante la escalación de privilegio y lanzar un troyano de acceso remoto, como MysterySnail, el cual les daría acceso al sistema de la víctima.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Bajo
- Disponibilidad: Alto


• MITIGACIÓN: La empresa recomienda actualizar los productos afectados.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.
• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 20/10

• ACTUALIZACIÓN: 16/10

• RESUMEN: Una vulnerabilidad en la CLI del software Cisco IOS XE SD-WAN podría permitir que un atacante local autenticado ejecute comandos arbitrarios con privilegios de root.

• PRODUCTO AFECTADO: Software Cisco IOS XE SD-WAN

• CAUSAS: La vulnerabilidad se debe a una validación de entrada insuficiente por parte de la CLI del sistema.

• CONSECUENCIAS: Un atacante podría aprovechar esta vulnerabilidad al autenticarse en un dispositivo afectado y enviar una entrada diseñada a la CLI del sistema. Un exploit exitoso podría permitir al atacante ejecutar comandos en el sistema operativo subyacente con privilegios de root.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: No existen soluciones alternativas que aborden esta vulnerabilidad.

• REFERENCIAS:
- Publicación en página del proveedor.
• GRAVEDAD: 7.1

• CVES RELACIONADOS: CVE-2018-20250, CVE-2018-20253

• FECHA DIVULGACIÓN: 20/10

• ACTUALIZACIÓN: N/A

• RESUMEN: Esta vulnerabilidad se observa en un error de JavaScript generado por MSHTML. Al terminar el periodo de prueba, WinRAR da aviso al usuario a través de una notificación "notifier.rarlab [.] com”, que al interceptarse y modificarse se podría hacer uso para realizar una ejecución de código.

• PRODUCTO AFECTADO: WinRAR version 5.70

• CAUSAS: Ejecución de código remoto a través de un error por MSHTML.

• CONSECUENCIAS: Un atacante podría realizar una ejecución remota de código con archivos RAR en las versiones anteriores a la 5.7. Esto se puede llevar a cabo a través de un exploit conocido, como lo es el CVE-2018-20250. Si un atacante ya cuenta con el acceso al mismo dominio de red mediante esta vulnerabilidad también se podría realizar un ataque de suplantación de identidad, ARP Spoofing.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio


• MITIGACIÓN: Se recomienda actualizar a la versión más reciente que el fabricante ha liberado.

• REFERENCIAS:
- Publicación en CVE oficial.
- Publicación en página del proveedor.

Los ataques ransomware crecieron más de 700% durante el 2021

NextVision

0

Nuestro partner Kaspersky, realizó un estudio donde comparó datos desde el 2019 a la fecha y anunció un incremento superlativo de ataques Ransomware. Este tipo de ataque se ha escuchado recientemente en numerosas ocasiones, siendo algunos de los últimos y más conocidos el hackeo de REvil a Kaseya, compañía de software de Estados Unidos.

También fueron difundidos masivamente los ataques a las empresas JBS, Apple, Accenture, incluso la ONU y a Colonial Pipeline; esta última reconoció que accedió a un pago de u$s5 millones para recuperar sus activos.

 

Los valores del Ataque de Ransomware

Durante el año se pagó un total acumulado de casi U$S 50 millones en todo el mundo en concepto de rescate ante ransomwares. En cuanto a los distintos tipos de este ataque, el que mayores ingresos registró hasta la fecha es Conti, con más de U$S 14 millones. Le sigue REvil/Sodinokibi, con más de U$S 11 millones.

El aumento de ataques se produce a partir de que el pago promedio, a comparación del año pasado, aumentara un 171%, superando los U$S 312.000.

El acceso remoto a partir del home office y la piratería son los principales vectores de ataque, tanto para consumidores como para empresas.

El informe creado por Kaspersky sobre América Latina toma como referencia los 20 programas maliciosos más populares, los cuales representan más de 728 millones de intentos de infección en la región, un promedio de 35 ataques por segundo.

La pandemia tomó desprevenidos a los usuarios y, sobre todo, a las empresas, ya que no contaban con medidas para reconocer las amenazas en un entorno cambiante como el que se generó.

«El 73% de los empleados que trabajan desde casa no han recibido ninguna orientación o formación específica sobre ciberseguridad para mantenerse a salvo de los riesgos y, tan sólo el 53% de ellos utiliza una VPN para conectarse a las redes corporativas. Por lo tanto, el teletrabajo puede suponer un gran riesgo para la seguridad de la organización», señala el partner de NV.

 

La conclusión es clara: La seguridad de las tecnologías para el trabajo remoto debe ser prioridad.

 

Actualmente, estamos viendo un aumento del 25% en los ciberdelitos en todo el mundo. En estos momentos, España es el país del mundo más atacado y Argentina lo sigue, entrando en el puesto 34° de la lista durante septiembre.

«El reciente cambio en las prácticas laborales, así como la digitalización, la llegada del 5G y el eventual crecimiento del número de dispositivos IoT, entre otras cosas, contribuirán a un aumento general de la ciberdelincuencia en todo el mundo. Los ciberataques seguirán creciendo exponencialmente en sofisticación y volumen». Indican desde Kaspersky.

Respecto a esto, Gartner coincide también. Todo indica que para 2025, al menos el 75% de las organizaciones se enfrentarán a uno o más ataques.

Desde el punto de vista de Kaspersky, los ataques de ransomware «Siguen cambiando y evolucionando rápidamente. Año tras año, los atacantes se vuelven más audaces y sus metodologías se perfeccionan». Teniendo esto en cuenta, señala que no hay marcha atrás. El fenómeno seguirá creciendo: «Causan y seguirán causando más trastornos que antes».

Todo el mundo es susceptible de caer en ataques de ransomware, phishing o smishing. Incluso alguien entrenado para detectar una falsificación puede a veces tener dificultades para determinar si un mensaje es de phishing o es una comunicación legítima.

El número de ciberdelincuentes está creciendo y por eso es sumamente importante poder educarnos a través de la ciberconcientización. Realizando actividades de hardening sobre los usuarios les estaremos brindando herramientas para disminuir los posibles vectores de ataque sobre la compañía.

Desde NextVision, promovemos la predicción, prevención, detección y respuesta temprana para evitar situaciones reactivas en las que debemos lidiar con pagos de rescates que financian el ciberdelito y no garantizan el recupero de la información. Contamos con una guía de preparación ante el ransomware.

Además, creemos en la capacitación y la concientización en ciberseguridad con el objetivo de educar a los colaboradores de cada organización y fomentar así la construcción de una cultura cibersegura.

Windows 7 deja de actualizarse

NextVision

0

¿Qué sucederá con el soporte Windows 7?

El 14 de enero de 2020 terminará el ciclo de vida del soporte de Windows 7. Esto significa que, a partir de esta fecha, todas las computadoras que tengan este sistema operativo dejarán de recibir actualizaciones de software, incluyendo las importantes actualizaciones de seguridad de Microsoft.

¿Qué impacto tiene?

En vista de ello, se espera un incremento en el número de ciberataques a PCs con Windows 7. Ante tal exposición de los sistemas, los ciberdelicuentes tienen un panorama más amplio para atacar, sabiendo que hay una gran cantidad de equipos que se quedarán sin sus parches seguridad. Y es que tan solo en Argentina, 4 de cada 10 computadoras aun utiliza este sistema operativo. Por lo que la región está próxima a aumentar su vulnerabilidad en cuanto a seguridad informática se refiere. Tal como sucedió con Windows XP, que se quedó sin el soporte oficial.

El soporte estándar de Windows 7 caducó en enero del 2015, lo que implicó que se dejaran de enviar mejoras en sus funciones, para solo recibir actualizaciones de seguridad que corrigen errores encontrados.

En el mundo de la Ciberseguridad, contar con las actualizaciones de seguridad más recientes es fundamental. Windows 10 lo tiene presente y constantemente envía parches para corregir esos “agujeros” de seguridad que encuentra.

¿Qué recomendaciones hacemos desde NextVision?

  • Cambiar a la versión de Windows 10, porque una vez que Windows 7 no sea más soportado por Microsoft, sus vulnerabilidades no serán corregidas y el sistema quedará expuesto a infecciones de Malware. Por eso, la mejor protección es mantener siempre los programas actualizados, con la versión más reciente y contar con una solución de seguridad.
  • Actualizar todas las aplicaciones instaladas en nuestras computadoras. No solo Windows y demás productos de Microsoft son los únicos que necesitan estar siempre actualizados. Recordemos que todas las aplicaciones instaladas en nuestras computadoras también requieren ser parcheadas. Existen soluciones de patch management que permiten un despliegue integral y organizado de actualizaciones en todos los equipos de nuestra organización. También existen soluciones de virtual patch management para las organizaciones que les sea más difícil realizar actualizaciones de cada una de sus aplicaciones.
  • Implementar tecnología EDR (Endpoint Detection and Response). No debemos olvidar que las amenazas y programas maliciosos no son “estáticos”, por lo que no basta con soluciones que se limiten a analizar nuestros archivos en busca de firmas, por muy actualizados que estén nuestros sistemas. En NextVision tenemos un abanico de soluciones EDR que integran el análisis de firmas tradicional y análisis de comportamientos sospechosos, contención de incidentes y un posterior análisis forense.

Contá con nosotros!

Comunicate con nuestro equipo para asesorarte en las últimas soluciones de ciberseguridad.

Escribinos a info@nextvision.com

Fuente:

Departamento de Tecnología de NextVision

¡Nuestro Departamento de Tecnología continúa creciendo!

NextVision

0

Con mucha satisfacción anunciamos las últimas certificaciones de nuestros consultores del equipo:

  • Carlos Herrera e Isabel Arria han obtenido la certificación Fortinet´s Network Security Expert NSE 4.
  • Fabiola Oliveros, nuestra líder del Departamento Técnico, obtuvo Fortinet´s Network Security Expert NSE 7, primera mujer de Argentina en conseguir uno de los máximos reconocimientos que otorga nuestro partner Fortinet en todo el mundo.

Estas certificaciones acreditan y garantizan que nuestros técnicos posean los conocimientos para poder gestionar servicios de ciberseguridad de manera eficiente y localizar cualquier tipo de incidencia o fallo que se pueda producir en cualquier organización.

Convencidos de la importancia de mantener una formación continua, en NextVision promovemos que nuestros especialistas cuenten con las últimas certificaciones de nuestros partners de ciberseguridad, que nos permite abordar proyectos más complejos y exigentes.

 Esta es una clara apuesta de NV para continuar ofreciendo servicios de vanguardia, acorde a las nuevas tendencias del mercado y a los requerimientos específicos de cada empresa.


¡Felicitamos a nuestro equipo del Departamento de Tecnología por las certificaciones logradas este 2019!

NV + Kaspersky : Tendencias 2020 en Ciberseguridad

NextVision

0

Estuvimos el día Miércoles junto con el equipo de Kaspersky ofreciendo un almuerzo exclusivo a nuestros clientes, en el cual presentamos las últimas tendencias y pronósticos en Ciberseguridad para el 2020.

Esta presentación estuvo a cargo de Claudio Pasik, Director de NextVision quién nos compartió las novedades en innovación de servicios de la compañía, presentando:

  • NV Ciberdefensa Un servicio modular y competitivo para prevenir, detectar y mitigar amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes y un equipo de expertos de  NextVision.
  • NV VRM | Vendor Risk Management Un servicio que mide la reputación de la empresa en relación a la Ciberseguridad para detectar y mitigar riesgos.
  • NV Awareness Un servicio que tiene por objetivo lograr una organización cibersegura y proteger tu negocio educando a tu gente en el uso de la tecnología y el cuidado de la información.

Luego fue el turno de Andrés Giarletta, Systems Engineer Manager de Kaspersky, quien introdujo las predicciones en Tendencias de Ciberseguridad que habrá el próximo año en América Latina, entra las que se destacan:

  • Infecciones vía ataques a proveedores y terceras partes.
  • Resurgimiento del Ransomware y ataques más dirigidos.
  • Aumento de ciberataques en la nube.

Más de 20 personas disfrutaron del almuerzo en SAGARDI, ubicado en el barrio porteño de San Telmo, donde además repartimos regalos a cada uno de ellos.

¡Agradecemos a nuestros clientes y al equipo de Kaspersky por acompañarnos! Fue una gran convocatoria.

Nuevas incorporaciones en nuestro departamento técnico

NextVision

0

Seguimos ampliando la familia de NextVision y afianzando nuestro crecimiento; por eso, incorporamos 3 nuevos profesionales para el departamento de Tecnología y Soporte Técnico.

Ellos son Andrés Medina, Network Security Engineer; Miguel Ángel Sinzano y Damián de Paul, Consultores de Seguridad.

Andrés Medina es Ingeniero en Comunicaciones y tiene como responsabilidad tareas de diseño y configuraciones de redes seguras, así como colaborar con los procesos de pre venta.

Por su parte, Miguel Ángel brinda servicios de consultoría para la prevención de fuga de datos y administración de la plataforma antivirus. Antes de unirse a NextVision, Miguel Ángel se desempeñó en Atos e IPLAN.

Finalmente, el equipo se completa con Damián de Paul, Técnico Superior en análisis de sistemas, quien trabaja en servicios de consultoría y administración de plataformas de seguridad en un importante cliente del rubro financiero. Damián trabajó anteriormente en Novadata y en ASYST International.

¡Bienvenidos!