Compañía de seguros sufre infección de ransomware; directivos pagan rescate de 1MDD a los hackers

Los incidentes de ransomware siguen acaparando la atención de la comunidad de la ciberseguridad. Hace unos días, una firma de seguros canadiense reveló que, en octubre pasado, recurrió a la inhabilitación temporal de todas sus computadoras después de detectar un ataque de ransomware por el que tuvieron que pagar casi 1 millón de dólares a los hackers. El incidente no fue revelado en su momento, aunque ahora salió a la luz debido a los esfuerzos de la compañía para reclamar el rescate.

Al parecer, esta aseguradora canadiense tiene un convenio con otra compañía de seguros, establecida en Reino Unido, que ha presentado un caso ante una corte británica debido a la pérdida económica derivada de este incidente. La compañía británica ofrece servicios de seguros en caso de ciberataques. El nombre de ambas compañías se ha reservado en la demanda presentada.

Simon Bryan, juez encargado del caso, resolvió que el hacker, o hackers encargados del ataque, lograron de algún modo infiltrarse en las redes de la compañía afectada, esquivando las medidas de ciberseguridad, como el firewall. Después de conseguir el acceso, comenzaron a bloquear los archivos en los servidores de la compañía y las máquinas de escritorio, dejando una nota de rescate.

“Su red ha sido hackeada y cifrada. No existe un software gratuito disponible en la web para desbloquear sus sistemas. Envíenos un email para pagar el rescate. Mantenga este contacto seguro; divulgar esta información conducirá a la pérdida permanente de su información”, menciona la nota dejada por los atacantes.

La compañía afectada contrató a un experto en manejo de incidentes de ransomware, quien les recomendó negociar con los atacantes; al final, la compañía aseguradora acordó un pago de 109.25 Bitcoin (alrededor de 950 mil dólares acorde al tipo de cambio actual). El monto original exigido por los hackers era de más de 1 millón de dólares en Bitcoin. Cinco días después de mantener algunas operaciones limitadas, la compañía completó la recuperación de todos sus sistemas.

A pesar de que el incidente fue superado de forma relativamente satisfactoria, la compañía no se quedó de brazos cruzados y contrató a una firma de ciberseguridad para rastrear la transacción de Bitcoin. Aunque los hackers tuvieron tiempo de cambiar el Bitcoin por otras criptomonedas, los investigadores lograron llegar a la dirección de Bitcoin original, emprendiendo una demanda contra los operadores de la dirección y contra la plataforma de intercambio.

A pesar de que no hay forma de prevenir completamente un ataque de ransomware, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda capacitar a los empleados de todas las áreas de una organización para que reconozcan potenciales amenazas de ciberseguridad, además de limitar el acceso con privilegios de administrador en las máquinas que no lo requieran, sin olvidar la creación de respaldos de seguridad.

El cargo Compañía de seguros sufre infección de ransomware; directivos pagan rescate de 1MDD a los hackers apareció primero en Noticias de seguridad informática.

Ver Fuente

Vulnerabilidades en switch de Cisco permiten ataques DOS a través del propio dispositivo; millones de pequeños negocios afectados

Esta ha sido una semana muy ocupada para el equipo de análisis de vulnerabilidades de Cisco. Hace algunas horas, la compañía anunció a sus usuarios que algunos de sus dispositivos Small Business Switch, ampliamente usados en pequeños y medianos negocios, presentan algunas vulnerabilidades consideradas críticas; de ser explotadas, estas fallas podrían permitir la exposición de información confidencial y el despliegue de ataques de denegación de servicio (DoS).

Cisco recibió el reporte de estas vulnerabilidades (CVE-2019-15993 y CVE-20203149) de una firma de seguridad informática. Las fallas afectan la interfaz de administración web de los dispositivos comprometidos y pueden ser explotadas por usuarios remotos no autenticados.

En su reporte de análisis de vulnerabilidades, Cisco menciona que la potencial filtración de información confidencial existe debido a la ausencia de los controles de autenticación adecuados, además, todo lo que requiere un actor de amenazas para explotar la falla es enviar solicitudes HTTP especialmente diseñadas a la interfaz de administración web del switch.

Respecto a la vulnerabilidad DoS, Cisco menciona que existe debido a una validación incorrecta en las solicitudes enviadas a la interfaz web del switch. La falla puede ser explotada para hacer que el dispositivo objetivo se recargue y entre en condición DoS con el envío de solicitudes maliciosas. La vulnerabilidad DoS afecta a los siguientes productos de Cisco siempre y cuando ejecuten una versión de firmware anterior a 1.3.7.18:

• 200 Series Smart Switches
• 300 Series Managed Switches
• 500 Series Stackable Managed Switches

El equipo de análisis de vulnerabilidades de Cisco menciona que ambos errores de seguridad ya han sido abordados, además de que se desconocen casos de explotación activa en escenarios reales. Se recomienda a los administradores de los productos afectados instalar las actualizaciones a la brevedad, ya que no se conocen soluciones alternativas funcionales hasta el momento.

Esta es la tercera ocasión en menos de siete días en la que Cisco lanza actualizaciones de seguridad para algunos productos. Hace apenas un par de días, el Instituto Internacional de Seguridad Cibernética (IICS) reportó una vulnerabilidad en Webex que podía ser explotada para acceder a cualquier sesión de videoconferencia sin necesidad de una contraseña; la falla fue corregida a la brevedad, aunque es probable que haya sido explotada antes del lanzamiento del parche de seguridad.

El cargo Vulnerabilidades en switch de Cisco permiten ataques DOS a través del propio dispositivo; millones de pequeños negocios afectados apareció primero en Noticias de seguridad informática.

Ver Fuente

Descubren vulnerabilidad crítica afectando a Apache Solr

Una firma de especialistas en seguridad en redes ha reportado la aparición de una vulnerabilidad en la plataforma Apache Solr, cuyos desarrolladores han puesto bajo revisión continua debido al anuncio de un nuevo exploit. De ser explotada, esta vulnerabilidad permitiría a un actor de amenazas la ejecución remota de código en Solr gracias al envío de tráfico de red especialmente diseñado.

La vulnerabilidad, identificada como CVE-2017-12629, fue reportada por primera vez en julio pasado y corregida en Agosto de 2019. El problema surgió como una advertencia de baja prioridad relativa al acceso al puerto Java Management Extensions (JMX); los actores de amenazas podrían acceder a los datos de monitoreo expuestos mediante este puerto, menciona el reporte de seguridad en redes. Poco después del primer reporte, los investigadores tuvieron que reconsiderar la severidad de la falla hasta el punto en el que se le consideró un error crítico.

Finalmente, la divulgación pública sobre la vulnerabilidad crítica fue emitida esta semana. Al parecer, la falla se debe a un problema de configuración en el archivo solr.in.sh en Apache Solr. En el reporte, se menciona que: “un hacker no autenticado con acceso al puerto RMI podría explotar la vulnerabilidad para cargar código malicioso en el servidor e instalar un shell para una segunda etapa de ataque”.

Scott Caveza, especialista en seguridad en redes que reportó la vulnerabilidad como crítica, menciona que su presencia se limita a las versiones de Apache Solr 8.1.1 Y 8.2.0. Además, señala que cualquier persona con acceso a un servidor Solor vulnerable podría cargar el código malicioso necesario para la explotación de la falla.

Si bien la falla es crítica, no todo son malas noticias. Para corregir la vulnerabilidad, los administradores de sistemas pueden actualizar Apache Solr a la versión más reciente (8.3), o bien cambiar la configuración del archivo vulnerable a ENABLE_REMOTE_JMX_OPTS, mencionan los expertos del Instituto Internacional de Seguridad Cibernética. Este cambio se puede confirmar garantizando que las propiedades com.sun.management.jmxremote no se enumeran en la interfaz de Solr Admin en la sección Propiedades de Java.

El reporte completo, así como las instrucciones para corregir la vulnerabilidad y actualizar los sistemas afectados, está disponible en la plataforma oficial de los desarrolladores.

El cargo Descubren vulnerabilidad crítica afectando a Apache Solr apareció primero en Noticias de seguridad informática.

Ver Fuente

Vulnerabilidad en SharePoint permite hackeo de 42 servidores con 400 GB de datos de las Naciones Unidas

Hace algunos meses, una firma de seguridad informática reportó el hackeo de las oficinas centrales de la Organización de las Naciones Unidas (ONU), incidente que puso en riesgo la integridad de miles de registros personales de sus empleados. A pesar de la seriedad del incidente, la organización decidió encubrirlo en su momento.

Es hasta este momento que la ONU decidió confirmar el incidente, anteriormente revelado por The New Humanitarian, que hasta hace un par de años era una publicación oficial de la ONU.

Acorde al reporte de seguridad informática, decenas de servidores se vieron afectados por un ataque desplegado entre junio y septiembre de 2019. Al parecer, los actores de amenaza explotaron múltiples errores de seguridad, a pesar de los posteriores intentos de repeler el ataque. La causa probable del incidente es la explotación de una vulnerabilidad en SharePoint.

Una alerta de seguridad enviada de forma interna a los administradores de sistemas de la ONU menciona: “Trabajamos bajo el supuesto de que todo el dominio ha sido comprometido. Hasta el momento, los atacantes no han mostrado señales de actividad, aunque suponemos que ya han ganado persistencia en nuestros sistemas”.

El personal de TI de la ONU comenzó a referirse a este incidente como “la gran crisis”, después de que se confirmara que los atacantes accedieron a los registros del personal, contratos colectivos, entre otros detalles confidenciales. En total, los hackers comprometieron 40 servidores, la mayoría establecidos en Ginebra, lo que equivale a unos 400 GB de datos expuestos.

A pesar de que el incidente comprometió múltiples detalles personales, el equipo de TI de la organización sólo recomendó a los usuarios afectados restablecer sus contraseñas, sin informarles que su información estuvo al alcance de los hackers.

Los especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que, en casos similares, las compañías atacadas al menos deben proveer a sus empleados o clientes un servicio de protección contra el robo de fraude y monitoreo de crédito para reducir el riesgo para los usuarios afectados. Esto es grave, pues a la fecha hay cientos de empleados de la organización que ni siquiera son consientes de que su información está en manos de los cibercriminales.

Además, el incidente de seguridad informática no involucra sólo al personal administrativo de la ONU, sino que múltiples altos funcionarios también se vieron afectados, incluyendo a los miembros de la oficina del Alto Comisionado para los Derechos Humanos. Esta es una situación delicada, pues muchos expedientes manejados por esta comisión tienen que ver con activistas políticos luchando por los derechos humanos en entornos autoritarios, por lo que es vital asegurarse de que esta información no está expuesta en la red.

El cargo Vulnerabilidad en SharePoint permite hackeo de 42 servidores con 400 GB de datos de las Naciones Unidas apareció primero en Noticias de seguridad informática.

Ver Fuente

Importante empresa de marketing es hackeada; criminales gastan miles de dólares en anuncios falsos de Facebook sobre píldoras de alargamiento de pene

Muchas ocasiones los hackers apuntan contra usuarios individuales de redes sociales, principalmente Facebook, mostrando anuncios que podrían ser de su interés, como inusuales descuentos en diversos productos. Sin embargo, expertos en protección de datos mencionan que, atacando a importantes compañías, esta clase de campañas maliciosas pueden llegar a un número increíble de usuarios desprevenidos en busca de extraer los datos de sus tarjetas de pago.

Esto es precisamente lo que ocurrió en octubre de 2019, cuando un grupo de hackers tomó control de la cuenta personal de un empleado de LiveRamp, uno de los principales socios de Facebook en el manejo de datos. Los actores de amenaza emplearon las credenciales de acceso del empleado para obtener acceso al Business Manager de la compañía para lanzar anuncios empleando el dinero de otras personas.

Cabe recordar que la publicidad es lo que mantiene con vida a Facebook. Se espera que durante 2020, la red social genere ganancias por alrededor de 84 mil millones de dólares por publicidad, principalmente debido a la eficacia en la publicación de anuncios dirigidos a audiencias específicas, mencionan los especialistas en protección de datos.

Respecto a LiveRamp, es un importante socio de Facebook y una potencia en el marketing a nivel mundial. Esta compañía fue pionera en el campo de la incorporación de datos, combinando la identidad en línea de los usuarios con datos de acciones en el mundo real. Al comprometer una cuenta de LiveRamp, los actores de amenaza lograron gran alcance en su fraude de redes sociales.

Después de robar las credenciales de acceso del empleado de LiveRamp, los hackers comenzaron a publicar múltiples anuncios a expensas de las compañías que, de forma legítima, invirtieron dinero para la colocación de publicidad. Las publicaciones de los hackers anunciaban productos inexistentes, como gafas de sol, accesorios para dispositivos tecnológicos e incluso píldoras para agrandar el pene.

En un comunicado, LiveRamp dio a conocer algunos detalles sobre el incidente: “Un número limitado de clientes de LiveRamp y cuentas asociadas se han visto afectadas. Facebook comunicó el incidente rápidamente a las cuentas comprometidas y se tomaron las medidas pertinentes para bloquear el acceso no autorizado”.

Aún no se sabe cuántos usuarios cayeron en la estafa, pues LiveRamp menciona que no se publicarán más detalles hasta que la investigación en curso concluya. No obstante, fuentes cercanas a la compañía mencionan que los anuncios fraudulentos más vistos podrían haber llegado a más de 50 mil usuarios. Al hacer clic en estos anuncios, el usuario era redirigido a un sitio malicioso para extraer sus datos bancarios.

Los expertos en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) han dado seguimiento a casos similares en múltiples ocasiones. Aunque estos incidentes pueden presentarse en diversas formas, el objetivo siempre es recolectar información sensible de los usuarios; como medida de prevención, se recomienda hacer caso omiso a los anuncios de Facebook con ofertas demasiado buenas para ser verdad.  

El cargo Importante empresa de marketing es hackeada; criminales gastan miles de dólares en anuncios falsos de Facebook sobre píldoras de alargamiento de pene apareció primero en Noticias de seguridad informática.

Ver Fuente

Esta vulnerabilidad permite hackear Apple Watch y Apple TV

A pesar de que la explotación de vulnerabilidades en los desarrollos de Apple es poco usual, frecuentemente se reporta el hallazgo de nuevas fallas de seguridad, cuyo alcance, acorde a los especialistas en análisis de vulnerabilidades, varía dependiendo del producto afectado.

En esta ocasión, se reportó el descubrimiento de múltiples vulnerabilidades en Xcode, Safari, iTunes para Windows, iOS, iPadOS y macOS, además del hallazgo de dos fallas potencialmente críticas en tvOS y watchOS, sistemas operativos de los productos Apple Watch y Apple TV. Acorde al reporte, la explotación de estas vulnerabilidades podría permitir la ejecución de código arbitrario. 

Puede que los usuarios casuales no estén familiarizados con todos estos productos, por lo que a continuación se muestra una reseña de los desarrollos afectados por estas fallas:

• tvOS es el sistema operativo del reproductor multimedia Apple TV
• watchOS es el sistema operativo móvil para Apple Watch, basado en el ampliamente conocido sistema iOS
• Safari es el navegador incluido en los desarrollos de Apple
• El sistema iPadOS, especialmente diseñado para tabletas electrónicas. Llegó para sustituir al iOS 12
• macOS es el sistema operativo de escritorio para equipos Mac

Como mencionaron los expertos en análisis de vulnerabilidades, la explotación de las fallas críticas conduciría a la ejecución de código arbitrario por un actor de amenazas con los privilegios de un usuario autenticado. Dependiendo de los privilegios asociados al usuario objetivo, el hackers incluso podría instalar software ajeno, ver o alterar datos en el sistema, y crear nuevas cuentas con derechos de administrador.

La lista completa de sistemas operativos impactados incluye:

• iOS anterior a 13.3.1
• iPadOS anteriores a v13.3.1
• Safari anteriores a v13.0.5
• iTunes para Windows anteriores a v12.10.4
• macOS Catalina anterior a 10.15.3, Actualización de seguridad 2020-001 Mojave y Actualización de seguridad 2020-001 High Sierra
• tvOS anteriores a 13.3.1
• watchOS anteriores a 6.1.2

En promedio, se considera que la gravedad de estas fallas oscila entre niveles altos y moderados. Las fallas pueden estar presentes tanto en entornos industriales, domésticos y comerciales.

Si bien aún no se han reportado casos de explotación en escenarios reales, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores de los sistemas afectados permanezcan alertas ante cualquier aviso de actualización proveniente de las plataformas oficiales de Apple. Otras recomendaciones de seguridad incluyen:

• Ejecución del software de Apple como usuario sin privilegios
• Evitar la descarga, instalación o ejecución de software o archivos de fuentes desconocidas
• Evitar la navegación en sitios web de apariencia poco confiable o listados como maliciosos
• Implementación del Principio de Privilegio Mínimo en todos los sistemas y servicios

El cargo Esta vulnerabilidad permite hackear Apple Watch y Apple TV apareció primero en Noticias de seguridad informática.

Ver Fuente

Universidades fuerzan a estudiantes a instalar apps de seguimiento de ubicación para verificar si asisten a clases o no

La tecnología tiene múltiples aplicaciones en el campo de la educación, lo que permite mejorar los procesos de aprendizaje, aunque no puede obligar a los estudiantes a entrar a sus clases, al menos no hasta ahora. Acorde a expertos en protección de datos, la Universidad de Missouri ha solicitado a sus estudiantes/atletas su participación en un programa que involucra el uso de un software de rastreo de ubicación con el fin de verificar si estos futuros atletas profesionales están asistiendo a sus clases.

Ante las críticas relacionadas con la privacidad de los estudiantes, los funcionarios de la universidad defendieron esta estrategia, argumentando que se ha implementado en beneficio de la comunidad estudiantil. La aplicación, llamada SpotterEDU, deberá ser usada por los atletas estudiantes de la universidad, además se ha invitado al resto de los estudiantes a participar de forma voluntaria.

Acorde a especialistas en protección de datos, la aplicación fue ideada por un antiguo entrenador de basketball preocupado por el bajo rendimiento académico de algunos miembros de su equipo. Según sus desarrolladores, la app brida a las universidades “información continua, confiable, y de forma no invasiva, sobre la presencia de los estudiantes dentro de los salones de clase”. Los funcionarios de la Universidad de Missouri aseguran que los estudiantes sólo son monitoreados dentro del salón de clases.

Como era de esperarse, esta tecnología tiene múltiples detractores, principalmente los atletas-estudiantes que se han visto forzados a instalar este software en sus smartphones para no perder sus becas o enfrentar otra clase de sanciones. Académicos e investigadores en diversas universidades han expresado su preocupación respecto al uso de esta herramienta.

Por otra parte, un representante de SpotterEDU asegura que los desarrolladores ya están trabajando con más de 40 escuelas en todo E.U., principalmente en áreas como Florida, Indiana y Missouri; aunque la idea surgió para dar seguimiento a las actividades de los atletas/estudiantes, muchos expertos en protección de datos temen que en el futuro se use esta tecnología de forma estandarizada en todos los estudiantes.

El cuestionamiento primordial respecto al uso de tecnología de vigilancia y monitoreo es quién vigila a los vigilantes, menciona el Instituto Internacional de Seguridad Cibernética (IICS), sin olvidar un potencial uso abusivo de esta tecnología y su nivel de propensión a incidentes de seguridad informática.

El cargo Universidades fuerzan a estudiantes a instalar apps de seguimiento de ubicación para verificar si asisten a clases o no apareció primero en Noticias de seguridad informática.

Ver Fuente

Después del ataque a 15 equipos de la NFL, hackers comprometen cuentas de Twitter e Instagram de ESPN

A inicios de esta semana, múltiples firmas de ciberseguridad reportaron que un grupo de hackers, presuntamente procedentes de Arabia Saudita, tomaron control de las cuentas de Twitter de la mitad de los equipos de la National Football League (NFL).

Aunque los administradores de estas cuentas lograron recuperar el control, parece ser que la campaña de estos hackers no ha terminado, pues múltiples usuarios comenzaron a reportar actividad anómala en diversas cuentas de Twitter e Instagram controladas por ESPN. Las cuentas comprometidas fueron @ESPN (cuenta principal de la cadena de medios), @SportsCenter y @NBAonESPN, desde donde los hackers publicaron algunos tweets que ya han sido eliminados.

Doha Madani, reportera de NBC News, fue la primera en atribuir el incidente al grupo de hackers saudís, conocido como OurMine: “Alguien nos contactó vía email; al parecer, la cuenta de correo era operada por OurMine. Los presuntos hackers mencionaron que, en 2017, tuvieron que poner en pausa sus actividades, aunque ahora han regresado”, mencionó la reportera. Además, NBC News menciona que, en su mensaje, los hackers aseguraron que eligen a sus objetivos de forma aleatoria, aunque no revelaron el proceso que utilizaron para comprometer las cuentas de Twitter de la NFL.   

A pesar de que se desconocen más detalles sobre el incidente, expertos en ciberseguridad de ZDNet aseguran que todo esto tiene que ver con un incidente de seguridad en Khoros, una aplicación de marketing digital y relaciones públicas. Múltiples compañías, incluyendo a los equipos de la NFL, emplean esta herramienta, vinculándola a sus cuentas de redes sociales. La teoría de ZDNet es que la seguridad de Khoros ha sido comprometida.

 No obstante, un portavoz de Khoros negó que haya ocurrido un incidente de ciberseguridad en la plataforma: “Ahora mismo estamos ayudando a un cliente con un tema de acceso no autorizad a sus cuentas”. La firma no mencionó el nombre del cliente afectado, aunque lo más probable es que se trate de la NFL y sus equipos.

Mientras se resuelve este incidente, aún queda investigar lo ocurrido en las cuentas de ESPN; las actividades normales en las cuentas comprometidas ya han sido restablecidas. El Instituto Internacional de Seguridad Cibernética (IICS) considera que lo más probable es que ambos ataques hayan sido perpetrados por el mismo grupo de hackers, aunque aún esta investigar si realmente OurMine ha vuelto a aparecer, o si se trata de actores de amenaza tomando el nombre de un grupo de hackers reconocido en el pasado.

El cargo Después del ataque a 15 equipos de la NFL, hackers comprometen cuentas de Twitter e Instagram de ESPN apareció primero en Noticias de seguridad informática.

Ver Fuente

Vulnerabilidad en Elementor, plugin generador de páginas web, afecta a más de 4 millones de sitios en WordPress

Cuando se reporta una vulnerabilidad en un desarrollo de software, inicia una carrera contrarreloj entre los expertos en análisis de vulnerabilidades encargados de corregirla y los cibercriminales que desean explotar las fallas. Esto se acentúa tratándose de los productos más utilizados, como son algunos plugins de WordPress.

Elementor, uno de los plugins más populares del mundo, presenta una vulnerabilidad bautizada como Reflejo Autenticado XSS, cuya explotación permitiría a los actores de amenazas ejecutar scripts en sitios de WordPress desde otro sitio para realizar actividades maliciosas como robo de credenciales de acceso.

Los expertos en análisis de vulnerabilidades mencionan que la vulnerabilidad requiere que se cargue una secuencia de comandos en el sitio vulnerable empleando, por ejemplo, un cuadro de búsqueda. Un escenario de explotación posible es descrito a continuación:

• El actor de amenazas crea una URL especialmente diseñada para el ataque
• Cuando la víctima siga la URL, se ejecutará la secuencia de comandos, que se encuentra alojada en un sitio externo
• El hacker enviará un enlace a los usuarios objetivo para robar sus credenciales desde el sitio web atacado

Esta falla ya ha sido reportada en WordPress Vulnerability Database, plataforma que contiene información actualizada sobre cualquier vulnerabilidad encontrada en el sistema de gestión de contenidos y sus plugins más populares. Los administradores informaron que, con el fin de evitar explotaciones en escenarios reales, la prueba de concepto seguirá sin ser publicada al menos hasta febrero 12.

La vulnerabilidad fue hallada por la firma de seguridad Impenetrable.tech, quienes la reportaron a la brevedad a los editores de Elementor. Los responsables del constructor visual de WordPress corrigieron la falla de inmediato. La vulnerabilidad fue revelada al público una vez que se completó su corrección.

Especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que la falla afecta a las versiones 2.8.4 y anteriores de Elementor. La nueva versión, 2.8.5, debe ser actualizada desde la interfaz de administración de los sitios de WordPress. Después de iniciar sesión, encontrará un enlace de actualización en su página de WordPress; en caso contrario, puede actualizar el plugin desde la barra lateral del administrador de sitio web.

El cargo Vulnerabilidad en Elementor, plugin generador de páginas web, afecta a más de 4 millones de sitios en WordPress apareció primero en Noticias de seguridad informática.

Ver Fuente

Las mejores funciones de Kali Linux 2020, la nueva versión de la distro

Los desarrolladores de Kali Linux, una de las distribuciones para el hacking ético más utilizadas del mundo, acaban de anunciar el lanzamiento de Kali 2020.1, la primera gran actualización del sistema operativo de este año, la cual promete incluir múltiples cambios y mejoras sustanciales, útiles para todo pentester.

Para el desarrollo de la más reciente versión de esta distro fue fundamental la retroalimentación de los usuarios. En otras palabras, cada nueva característica incluida en Kali Linux 2020.1 surgió de la necesidad de escuchar a los hackers éticos que empleaban versiones anteriores de la distribución. A continuación, revisaremos algunas de las mejoras destacadas en esta nueva versión.

Cambios en la contraseña predeterminada

La queja principal respecto a versiones anteriores de la distro era el empleo del usuario <<root>> por defecto para acceder a la distro. Anteriormente, las credenciales de acceso por defecto a Kali Linux (usuario/contraseña) eran root/toor, una medida muy poco segura. Con el lanzamiento de la versión 2020.1, se han implementado las credenciales de acceso kali/kali de forma predeterminada, lo cual representa una sustancial mejora de seguridad.   

Nuevas formas de instalar la distro

La nueva versión de Kali Linux ahora podrá ser instalada desde una misma imagen ISO; la imagen no requerirá conexión a Internet y los expertos y entusiastas del hacking ético podrán personalizar los elementos en su distro (escritorio, herramientas, etc.).

Además, los desarrolladores han incluido dos nuevas formas de instalar la distro: Una imagen para la instalación de Kali desde la red, y la imagen Live, que permitirá usar Kali Linux sin instalar la distro en la PC.

Hacking ético desde su dispositivo móvil

Los desarrolladores también han incluido mejoras en sus sistemas móviles. Un ejemplo son los dispositivos con procesadores ARM, que permitirán emplear las nuevas versiones de Kali, aunque de una forma limitada.

Actualización de tema

La apariencia de la distro también fue actualizada en Kali Linux 2020.1, incluyendo un Modo Nocturno, cambios en el diseño de los íconos, aplicaciones y menús.  

Mejoras en Kali-Undercover

Por seguridad, muchos expertos en hacking ético emplean Kali-Undercover, una función que genera cambios estéticos en la interfaz de la distro para hacerla parecer un sistema Windows. En la nueva versión, esta función ha sido mejorada para asemejarse mucho más a la interfaz de los sistemas Windows, por lo que será más complicado distinguir entre ambas.

Por otra parte, el Instituto Internacional de Seguridad Cibernética (IICS) destaca algunos otros cambios en la versión 2020.1, como la eliminación de Python 2 y sus paquetes dependientes, nuevos fondos de pantalla y nuevos paquetes y herramientas. Kali Linux 2020.1 ya se encuentra disponible en la plataforma de descarga oficial. Si usted emplea una versión anterior, puede encontrar el manual de actualización en la página oficial de los desarrolladores.

El cargo Las mejores funciones de Kali Linux 2020, la nueva versión de la distro apareció primero en Noticias de seguridad informática.

Ver Fuente

Football Leaks: El hacker detrás de estas filtraciones envuelto en polémica otra vez

Una polémica historia ha acaparado la atención de la comunidad de la ciberseguridad. Los asesores legales de un hacker de origen portugués aseguran que su cliente es el responsable de revelar múltiples negocios ilegales de Isabel dos Santos, multimillonaria nacida en Angola que, presuntamente, ha participado en actos de corrupción con consecuencias en Europa y África. 

Acorde a los abogados, el hacker Rui Pinto, de 31 años, entregó a una organización de informantes un disco duro que contenía múltiples archivos relacionados con Isabel dos Santos y su increíble fortuna, amasada de forma un tanto sospechosa.

Isabel es hija de Jose Eduardo dos Santos, ex presidente de Angola, y enfrenta múltiples acusaciones de corrupción ligada a la industria petrolera y minera de su país. Isabel dos Santos, radicada en Londres, ha negado tales acusaciones en repetidas ocasiones.

Algunos miembros de la comunidad de la ciberseguridad consideran a Rui Pinto como una especie de ciberactivista con especial enfoque en el mundo de los deportes. En el pasado, Pinto fue vinculado al incidente conocido como Football Leaks, una campaña de filtración de información sobre transferencias de futbolistas y operaciones financieras involucrando a los clubes más importantes del fútbol europeo.

Estas filtraciones fueron publicadas en 2015 por múltiples medios de comunicación en Europa y el resto del mundo. Además, agencias del orden en Gran Bretaña y Francia comenzaron investigaciones criminales relacionadas con esta información.

Sin embargo, no todos en el mundo de la ciberseguridad consideran a Pinto un héroe, pues poco después de las revelaciones de Football Leaks, el hacker fue arrestado en Hungría y acusado de hacking contra Doyen, una compañía de inversionistas. La firma también acusa a Pinto de chantaje, pues el hacker habría exigido dinero a cambio de no revelar esta información, obtenida de forma ilícita.

Aunque la defensa de Pinto argumenta que la intención del hacker siempre fue revelar la información sin cobrar dinero por ello, un tribunal portugués decidió seguir con el proceso legal en su contra, el cual involucra 90 cargos criminales.

Al parecer, la intención de los abogados de Pinto es llegar a un arreglo con los fiscales portugueses, argumentando que su colaboración fue fundamental para presentar un caso en contra de Isabel dos Santos.

El Instituto Internacional de Seguridad Cibernética (IICS) menciona que la organización mencionada por la defensa de Pinto es el Consorcio Internacional de Periodistas de Investigación (ICIJ), un grupo de investigadores con sede en Nueva York que ha colaborado en otros casos similares, como el conocido caso Panama Papers, de 2016.

El cargo Football Leaks: El hacker detrás de estas filtraciones envuelto en polémica otra vez apareció primero en Noticias de seguridad informática.

Ver Fuente

Múltiples vulnerabilidades afectan Oracle Application Testing Suite

La firma tecnológica Oracle publicó recientemente un informe revelando múltiples vulnerabilidades de seguridad presentes en Oracle Application Testing Suite. Las fallas varían en cuanto a severidad, aunque el reporte de seguridad de aplicaciones web menciona al menos una vulnerabilidad crítica.

El primer reporte se refiere a una vulnerabilidad en el componente Oracle Flow Builder del producto Enterprise Manager. Esta falla es fácilmente explotable y permite a un hacker no autenticado acceder a la red mediante HTTP para tomar control total de la implementación de Oracle para explotar la vulnerabilidad conocida como CVE-2016-4000.

La siguiente falla de seguridad es una vulnerabilidad no especificada en Oracle Application Testing Suite del subcomponente Oracle Enterprise Manager Load Testing for Web Apps. Un hacker remoto podría acceder a la red vía HTTP para comprometer la implementación de Oracle, bloquear subprocesos o incluso generar condiciones de denegación de servicio, mencionan los especialistas en seguridad de aplicaciones web.

Oracle también reveló la presencia de una vulnerabilidad no especificad en el subcomponente Oracle Enterprise Manager Load Testing for Web Apps. Un hacker remoto puede acceder a la red vía HTTP; generando interacción con un usuario, el atacante podría afectar productos adicionales, vulnerabilidad conocida como CVE-2017-14735.

El siguiente escenario planteado por los expertos en seguridad de aplicaciones web se relaciona con una vulnerabilidad no especificada en Oracle Application Testing Suite del subcomponente Oracle Enterprise Manager Load Testing (Application Developer Framework). Explotando la vulnerabilidad CVE-2019-2904, un atacante remoto no autenticado podría tomar control total de Oracle Application Testing Suite.

En el informe de Oracle también aparece la vulnerabilidad identificada como CVE-2019-11358. De ser explotada, esta falla permitiría a los actores de amenazas generar interacción humana para afectar productos adicionales a Oracle Enterprise Manager Oracle Flow Builder (jQuerry).  

Los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) menciona que las mitigaciones para todas estas fallas de seguridad se encuentran en el parche crítico de Oracle, lanzado durante los primeros días de enero de 2020, por lo que los administradores de estas implementaciones sólo deben instalar el parche. Para mayores detalles, consulte el sitio web oficial de la compañía.

El cargo Múltiples vulnerabilidades afectan Oracle Application Testing Suite apareció primero en Noticias de seguridad informática.

Ver Fuente

Vulnerabilidades críticas en IBM Websphere, Security Access Manager y MQ Appliance permiten que cualquiera tome control de su red

Especialistas en seguridad en redes de IBM han revelado la detección y corrección de múltiples vulnerabilidades en diversos productos. Según estos reportes de seguridad, la explotación de estas fallas permitiría a los actores de amenazas tomar control completo de la red comprometida, por lo que es necesario actualizar a la brevedad.

El primer problema de seguridad encontrado es una vulnerabilidad de inyección de entidad externa XML (XXE) en IMB Security Access Manager v9.0.7.1. La vulnerabilidad, identificada como CVE-2019-4707, es desencadenada al procesar datos XML; un atacante remoto podría explotar la falla para exponer información confidencial o agotar la memoria del sistema objetivo. La falla recibió un puntaje de 7/10 en la escala del Common Vulnerability Scoring System (CVSS).

Hasta ahora no se conocen soluciones alternativas, por lo que se recomienda implementar la actualización de IBM para mitigar el riesgo de explotación de esta vulnerabilidad.

El siguiente reporte se refiere a la corrección de dos vulnerabilidades en HTTP/2. Algunas implementaciones de HTTP/2 son vulnerables a loops de recursos, lo que podría conducir a una condición de denegación de servicio (DoS). Los actores de amenazas crean múltiples flujos de solicitudes para generar cambios en el árbol de prioridad, consumiendo los recursos del CPU. La primera de estas fallas fue identificada como CVE-2019-9513 y recibió un puntaje de 7.5/10 en la escala CVSS, mencionan los expertos en seguridad en redes.

Por otra parte, CVE-2019-9511 es una falla que permite manipular el tamaño de la ventana y prioridad de transmisión para forzar al servidor a poner en cola los datos en fragmentos de 1 byte. Dependiendo de la eficiencia de este proceso, se presentará un exceso en el consumo de la memoria, del CPU, o incluso de ambos.

Finalmente, se reportó una vulnerabilidad en WebSphere Application Server ND, que viene incluido con IBM Security Identity Manager. Acorde a los expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS), la explotación permitiría a los atacantes acceder a información confidencial debido al envío de una URL especialmente diseñada. La falla recibió un puntaje de 3.5/10.

IBM abordó las vulnerabilidades reportadas a la brevedad, por lo que los administradores sólo deben instalar las correcciones oficiales en los sistemas potencialmente comprometidos. Para mayores detalles, consulte el sitio oficial de la compañía.

El cargo Vulnerabilidades críticas en IBM Websphere, Security Access Manager y MQ Appliance permiten que cualquiera tome control de su red apareció primero en Noticias de seguridad informática.

Ver Fuente

Hackean cuentas de Twitter de la NFL, Chiefs, 49ers, Packers, Bears y otros equipos. ¿Quién es el responsable?

Las cuentas más populares en redes sociales siempre han estado expuestas a incidentes de seguridad informática. Hace menos de un día, usuarios de Twitter comenzaron a notar que las cuentas pertenecientes a la National Football League (NFL), así como de algunos equipos populares, incluyendo a los contendientes del próximo Super Bowl habían sido hackeadas.

Los hackers eliminaron la foto de perfil de las cuentas atacadas

El martes por la mañana, la NFL emitió un comunicado relativo al incidente de hacking: “Se detectaron algunos ataques específicos además de múltiples intentos de violación fallidos en las cuentas de la liga y los equipos. Se tomaron medidas inmediatas y se recomendó a los equipos asegurar sus cuentas de redes sociales para evitar accesos no autorizados”.

La NFL también notificó a las compañías de redes sociales, que a su vez brindaron el apoyo de sus equipos de seguridad informática para asegurar todas las cuentas vinculadas a la liga. “Las operaciones normales en todas las cuentas afectadas ya han sido restablecidas. Seguiremos trabajando diligentemente y en conjunto con las fuerzas del orden durante la investigación del incidente”, menciona el comunicado.

Respecto a los cibercriminales, un grupo conocido como OurMine se atribuyó la responsabilidad del ataque: “Estamos aquí para demostrar que todo es hackeable”, mencionan los tweets publicados desde las cuentas comprometidas. Entre los equipos afectados se encuentran los 49ers de San Francisco, Chiefs de Kansas City, Bears de Chicago, los Packers de Green Bay, los Browns de Cleveland, entre otros.

---

Algunos de los tweets publicados en las cuentas hackeadas

Diversas firmas de seguridad informática ubican a Arabia Saudita como sede de este grupo de hackers, que ya ha desplegado ataques similares contra cuentas de redes sociales de algunos famosos para publicar sus “servicios de seguridad”, como si se tratase de una compañía legítima. Sobra mencionar que esto no podría ser considerado un servicio legítimo, pues esta clase de intrusiones son ilegales en cualquier país donde existan leyes para la protección de datos. En estos casos, el hacking es considerado como una variante de fraude electrónico o robo de identidad.

El Instituto Internacional de Seguridad Cibernética (IICS) menciona que cualquier participante en eventos multitudinarios entra bajo la jurisdicción del Departamento de Seguridad Nacional, en la categoría de “Instalaciones Comerciales”, debido a su propensión a los ciberataques. Este debe ser un llamado de atención para la liga y los equipos miembros, pues más futuros similares podrían exponer información sensible y generar problemas de incumplimiento de legislación en materia de seguridad informática.

El cargo Hackean cuentas de Twitter de la NFL, Chiefs, 49ers, Packers, Bears y otros equipos. ¿Quién es el responsable? apareció primero en Noticias de seguridad informática.

Ver Fuente

Nuevo error en procesadores de Intel filtra información desde máquinas virtuales

Hace un par de años, la aparición de la vulnerabilidad de ejecución especulativa Spectre afectó a millones de usuarios de procesadores Intel; ahora, expertos en análisis de vulnerabilidades reportan la aparición de una nueva falla de características similares que podría ser explotada para interceptar datos a través de los límites de seguridad de hardware.

La vulnerabilidad, conocida  como CacheOut, está presente en una gran variedad de procesadores Intel, todos disponibles en el mercado hasta finales de 2018. Diversos grupos de investigadores han trabajado en esta falla, incluyendo un equipo completo en la Universidad de Adelaide, Australia, quienes descubrieron que es posible que se presenten fugas de información desde el caché del procesador.

Los expertos en análisis de vulnerabilidades mencionan que aún no se ha desarrollado un exploit para la vulnerabilidad, aunque es primordial atender su existencia, pues su explotación es indetectable para las víctimas. De ser explotada, la vulnerabilidad permitiría la intercepción de información sobre la aleatorización del espacio de direcciones del kernel del sistema operativo, además de que podrían desplegarse otras variantes de ataque, como desbordamientos de búfer, empleando software adicional. 

Por si no fuera suficiente, los investigadores aseguran que CacheOut también es capaz de filtrar datos de hipervisores y máquinas virtuales, además de volcar el contenido de los enclaves de hardware de Intel Software Guard Extensions (SGX). El toque final es la capacidad de esta falla para eludir las mitigaciones de hardware instaladas por Intel para prevenir la explotación de Spectre y Meltdown.

La compañía lanzó las actualizaciones de microcódigo para corregir esta vulnerabilidad, las cuales serán implementadas mediante la próxima actualización del sistema operativo de los dispositivos afectados. Acorde a los expertos en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que los procesadores AMD no son afectados por esta falla de seguridad.

Finalmente, los investigadores de la Universidad de Adelaide señalaron que la arquitectura de ARM y los procesadores IBM presentan características similares a Transactional Synchronisation Extensions (TSX), de Intel, por lo que es probable que la vulnerabilidad también esté presente en alguno de estos productos. Se espera la confirmación oficial durante los próximos días.   

El cargo Nuevo error en procesadores de Intel filtra información desde máquinas virtuales apareció primero en Noticias de seguridad informática.

Ver Fuente

Mitsubishi Electric fue hackeada por el antivirus de Trend Micro que se supone debía evitar los ataques

Especialistas en forense digital han revelado nuevos detalles sobre el incidente de seguridad acontecido en la compañía japonesa Mitsubishi Electric. Hace algunos días, la compañía dio a conocer que en junio del año pasado un grupo de hackers logró acceder a la información personal de sus empleados, además de algunos archivos corporativos.

Según reportes de medios locales, los ataques han sido atribuidos a Tick, un grupo de hackers financiado por el gobierno chino. Además, los más recientes informes aseguran que los hackers lograron acceder a los sistemas de Mitsubishi explotando una vulnerabilidad día cero en OfficeScan, una solución antivirus desarrollada por Trend Micro.

Entre la información comprometida se encuentran casi 2 mil solicitudes de empleo, los resultados de una evaluación de empleados que involucran a más de 4 mil clientes, además de datos personales de más de 1500 empleados retirados entre 2007 y 2019, además de información corporativa que incluye planos, documentos técnicos y material de ventas.

Un reporte de forense digital de la firma ZDNet afirma que los actores de amenazas lograron explotar la vulnerabilidad CVE-2019-18187, una falla que permite la carga arbitraria de archivos en Trend Micro OfficeScan. La falla fue corregida en octubre de 2019. En su página web oficial, Trend Micro incluso presume el hecho de contar con Mitsubishi entre sus clientes.

Este reporte aún no ha sido confirmado por ninguna de las partes involucradas. No obstante, si resultan ciertas estas afirmaciones, esto podría resultar en un escándalo de relaciones públicas para la firma de seguridad, pues la presencia de esta falla habría sido fundamental durante la intrusión a las redes de Mitsubishi.

Aunque la falla de la compañía de seguridad es obvia, los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) consideran que es necesario recordar que ningún software antivirus está a salvo de las vulnerabilidades de seguridad, por más sofisticado que este sea.

Si bien las compañías de seguridad y equipos de TI en ocasiones cometen errores, no se debe perder de vista a los verdaderos culpables de estos incidentes: los cibercriminales. Las firmas de seguridad y los investigadores independientes trabajan duramente para mantenerse a la vanguardia ante los ataques informáticos, aunque en ocasiones, como en el caso de Mitsubishi, los esfuerzos simplemente no son suficientes.

El cargo Mitsubishi Electric fue hackeada por el antivirus de Trend Micro que se supone debía evitar los ataques apareció primero en Noticias de seguridad informática.

Ver Fuente

Microsoft falla al corregir vulnerabilidad de Internet Explorer; errores en la función de impresión de Windows

En ocasiones, corregir un problema de seguridad puede generar problemas nuevos. Microsoft está experimentando fallas con la corrección temporal de una vulnerabilidad día cero en Internet Explorer, pues usuarios y firmas de seguridad informática han reportado que esta solución afecta de forma negativa a los sistemas Windows, generando fallas en la función para imprimir de algunas máquinas.

Hace una semana, la compañía reveló la existencia de una vulnerabilidad día cero de ejecución remota de código en Internet Explorer 11, 10 y 9, identificada como CVE-2020-0674. De ser explotada, la falla permitiría a los hackers crear un sitio web especialmente diseñado para ejecutar comandos de forma remota en el sistema objetivo. La falla estaba siendo explotada en escenarios reales, aunque la compañía afirma que los casos de explotación son reducidos.

Debido a que aún no hay actualizaciones disponibles, la compañía publicó una solución temporal que requiere cambiar el propietario de %windir%\system32\jscript.dll y negar el acceso al archivo para el grupo Everyone. Cabe mencionar que Microsoft ya había alertado que este método podría afectar algunas características que dependen del archivo jscript.dll.

Por desgracia, los errores generados por esta solución alternativa son mayores de lo previsto. Poco después, múltiples usuarios que implementaron la corrección temporal reportaron fallas en el funcionamiento de sus impresoras USB de HP y otros fabricantes, mencionan los expertos en seguridad informática.

En general, cuando los usuarios trataban de imprimir algún documento, la máquina respondía con errores de entrada y salida, por lo que el proceso de impresión no se completaba. Acorde a los expertos en seguridad informática, además del problema relacionado con las impresoras, esta corrección temporal también puede generar otras fallas:

• El reproductor de Windows Media colapsa al tratar de reproducir archivos MP4
• SFC (Resource Checker), una herramienta que escanea la integridad de todos los archivos protegidos del sistema y reemplaza las versiones incorrectas con las versiones correctas de Microsoft, colapsa en jscript.dll con permisos alterados
• Los scripts de configuración automática de proxy (scripts PAC) pueden no funcionar

Algunas firmas de seguridad han desarrollado parches temporales para corregir la falla sin experimentar estos problemas. Si no desea instalar un parche desarrollador por terceros, el Instituto Internacional de Seguridad Cibernética (IICS) recomienda eliminar la corrección y esperar al lanzamiento del parche completo de Microsoft.

Para eliminar la corrección en sistemas de 32 bits, ingrese el siguiente comando en el símbolo del sistema administrativo:

cacls %windir%\system32\jscript.dll /E /R everyone   

Para sistemas de 64 bits, ingrese el siguiente comando en el símbolo del sistema administrativo:

cacls %windir%\system32\jscript.dll /E /R everyone   

cacls %windir%\syswow64\jscript.dll /E /R everyone

El cargo Microsoft falla al corregir vulnerabilidad de Internet Explorer; errores en la función de impresión de Windows apareció primero en Noticias de seguridad informática.

Ver Fuente

Microsoft está considerando hacer de Windows 7 un software de código abierto

Hace algunos días Microsoft anunció el final del soporte para Windows 7, por lo que el sistema operativo dejaría de recibir actualizaciones de seguridad gratuitas, aunque al parecer existen muchos interesados en mantener con vida este sistema. Especialistas en hacking ético, en conjunto con Free Software Foundation, enviaron una petición a la compañía para que Windows 7 sea relanzado como software de código abierto.

En un comunicado, la Free Software Foundation mencionó: “Por 10 largos años, Microsoft invadió la privacidad de los usuarios y corrompió la educación con este sistema operativo. Dejar de dar soporte para Windows 7 es la forma más fácil para que Microsoft trate de eliminar la evidencia de estos errores pasados”.

Los expertos mencionan que esta es la oportunidad perfecta para que la comunidad del hacking ético y la ciberseguridad estudie y encuentre las mejores formas de potenciar las capacidades de este sistema operativo.

La fundación espera reunir al menos 7,700 firmas para presentar un caso sólido ante Microsoft. Al momento de redactar este artículo, la plataforma ya había reunido 7634 firmas, por lo que el siguiente paso podría estar a la vuelta de la esquina.

Aunque el soporte gratuito para Windows 7 ha finalizado, Microsoft señaló que se brindarán tres años de vida útil a las personas y compañías que deseen seguir usando este sistema operativo, lo cual es altamente probable, por lo que Microsoft no dejará de aprovechar el sistema Windows 7 para generar una cantidad considerable de ingresos.

Acorde a los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), el gobierno alemán es una de las instituciones que pagará por la posibilidad de usar este sistema por un poco más de tiempo. Según se ha mencionado, el acuerdo asciende a más de 850 mil dólares para recibir las actualizaciones de seguridad extendidas de Windows 7 durante 2020.

Cabe mencionar que, debido a que Microsoft aún tiene acuerdos comerciales que involucran actualizaciones adicionales de Windows 7, es altamente probable que la petición de Free Software Foundation sea desestimada. A pesar de que la compañía ya ha recibido múltiples cuestionamientos relacionados con el tema, aún no se conoce una postura oficial.

El cargo Microsoft está considerando hacer de Windows 7 un software de código abierto apareció primero en Noticias de seguridad informática.

Ver Fuente

Vulnerabilidad en Cisco permite ataques DoS y colapso de redes usando solo un email

La compañía tecnológica Cisco ha publicado un nuevo reporte de ciberseguridad para informar la corrección de una vulnerabilidad crítica el motor de descompresión zip del producto Cisco AsyncOS, de Cisco Email Security Appliance (ESA), identificada como CVE-2020-3134. Acorde al reporte, podría permitir que un atacante remoto no autenticado genere una condición de denegación de servicio (DoS) en un dispositivo afectado.

En el informe, la compañía menciona que la vulnerabilidad existe debido a una validación incorrecta de los archivos zip. Un actor de amenazas podría abusar de esta vulnerabilidad enviando un mensaje vía email con un archivo comprimido adjunto. De ser explotada exitosamente, la vulnerabilidad desencadenaría un reinicio del proceso de escaneo del contenido comprimido, derivando en la condición DoS temporal.

Los especialistas en ciberseguridad del Common Vulnerability Scoring System (CVSS) asignaron a esta falla un puntaje de 6.5/10, pues representa una amenaza para los dispositivos que emplean este producto de la compañía. La corrección para esta falla ya ha sido lanzada, aunque Cisco ha emitido algunas recomendaciones para usuarios de versiones no actualizadas: “Las versiones de Cisco ESA 6.0.1 y anteriores han dejado de recibir mantenimiento de software. Se recomienda a los usuarios de estas versiones migrar a una versión compatible, pues éstas ya cuentan con protección contra esta vulnerabilidad”, menciona el aviso de la compañía. Además, la compañía menciona que no existen soluciones alternativas, por lo que es necesario instalar las actualizaciones.

En su alerta de ciberseguridad la compañía también reconoció a los investigadores Johan Anderström Y Michael Venema por el reporte de la vulnerabilidad. A pesar de que no se tienen reportes de explotación de esta falla en escenarios reales, se recomienda encarecidamente a los usuarios instalar las correcciones lo más pronto posible y así mitigar cualquier riesgo de explotación, pues no hay que olvidar que se trata de una falla de seguridad crítica. El reporte completo sobre esta falla y sus parches de actualización se encuentra en las plataformas oficiales de la compañía.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), el más reciente conjunto de actualizaciones lanzado por Cisco incluye correcciones para 7 vulnerabilidades de alta gravedad, además de 18 fallas de severidad media. La información completa sobre esta actualización está disponible en la página oficial de Cisco.

El cargo Vulnerabilidad en Cisco permite ataques DoS y colapso de redes usando solo un email apareció primero en Noticias de seguridad informática.

Ver Fuente

Cualquiera puede unirse a sus sesiones privadas de Webex sin usar una contraseña

Como cada semana, ha aparecido un nuevo reporte de fallas de seguridad en Webex, la plataforma de videoconferencias de Cisco. La compañía tecnológica ha publicado un informe, elaborado por su equipo de análisis de vulnerabilidades, sobre una falla recientemente descubierta. De ser explotada, esta vulnerabilidad podría permitir a un hacker remoto acceder a sesiones de videoconferencia sin necesidad de autenticación.

Acorde al reporte publicado por Cisco, la falla es de gravedad severa y todo lo que requiere un actor de amenazas para su explotación es conocer el número de identificación de la sesión de Webex, además de la instalación de la aplicación móvil del servicio en un smartphone iOS o Android.

En su reporte de análisis de vulnerabilidades, Cisco menciona que la falla existe debido a una exposición no intencionada de información durante el proceso de ingreso a una sesión de Webex en su versión móvil: “Un participante no autorizado podría explotar la vulnerabilidad accediendo a una sesión con sólo conocer la ID o URL de sesión desde el navegador de un dispositivo móvil”.

La explotación de esta falla es un proceso trivial y requiere mínimos recursos, aunque no todo son malas noticias. Cisco señala que cualquier actor de amenazas que explote la falla y logre acceder a una sesión de Webex, será visible en la lista de participantes en la videoconferencia, por lo que cualquier usuario legítimo debería detectar sin mayor esfuerzo la intrusión a la sesión.

El equipo de análisis de vulnerabilidades de Cisco afirma que la falla ya ha sido corregida en Cisco Webex Meetings Suite y Cisco Webex Meetings, que están basados en la nube, por lo que los usuarios del servicio ya no tendrán que realizar acciones adicionales para su corrección. La compañía concluyó su mensaje mencionando que no se han reportado casos de explotación en escenarios reales.

El Instituto Internacional de Seguridad Cibernética (IICS) menciona que es altamente probable que la falla haya sido detectada antes de que los actores de amenaza la encontraran. No obstante, aún queda una compleja labor para Cisco, que consiste en investigar y determinar de manera fehaciente que la vulnerabilidad no fue explotada por ningún usuario malicioso.

Múltiples vulnerabilidades en las versiones móviles de Webex han sido reportadas anteriormente. Hace algunos meses fue hallada una falla en la versión de Webex para Android; la explotación de esta vulnerabilidad permitía a los atacantes extraer credenciales de inicios de sesión usando enlaces a sitios plagados de malware.

El cargo Cualquiera puede unirse a sus sesiones privadas de Webex sin usar una contraseña apareció primero en Noticias de seguridad informática.

Ver Fuente

Descubren vulnerabilidad en Apache Tomcat

Especialistas en análisis de vulnerabilidades han revelado el hallazgo de una nueva vulnerabilidad en Apache Tomcat. Al usar la autenticación con Apache Tomcat, entre las versiones 9.0.0.M1 a 9.0.29, 8.5.0 a 8.5.49 y 7.0.0 a 7.0.98, se presenta una ventana estrecha por donde un actor de amenazas podría desplegar un ataque de fijación de sesión.

Al inicio los investigadores consideraron que esta ventana era demasiado estrecha para funcionar como exploit en la práctica, no obstante, se decidió reportar este escenario como una falla de seguridad, registrada como CVE-2019-17563.

En el reporte de los expertos en análisis de vulnerabilidades, la conjunción de diversas circunstancias permite que se presente una condición de carrera en Tomcat, lo que permite la fijación de la sesión y, potencialmente, permitiría a los hackers realizar un ataque local para acceder a la sesión de un usuario con privilegios de administrador.

Para más detalles, los expertos de la firma de seguridad Support Five han preparado un cuadro donde los administradores pueden consultar si sus productos o versiones ya han sido evaluados para esta falla. Para determinar si su versión es vulnerable, además si los componentes están afectados por la vulnerabilidad, y para obtener información sobre las versiones, las versiones puntuales o las revisiones que abordan la vulnerabilidad, consulte la siguiente tabla:

En caso de que ejecute una versión afectada, los especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan corregir la falla actualizando a una de las versiones que cuentan con las soluciones. Si en la tabla se muestra solamente una versión anterior a la que está usted ejecutando actualmente, o no se menciona una versión vulnerable, no existe ninguna actualización por el momento.   

Para obtener más información sobre fallas de seguridad, exploits, ataques cibernéticos y análisis de malware encontrados recientemente, puede visitar el sitio web oficial del Instituto Internacional de Seguridad Cibernética (IICS), además de las plataformas de comunicación oficiales de las compañías tecnológicas que actualmente trabajan por corregir incidentes de seguridad informática.

El cargo Descubren vulnerabilidad en Apache Tomcat apareció primero en Noticias de seguridad informática.

Ver Fuente

Hackean información personal de más de 15 mil empleados públicos en Detroit

Otro día, otro incidente de protección de datos. El gobierno de la ciudad de Detroit ofreció a más de 15 mil empleados públicos un servicio de monitoreo de crédito gratuito después de que se revelara una brecha de datos que podría haber expuesto información confidencial.

La medida aplica tanto para empleados actuales como para ex trabajadores de la ciudad, informó la directora de la Oficina de Información, Beth Niblock, mediante un comunicado oficial. Asimismo, la carta de la directora menciona que se comprometieron menos del 10% de las cuentas de la ciudad, aunque muchas de las cuentas afectadas podrían contener detalles sensibles. El incidente ocurrió durante la madrugada del 16 de enero.

Hasta el momento no se han detectado indicios de uso malicioso de la información comprometida, además, debido a que la información expuesta se encuentra cifrada, es muy poco probable que los hackers logren acceder a una versión legible de estos datos. No obstante, el gobierno de la ciudad prefirió no dejar cabos sueltos y proteger a los empleados con este servicio de monitoreo, mencionan expertos en protección de datos.

Sin entrar en detalles, la administración de la ciudad menciona que la información expuesta también involucra los datos personales de al  menos 300 clientes del Departamento de Agua y Alcantarillado de Detroit. Los usuarios afectados también podrán acceder a los servicios de monitoreo de crédito gratuitos.

El gobierno de la ciudad de Detroit informará directamente a las personas afectadas, enviando una carta a sus respectivos domicilios, además de un email a su última dirección registrada en los sistemas. A su vez, la Oficina de Información estará trabajando con expertos en protección de datos, firmas de ciberseguridad y agencias policiales federales en la investigación del incidente.

Aún se desconocen las causas del incidente, por lo que habrá qué esperar a que la investigación concluya para determinar si se debe a la intervención de algún grupo de actores de amenazas, o si la filtración se debe a un descuido del personal de TI de la ciudad. En caso de que se confirme un error humano, el Instituto Internacional de Seguridad Cibernética menciona que las personas encargadas de las áreas afectadas deberán ser llamadas a comparecer ante la justica.

El cargo Hackean información personal de más de 15 mil empleados públicos en Detroit apareció primero en Noticias de seguridad informática.

Ver Fuente

Ransomware cierra una empresa fabricante de piezas de auto con más de 100 años de antigüedad; más de 4 mil empleos perdidos

Un nuevo incidente de ransomware ha afectado de forma severa a una importante compañía automotriz. Gedia Automotive Group, compañía alemana fabricante de piezas para auto con casi 5 mil empleados en siete diferentes países ha confirmado un ataque de ransomware que forzó el cierre de todos sus sistemas de TI; los empleados de la compañía fueron enviados a casa hasta nuevo aviso, reportan expertos en hacking ético.

Esta firma está establecida en la ciudad alemana de Attendorn y tiene más de 100 años de antigüedad. A través de un comunicado, la directiva de Gedia informó que tomará algunas semanas (o meses, en el peor de los casos) a su departamento de TI restablecer el funcionamiento de toda su infraestructura.

“Al inicio de esta semana tuvo lugar un ciberataque masivo en la sede principal de Gedia en Attendorn. Después de detectar el incidente, comenzó una investigación interna, tras lo cual se determinó el apagado inmediato de los sistemas como medida de seguridad”, menciona el comunicado de la compañía.

Aunque aún se desconocen muchos detalles sobre el incidente, Gedia menciona en su sitio web que el grupo de actores de amenaza encargado de este ataque también está detrás del incidente de ransomware que afectó recientemente los sistemas de la firma de cambio de divisas Travelex. Acorde  a expertos en hacking ético, este grupo de hackers se habría atribuido el ataque en un foro de dark web.

La afirmación de la compañía parece contar con el respaldo de una firma de seguridad que ha dado seguimiento a los recientes ataques usando la variante de ransomware Sodinokibi, también conocida como REvil. Los operadores de estos ataques han amenazado con revelar al público los datos confidenciales de la compañía.

El anuncio de los hackers, presuntamente publicado en un foro de hacking clandestino, amenaza con publicar más de 50 GB de información confidencial, incluyendo planos de futuros proyectos e información confidencial de empleados y clientes. Aún se desconoce el monto del rescate que los hackers exigen a Gedia.

En respuesta al incidente, la compañía implementó un plan de emergencia para garantizar que las operaciones críticas siguieran a flote. Además, los directivos de Gedia contrataron los servicios de una firma de hacking ético para el proceso de recuperación de incidentes. Al parecer el ataque se originó en algún país de Europa del Este.

Los especialistas prevén que será difícil identificar al actor de amenazas detrás de este ataque, pues actualmente existen al menos 40 grupos de cibercriminales usando el ransomware Sodinokibi, además de que los métodos de ataque empleados por estas células delictivas son muy similares.

Expertos en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS) menciona que entre las causas principales de los ataques de ransomware se encuentran el uso de contraseñas débiles o preestablecidas, errores de implementación de seguridad y falta de actualización de políticas de manejo de recursos internos.

El cargo Ransomware cierra una empresa fabricante de piezas de auto con más de 100 años de antigüedad; más de 4 mil empleos perdidos apareció primero en Noticias de seguridad informática.

Ver Fuente

Tres vulnerabilidades críticas en Samba; parches ya disponibles

Este ha sido un comienzo de año complejo y atareado para los especialistas en análisis de vulnerabilidades. En esta ocasión, Samba, el protocolo de archivos compartidos de Microsoft acaba de anunciar el lanzamiento de algunas actualizaciones para las fallas de seguridad registradas como CVE-2019-14902, CVE-2019-14097 y CVE-2019-19344.

El primero de estos inconvenientes, CVE-2019-14902, es un error de seguridad de gravedad media que involucra el otorgamiento de un nuevo derecho en el sistema objetivo, además de la eliminación de un derecho previamente otorgado. Si a un usuario se le permite realizar modificaciones en el sistema (como cambio de contraseñas), la eliminación de este derecho no se reflejaría de forma automática en todos los controladores de dominio.

El reporte, elaborado por los especialistas en análisis de vulnerabilidades de Samba, menciona que la actualización corrige por completo este problema, aunque es importante que los administradores verifiquen la completa sincronización entre los controladores de dominio.

La siguiente vulnerabilidad, identificada como CVE-2019-14907, también es un error de severidad media que, de ser explotado, permite un bloqueo después de una conversión de caracteres fallida en el nivel de registro tres (o superiores) que afecta a cualquier versión de Samba posterior a 4.0.

La vulnerabilidad fue detectada en el controlador de dominio de Samba Active Directory y puede provocar que los procesos de larga duración  sean interrumpidos de forma imprevista.

Por último, Samba reveló la existencia de CVE-2019-19344, una vulnerabilidad use-after-free generada durante la eliminación de zonas DNS en el controlador de dominio Samba Active Directory en las versiones 4.9 y posteriores. Durante el lanzamiento de Samba 4.9, se incluyó una función de apagado por defecto que permitía eliminar los registros DNS creados de forma dinámica que habían alcanzado su punto de expiración.

El problema use-after-free podría permitir que se almacene esa memoria de lectura en la base de datos en caso de que se presenten las condiciones adecuadas, mencionan los expertos en análisis de vulnerabilidades.

Las correcciones ya están disponibles en las plataformas oficiales de Samba; el Instituto Internacional de Seguridad Cibernética (IICS) recomienda actualizar los sistemas potencialmente afectados a la brevedad.

El cargo Tres vulnerabilidades críticas en Samba; parches ya disponibles apareció primero en Noticias de seguridad informática.

Ver Fuente

Las Naciones Unidas declaran que WhatsApp es extremadamente inseguro de usar

Para el desarrollo de sus operaciones cotidianas, la Organización de las Naciones Unidas (ONU) emplea múltiples desarrollos tecnológicos con los más altos estándares de seguridad informática, incluso cuenta con un programa de recompensas para reportar vulnerabilidades en las soluciones de software de uso común.

Debido al carácter confidencial de muchos asuntos tratados por la ONU, no cualquier software o tecnología es elegible para la organización. Tal parece ser el caso de WhatsApp, servicio de mensajería considerado por la ONU como muy poco seguro para establecer comunicación entre los líderes mundiales.

Acorde a un reporte mencionado por Farhan Haq, portavoz del secretario general de la ONU, una firma de seguridad informática aconsejó a la organización a evitar el uso de WhatsApp debido a sus bajos estándares de seguridad: “Los altos funcionarios de la ONU han sido instruidos para evitar el uso de WhatsApp, cuyos servicios no cuentan con los mecanismos de seguridad necesarios”, mencionó Haq, después de que un reportero cuestionara el uso de esta plataforma de mensajería entre jefes de estado.

Farhan Haq durante una conferencia de prensa

Al recibir preguntas respecto al hackeo del CEO de Amazon, Jeff Bezos, presuntamente perpetrado por la corona de Arabia Saudita mediante WhatsApp, Haq sólo comentó: “Hemos prestado la suficiente atención a los hechos conocidos; supervisaremos el desarrollo de esta situación”.

Hace algunos meses, un reporte de seguridad informática publicado en The Guardian reveló que el smartphone de Bezos fue comprometido usando un archivo malicioso que el empresario recibió a través de un chat de WhatsApp con Mohammed bin Salam Al Saud, heredero al trono saudí.

Aunque Arabia Saudita ha negado esas acusaciones en repetidas ocasiones, Agnes Callamar y David Kaye, relatores especiales de la ONU, solicitaron una investigación inmediata sobre el presunto hackeo. Los resultados finales aún no son presentados a los altos mandos de la ONU.

A pesar de que Facebook, compañía propietaria de WhatsApp, asegura que el servicio de mensajería es completamente seguro, el Instituto Internacional de Seguridad Cibernética (IICS) ha publicado múltiples reportes sobre métodos de ataque contra este servicio, principalmente explotando WhatsApp Web, la versión para equipos de escritorio. Si bien esta clase de ataques involucran una gran cantidad de factores, su explotación es completamente factible, por lo que descartar esta clase de reportes sería un gran error por parte de la organización.

El cargo Las Naciones Unidas declaran que WhatsApp es extremadamente inseguro de usar apareció primero en Noticias de seguridad informática.

Ver Fuente

Detectan nuevo malware para Mac; miles de usuarios de Apple infectados a diario

Durante 2019, especialistas en seguridad en redes de la firma Kaspersky emitieron reportes sobre miles de infecciones de Shlayer, una nueva familia de troyanos, logrando evitar ataques en uno de cada diez dispositivos Mac. Aunque parecía que la amenaza había sido contenida, recientes reportes aseguran que el malware sigue activo.

En su reporte, Kaspersky menciona que los atacantes emplean un ingenioso método de distribución, desplegando Shlayer mediante redes asociadas, sitios web de entretenimiento e incluso vía Wikipedia, por lo que no sólo los usuarios que navegan por sitios web inseguros están expuestos, sino que este malware también podría llegar a los visitantes de páginas legítimas. 

Aunque macOS es considerado un sistema mucho más seguro que otras opciones ampliamente utilizadas, muchos grupos de actores de amenazas logran desarrollar métodos de ataque contra los usuarios de este sistema y, durante el año pasado, las infecciones de Shlayer fueron una muestra importante de esta tendencia.

Los expertos en seguridad en redes de Kaspersky afirman que Shlayer fue el malware más activo en cualquier sistema de Apple; dedicado a la instalación de adware, Shlayer recopila búsquedas en el navegador para posteriormente alterar los resultados mostrados al usuario objetivo con el fin de mostrar más anuncios invasivos.

Respecto al proceso de infección, Kaspersky detectó que está dividido en dos fases:

• Instalación de Shlayer e instalación de una variante de adware específica
• Descarga del programa malicioso; para esto, el atacante debe forzar a la víctima a realizar la descarga mediante el sistema de distribución del malware

Los actores de amenaza suelen ofrecer Shlayer como una opción para monetizar sitios web como parte de un programa de socios, además de asegurar a los administradores de sitios web que recibirán un pago relativamente alto por cada instalación de este adware.

Acorde a los expertos en seguridad en redes de Kaspersky, el esquema funciona de la siguiente forma:

• La víctima potencial busca contenido en línea (streaming de eventos deportivos, películas en sitios pirata, etc)
• Las páginas asociadas redirigen al usuario a falsas páginas de actualización de Flash Player
• Una vez en la página falsa, la víctima descarga el malware

No obstante, esta no es la única forma de completar la infección. Los atacantes también han logrado colocar enlaces a la página falsa de Adobe Flash en plataformas legítimas como descripciones de videos en YouTube o referencias en artículos de Wikipedia. En total, Kaspersky detectó 700 dominios (legítimos e ilegales) con enlaces al sitio de descarga del malware.

Enlace malicioso en la sección de referencias en Wikipedia
FUENTE: Kaspersky

A pesar de que la mayor parte de la actividad de Shlayer se concentra en Estados Unidos, también se han detectado una cantidad de ataques considerable en Alemania, Francia, Reino Unido y otros países de Europa.

Los especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) consideran que los ataques a usuarios del sistema macOS representan ganancias considerables para los atacantes, especialmente mediante campañas de ingeniería social, fáciles de desplegar incluso mediante plataformas legítimas. Por fortuna no todo son malas noticias, pues los expertos aseguran que los usuarios de este sistema operativo están menos expuestos a incidentes de robo de datos que los usuarios de sus contrapartes, aunque no está de más que los usuarios consideren el uso de otras medidas de seguridad.

El cargo Detectan nuevo malware para Mac; miles de usuarios de Apple infectados a diario apareció primero en Noticias de seguridad informática.

Ver Fuente