Rastreada como CVE-2022-31097 la vulnerabilidad recibió un puntaje de gravedad de 7.3 y aún se puede explotar en servidores locales que no se han actualizado. La debilidad fue causada por la validación incorrecta de la entrada proporcionada por el usuario por la función de alertas unificadas. Un atacante remoto autenticado podría explotar esta vulnerabilidad para inyectar un script malicioso en una página web que se ejecutaría en el navegador web de la víctima dentro del contexto de seguridad del sitio web de alojamiento, una vez que se visualiza la página. Un atacante podría usar esta vulnerabilidad para robar las credenciales de autenticación basadas en cookies de la víctima.
Esta vulnerabilidad afecta a Grafana Alerting (anteriormente denominada Alerta unificada cuando se introdujo en Grafana 8.0). Grafana Alerting está activado por defecto en Grafana 9.0.
Los detalles sobre el problema comenzaron a hacerse públicos en julio cuando Grafana Labs implementó actualizaciones para las versiones afectadas 8.0.0 a 9.0.1.
El 25 de noviembre, un miembro de la comunidad de Grafana informó sobre una vulnerabilidad XSS almacenada en Grafana Alerting . En una investigación más profunda, esta vulnerabilidad es una regresión de CVE-2022-31097. Como este problema se planteó en nuestros repositorios públicos, lo estamos tratando como un día cero y estamos lanzando parches de inmediato al público ”, se lee en el boletín de seguridad de Granfana.
Un atacante puede explotar CVE-2022-31097 para escalar privilegios de editor a administrador al engañar a un administrador autenticado para que haga clic en un enlace.
Dado que la vulnerabilidad informada públicamente se había convertido en un día cero, Grafana Labs publicó la solución:
2022-07-14: CVE-2022-31097 parcheado originalmente para las versiones 9.0.3, 8.5.9, 8.4.10 y 8.3.10
2022-08-02 Vulnerabilidad reintroducida debido a una vulnerabilidad en el proceso de compilación
2022-11-25 11:41 Problema de XSS almacenado planteado en el repositorio público
2022-11-27 13:15 Asunto movido a repositorio privado
2022-11-27 13:20 Incidencia planteada
2022-11-27 13:33 Regresión identificada de vulnerabilidad anterior
2022-11-28 11:13 Grafana alojada verificada no fue explotada
2022-11-28 11:47 PR enviados para corrección con backports a 9.1 y 9.2
2022-11-28 12:29 PR enviados para corrección con backports a 9.3
2022-11-28 17:27 Verificado que no faltan otras correcciones antiguas en los lanzamientos
2022-11-29 23:58 Nuevas versiones de Grafana lanzadas al público
Se recomienda a los usuarios que ejecutan una instalación afectada por las vulnerabilidades antes mencionados que actualicen a la última versión ( 9.3.0 o 9.2.7 ) lo antes posible.
Varias marcas importantes de automóviles han abordado las vulnerabilidades que habrían permitido a los hackers controlar de forma remota las cerraduras, el motor, la bocina, los faros y la cajuela de ciertos automóviles fabricados después de 2012 según un de seguridad.
El ingeniero de seguridad del personal de Yuga Labs Sam Curry publicó dos hilos en Twitter que detallan su investigación sobre las aplicaciones móviles para varias marcas de automóviles que brindan a los clientes la capacidad de arrancar, detener, bloquear y desbloquear sus vehículos de forma remoto.
Curry y varios otros investigadores comenzaron con Hyundai y Genesis y descubrieron que gran parte del proceso de verificación para obtener acceso a un vehículo se basaba en direcciones de correo electrónico registradas. Encontraron una manera de eludir la función de verificación de correo electrónico y obtener el control total.
“La vulnerabilidad ha sido reparada el problema central es una vulnerabilidad de control de acceso que afecta las cuentas de usuario en la aplicación misma. Podría iniciar sesión en la cuenta de cualquier persona si supiera su dirección de correo electrónico y por lo tanto controlar/ubicar su vehículo de forma remota” dijo Curry y señaló que el ataque podría ocurrir “desde cualquier lugar”.
Curry dijo que los investigadores informaron la vulnerabilidad a Hyundai y los ayudaron a resolverlo.
Un portavoz de Hyundai comento que trabajaron con consultores para investigar la supuesta vulnerabilidad “tan pronto como los investigadores hicieron énfasis”.
“Es importante destacar que además de los vehículos Hyundai y las cuentas que pertenecen a los propios investigadores, nuestra investigación indicó que otros no accedieron a los vehículos o cuentas de los clientes como resultado de los problemas planteados por los investigadores”, dijo el portavoz.
“También notamos que para emplear la supuesta vulnerabilidad se requería conocer la dirección de correo electrónico asociada con la cuenta y el vehículo específicos de Hyundai así como el script web específico empleado por los investigadores. Sin embargo Hyundai implementó contramedidas a los pocos días de la notificación para mejorar aún más la seguridad de nuestros sistemas”.
Génesis no respondió a las solicitudes de comentarios.
En comentarios Curry explicó que la maniobra habría permitido a un atacante iniciar, detener, bloquear, desbloquear, tocar la bocina, encender las luces o ubicar de forma remota cualquier vehículo que tuviera habilitada la funcionalidad remota. Esa función se ha habilitado en todos los vehículos fabricados después de 2012.
Vulnerabilidad con Sirius XM
En un segundo hilo de Twitter publicado el martes por la noche, Curry explicó que él y otros investigadores encontraron vulnerabilidades similares en las aplicaciones que afectaban a los vehículos Nissan, Infiniti, Honda y Acura.
Curry dijo que al explotar la aplicación Sirius XM un hacker podría hacer muchas de las mismas cosas de forma remota incluida la administración completa del vehículo todo con solo conocer el número VIN. El uso de ese número les permitió obtener un conjunto de información sobre el propietario del vehículo y el automóvil, y con esa información accedieron a los comandos del vehículo.
“Puede caminar hasta un vehículo en un estacionamiento escanear el VIN con su teléfono luego enviar comandos remotos/recuperar la información del usuario: nombre completo, correo electrónico, teléfono, dirección, etc.”, dijo Curry.
“Para estas empresas con vehículos habilitados de forma remota (Honda, Nissan, Infiniti y Acura) necesita el número VIN del vehículo y podría obtener acceso completo al vehículo (arranque, parada, bloqueo, desbloqueo, luces intermitentes, tocar la bocina y extraer información del cliente) .”
Curry explicó que los investigadores encontraron la vulnerabilidad al investigar qué estaba proporcionando los servicios telemáticos de los fabricantes de automóviles.
“Mientras explorábamos esta vía seguíamos viendo referencias a SiriusXM en el código fuente y la documentación relacionada con la telemática del vehículo. Esto fue muy interesante para nosotros porque no sabíamos que SiriusXM ofrecía ninguna funcionalidad de administración remota de vehículos ¡pero resulta que sí lo hacen!” comento Curry.
En el sitio web de vehículos conectados de SiriusXM, los investigadores encontraron que la compañía es un “proveedor líder de servicios de vehículos conectados para Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru y Toyota”.
Hicieron ingeniería inversa de todas las aplicaciones móviles de los clientes de SiriusXM y después de investigar un poco más se dieron cuenta de que a través de ellas podían acceder a la información del cliente.
Curry dijo que no estaba seguro de qué modelos de automóviles se vieron afectados pero señaló que muchos modernos tienen instalado SiriusXM fuera de línea. Desde entonces Sirius XM ha actualizado la aplicación para solucionar la vulnerabilidad.
Un portavoz de Sirius XM Connected Vehicle Services le dijo a The Record que tiene un programa de recompensas por errores para ayudar a corregir posibles vulnerabilidades de seguridad que afectan sus plataformas.
“Como parte de este trabajo, un investigador de seguridad presentó un informe a los Servicios de vehículos conectados de Sirius XM sobre una vulnerabilidad de autorización que afectaba un programa telemático específico”, dijo el vocero.
“La vulnerabilidad se resolvió dentro de las 24 horas posteriores a la presentación del informe. En ningún momento se comprometió ningún suscriptor u otros datos ni se modificó ninguna cuenta no autorizada utilizando este método”.
Un portavoz de Honda negó que el problema tuviera algo que ver con su empresa y dijo que, según el modelo, estas vulnerabilidades solo permitirían el arranque remoto y el bloqueo remoto de puertas. El portavoz dijo que no permitiría que un hacker conduzca el automóvil o controle las funciones mientras el automóvil está en uso.
Curry no estuvo de acuerdo y señaló que si bien se trata de vulnerabilidades únicas que se pueden corregir desde el punto de vista arquitectónico alguien “tiene la capacidad de identificar vulnerabilidades de control de acceso similares que les permitirían recuperar el mismo nivel de acceso si existiera una similar”.
“Creo que los fabricantes de automóviles deberían preocuparse por vulnerabilidades web/API similares que conducen al acceso a la cuenta y al vehículo… Se ha prestado mucha atención a las vulnerabilidades criptográficas y de hardware que afectan a los vehículos pero hay vulnerabilidades web/API que se pueden explotar para lograr acceso a la cuenta. /acceso de vehículos”, comento Curry.
Los portavoces de las otras compañías automotrices involucradas respondieron a las solicitudes de comentarios, pero dijeron que necesitaban tiempo para revisar los informes.
En julio, Honda dijo que estaba abordando una serie de vulnerabilidades descubiertas recientemente en sus modelos de nuevo diseño después de que los investigadores encontraran errores que afectaban a los sistemas de control remoto de sus vehículos desde 2012.
A principios de este año, Honda se vio obligada a abordarCVE-2022-27254— una vulnerabilidad de reproducción que afecta al Sistema remoto sin llave en Honda Civics realizado entre 2016 y 2020. Ese error permitió a los investigadores escuchar la señal de radiofrecuencia sin cifrar y recrearla, lo que les permitió abrir y arrancar vehículos.
En un esfuerzo por solucionar este problema, Honda y otros fabricantes de automóviles desarrollaron un sistema de código variable en los sistemas de entrada sin llave que mitiga esta vulnerabilidad mediante el uso de un generador de números pseudoaleatorios (PRNG) para crear varios códigos diferentes entre el llavero y el automóvil. Los investigadores de seguridad de Star-V Lab publicaron un informe en julio que muestra cómo se podría explotar el sistema de código varia.
Los investigadores de seguridad de ESET encontraron una nueva vulnerabilidad de alto riesgo en el firmware UEFI de las computadoras Acer. Debido a una vulnerabilidad de seguridad que afecta a numerosos tipos de computadoras portátiles Acer, un hacker puede desactivar la función de arranque seguro lo que les permite eludir las medidas de seguridad e instalar software malicioso. Cuando la función de arranque seguro está deshabilitada un hacker puede cargar su propio gestor de arranque malicioso sin firmar lo que le da control total sobre la operación de carga del sistema operativo.
Esto puede brindarles la capacidad de desactivar o eludir las defensas para que puedan entregar de forma encubierta sus propias cargas útiles con los privilegios del sistema. Esta vulnerabilidad puede permitir modificaciones en la configuración de arranque seguro mediante el establecimiento de variables NVRAM, y el ataque no es particularmente difícil de llevar a cabo. Debido a esto, las reglas de seguridad que ofrece Microsoft y el software de seguridad de terceros no podrán erradicar el malware tenaz; por lo tanto, las vulnerabilidades en el arranque seguro tienen una alta criticidad.
En algunas computadoras portátiles de consumo de Acer el controlador DXE cargado automáticamente conocido como HQSwSmiDxe tiene esta vulnerabilidad a la que se le asignó el identificador CVE-2022-4020 y recibió una puntuación CVSS de 8.1. Al realizar cambios en las variables de NVRAM en ausencia de cualquier intervención del usuario un hacker con privilegios elevados puede cambiar la configuración predeterminada de UEFI Secure Boot. Después de explotar la vulnerabilidad para desactivar el arranque seguro, Acer advirtió en una advertencia de seguridad que un adversario podría tomar el control del sistema operativo y cargar un gestor de arranque que no había sido firmado digitalmente.
Según el fabricante de computadoras, los modelos de dispositivos afectados incluyen Aspire A315-22, A115-21 y A315-22G, así como Extensa EX215-21 y EX215-21G.
Para corregir esta vulnerabilidad Acer está trabajando ahora en una actualización del BIOS, que posteriormente estará disponible en el sitio web de soporte de Acer. Para corregir esta vulnerabilidad Acer sugiere instalar la versión más reciente del BIOS de su sistema. La compañía afirma que esta solución se incluirá como una parte importante de una futura actualización de Windows.
Después de todo no es razonable esperar que los usuarios descarguen voluntariamente controladores y firmware; por lo tanto, la técnica de instalación push silenciosa es la forma más eficiente de garantizar que la actualización se aplique a todos los usuarios lo más rápido posible.
Acer ha dicho que las actualizaciones de firmware y controladores antes mencionadas se marcarán como esenciales y que los modelos afectados obtendrán automáticamente el firmware una vez que se publique el parche momento en el que el usuario puede reiniciar su dispositivo.
Según ESET esta vulnerabilidad es similar a CVE-2022-3431 una que ya existe en el controlador DXE BootOrderDxe de ciertas computadoras portátiles Lenovo. Esta vulnerabilidad al igual que el controlador HQSwSmiDxe DXE, comprueba la existencia de una variable BootOrderSecureBootDisable y desactiva el arranque seguro si la variable está presente.
A principios de noviembre, ESET emitió un aviso de seguridad sobre una vulnerabilidad que afectaba a los productos de Lenovo e instó a los clientes a actualizar rápidamente el BIOS de los dispositivos afectados.
Ahora, el grupo de seguridad cibernética está haciendo sonar la alarma sobre esta vulnerabilidad de Acer, y están aconsejando a los clientes que estén atentos a las soluciones.
La Agencia de Seguridad de Infraestructura y Ciberseguridad ( CISA ) es una agencia del Departamento de Seguridad Nacional de los Estados Unidos. CISA está a cargo de mejorar la seguridad cibernética y la protección de la infraestructura en todos los niveles de gobierno coordinando las iniciativas de seguridad cibernética con los estados de EE. UU. y mejorando las defensas contra los ataques cibernéticos.
Para ayudar a las empresas a mejorar sus capacidades de seguridad CISA ofrece productos y servicios de ciberseguridad gratuitos.
Escaneo de vulnerabilidades
Puede registrarse para este servicio enviando un correo electrónico a vulnerable@cisa.dhs.gov . El escaneo comenzará dentro de 3 días y comenzará a recibir informes dentro de dos semanas. Una vez iniciado este servicio está mayormente automatizado y requiere poca interacción directa.
Herramienta de Evaluación de Ciberseguridad
Esta herramienta proporciona a las organizaciones un enfoque estructurado y repetible para evaluar la postura de seguridad de sus sistemas y redes cibernéticos. Incluye preguntas detalladas y de alto nivel relacionadas con todos los sistemas de TI y control industrial.
Lista de verificación para implementar medidas de ciberseguridad
Este documento describe cuatro objetivos para su organización:
Reducir la probabilidad de un incidente cibernético dañino
Detección de actividad maliciosa rápidamente
Responder con eficacia a los incidentes confirmados
Maximizando la resiliencia.
Catálogo de vulnerabilidades explotadas conocidas (KEV)
Puede buscar el software utilizado por su organización y si lo encuentra actualizarlo a la versión más reciente de acuerdo con las instrucciones del proveedor.
Conjunto de herramientas de análisis de tráfico de red de Malcolm
Malcolm se compone de varias herramientas de código abierto ampliamente utilizadas lo que lo convierte en una alternativa atractiva a las soluciones de seguridad que requieren licencias pagadas.
La herramienta acepta datos de tráfico de red en forma de archivos de captura de paquetes completos (PCAP) y registros Zeek. La visibilidad de las comunicaciones de la red se proporciona a través de dos interfaces: OpenSearch Dashboards un complemento de visualización de datos con docenas de paneles preconstruidos que brindan una descripción general de los protocolos de red de un vistazo; y Arkime una herramienta para encontrar e identificar las sesiones de red que comprenden incidentes de seguridad sospechosos. Todas las comunicaciones con Malcolm tanto desde la interfaz de usuario como desde los reenviadores de registros remotos están protegidas con protocolos de cifrado estándar de la industria.
Malcolm opera como un grupo de contenedores Docker cajas de arena aisladas cada una de las cuales cumple una función dedicada del sistema.
Anteriormente publicamos un artículo que proporcionó detalles de una violación de datos que ocurrió en Twitter y afectó a 5,4 millones de cuentas. Ahora exactamente la misma información ha sido publicada en un foro de hackers que surgió como una alternativa a los conocidos y grandes Raidforums. Habiendo dicho eso, hay más. Debido al hecho de que Twitter ahora está en el centro de otra disputa, parece que el año 2022 no será amable con la plataforma de redes sociales. El 23 de noviembre, un investigador de seguridad cibernética ubicado en Los Ángeles hizo pública la noticia de que Twitter había sido víctima de una importante brecha de seguridad que supuestamente afectó a millones de usuarios tanto en Estados Unidos como en la Unión Europea.
Por otro lado no está claro si esta brecha de seguridad es la misma que ocurrió en julio de este año y también fue reconocida por Twitter, o si esta brecha de seguridad es completamente única. Twitter no ha comentado sobre esta pregunta.
Chad Loder envió una advertencia a los seguidores de su cuenta de Twitter ahora cerrada sobre la violación de datos que alegó que ocurrió “no antes de 2021” y “no se ha revelado anteriormente”. Indicó que había visto los datos robados en la supuesta filtración y había hablado con las posibles víctimas quienes verificaron que los datos de la filtración eran “correctos”. También afirmó que había visto los datos robados en la supuesta violación. El investigador dijo en su página de Mastodon que según su estudio es probable que haya decenas de millones de cuentas afectadas y existe la posibilidad de que haya cientos de millones de cuentas afectadas.
Según Loder no hay forma de que esta haya sido la misma brecha ya que Twitter “mintió” sobre el incidente que ocurrió en julio. Aunado a esto, dijo que el material en cuestión fue presentado de una “manera totalmente diferente” y que tuvo “cuentas impactadas de manera diferente”. Veinticuatro horas después de que Loder tuiteara sobre este tema su cuenta en Twitter fue suspendida con el argumento de que había “violado las reglas de Twitter”.
Es bastante probable que ambas infracciones hicieran uso de la misma vulnerabilidad que fue descubierta y revelada por primera vez en enero. Le permitió a cualquiera ubicar el identificador de Twitter que estaba vinculado con un número de teléfono o una dirección de correo electrónico ingresando el número o la dirección. Esta es una característica que Twitter usa como identidad interna pero puede transformarse fácilmente en una ID de Twitter si así lo desea. Twitter reconoció la existencia de la vulnerabilidad en ese momento e indicó que se había solucionado. Sin embargo, la compañía no identificó a nadie que hiciera uso de la debilidad. Por otro lado, Restore Privacy reveló más tarde que un hacker había aprovechado la debilidad para compilar un conjunto de datos que incluía los identificadores de Twitter, las direcciones de correo electrónico y los números de teléfono de millones de cuentas. Los datos cubren a los usuarios de Twitter en el Reino Unido,
Afectada es cualquier cuenta de Twitter que, dentro de su configuración de “detectabilidad”, haya seleccionado la opción para “permitir que las personas lo localicen por número de teléfono”. Esta opción no es realmente obvia a menos que vaya bastante lejos en la configuración de Twitter donde también está activada de forma predeterminada. Cuando se toman en cuenta los eventos actuales queda bastante claro que más de un actor malicioso obtuvo acceso a estos registros. Según los informes se les proporcionó un conjunto de datos que contenía información bastante comparable pero presentada en un estilo diferente. Es posible que la información se venda a partes hostiles que luego usarían los datos con fines publicitarios o se dirigirían maliciosamente a cuentas específicas como las que pertenecen a celebridades.
Google envió parches de emergencia para su navegador web Chrome el jueves para corregir un agujero de seguridad que según la compañía se está utilizando en la naturaleza.
Google llamó a la vulnerabilidad de alto riesgo un desbordamiento del búfer de acomulación (montón) en la GPU y le dio el número CVE-2022-4135. Se dice que el 22 de noviembre de 2022 Clement Lecigne del Grupo de análisis de amenazas de Google encontró la vulnerabilidad y se lo contó a Google.
Es común que los desbordamientos de búfer puedan utilizarse para ejecutar código arbitrario que a menudo está fuera del alcance de la política de seguridad implícita de un programa. Los desbordamientos basados en montón no solo se pueden usar para acceder a datos confidenciales del usuario, sino que también se pueden usar para reemplazar punteros de función que pueden residir en la memoria, que luego dirige la ejecución al código malicioso del atacante. Incluso en programas que no emplean abiertamente punteros de función, el tiempo de ejecución a menudo dejará un gran número de ellos en la memoria. Una situación de desbordamiento de búfer se conoce como condición de desbordamiento de montón cuando el búfer que se puede sobrescribir se asigna en la sección de memoria de montón. Esto suele indicar que el búfer se creó con la ayuda de una función como malloc(). Debido a la vulnerabilidad un hacker que ya había obtenido el control del proceso de renderizado teóricamente podría escapar de la zona de pruebas mediante el uso de una página HTML especialmente construida.
Google dijo en una alerta: “Google sabe que existe un exploit para CVE-2022-4135 en el campo”, sin proporcionar ningún otro detalle sobre cómo se explotó la vulnerabilidad de seguridad en los ataques o quién pudo haberla convertido en arma.
Google ha proporcionado una actualización de seguridad urgente para parchear esta vulnerabilidad con el fin de garantizar la seguridad del usuario; el número de versión relevante para Mac, Linux y Windows es Google Chrome 107.0.5304.121/.122.
Los usuarios de Google Chrome pueden usar la página Acerca de en la configuración para ver el número de versión actual y buscar actualizaciones automáticamente. El paquete de instalación en línea puede actualizarse automáticamente si el usuario lo instala. El usuario debe descargar manualmente la última versión para actualizar si utiliza el paquete de instalación fuera de línea. Tan pronto como las soluciones estén disponibles, se recomienda a los usuarios de navegadores basados en Chromium, incluidos Microsoft Edge, Brave, Opera y Vivaldi, que las instalen.
Las filtraciones de datos recientes han impulsado reformas rápidas en las reglas de protección de datos y seguridad cibernética de Australia, y el desarrollo más reciente parece ser la formación de un grupo de trabajo cibernético que “contra atacará” y perseguirá agresivamente lo que la Ministra del Interior Clare O’Neil denominó “cabrones.
Debido al hecho de que a millones de ciudadanos australianos se les han robado datos personales confidenciales de una variedad de empresas importantes y que se han formado largas filas para que se vuelva a emitir una identificación personal comprometida el Departamento del Interior ha prometido una nueva política que será ” duros con el crimen” con respecto a incidentes cibernéticos y fugas de datos. La Policía Federal Australiana (AFP) y la Dirección de Señales de Australia trabajarán juntas para formar un grupo de trabajo conjunto de alrededor de cien personas, según el anuncio hecho por la agencia.
El Cyber Task Force planea tomar medidas drásticas contra los ladrones de datos y han prometido tomar medidas contra objetivos internacionales.
La Oficina del Interior ha declarado que el Grupo de Trabajo Cibernético será una operación continua que se concentrará en las bandas criminales y que participará en acciones “día tras día” para identificar y detener a los responsables de las violaciones de datos. Esta declaración se hizo en referencia al hecho de que se establecerá el Cyber Task Force. Cuando se preguntó a los funcionarios si la infame banda de ransomware REvil había estado involucrada en el ataque a Medibank, no nombraron objetivos específicos, pero dijeron que la reciente serie de ataques puede estar vinculada a grupos delictivos organizados en Rusia. Sin embargo los funcionarios no nombraron objetivos específicos.
Los funcionarios confirmaron que habían identificado a las personas que habían hackeado el sistema Medibank; sin embargo dijeron que no revelarían los nombres de los responsables al público en este momento ya que Interpol ahora está en conversaciones con las agencias policiales rusas. Ha habido conjeturas de que es un resurgimiento de REvil o un grupo derivado que podría estar formado por ex miembros de REvil.
El aparente rechazo del gobierno australiano parece haber sido impulsado no solo por la rápida ola de infracciones que han ocurrido desde septiembre, sino también por el carácter excepcionalmente horrible de la extorsión de datos que ocurrió en el caso de Medibank. Se tomó una cantidad significativa de información de salud confidencial junto con los 9,7 millones de datos que fueron robados y los perpetradores han estado filtrando progresivamente el material más confidencial a través de un sitio web oscuro. Los pacientes a los que se les ha diagnosticado una adicción a las drogas o al alcohol, las personas que han tenido abortos y los miembros destacados del público están todos incluidos en esta categoría. Medibank ha dejado en claro que no participará en ninguna negociación o pago de rescate.
¿Cuánta capacidad de “hackeo” tiene realmente un equipo de trabajo cibernético?
La noticia ha provocado que algunas personas especulen sobre el alcance de los planes que el grupo de trabajo cibernético tiene reservado para el futuro. “Hackear” es una idea altamente problemática que habita en un ambiente internacional turbio de estándares de interacción cibernética y regulaciones no declaradas. Es un término que se refiere al acto de tomar represalias contra un ataque en línea.
El concepto ha sido planteado a veces por la empresa privada, pero a menudo se descarta debido al riesgo de desencadenar un problema global al golpear a una entidad del estado-nación o dañar a terceros inocentes en el proceso. A nivel del gobierno el siguiente paso típico es emitir una acusación contra los hackers para luego cooperar con las agencias de aplicación de la ley de otros países para desactivar, apoderarse de los servidores y la infraestructura de los hackers y finalmente localizarlos en última instancia.
Dado que Australia es miembro de la red de inteligencia “Five Eyes”, que está compuesta por estados que normalmente persiguen a los hackers criminales internacionales con el mayor vigor, no está claro qué quiere traer a la mesa el grupo de trabajo cibernético de Australia que aún no se está haciendo. hecho. Es posible que este paso sea poco más que una retórica vacía para convencer a la gente de Australia de que “algo se está haciendo” con respecto a la cantidad de infracciones preocupantes que se han producido recientemente.
A pesar de esto la formación del grupo de trabajo cibernético no es todo lo que Australia ha hecho recientemente para mejorar sus protecciones de privacidad de datos y ciberseguridad. A principios de año se asignó un presupuesto de 9900 millones de dólares australianos para el programa “Redspice” (Resiliencia, Efectos, Defensa, Espacio, Inteligencia, Cibernética, Habilitadores) para cubrir la próxima década. Esta cifra representa una triplicación de la financiación anual actual del programa además de la adición de tres nuevas oficinas y un total de 1.900 nuevos empleados.
Es de conocimiento común que mantener un alto nivel de seguridad cibernética se ha convertido rápidamente en una de las principales prioridades para las empresas de todos los tamaños, y esto es particularmente cierto para las empresas que operan en sectores que manejan información confidencial del consumidor. Es esencial para estas empresas, mientras trabajan con el objetivo de desarrollar planes de seguridad efectivos, tener en cuenta las numerosas vulnerabilidades y vectores de ataque que existen.
La seguridad de las API es un área que necesita mucha investigación. Las interfaces de programación de aplicaciones a veces conocidas como API para abreviar se han convertido en un componente estándar para la construcción de negocios conectados digitalmente. No solo ayudan en las transiciones digitales clave sino que también facilitan la comunicación y los procesos comerciales esenciales. Por lo tanto no debería sorprender que la cantidad promedio de API utilizadas por una organización haya aumentado en el transcurso del último año.
El proceso de desarrollar una estrategia de seguridad para una API es difícil. Las API brindan un conjunto distinto de desafíos de seguridad, muchos de los cuales no pueden abordarse adecuadamente con las medidas de seguridad convencionales, como los firewalls de aplicaciones web o los sistemas de administración de acceso e identidad. Lo primero que hay que hacer para hacerlo correctamente es tener una comprensión de las limitaciones típicas.
LAS 5 VULNERABILIDADES DE API MÁS COMÚNMENTE UTILIZADAS Y CÓMO SOLUCIONARLAS
El Open Web Application Security Project (OWASP) ha compilado una lista de las diez principales amenazas para las interfaces de programación de aplicaciones (API) que se pueden encontrar en su API Security Top 10. A continuación, examinaremos algunas de las más frecuentes en más detalle.
AUTENTICACIÓN DE NIVEL DE OBJETO ROTO (BOLA)
Los atacantes pueden explotar fácilmente los puntos finales de la API en las API que han fallado en la autenticación a nivel de objeto porque pueden manipular la ID de un objeto que se entrega junto con una solicitud de API. Cual es el resultado? Las deficiencias en el sistema de autorización de BOLA pueden dar lugar a la lectura, alteración o eliminación no autorizada de datos, o incluso a la apropiación completa de una cuenta.
BOLA es responsable del cuarenta por ciento de todos los ataques a API en la actualidad. Las medidas de seguridad tradicionales, como los WAF o las puertas de enlace API, no pueden reconocerlos como anormales en el comportamiento estándar de la API, que es una de las razones clave por las que están tan extendidos. En su lugar, las organizaciones necesitan una solución API que pueda identificar instancias en las que un usuario autenticado intenta obtener acceso ilegal a los datos de otro usuario.
AUTENTICACIÓN DE USUARIO INEFICAZ
Un sistema de autenticación de usuario que no funcione correctamente en una API puede deberse a una variedad de problemas diferentes. Esto incluye tener una contraseña insuficientemente difícil o tener una mala higiene de contraseñas, no tener umbrales de bloqueo de cuentas tener períodos prolongados para rotaciones de contraseñas o certificados o depender solo de claves API para la autenticación.
Los ciberdelincuentes pueden adquirir acceso a las aplicaciones mediante ataques relacionados con la autenticación como el relleno de credenciales y los ataques de fuerza bruta cuando una API ha roto la autenticación del usuario. Estos ataques se pueden usar cuando una API ha roto la autenticación del usuario. Una vez que los atacantes han obtenido acceso al sistema, pueden tomar el control de las cuentas de los usuarios, modificar datos o realizar actividades ilegales.
Las medidas de seguridad convencionales a menudo carecen de la capacidad de monitorear el tráfico a lo largo del tiempo, lo que significa que no pueden detectar de manera efectiva ataques de gran volumen, como el relleno de credenciales. Este es uno de los principales inconvenientes de las medidas de seguridad tradicionales. A la luz de esto, una solución para la seguridad de API debería poder reconocer actividades aberrantes en comparación con un procedimiento de autenticación estándar.
EXPOSICIÓN EXCESIVA DE DATOS
La mayoría de las interfaces de programación de aplicaciones (API), en un esfuerzo por maximizar la eficiencia, a menudo se diseñan para proporcionar más datos en las respuestas de la API de lo estrictamente necesario. Este es uno de los problemas más frecuentes con las API. Luego pasan la responsabilidad de filtrar la información y mostrarla al usuario en la aplicación del cliente. El hecho de que los atacantes puedan utilizar los datos duplicados para obtener información confidencial de la API es un problema causado por esta situación.
Aunque algunas soluciones de seguridad convencionales pueden reconocer este tipo de vulnerabilidad, no siempre pueden diferenciar entre los datos confidenciales que la API no debería proporcionar y los datos legales que la API ha devuelto. Esto indica que un usuario debe poder ser identificado por una solución de seguridad API cuando accede a una cantidad excesiva de datos confidenciales.
INSUFICIENCIA DE RECURSOS E IMPOSICIÓN DE LÍMITES TARIFARIOS
No suele ser el caso pero en ocasiones las interfaces de programación de aplicaciones (API) pueden no poner límites a la cantidad de recursos que un usuario o cliente puede solicitar. Debido a esto, son susceptibles a interrupciones del servidor que pueden resultar en denegación de servicio así como ataques de enumeración y de fuerza bruta dirigidos a las API que son responsables de la autenticación y la recuperación de datos. Además, los atacantes pueden generar ataques automatizados contra las API que no tienen restricciones. Estos ataques pueden incluir el descifrado de credenciales y el descifrado de tokens.
Los sistemas tradicionales a menudo proporcionarán al menos algunas capacidades fundamentales de limitación de velocidad; sin embargo, no siempre es sencillo instalar esta característica a escala. Debido a esto estas tecnologías de seguridad a menudo carecen del contexto necesario para detectar un ataque mientras está en curso. Una solución de seguridad de vanguardia para las API debería poder detectar cualquier comportamiento que se desvíe de los parámetros de uso típicos e informarlo.
VULNERABILIDADES EN LA CONFIGURACIÓN DE SEGURIDAD
Una variedad de configuraciones incorrectas de seguridad tienen el potencial de introducir inadvertidamente vulnerabilidades en las interfaces de programación de aplicaciones (API). La configuración incompleta los encabezados HTTP configurados incorrectamente, los mensajes de error detallados, el almacenamiento en la nube abierto y otros problemas similares son ejemplos de este tipo de vulnerabilidades. Los atacantes pueden utilizarlos para obtener más información sobre los componentes de la API y luego utilizar sus conocimientos recién adquiridos para aprovechar las configuraciones incorrectas como parte de su ataque.
Este artículo explora cómo proteger los clústeres de producción de Kubernetes con la ayuda de herramientas de código abierto. Como requisito previo, deberá tener conocimientos básicos de nivel principiante de Docker y Kubernetes.
En pocas palabras, Kubernetes es una herramienta de orquestación de contenedores y Docker es una plataforma de contenedores. Algunos de los clústeres de Kubernetes más famosos administrados por proveedores de la nube incluyen AWS EKS, Azure AKS y Google CKE.
En las siguientes secciones, analizaremos varias herramientas de código abierto que son útiles para proteger los clústeres de Kubernetes incluidos fragmentos de código que ayudarán con el escaneo estático de imágenes de Docker, la auditoría de seguridad, el fortalecimiento de los clústeres de Kubernetes y la implementación de la seguridad en tiempo de ejecución.
Escaneo estático de imágenes Docker
Dockerfile es un archivo de texto sin formato que contiene un conjunto de instrucciones que proporciona las especificaciones para crear una imagen de Docker. Además, los contenedores son las instancias en ejecución de las imágenes de Docker y Kubernetes admite el tiempo de ejecución de Docker.
Se recomienda encarecidamente escanear las imágenes de Docker en busca de vulnerabilidades de seguridad antes de enviarlas a un entorno de tiempo de ejecución de Kubernetes. Esto lo ayudará a evitar ataques a la cadena de suministro y mejorará la seguridad al desplazarse hacia la izquierda.
docker scan
Docker Engine ahora ha integrado las capacidades de escaneo de Synk para identificar vulnerabilidades en las imágenes. El resultado del análisis es la lista de CVE y recomendaciones.
A continuación se encuentran las herramientas de código abierto que se pueden usar para realizar escaneos de seguridad que se pueden integrar en su canalización de CI/CD para escanear las imágenes mientras construye sus aplicaciones:
Trivy , una herramienta de escaneo que proporciona detección de vulnerabilidades para sistemas operativos
Clair , una herramienta de análisis de vulnerabilidades estáticas para contenedores
Kube-bench , una herramienta que determina si Kubernetes se implementa de manera óptima
kubeaudit , una herramienta que audita las implementaciones de Kubernetes contra los controles de seguridad comunes
Kubescape , una herramienta que verifica si Kubernetes se implementa de acuerdo con los principales marcos de cumplimiento
kube-hunter , una herramienta de prueba de penetración que descubre y explota vulnerabilidades
Sysdig Falco , una solución de seguridad en tiempo de ejecución para la detección de riesgos y amenazas en los clústeres de Kubernetes
1. Detección de vulnerabilidades con Trivy
Trivy es una herramienta de escaneo de código abierto que es una excelente opción para los equipos que buscan implementar pruebas de seguridad de aplicaciones estáticas y escaneos rápidos. Proporciona detección integral de vulnerabilidades para sistemas operativos, infraestructura como archivos de código y paquetes de idioma y también se utiliza para detectar problemas de configuración. Trivy también actualiza automáticamente su base de datos de vulnerabilidades
Después de realizar un análisis Trivy, obtendrá una lista de vulnerabilidades, su gravedad y un número CVE, si existe.
Instalación
Este script descargará e instalará Trivy según su sistema operativo.
curl -sfL https://raw.githubusercontent.com/aquasecurity/trivy/main/contrib/install.sh | sh -s -- -b /usr/local/bin v0.21.1
El comando anterior analiza las imágenes de Apache Airflow en busca de vulnerabilidades de gravedad CRÍTICA Y ALTA. Una vez completado, el informe de escaneo se ve así:
Para obtener más información sobre el uso de una política OPA con Trivy para manejar las vulnerabilidades de los contenedores, consulte esto .
2. Análisis estático de vulnerabilidad con Clair
Clair es una herramienta de análisis estático de vulnerabilidades de código abierto para contenedores. La herramienta tiene múltiples modos de implementación y es más adecuada para alta escalabilidad y disponibilidad. Clair es compatible con las API REST y proporciona informes de escaneo HTML. Amazon Elastic Container Registry (Amazon ECR) utiliza la base de datos CVE del proyecto Clair y proporciona una lista de hallazgos.
Instalación y escaneo
En este ejemplo, usamos la arminc/clair-dbimagen de Docker que está precargada con datos CVE. clair-scannerse conectará con el terminal de Clair a través de la red local.
docker run -d --name db arminc/clair-db:latest
docker run -d --link db:postgres --name clair arminc/clair-local-scan:v2.0.6
docker run --rm -v /var/run/docker.sock:/var/run/docker.sock --network=container:clair ovotech/clair-scanner clair-scanner --threshold='Critical' apache/airflow:2.0.2
Una vez que se completa un escaneo de Clair, verá algo como esto:
También puede obtener los informes de salida en formato JSON si lo prefiere.
En la mayoría de las situaciones, la mejor solución para resolver las vulnerabilidades informadas por Clair es actualizar el sistema operativo subyacente con el administrador de paquetes incorporado o actualizar a la última versión de sus imágenes de Docker. Si el volumen de paquetes vulnerables es demasiado para administrar, considere usar una imagen base sin distribución .
Protección y auditoría de su implementación de Kubernetes
Para mejorar la postura de seguridad de Kubernetes, debe auditar regularmente su implementación y realizar escaneos de seguridad en la configuración según los puntos de referencia de seguridad. Esta sección se trata de auditar y asegurar sus clústeres de Kubernetes utilizando varias herramientas de código abierto.
3. Evaluación comparativa de CIS con Kube-bench
Kube-bench es una herramienta de código abierto que verifica si Kubernetes se implementa de manera óptima de acuerdo con CIS Kubernetes Benchmark , que contiene un conjunto de mejores prácticas de seguridad de Kubernetes. Como tal, kube-bench es mejor cuando se requiere escanear solo con fines de evaluación comparativa de CIS.
Puede ejecutar kube-bench dentro de un pod. El repositorio de GitHub contiene job-<cloud_provider>.yamlarchivos específicos de la nube y kube-bench determinará automáticamente qué conjunto de pruebas se ejecutará en función de la versión de Kubernetes que se ejecute en la máquina.
Correr kube-banco
git clone https://github.com/aquasecurity/kube-bench.git
cd kube-bench
kubectl apply -f job.yaml
Para mitigar cualquier problema con los informes de kube-bench, consulte la documentación oficial de evaluación comparativa de Kubernetes CIS , que contiene detalles e instrucciones de corrección para cada hallazgo.
4. Auditoría de Kubernetes con kubeaudit
Creado por Shopify, kubeaudit es una herramienta de código abierto que audita las implementaciones de Kubernetes contra controles de seguridad comunes como:
ejecutar como no root
usar un sistema de archivos raíz de solo lectura
elimine las capacidades aterradoras, no agregue otras nuevas
no corras privilegiado
Instalación y ejecución
go get -v github.com/Shopify/kubeaudit
Kubeaudit puede ejecutarse en tres modos diferentes: manifiesto, clúster y local. También puede corregir automáticamente el manifiesto, lo que lo diferencia de otros competidores.
Ejecución en modo de manifiesto : en este modo, debe proporcionar el archivo de manifiesto del recurso de Kubernetes relevante.
kubeaudit all -f "/path/to/manifest.yml"
kubeaudit autofix -f "/path/to/manifest.yml"
Una vez hecho esto, verás algo como esto:
Ejecución en modo de clúster : si kubeaudit se ejecuta dentro de un contenedor en un clúster, auditará automáticamente todos los recursos en ese clúster.
kubeaudit all
Ejecución en modo local : cuando kubeaudit se ejecuta en una máquina local, intentará conectarse al clúster de Kubernetes obteniendo detalles del archivo $HOME/.kube/config de forma predeterminada. Además, también puede proporcionar una ruta para la configuración de Kube:
kubeaudit all -f "/path/to/config"
Además, kubeaudit tiene múltiples perfiles de auditoría, incluidos apparmor, capacidades, límites, privilegiados, rootfs, seccomp, netpols y asat.
5. Pruebas de seguridad con Kubescape
Kubescape es una herramienta de código abierto que verifica si Kubernetes se implementa de acuerdo con casi todos los principales marcos de cumplimiento, incluidos NSA-CISA y MITRE ATT&CK®, así como las mejores prácticas de DevSecOps . Kubescape también se puede integrar con herramientas de CI.
Después de ejecutar Kubescape, debería ver algo como esto:
6. Pruebas de penetración con kube-hunter
Escrito en Python, kube-hunter es una herramienta de prueba de penetración de código abierto que le permite escribir módulos personalizados que se pueden ejecutar desde máquinas locales, dentro del clúster y de forma remota tanto en modo activo como pasivo.
En modo activo, kube-hunter descubrirá y explotará aún más cualquier vulnerabilidad.
Además, también puede ejecutar kube-hunter en un entorno de prueba como un módulo malicioso que puede actuar como una simulación de ataque real.
Las tres herramientas anteriores (kubeaudit, Kubescape y kube-hunter) proporcionan cada una un informe detallado sobre configuraciones incorrectas, vulnerabilidades, comprobaciones faltantes, prácticas inseguras y más. Se recomienda encarecidamente seguir algunas pautas de refuerzo de seguridad de Kubernetes para mejorar su postura de seguridad con el tiempo y validarla con estas herramientas. Para obtener más información, consulte la guía de endurecimiento de Kubernetes publicada recientemente por la NSA y la CISA .
7. Seguridad en tiempo de ejecución con Sysdig Falco
Sysdig Falco es una solución de seguridad en tiempo de ejecución de código abierto que se utiliza para la detección continua de riesgos y amenazas en los clústeres de Kubernetes. La herramienta actúa como una cámara de seguridad que detecta continuamente comportamientos inesperados, cambios de configuración, intrusiones y robo de datos en tiempo real. Actualmente, Sysdig Falco es la única solución de código abierto aprobada por CNCF para la seguridad en tiempo de ejecución de Kubernetes.
Falco, que le permite escribir complementos personalizados y tiene todas las características principales que se encuentran en sus competidores comerciales (por ejemplo, Aquasec y Twistlock), consume el flujo sin procesar de información de llamadas al sistema utilizando unidades como un módulo kernel o una sonda eBPF. Falco puede ejecutarse como un demonio en los nodos de Kubernetes, donde puede monitorear y transmitir alertas de seguridad en tiempo real en formato JSON a través de stdout, enlaces HTTP y syslog.
Instalación con HELM
Puede instalar el daemonset Sysdig Falco con parámetros personalizados utilizando un gráfico de Helm :
Falco proporciona más de 80 reglas de seguridad predeterminadas para la seguridad del tiempo de ejecución, las auditorías del plano de control de Kubernetes y la seguridad de las aplicaciones. Puede personalizar las reglas basadas en YAML proporcionadas de acuerdo con sus propios requisitos. Aquí hay una tabla que explica algunas de las reglas más comunes:
Nombre de la regla
Etiquetas
Detección de CryptoJacking
Inglete
Leer archivo confidencial no confiable
Monitoreo de integridad de archivos
Lanzamiento de Contenedores Privilegiados
CEI
Herramienta de red sospechosa en contenedor
Red, Inglete
Inicie las herramientas de copia de archivos remotos en el contenedor
exfiltración
Conclusión
Como puede ver, existe un ecosistema muy rico de herramientas de código abierto que puede usar para mejorar la seguridad de Kubernetes. Hay varias herramientas disponibles en GitHub que le permiten realizar escaneos automatizados, integraciones de CI, seguridad en tiempo de ejecución, pruebas de penetración y controles de auditoría. Utilice este artículo como guía de referencia a medida que implementa su programa de seguridad de Kubernetes y mantiene sus aplicaciones, redes y datos seguros.
Recientemente, Redhat emitió un aviso de riesgo para la vulnerabilidad de escalada de privilegios locales del kernel de Linux, la vulnerabilidad rastreada como CVE-2022-3910 (puntaje CVSS: 7.4). Esta vulnerabilidad es un error de uso después de liberar una actualización del recuento de referencias en io_uring.
io_uring es una interfaz de llamada al sistema para Linux. Se introdujo por primera vez en la versión 5.1 del kernel de Linux ascendente en 2019. Permite que una aplicación inicie llamadas al sistema que se pueden realizar de forma asíncrona.
En el kernel de Linux, una actualización incorrecta del recuento de referencias en io_uring conduce a una escalada de privilegios locales y Use-After-Free. Cuando se invocaba io_msg_ring con un archivo fijo, llamaba a io_fput_file(), lo que disminuía incorrectamente su número de referencias. Los archivos fijos se registran permanentemente en el anillo y no deben colocarse por separado.
“Cuando se invocó io_msg_ring con un archivo fijo, llamó a io_fput_file(), lo que redujo incorrectamente su recuento de referencias (lo que llevó a una escalada de privilegios locales y Use-After-Free)”
La vulnerabilidad CVE-2022-3910 se solucionó en el kernel de Linux a través de solucion . En la actualidad, los mantenedores del kernel de Linux han emitido oficialmente parches de seguridad. Se recomienda que los usuarios actualicen los servidores Linux de inmediato y apliquen los parches para otras distribuciones tan pronto como estén disponibles. También se recomiendan para permitir que solo los usuarios de confianza accedan a los sistemas locales y siempre supervisen los sistemas afectados.
Las siguientes técnicas han sido hechas públicas por un investigador que desea permanecer en el anonimato. Se pueden usar para eludir ciertos filtros del dispositivo Secure Email Gateway de Cisco y propagar malware mediante correos electrónicos cuidadosamente escritos.
El investigador reconoció haberse comunicado con el proveedor pero dijo que no pudieron obtener una respuesta adecuada de manera oportuna. No debería haber demoras adicionales en hacer públicos los hilos porque la complejidad del ataque es mínima y un tercero ya ha revelado los exploits, afirmó el investigador.
Las técnicas de derivación confían en la “tolerancia a errores y varias capacidades de decodificación MIME de los clientes de correo electrónico”. El investigador afirma que un atacante puede eludir las empresas protegidas por Cisco Secure Email Gateway mediante el uso de una de las tres técnicas que afectan a los clientes de correo electrónico, incluidos Outlook, Thunderbird, Mutt, Vivaldi y otros.
PRIMERA TECNICA: BASE 64 CAMUFLADA
Guía paso a paso:
Utilice un cliente de correo electrónico convencional o una codificación MIME estándar, como la codificación de transferencia de contenido base64, para crear un correo electrónico con el archivo adjunto malicioso.
Para hacer que las líneas en el bloque codificado en base64 tengan longitudes variables mientras se mantienen juntas grupos de cuatro letras base64 (que codifican tres bytes), inserte aleatoriamente saltos de línea CR+LF. Esto está destinado a evitar violaciones del estándar MIME y evitar algoritmos simples que puedan identificar base64 incluso cuando no está en contexto.
Coloque el encabezado contradictorio “Codificación de transferencia de contenido: imprimible entre comillas” antes del encabezado de codificación de transferencia de contenido del archivo adjunto. El estándar MIME se ha roto aquí.
Si el mensaje tiene encabezados de longitud de contenido, elimínelos.
Incluso si el archivo adjunto contiene malware fácilmente reconocible, como el virus de prueba Eicar, los correos electrónicos enviados de esta manera pasarán a través de las puertas de enlace afectadas y se considerará que están libres de malware. Por otro lado, muchas aplicaciones de correo electrónico conocidas mostrarán el archivo adjunto y lo reproducirán con precisión después de guardarlo.
Sistemas afectados
Se utilizó un archivo zip que contenía el virus de prueba Eicar y Cisco Secure Email Gateways que ejecutan AsyncOS 14.2.0-620, 14.0.0-698 y otras versiones para probar este ataque con éxito. Microsoft Outlook para Microsoft 365 MSO (versión 2210 compilación 16.0.15726.20070), Mozilla Thunderbird 91.11.0 (64 bits), Vivaldi 5.5.2805.42, Mutt 2.1.4-1ubuntu1.1 y otros clientes de correo electrónico se encuentran entre los que se vieron afectados .
2. SEGUNDA TECNICA: CODIFICACIÓN YENC
Los clientes de Usenet utilizan con frecuencia la codificación conocida como yEncode, o simplemente yEnc. Algunos clientes de correo electrónico también pueden decodificar componentes MIME que utilizan esta codificación. Si una víctima usa un determinado cliente de correo electrónico, un atacante remoto que use esta codificación para un archivo adjunto de correo electrónico malicioso puede tener éxito en entregar la carga útil a la víctima mientras evita la detección por parte de las puertas de enlace afectadas.
Otros clientes de correo electrónico mantendrán el archivo adjunto en un estado sin descifrar, haciéndolo inofensivo.
Sistemas afectados :
Se utilizó un archivo zip que contenía el virus de prueba Eicar y Cisco Secure Email Gateways que ejecutan AsyncOS 14.2.0-620, 14.0.0-698 y otras versiones para probar este ataque con éxito. El cliente de correo electrónico Mozilla Thunderbird 91.11.0 se vio afectado (64 bits).
TERCERA TECNICA: CLOAKEDQUOTES-PRINTABLE
Los roles de quoted-printable y base64 se han invertido en esta técnica, que es comparable al método 1. La carga útil debe codificarse quoted-printable, pero cada byte debe codificarse en lugar de solo los bytes no imprimibles, y cada línea debe codificarse. incluir una continuación. Los encabezados en conflicto ahora se presentan en el orden imprimible citado en base64.
Sistemas afectados:
Se utilizó un archivo zip que contenía el virus de prueba Eicar y Cisco Secure Email Gateways que ejecutan AsyncOS 14.2.0-620, 14.0.0-698 y otras versiones para probar este ataque con éxito. Vivaldi 5.5.2805.42 (64 bits) y Mutt 2.1.4-1ubuntu1.1 fueron los clientes de correo electrónico afectados.
El investigador que reveló las técnicas de desvío mencionó un conjunto de herramientas de código abierto hecho para crear correos electrónicos de prueba para soluciones de seguridad para ver qué tan bien se defienden contra tales ataques. El investigador dijo que si bien la solución de Cisco aborda las técnicas utilizadas por la herramienta de código abierto, no las bloquea por completo.
Tres vulnerabilidades de seguridad recientemente descubiertas en Zoom pueden permitir que el atacante ejecute código arbitrario y aumente sus privilegios a usuarios root o SYSTEM, según los últimos hallazgos.
Las vulnerabilidades rastreadas como CVE-2022-28768 y CVE-2022-36924, ambas clasificadas como de alta gravedad, se han descrito como problemas de escalada de privilegios locales que, en última instancia, podrían llevar a tomar el control del sistema afectado. Uno afecta al instalador de Zoom Rooms para Windows anterior a 5.12.6, y uno de ellos afecta al instalador de Zoom Client for Meetings para macOS (estándar y para administración de TI) anterior a la versión 5.12.6. Las versiones más nuevas de la aplicación de videoconferencia corrigen las vulnerabilidades.
CVE-2022-36924 (puntaje CVSS de 8.8) existe en el proceso de instalación de que un usuario local con pocos privilegios podría explotar esta vulnerabilidad durante el proceso de instalación para escalar sus privilegios al usuario del SISTEMA. Se le atribuye al investigador sim0nsecurity el descubrimiento e informe de esta vulnerabilidad.
CVE-2022-28766 (puntuación CVSS de 8.1) se describe como una vulnerabilidad de inyección de DLL y afecta a las versiones de Windows de 32 bits de Zoom Client for Meetings anteriores a la 5.12.6 y Zoom Rooms para Conference Room anteriores a la versión 5.12.6. Un usuario local con pocos privilegios podría explotar esta vulnerabilidad para ejecutar código arbitrario en el contexto del cliente de Zoom.
Se recomienda a los usuarios de la aplicación que actualicen a la última versión (5.12.6) para mitigar cualquier amenaza potencial que surja de la explotación activa de las vulnerabilidades.
El Buen Fin ofrece oportunidades para acumular ofertas de descuento, y los ciberdelincuentes saben que los compradores en línea pueden bajar la guardia con las prisas.
Nos dirigimos al período de mayor actividad para las compras en línea del año ya que la gente busca regalos y ofertas antes de la temporada festiva.
Y ahora, lo que ya era un momento ajetreado para ir de compras, está sobrecargado con el Buen Fin y el Cyber Monday, los días que marcan el final del fin de semana de Acción de Gracias, donde los minoristas ofrecen grandes descuentos y ventas. El Buen Fin comenzó como un fenómeno en los EE. UU., pero ahora se ha extendido a los minoristas de todo el mundo.
Pero si bien el Buen Fin puede ofrecer a los compradores la oportunidad de comprar cosas con grandes descuentos, la popularidad del evento y la prisa por conseguir gangas significa que el Buen Fin es un objetivo importante para los ciberdelincuentes, estafadores y estafadores.
Los ciberdelincuentes son oportunistas y siempre aprovecharán los eventos importantes para realizar campañas, y uno en el que los consumidores buscan activamente entregar información de tarjetas de crédito y otra información personal a minoristas en línea lo convierte en la oportunidad perfecta para atacar.
Según el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, las víctimas de estafas de compras en línea perdieron un promedio de £ 1,000 ($ 1,176) cada una durante el período de compras navideñas el año pasado, y la cifra está aumentando.
Algunas de estas estafas involucran a estafadores que simplemente roban dinero. Otros ven a los estafadores enviar a los compradores productos de imitación inferiores. También existe el riesgo de que los sitios de phishing roben nombres de usuario y contraseñas, o incluso la posibilidad de que los atacantes infecten su sistema con malware.
Frente a todas estas amenazas externas, aquí le mostramos cómo mantenerse a salvo y aumentar su seguridad cibernética mientras busca ofertas del Buen Fin.
Tenga cuidado con los correos electrónicos inesperados que afirman ofrecer ofertas del Buen Fin
Muchos de los que buscamos ofertas de Buen Fin tenemos algo específico en mente, como una nueva computadora portátil o una consola de juegos. También es probable que muchos de nosotros visitemos minoristas conocidos y confiables, incluidos Amazon, Walmart o BestBuy, para buscar ofertas.
Pero para despertar el interés en el Buen Fin, muchos minoristas en línea también enviarán correos electrónicos promocionales ofreciendo a las personas la oportunidad de hacer clic para obtener ofertas. Los ciberdelincuentes lo saben y envían versiones falsas de estos correos electrónicos.
“La gente está mirando sus bandejas de entrada en busca de ofertas, enlaces en los que puedan hacer clic para obtener descuentos, por lo que crea un entorno muy propicio para los delincuentes que intentan hacer ingeniería social a las personas”, dice Mike McLellan, director de inteligencia de Secureworks Counter. Unidad de amenazas.
Esos correos electrónicos podrían dirigir a las víctimas hacia sitios que envían productos falsos, o que no envían nada en absoluto, y los estafadores simplemente toman el dinero y se van.
También existe el riesgo de que, si el sitio web falso se basa en un minorista popular, los atacantes usen una página de phishing para pedirles a las víctimas que inicien sesión en su cuenta, robando su nombre de usuario, contraseña y cualquier otra información confidencial asociada con la cuenta.
Si recibe un correo electrónico que ofrece ofertas de Buen Fin, especialmente si dice ser un minorista del que no recuerda haberse registrado en su lista de correo, tenga cuidado. Visite el minorista directamente en lugar de hacer clic en el enlace para evitar el peligro potencial de visitar un sitio falso o malicioso.
Si no ha oído hablar del minorista antes, tenga cuidado e investigue.
La industria de las compras en línea es un sector enorme, y aunque hay un gran número de grandes minoristas conocidos que ofrecen oportunidades para compras en línea, también hay muchas tiendas independientes y vendedores individuales que también tienen la oportunidad de vender sus productos a un audiencia significativa en el período previo a las vacaciones.
Muchos de estos minoristas más pequeños serán totalmente legítimos y ofrecerán a los clientes la oportunidad de comprar artículos, tal vez incluso a un precio mejor que el que ofrecen los principales minoristas. Sin embargo, los estafadores saben que las personas buscan gangas y buscan dirigir a las víctimas potenciales a los escaparates de los minoristas en línea que tal vez ni siquiera tengan productos.
Los compradores podrían ser dirigidos a estas tiendas falsas mediante enlaces de phishing, estafadores que hacen que los sitios suban en los rankings de los motores de búsqueda o enlaces en redes sociales secuestradas. Si no ha oído hablar de un minorista antes, asegúrese de investigarlo para asegurarse de que se trate de un sitio web real y de confianza, especialmente mirando las reseñas que se hayan dejado, lo que podría indicar problemas.
Y si está haciendo una compra costosa, como un teléfono inteligente o una tableta, podría ser prudente ceñirse a un minorista que conozca y en quien confíe.
“Insto a los compradores a que sean cautelosos con respecto a dónde y a quién están comprando. Nuestras cifras muestran que la mayoría de las estafas del año pasado involucraron teléfonos móviles y productos electrónicos, así que siempre compre con minoristas oficiales y no se deje tentar por ofertas que parecen demasiado buenas para ser cierto”, dice Pauline Smith, directora de Action Fraud.
Paga de forma segura
En la prisa por obtener una ganga, es posible que no mire hacia arriba en la barra de direcciones web, pero si lo hace, es posible que solo proteja sus datos para que no sean robados.
Si puede ver un pequeño símbolo de candado a la izquierda de la URL, eso significa que el sitio está protegido por HTTPS, lo que significa que su conexión es segura y cualquier información privada enviada al sitio, como contraseñas o datos bancarios, es privada y se mantiene. seguro. Eso generalmente indica que el sitio web es seguro y seguro de usar, aunque a veces los ciberdelincuentes pueden asegurar un candado HTTPS en un intento de engañar a los usuarios.
Al realizar pagos en línea, una recomendación del NCSC es que, si es posible, los compradores en línea deben usar una tarjeta de crédito en lugar de una tarjeta de débito, porque el uso de una tarjeta de crédito conlleva mayores protecciones, y muchos proveedores de tarjetas de crédito están obligados a reembolsar dinero si usted Eres víctima de fraude.
Usar una tarjeta de crédito que sea independiente de su cuenta bancaria principal también puede ser útil, porque en caso de robo de los datos de su tarjeta de crédito, su cuenta bancaria principal no se verá afectada directamente.
El uso de plataformas como PayPal, Google o Apple Pay también puede ayudar a mantener sus datos bancarios a salvo de robos.
Tenga cuidado con los mensajes de ‘entrega perdida’
No es solo la etapa de compra en la que los ciberdelincuentes intentan atraer a las víctimas para que sean víctimas de estafas; El aumento de la demanda de compras en línea significa que los compradores confían más que nunca en las empresas de entrega, y los atacantes cibernéticos lo saben.
Es por eso que los estafadores envían una gran cantidad de mensajes que afirman ser de empresas de entrega como DHL, UPS, Royal Mail, Evri y muchas más.
Estos mensajes llegan como correos electrónicos o mensajes SMS y afirman que estuvo fuera y se perdió una entrega o que hubo un problema con los costos de envío que requiere que pague una tarifa.
Los atacantes no tendrán ni idea de si la víctima, a quien se le envía el mensaje como parte de una campaña de phishing masivo, ha comprado algo entregado por esa empresa o no. Pero la gran cantidad de entregas que se realizan alrededor del Buen Fin y la temporada de compras navideñas significa que las personas esperarán paquetes, y se les puede engañar para que sigan los enlaces.
Lo que encuentran son sitios web que podrían verse casi idénticos a las empresas de entrega reales y es probable que pidan a las personas que ingresen contraseñas o datos bancarios, que luego son robados y utilizados para cometer más delitos cibernéticos.
Por lo tanto, para estar seguro, es mejor evitar hacer clic en los enlaces de ‘entrega perdida’, particularmente en mensajes de texto de números desconocidos.
“Cuando se trata de mensajes de texto provenientes de personas que no conoces o un correo electrónico, simplemente lo ignoraría. No hagas clic en los mensajes de texto o mensajes de WhatsApp que ingresan”, dice Rachel Jones, directora ejecutiva de SnapDragon Monitoring un proveedor de protección de marca en línea.
También vale la pena recordar que muchas empresas de entrega no le pedirán un pago adicional, especialmente a través de mensajes de texto. Y si ha realizado un pedido, es probable que haya recibido un enlace de seguimiento oficial y legítimo cuando lo hizo, por lo que si está esperando una entrega, puede verificar el estado del pedido utilizando ese enlace.
Proteja sus cuentas con una contraseña segura y autenticación multifactor
En muchas estafas del Buen Fin, los ciberdelincuentes apuntan directamente a las billeteras de las personas, pero es importante recordar que no solo se puede ganar dinero robando datos bancarios: los delincuentes también pueden beneficiarse robando nombres de usuario y contraseñas de cuentas.
Los ciberdelincuentes envían una gran cantidad de correos electrónicos de phishing que afirman ser de minoristas y proveedores de servicios, incluidos Apple, Amazon, Microsoft y Google, y el objetivo de estos ataques es obtener inicios de sesión.
A veces, estos correos electrónicos afirman que hay un problema con su cuenta, mientras que otras veces afirman que se ha realizado una compra o indican que se le debe un premio o un reembolso. No importa qué señuelo usen, el objetivo de los atacantes es engañarlo para que ingrese su nombre de usuario y contraseña en un sitio de phishing, que luego podrán usar para acceder a su cuenta.
Luego, hay ocasiones en las que es posible que los atacantes ni siquiera necesiten un correo electrónico de phishing: simplemente pueden usar un ataque de fuerza bruta para violar su cuenta si está protegida por una contraseña común o débil.
Los atacantes podrían vender esta información en foros clandestinos, o podrían usarla para robar sus datos ellos mismos y cometer fraude en su nombre.
Por eso es importante proteger todas sus cuentas, incluido el correo electrónico, las tiendas minoristas en línea, la banca en línea e incluso las redes sociales, con una contraseña única y segura y autenticación multifactor (MFA).
Una contraseña segura puede ayudar a evitar que los hackers descifren su cuenta, mientras que el uso de MFA significa que hay una barrera adicional contra los ataques, y una que puede alertarlo sobre actividades potencialmente sospechosas, especialmente cuando realiza muchas compras en línea.
“Lamentablemente, sabemos que los delincuentes buscarán explotar a los consumidores en esta época del año, razón por la cual la buena seguridad cibernética tiene un papel tan importante que desempeñar”, dice Lindy Cameron, directora ejecutiva de NCSC.
Y en caso de descubrir que se ha robado una contraseña, debe cambiarse de inmediato.
Y recuerda… si suena demasiado bueno para ser verdad, probablemente lo sea
En la búsqueda de ofertas del Buen Fin, podría ser fácil dejarse engañar por grandes descuentos, especialmente para artículos que tienen una gran demanda.
Por lo tanto, vale la pena recordar cuando compre ofertas del Buen Fin, o compre en cualquier otra época del año, que debe ser considerado y tener en cuenta que, si una oferta parece demasiado buena para ser verdad, existe una gran posibilidad de que probablemente lo sea. . Y podría ser mejor para ti mantenerte a salvo en lugar de lamentar.