blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
enero 2, 2024

¿Puede mi empresa sufrir un ciberincidente durante este 2024?

NextVision

0

El año 2024 marca un nuevo comienzo, una época de alegría y celebración. Sin embargo, es también un momento ideal para realizar una pausa y reflexionar sobre los riesgos latentes para este nuevo año.

Los ciberataques, pueden ocasionar pérdidas financieras significativas y daños a la reputación de una empresa. Por tanto, es crucial que las organizaciones adopten medidas proactivas para resguardar sus sistemas y datos frente a las diferentes amenazas.

 

En este contexto surge una pregunta fundamental, ¿Puede mi empresa sufrir un ciberincidente durante este 2024?

La respuesta más corta es sí, cualquier empresa puede sufrir un ciberincidente sin importar su tamaño, industria o ubicación. Todas las organizaciones están expuestas a amenazas en materia de ciberseguridad.

 

Teniendo en cuenta esto, presentamos algunos de los principales riesgos para este nuevo año:

Como punto principal, la IA generativa y el aprendizaje automático están aumentando la frecuencia y complejidad de los ataques cibernéticos, debido a que puede permitir a los ciberdelincuentes lanzar ataques sofisticados y sigilosos, como los deep fakes o desarrollar un malware que evoluciona automáticamente, comprometiendo sistemas a gran escala.

 

Los ataques a la cadena de suministro representan una amenaza en constante crecimiento. En este ámbito, se destaca la necesidad de evaluaciones más estrictas de proveedores externos y la implementación de protocolos de seguridad sólidos para contrarrestar los riesgos asociados con la cadena de suministro.

 

Los ataques de phishing persisten en el panorama, evolucionando hacia formas más personalizadas y efectivas mediante el uso de la inteligencia artificial previamente mencionada. La dificultad para identificar intenciones maliciosas se intensifica, lo que podría resultar en un aumento de los ataques relacionados con el phishing.

 

El enfoque de los grupos de ransomware en 2024 se centrará en la explotación de vulnerabilidades de día cero para instalar programas maliciosos, robar datos, impedir el acceso a la información o interrumpir operaciones, seguido por la exigencia de grandes sumas de dinero como rescate. A medida que las organizaciones amplían la variedad de plataformas, aplicaciones y tecnologías en las que basan sus operaciones comerciales diarias, los ciberdelincuentes encuentran más oportunidades para descubrir y explotar vulnerabilidades de software.

 

Según Fortinet, los atacantes adoptarán un enfoque de «hacerlo grande o irse a casa», dirigiendo su atención especialmente a industrias críticas como salud, finanzas, transporte y servicios públicos. Estas industrias, en caso de ser hackeadas, tendrían un impacto considerable en la sociedad, lo que representa un potencial de ingresos más sustancial para los atacantes.

 

Teniendo en cuenta el panorama de amenazas, surge la siguiente pregunta, ¿Qué puedo hacer para protegerme?

 

  • Realice evaluaciones periódicas de sus proveedores externos para identificar y mitigar los riesgos de seguridad. En NextVision, contamos con el programa NV VENDOR RISK MANAGEMENT para llevar a cabo una gestión eficiente de posibles o actuales proveedores.
  • Implementar una estrategia de seguridad integral que aborde todos los aspectos de la ciberseguridad, desde la prevención hasta la respuesta a incidentes.
  • Formar constantemente a los empleados en temas relacionados con la seguridad de la información, ya que deben estar capacitados para identificar y responder a las diferentes amenazas. En NextVision, contamos con el programa NV Awareness, donde nuestro objetivo es crear una cultura cibersegura.
  • Las pruebas de penetración pueden ayudar a las empresas a identificar y corregir las vulnerabilidades de seguridad. En NextVision, contamos con NV Assessment, un servicio especializado de evaluación de ciberseguridad que puede proporcionarte una visión clara y completa de la postura de seguridad de tu empresa.
  • Implemente soluciones de ciberseguridad avanzadas que utilicen IA y aprendizaje automático para detectar y mitigar ataques sofisticados.

 

Autor de la nota: José Alejandro Fleming González – Consultor de Tecnología y Ciberseguridad en NextVision.

Fuente: Reporte de Fortinet 2024

 

diciembre 29, 2023

Encuentro de Madrid es Noticia aborda la Ciberseguridad en la Ciudad BBVA.

NextVision

0

Encuentro de Madrid es Noticia aborda la Ciberseguridad en la Ciudad BBVA.

 

La última edición de los Encuentros de Madrid es Noticia del año 2023 se centró en la ciberseguridad y tuvo lugar en La Ciudad BBVA, conocida como «La Vela». Organizado por el medio Edita Magerit y moderado por Héctor Salazar, director del periódico, el evento contó con destacados ponentes, incluyendo a Javier Calahorra, CISO de BBVA España, Silvia Roldán, viceconsejera de Digitalización de la Comunidad de Madrid, y Roberto Heker, nuestro director de NextVision.

Desde NextVision agradecemos al comité organizador del evento por esta grata invitación a ser parte del panel de ENCUENTROS de MADRID ES NOTICIA, que une a expertos que nos ofrecen su visión y experiencia sobre distintos aspectos de la ciberseguridad.

 

Ciberseguridad en diferentes ámbitos:

El encuentro abordó la ciberseguridad desde perspectivas empresariales, institucionales y personales, con el objetivo común de fortalecer las defensas. Datos oficiales del Ministerio del Interior revelaron que 1 de cada 5 delitos en 2022 ocurrió en línea. La inversión tecnológica, la formación y la concienciación fueron destacadas como herramientas clave para hacer frente a amenazas como malware, phishing y ransomware.

Javier Calahorra destacó el impacto positivo de la digitalización, pero subrayó la necesidad de cerrar la brecha cultural y de conocimiento. La ingeniería social, según él, es un punto vulnerable, y la concienciación sobre los riesgos tecnológicos es esencial para la seguridad personal y empresarial.

“Estaremos más seguros cuanto mejor conozcamos los riesgos, cuánto mejor los mitiguemos y adquiramos hábitos tecnológicamente saludables”, explicó.

Silvia Roldán presentó la recién aprobada Ley de Creación de la Agencia de Ciberseguridad de la Comunidad de Madrid, destacando la evolución de la administración ante los riesgos digitales. Desde el punto de vista empresarial, Roberto Heker enfatizó que el cibercrimen “es una industria más próspera del planeta”, afectando incluso a entidades aparentemente seguras.

La gran cantidad de dispositivos interconectados  a los que tenemos acceso han incrementado la superficie de exposición “y nos hacen, en consecuencia, cada vez más vulnerables”. Es por ello que resalta la importancia de estar preparados para enfrentar un escenario en donde el cibercrimen seguirá en constante crecimiento, y no hay factores que puedan demostrar que se vaya a detener próximamente.

 

Consejos y prevención en ciberseguridad:

Los expertos ofrecieron en este debate consejos para prevenir ciberdelitos, desde proteger el acceso a dispositivos hasta la importancia de la autenticación de doble factor. Destacando que “todos debemos responsabilizarnos de la lucha contra la ciberdelincuencia”. 

Roberto Heker aportó a la temática que “los ciberdelincuentes se fijan mucho en el comportamiento humano. El punto vulnerable que explotan es la propia persona, algo denominado Ingeniería Social. Y algo que explotan mucho es el sentido de la urgencia. Debemos sospechar de todo lo que sea urgente y poner paños fríos”.

En resumen, el encuentro subrayó la importancia de la colaboración entre la administración, las empresas y los ciudadanos para fortalecer la ciberseguridad en un mundo cada vez más digital, destacando la necesidad de prepararse para enfrentar las amenazas emergentes, como la inteligencia artificial y el big data.

 

Empoderando a la juventud y personas mayores: Desafíos y soluciones en ciberseguridad:

Silvia Roldán destaca que, desde la perspectiva empresarial, las compañías muestran un elevado nivel de concienciación en ciberseguridad, sin embargo, señala que en el ámbito doméstico la situación difiere, ya que tendemos a bajar la guardia. La Administración pública enfrenta el reto de informar a los ciudadanos sobre su vulnerabilidad, tanto jóvenes como personas mayores.

Frente a la proliferación de aplicaciones bancarias desde BBVA, explica su CISO, implementa acciones para proteger a su entidad y usuarios, destacando la importancia de la concienciación y la creación de hábitos digitales saludables, utilizando plataformas de formación como Coursera y colaborando con Google en tours para prevenir la ciberdelincuencia en pymes. Además, enfatiza la protección al cliente mediante campañas informativas y la autenticación biométrica en la aplicación.

Desde la perspectiva de NextVision, Roberto Heker, nos señala que “el punto clave es la educación”. “No debemos temer a la tecnología, pero debemos ser conscientes de que tiene sus riesgos”.

 

Estrategias empresariales ante la prevención y consecuencias de los ciberataques:

Roberto Heker destaca que, tras sufrir un ataque cibernético, una empresa debe evaluar la situación y las posibilidades de recuperación, reconociendo la importancia de involucrar a las autoridades como la Policía Nacional y la Guardia Civil, así como cumplir con la Ley de Protección de Datos. Posteriormente, aconseja la consulta con especialistas para contribuir a la recuperación, enfocándose en reactivar la organización afectada como prioridad. Heker subraya la importancia de la prevención, recomendando obstaculizar a los atacantes mediante medidas técnicas y organizativas adecuadas. Propone la creación de un Plan de Seguridad vinculado al nivel de madurez de cada negocio, adaptando las medidas a las regulaciones vigentes.

 

Explorando el Papel de la Inteligencia Artificial y Big Data:

En el contexto de la 4ª Revolución Industrial, la Comunidad de Madrid aboga por la sostenibilidad y utiliza herramientas tecnológicas para transformar la sociedad. La viceconsejera de Digitalización, Silvia Roldán, destaca que la ciberseguridad es esencial para el éxito de este proceso, llamando a la colaboración entre la Administración pública, empresas y ciudadanos. Roberto Heker refuerza esta idea, subrayando la ciberseguridad como un elemento integral en cualquier emprendimiento y en la vida cotidiana, señalando sobre el riesgo de la Inteligencia Artificial en la creación de Fake News. Javier Calahorra cierra resaltando que el Instituto Nacional de Ciberseguridad gestionó 118,800 incidentes en 2022, evidenciando la necesidad de conciencia y la importancia de evaluar planes para mitigar riesgos tecnológicos.

A pesar de los desafíos, destaca los avances en la creación de una cultura de seguridad tanto en grandes empresas como en pymes y ciudadanos.

 

Fuente: https://www.madridesnoticia.es/2023/12/ciberseguridad-encuentros-madrid-es-noticia/

 

noviembre 30, 2023

30 de Noviembre | Día de la Ciberseguridad

NextVision

0

Protegiendo nuestro mundo digital

Hoy, 30 de noviembre, conmemoramos el Día Mundial de la Ciberseguridad, una fecha crucial en la era digital y moderna.

El pasado y el presente:

Hace 2500 años, en la época de «La Tené Culture”, el candado se convirtió en una herramienta necesaria para resistir invasiones y pillajes. Aunque los candados, objetos utilizados para proteger, han sido esenciales durante siglos, hoy en día enfrentamos amenazas mucho más sofisticadas en un mundo virtual en constante evolución. 

En la actualidad, aunque el candado sigue siendo útil, su poder es limitado o nulo en el ámbito digital y hoy sólo simboliza el concepto de proteger nuestros bienes o activos. La superficie de ataque se ha ampliado y no sólo tenemos que custodiar nuestra propia infraestructura sino también a toda la cadena de valor interconectada.

Este día de la ciberseguridad en particular, nos recuerda la importancia de salvaguardar toda nuestra información en línea en un mundo totalmente interconectado.

 

La ciberseguridad nos concierne a todos:

Esta fecha es una importante llamada de atención para generar conciencia sobre los riesgos digitales que enfrentamos. La creciente sofisticación de las amenazas cibernéticas y la necesidad de adoptar medidas proactivas, la ciberseguridad no es sólo responsabilidad de grandes empresas, sino de individuos y organizaciones de todos los tamaños, siendo los usuarios la primera línea de defensa contra fraudes y ciberdelincuentes.

La ciberseguridad es responsabilidad de todos, y abarca a todos sus niveles.

 

Cómo NextVision ayuda a las organizaciones:

En este contexto, NextVision ofrece a través de todos sus servicios enfocados a la ciberseguridad, basado en sus cuatro pilares: predicción, prevención, detección y respuesta, soluciones innovadoras y personalizadas para proteger los activos digitales de toda organización. Entre ellos se encuentran:

1.NV Awareness: Con capacitaciones constantes podemos transformar los hábitos de la organización con programas integrales, para que todos los colaboradores protejan la información crítica y activos digitales del negocio. Desde NextVision te ofrecemos nuestro servicio NV awareness, en el cual desarrollamos programas ÚNICOS, INTEGRALES y CONTINUOS, personalizados según la filosofía y los valores de tu organización.

 

2. NV Ciberdefensa: Con la finalidad de hacer frente al panorama actual y las necesidades que requieren tiempo y recursos, NextVision realiza esta propuesta pensada para robustecer la seguridad de nuestros clientes y ayudarlos a gestionar eficazmente los riesgos gracias a un servicio gestionado, modular y competitivo que permite predecir, prevenir, detectar y mitigar las posibles amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes en el mercado y por un equipo de consultores expertos.

 

3. NV Vendor Risk Management: Los ciberdelincuentes siempre están buscando aprovechar brechas de seguridad, y han descubierto que, usando ingeniería social y otras técnicas pueden conocer qué organizaciones se interconectan con la nuestra y atacarlas para acceder a nuestra red e información es por esto que creamos un servicio que mide la reputación de la empresa en relación a la ciberseguridad para detectar y mitigar riesgos.

 

4. NV DPO as a Service: Con este servicio integral de asesoramiento legal, las empresas podrán conformar un plan junto a un DPO (Delegado de Protección de Datos), un profesional altamente capacitado y certificado en la gestión de la privacidad y la seguridad de los datos personales, para poder cumplir con las leyes de protección de datos y alcanzar el nivel de cumplimiento requerido.

 

5. Soluciones de Predicción, Prevención, Detección y Respuesta ante amenazas que ayudan a las organizaciones en su estrategia integral de ciberseguridad. Conocelas aquí.

 

La información y la educación son clave para construir un mundo digital más seguro y protegido, ante las crecientes ciberamenazas que se detectan cada año.

 

Celebremos el Día Mundial de la Ciberseguridad comprometiéndonos a construir una cultura cibersegura, adoptando medidas proactivas y prácticas seguras, así podemos enfrentar los desafíos digitales y construir un entorno en línea más protegido.

 

Autora de la nota: Natalia Grande  – Consultora de Tecnología y Ciberseguridad en NextVision.

 

noviembre 9, 2023

Consejos de Ciberseguridad para CyberMonday y Black Friday.

NextVision

0

Ciberseguridad en el Cyber Monday y Black Friday.

 

El primer día de la nueva edición del Cyber Monday registró más de 70,000 personas conectadas, navegando a través de las miles de ofertas del evento organizado por la Cámara Argentina de Comercio Electrónico (CACE). En este contexto, se vendieron un total de 604 productos en tan solo un minuto, a las 00:15 de este lunes.

El Cyber Monday y el Black Friday son eventos muy esperados, ya que nos brindan atractivos descuentos en una amplia gama de productos y servicios. Al tratarse de eventos virtuales, donde a veces las compras se hacen de forma impulsiva y apresurada debido a la urgencia de las ofertas, es posible caer en ofertas engañosas o estafas. Sin embargo, es fundamental recordar que en el mundo digital actual, donde la ciberseguridad desempeña un papel crucial, estas festividades también conllevan importantes riesgos que debemos tener en cuenta. En este artículo, abordaremos las problemáticas, riesgos y consejos para mantenernos seguros durante estas fechas tan significativas.

 

Problemáticas en festividades:

  • Phishing y Estafas en Línea: Durante estas fechas, los ciberdelincuentes aprovechan para enviar correos electrónicos o mensajes de texto falsos, suplantando a tiendas y sitios web conocidos. Es importante ser crítico y verificar la autenticidad de las ofertas.
  • Websites Falsos: Frecuentemente, generar sitios web falsos que imitan a tiendas legítimas. Al realizar compras en línea, asegúrate de que el sitio web sea seguro y cuente con el candado de seguridad en la barra de direcciones.
  • Robo de Datos Personales: Durante el Black Friday y el Cyber Monday, los ataques de robo de datos personales suelen aumentar. Protege tu información personal y financiera realizando compras solo en sitios de confianza.

 

Riesgos de Seguridad en las Compras en Línea:

  • Contraseñas débiles: El uso de contraseñas débiles o la reutilización de contraseñas en múltiples sitios web es un riesgo. Utiliza contraseñas fuertes y diferentes para cada cuenta.
  • Redes Wi-Fi Inseguras: Conectarte a redes Wi-Fi públicas no seguras mientras realizas compras en línea puede exponer tus datos. Usa una red privada virtual (VPN) si es posible o, en su defecto, evita realizar compras en redes públicas.
  • No Actualizar Software y Antivirus: Mantén tu sistema operativo y software de seguridad actualizados. Las actualizaciones por lo general, incluyen correcciones de seguridad importantes.

 

Consejos para Compras Seguras

Verifica las Ofertas: Investiga las ofertas antes de comprar y asegúrate de que sean legítimas. Desconfía de ofertas demasiado buenas para ser verdad.

Desconfía de ofertas muy buenas: Si una oferta parece demasiado buena para ser verdad, podría ser engañosa. Recuerda verificar la autenticidad de las promociones.

Métodos de Pago Seguros: Utiliza métodos de pago seguros, como tarjetas de crédito o servicios de pago en línea que ofrecen protección al consumidor.

Mantén un Registro de Compras: Guarda registros de tus compras y recibos por si necesitas realizar devoluciones o reclamos.

 

Autor de la nota: José Alejandro Fleming González  – Consultor de Tecnología y Ciberseguridad en NextVision.

*Referencias:

https://www.adnsur.com.ar/sociedad/locura-por-el-cyber-monday–se-venden-600-productos-por-minuto-y-brindan-recomendaciones-por-seguridad_a6548d45cf74195465a60e269

 

junio 14, 2023

Alerta de Seguridad Crítica: Desbordamiento de búfer en productos Fortinet

NextVision

0

Última actualización: Miércoles 14 de junio de 2023

Alerta de Seguridad: Vulnerabilidad en Fortinet CWE-122

¿Qué vulnerabilidad se descubrió?

Recientemente se descubrió una vulnerabilidad identificada como CVE-2023-27997. La misma se basa en un desbordamiento de búfer basado en memoria dinámica [CWE-122] en FortiOS SSL-VPN cuya explotación podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.

Fortinet informó la vulnerabilidad, el fabricante tiene constancia de que ha sido explotada activamente. Recomienda validar inmediatamente los sistemas potencialmente afectados frente a los IOCs aportados.

Versiones afectadas

Leer más

diciembre 14, 2022

Alerta de Seguridad Crítica: Desbordamiento de búfer en productos Fortinet

NextVision

0

Última actualización: Miércoles 14 de diciembre del 2022

Alerta de Seguridad Crítica: Desbordamiento de productos Fortinet

¿Qué vulnerabilidad se descubrió?

Recientemente se descubrió una vulnerabilidad identificada como CVE-2022-42475. La misma se trata de un desbordamiento de búfer basado en memoria dinámica [CWE-122] en FortiOS SSL-VPN cuya explotación podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.

Fortinet informó la vulnerabilidad como FG-IR-22-398 y el fabricante tiene constancia de que ha sido explotada activamente. Recomienda validar inmediatamente los sistemas potencialmente afectados frente a los IOCs aportados.

Versiones afectadas

Leer más

diciembre 14, 2021

Alerta de Seguridad Crítica: Apache Log4j Vulnerability

Vulnerability-Apache-Log4j.png-web

NextVision

0

Última actualización: Jueves 17 de diciembre del 2021

Alerta de Seguridad Crítica: Apache Log4j Vulnerability

Ha sido detectada una vulnerabilidad critica (Apache Log4j Vulnerability) que afecta a la librería de registro Apache Log4j basada en Java.

EXPLICACIÓN

Esta vulnerabilidad afecta a la librería de registro Java Apache log4j, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registros y cuyo fin es dejar una constancia de una determinada transacción en tiempo de ejecución. Log4j también permite filtrar los mensajes en función de su importancia.

El Zero-Day se encuentra en la librería de registro de Java Log4j (2.0 – 2.14.1) que permite realizar una ejecución remota de código (RCE) al crear un paquete de solicitud de datos.

El mecanismo de Apache Log4j utiliza las funciones JNDI de la configuración. Los mensajes de registro y los parámetros no protegen contra el protocolo LDAP controlado por atacantes y endpoints relacionados con JNDI.

Un atacante que puede controlar mensajes de registro o parámetros de mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada.

CAUSAS:

  • Deserialización de datos que no son de confianza.
  • Validación de entrada incorrecta.
  • Consumo no controlado de recursos.

MITIGACIÓN Y RECOMENDACIONES:

NextVision recomienda:

1. Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar en True.

2. Revisar aplicaciones de Java:

3. Revisar si se ha tenido un aumento de conexiones DNS: Los intentos se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS puede ser indicativo de explotación exitosa.

4. Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j.

5. Revisar si tiene uno de estos aplicativos.

6. Revisar en logs estos IOC.

7. En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi” se pueden apoyar en los estos scripts.

8. Revisar si se está usando log4j.

  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • No instalar parches no oficiales
Apache recomienda:

1. Los usuarios deben actualizar a Apache Log4j 2.13.2, que soluciona el problema en LOG4J2-2819 al hacer que la configuración de SSL sea configurable para las sesiones de correos SMTPS.

2. En el caso de versiones anteriores, los usuarios pueden establecer prioridad del sistema mail.smtp.ssl.checkserveridentity en “true” para habilitar la verificación del nombre host SMTPS para todas las sesiones de correos SMTPS.

3. Por otra parte, los usuarios de Java7+ deben migrar a la versión 2.8.2 o evitar el uso de las claves de servidor de socket.

4. Los usuarios de Java 6 deben evitar el uso de las clases de servidores socket TCP o UDP.

RECOMENDACIONES DE NUESTROS PARTNERS

A continuación, te compartimos las acciones de mitigación que deben implementar en tu organización en caso de contar con servicios de los siguientes vendors:

  • Fortinet
  • Sophos
  • Kaspersky
  • Forcepoint
  • F-Secure
  • SecurityScorecard
  • Symantec
fortinet

Fortinet ha creado una alerta para este incidente que permite realizar un seguimiento y aplicar protecciones contra el problema utilizando Fortinet Security Fabric.

Protección de firma IPS (FortiOS)

Fortinet ha lanzado la firma IPS Apache.Log4j.Error.Log.Remote.Code.Execution, con VID 51006 para abordar esta amenaza. Esta firma se lanzó inicialmente en el paquete IPS (versión 19.215). Hay que tener en cuenta que,  dado que se trata de una versión de emergencia, la acción predeterminada para esta firma está configurada para aprobar y hay que modificar las acciones según las necesidades.

Cortafuegos de aplicaciones web (FortiWeb y FortiWeb Cloud)

Las firmas de aplicaciones web para prevenir esta vulnerabilidad se agregaron en la base de datos 0.00301 y se actualizaron en la última versión 0.00305 para una cobertura adicional.

Productos de Fortinet afectados

Para los productos afectados por Fortinet, consulte aquí para obtener más detalles. Este Aviso se actualizará a medida que se implementen las mitigaciones y se publiquen versiones modificadas.

sophos

SophosLabs

Han implementado una serie de reglas IPS para escanear en busca de tráfico que intente aprovechar la vulnerabilidad Log4J.

Dicha vulnerabilidad requiere una defensa en profundidad. Las organizaciones deben implementar reglas para bloquear el tráfico de explotación de todos los servicios conectados a Internet (Sophos IPS actualmente bloquea el tráfico que coincide con las firmas de explotación conocidas de Log4J). Pero la protección a largo plazo requerirá identificar y actualizar instancias de Log4J o mitigar el problema cambiando la configuración en Log4J.

Log4j Kaspersky

Kaspersky

Kaspersky tiene conocimiento de las PoC en el dominio público y de la posible explotación de CVE-2021-44228 por parte de los ciberdelincuentes. Nuestros productos protegen contra ataques que aprovechan la vulnerabilidad, incluido el uso de PoC. Los posibles nombres de detección son:

UMIDS: Intrusion.Generic.CVE-2021-44228.

PDM: Exploit.Win32.Generic

Veredictos de KATA :

Exploit.CVE-2021-44228.TCP.C & C

Exploit.CVE-2021-44228.HTTP.C & C

Exploit.CVE-2021-44228.UDP.C & C

Mitigaciones para CVE-2021-44228

  • Instale la versión más reciente de la biblioteca, 2.15.0. si es posible. Puedes descargarlo en la página del proyecto . Si usa la biblioteca en un producto de terceros, debe monitorear e instalar actualizaciones oportunas del proveedor de software.
  • Siga las pautas del proyecto Apache Log4j .
  • Utilice una solución de seguridad con componentes de gestión de parches, vulnerabilidad y prevención de exploits, como Kaspersky Endpoint Security for Business. Nuestro componente de prevención automática de exploits supervisa las acciones sospechosas de las aplicaciones y bloquea la ejecución de archivos maliciosos.
  • Utilice soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response , que identifican y detienen los ataques en las primeras etapas.
  • Productos de Kaspersky afectados

Los productos de Kaspersky no se ven afectados por la vulnerabilidad CVE-2021-44228.

Indicadores de compromiso (COI)

1cf9b0571decff5303ee9fe3c98bb1f1

194db367fbb403a78d63818c3168a355

18cc66e29a7bc435a316d9c292c45cc6

1780d9aaf4c048ad99fa93b60777e3f9

163e03b99c8cb2c71319a737932e9551

Forcepoint Apache Log4j Vulnerability

Forcepoint

Productos afectados

  • Seguridad de datos
  • Seguridad de correo electrónico
  • Filtro y seguridad web
  • Puerta de enlace de seguridad web
  • TRITON AP-WEB
  • Forcepoint Web Security Cloud
  • TRITON AP-EMAIL
  • Forcepoint Email Security Cloud
  • TRITON AP-ENDPOINT Web
  • TRITON AP-ENDPOINT DLP
  • Siguiente Firewall de generación (NGFW)
  • Forcepoint DLP
  • Forcepoint Email Security
  • Forcepoint URL Filtering
  • Forcepoint Web Security
  • Forcepoint DLP Endpoint
  • Forcepoint Web Security Endpoint
  • Forcepoint One Endpoint.

 

Descripción de la vulnerabilidad

Se ha identificado una vulnerabilidad crítica que permite a un atacante remoto no autenticado ejecutar código arbitrario que compromete el servicio de administración. El componente vulnerable se ha identificado como Java log4j. A esta vulnerabilidad se le ha asignado la identificación CVE-2021-44228.

Para obtener la lista completa de productos Forcepoint y su estado actual, consulte Vulnerabilidad de ejecución remota de código de día cero Apache log4j CVE-2021-44228.

Forcepoint Cloud

Forcepoint Cloud Security Gateway (CSG) como Cloud Web Security y Cloud Email no son vulnerables.

Forcepoint DLP

Forcepoint DLP Manager se considera vulnerable debido a la versión de log4j que se está utilizando y se recomienda aplicar los pasos de mitigación.

El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:

CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint DLP

Forcepoint Security Manager (Web, correo electrónico y DLP)

Forcepoint Security Manager se considera vulnerable debido a la versión de log4j que se está utilizando; sin embargo, Forcepoint no ha podido replicar las vulnerabilidades conocidas de la vulnerabilidad. Sin embargo, es muy recomendable aplicar los pasos de mitigación.

El siguiente artículo de la base de conocimientos describe los pasos de mitigación inmediatos para esta vulnerabilidad:

CVE-2021-44228 Mitigación de la vulnerabilidad de Java log4j con Forcepoint Security Manager

Soluciones alternativas

Recomiendan implementar esta mitigación lo antes posible. Forcepoint también está trabajando para lanzar nuevas versiones con las bibliotecas log4j actualizadas incluidas.

El proveedor, proporcionará a los clientes un script que realizaría esta mitigación manual de manera automatizada. El script se publicará como una revisión a través del sitio web de soporte. El desarrollo de la secuencia de comandos ya está en progreso y proporcionaremos actualizaciones a medida que continuamos con nuestras pruebas.

fsecure

F-Secure

Han identificado que esta vulnerabilidad también afecta a los siguientes productos:

  • F-Secure Policy Manager
  • F-Secure Policy Manager for Linux
  • F-Secure Policy Manager Proxy
  • F-Secure Policy Manager Proxy for Linux
  • F-Secure Endpoint Proxy

Todas las versiones de estos productos están afectados. 

El procedimiento para solventar esta vulnerabilidad es el siguiente:

1. Descargar el parche desde el servidor de F-Secure.

2. Comprobar el hash SHA256 del archivo, si es posible, para verificar su integridad. Debería ser 64f7e4e1c6617447a24b0fe44ec7b4776883960cc42cc86be68c613d23ccd5e0.

3. Detener el servicio Policy Manager Server.

4. Copiar el archivo descargado en:

• Administrador de políticas de Windows: C:\Program Files (x86)\F-Secure\Management Server 5\lib\

• Windows Endpoint Proxy: C:\Program Files\F-Secure\ElementsConnector\lib

• Linux (todos los productos): /opt/f-secure/fspms/lib 

• Iniciar el servicio Policy Manager Server.

Tras el reinicio del servicio, el parche se aplicará automáticamente.

Log4j

Security Scorecard

A medida que se desarrolla la situación, SecurityScorecard se compromete a ayudarlo a evaluar el impacto potencial en su organización y sus terceros. Siga los siguientes cinco pasos de inmediato: 

1. Compruebe si su organización se ve afectada.

Es probable que cualquier activo se vea afectado si ejecuta una versión de Log4j posterior a la 2.0 y anterior a la 2.15.0, la versión fija. Revise los resultados del análisis de vulnerabilidades más recientes, que probablemente contengan la ubicación de cualquier instalación de Log4j activa en el entorno. También puede consultar los registros de aplicaciones en la nube en busca de cadenas que coincidan con la sintaxis jndi.ldap . Esto identificará cualquier instancia de escaneo o intentos de explotación activos.

Nota: Un sistema solo está potencialmente comprometido si la solicitud fue procesada por una versión vulnerable de Log4j. De lo contrario, la actividad no debe considerarse sospechosa.

2. Actualice a Log4j versión 2.15.0 inmediatamente.

Encuentre la última versión en la página de descarga de Log4j . La versión 2.15.0 requiere Java 8 o posterior, así que asegúrese de que Java esté ejecutando esta versión.

Importante: Verifique que no haya varias instalaciones de Log4j en una máquina afectada, ya que esto puede significar que existen varios archivos de configuración. Cada uno de estos puede contener una versión vulnerable de Log4j. Deberá corregir cada uno de ellos de forma independiente.

3. Envíe nuestro cuestionario Log4Shell a sus terceros con Atlas.

Una nueva plantilla de cuestionario titulada Preguntas Log4Shell ahora está disponible en Atlas. Si ya tiene Atlas, puede enviar este cuestionario a sus terceros de inmediato. Si no tiene Atlas, regístrese en atlas.securityscorecard.io o mire este video y aproveche los cinco créditos gratuitos que puede usar para enviar cuestionarios.

4. Haga cuatro preguntas a sus terceros: 

  • ¿Conoce la vulnerabilidad de log4shell?
  • ¿Está utilizando una versión vulnerable de log4j?

5. Si la respuesta es sí… 

  • ¿Ha iniciado actividades de remediación o mitigación?
  • ¿Cuándo espera completar su remediación? 

Para más información ingresa aquí.

symantec

Symantec

Symantec protege contra los intentos de explotación de dicha vulnerabilidad con las siguientes detecciones:

Basado en archivos

  • CL.Suspexec! Gen106
  • CL.Suspexec! Gen107
  • CL.Suspexec! Gen108
  • Linux.Kaiten 
  • Caballo de Troya 
  • Trojan.Maljava

Basado en aprendizaje automático

  • Heur.AdvML.C

Basado en red

  • Log4j2 RCE CVE-2021-44228: Ataque
  • Log4j2 RCE CVE-2021-44228 2: Ataque
  • Respuesta LDAP maliciosa: Ataque
  • Log4j2 RCE CVE-2021-44228: Auditoría
  • Respuesta LDAP maliciosa: Auditoría
  • Archivo sospechoso de clase Java que ejecuta comandos arbitrarios: Auditoría

Basado en políticas

DCS proporciona una gama de protección para las cargas de trabajo del servidor contra esta vulnerabilidad:

  • Las políticas de prevención evitan que el malware se elimine o ejecute en el sistema
  • Capacidad para bloquear o limitar LDAP, http y otro tráfico de cargas de trabajo del servidor y aplicaciones en contenedores utilizando log4j2 a servidores internos de confianza.
  • El sandboxing de las políticas de prevención brinda protección para RCE al evitar la ejecución de herramientas de uso dual, el robo de credenciales y la protección de recursos y archivos críticos del sistema.

En caso de usar SEPM, la versión 12 no contempla ninguna solución ya que ese complemento esta desactualizado y Apache ya no da soporte:

Apache Log4j Vulnerability

En SEPM 14, en el servidor debemos hacer lo siguiente:

1. Botón derecho en Inicio e ir a System

1 Apache Log4j Vulnerability

2. Clic en Advanced System settings

2 Apache Log4j Vulnerability

3. Clic en Environment Variables

3 Apache Log4j Vulnerability

4. Clic en New y en la ventana que se nos abre agregar en el campo variable LOG4J_FORMAT_MSG_NO_LOOKUPS y en valor true.

4 Apache Log4j Vulnerability

Si cuentas con soporte de NextVision, contáctanos para darte mayor asesoramiento. En caso contrario, puedes comunicarte con el equipo comercial para más información sobre nuestros servicios de consultoría/soporte:

Desde ya, quedamos a disposición para cualquier consulta o inquietud.

Departamento de Tecnología de NextVision

marzo 26, 2020

Nueva Vulnerabilidad en Windows Zero-day

NextVision

0

Microsoft emitió un comunicado alertando sobre la existencia de ataques que están explotando una vulnerabilidad zero-day en Windows que aún no cuenta con parche.

El zero-day se encuentra en la Biblioteca Adobe Type Manager (atmfd.dll), una biblioteca que Microsoft usa para representar fuentes PostScript Tipo 1 en varias versiones de Windows, tanto para escritorio como para servidores.

Microsoft dice que hay dos vulnerabilidades de ejecución remota de código (RCE) en esta biblioteca incorporada, que permiten a los atacantes ejecutar código en el sistema de un usuario y tomar medidas en su nombre.

«Hay varias formas en que un atacante podría aprovechar la vulnerabilidad, como convencer a un usuario para que abra un documento especialmente diseñado o verlo en el panel de Vista previa de Windows», dijo la compañía.

Según Microsoft, todas las versiones actualmente compatibles de los sistemas operativos Windows y Windows Server son vulnerables; sin embargo, el zero -day es menos efectivo en Windows 10, donde el archivo atmfd.dll no está presente o se ejecuta dentro de un entorno limitado AppContainer con privilegios y capacidades limitados.

Las actualizaciones de seguridad no están disponibles actualmente. Microsoft insinuó que podrían llegar durante el Patch Tuesday del próximo mes, actualmente programado para el 14 de abril.

Mientras tanto, Microsoft ha publicado una serie de mitigaciones que las empresas y los usuarios domésticos pueden tomar si creen que podrían ser blanco de un ataque de zero-day en Windows. Microsoft dijo que las mitigaciones no son necesarias para los sistemas Windows 10, donde el día cero tiene un impacto reducido.

¿Qué recomendaciones hacemos desde NextVision para mitigar los posibles ataques?

– Desactivar el panel de detalles y el de vista previa en el Explorador de Windows.

– Desactivar el servicio WebClient.

– Renombrar el fichero atmfd.dll

El proximo patch de windows está programado para el 14 de Abril, para clientes con Windows 7 y Windows 2008 Server, dos sistemas operativos carentes ya de soporte oficial por parte de Microsoft. La compañía hará llegar el parche a quien tenga contratadas las ESU (actualizaciones de seguridad extendidas). De no contar con este licenciamiento se recomiendan utilizar tecnologías de Virtual Patching para segurizar y proteger estos sistemas vulnerables.

Contá con nosotros!

Comunicate con nuestro equipo para asesorarte estos temas y otras problemáticas de ciberseguridad.


Escribinos a info@nextvision.com.

Fuente:

Departamento de Tecnología de NextVision





mayo 17, 2019

Alerta de Seguridad: Nueva amenaza CVE-2019-0708

NextVision

0

Última actualización: Jueves 16 de mayo | 14.30hs

Microsoft anunció el descubrimiento de un error “gusano” que pone en riesgo los antiguos, pero aún utilizados, sistemas operativos Windows 7, Windows Server 2008 R2, Windows Server 2008,  Windows XP y Windows 2003. Ante esto, la empresa aseguró que lanzará actualizaciones de seguridad para estas versiones, a pesar de que las mismas ya no cuentan con soporte técnico.

Es necesario que los sistemas expuestos sean parcheados lo antes posible, pues la vulnerabilidad descubierta reside en los “servicios de escritorio remoto” integrados en estas versiones, se caracteriza por ser pre-autenticación y no requiere la interacción de usuarios. Esta falla genera las condiciones para alimentar un malware de rápido movimiento que puede propagarse de una computadora vulnerable a otra vulnerable, de manera semejante a los ataques del ransomware WannaCry de 2017.

En total, Microsoft lanzó hoy 16 actualizaciones dirigidas a por lo menos 79 agujeros de seguridad en Windows y software relacionado. Casi una cuarta parte de ellos obtuvieron la calificación “crítica” más grave de Microsoft. Los errores críticos son aquellos que pueden ser explotados por programas maliciosos para penetrar en sistemas vulnerables de forma remota, sin la ayuda de los usuarios.

Otros productos de Microsoft que reciben parches hoy en día incluyen Office y Office365, Sharepoint, .NET Framework y el servidor SQL. Una vez más -la cuarta en este año-, Microsoft está parchando otra falla crítica en el componente de Windows responsable de asignar las direcciones de Internet a las computadoras host (también conocido como “cliente DHCP de Windows”).

¿Cuáles son las recomendaciones a seguir?

  • Parchear lo antes posible los sistemas. Para acceder a estas actualizaciones de seguridad se debe ingresar al sitio web de soporte técnico de Microsoft y realizar una búsqueda de la Guía de Orientación para el Cliente para la Vulnerabilidad CVE-2019-0708.
  • Realizar la actualización luego de haber hecho una buena copia de seguridad (backup).
  • Si bien cerrar el puerto 3389 a nivel de firewall puede parecer una solución, esta medida no es del todo confiable. Por esto insistimos en recurrir al parcheo y recomendamos soluciones de Vulnerability & Patch Management, las cuales ofrecerán información completa sobre los dispositivos y las aplicaciones presentes en la red, recopilarán datos sobre las versiones de software y comprobarán si se requieren actualizaciones o si se deben parchar vulnerabilidades.

Las vulnerabilidades detectadas se podrán priorizar automáticamente para que se apliquen los parches más urgentes y se implementen en forma prioritaria las actualizaciones más importantes

  • Implementar sistemas operativos actuales que reciban actualizaciones de seguridad y cuenten con soporte técnico vigente.
  • Implementar soluciones de seguridad que cuenten con anti Ransomware.

Fuentes consultadas: