Archivo mensual: Abril 2021

Esta semana en ciberseguridad

Grupo REvil pide una recompensa de 50 millones de dólares a Apple por información de Quantas

El grupo REvil pide 50 millones de dólares como recompensa por los archivos robados de Quantas, un fabricante de hardware taiwanes víctima de un ataque, en el que información confidencial de diversos clientes de Quantas, incluyendo Apple, fue obtenida por los atacantes.

Desde el día 20 de abril en que Apple presentó su evento “Spring Loaded”, REvil ha solicitado a Quantas una recompensa por la información sustraída, pero en vista que Quantas se negó a pagar, han ido detrás de su cliente numero uno, filtrando diversos documentos confidenciales de los nuevos productos aún no lanzados, y a quien demandan esta suma antes del 1 de Mayo.

Quantas ensambla algunos de los productos de Apple, como Apple Watch, algunos Macbooks, y también Thinkpad de Lenovo.

REvil opera un negocio de ransomware-as-a-service, es decir, ofrecen soporte material a otros afiliados que se preocupan por los aspectos técnicos del ataque, y en donde los afiliados obtienen entre un 70 y 80 por ciento de las ganancias, y son quienes se encargan de la infección inicial, eliminar backups y robar los archivos, y REvil maneja las negociaciones, el pago, y desarrolla y distribuye el software encriptador.

Fuente: https://threatpost.com/revil-apple-ransomware-pay-off/165570/
https://therecord.media/ransomware-gang-tries-to-extort-apple-hours-ahead-of-spring-loaded-event/

Actualiza tu navegador Chrome lo antes posible

Google lanzó una actualización de seguridad urgente para su navegador Chrome en Windows, Mac y Linux, con 7 parches de seguridad, para uno de los cuales existe un ataque en curso en la red.

Conocido como CVE-2021-21224, esta falla se refiere al motor de JavaScript V8 y que fue reportado por Jose Martinez el 5 de Abril.

Este parche viene luego que el día 14 de Abril fuera publicado código de prueba de concepto explotando esta falla, por lo que se recomienda a los usuarios actualizar a la última version, entrando a Configuración > Ayuda > Acerca de Google Chrome

Fuente: https://thehackernews.com/2021/04/update-your-chrome-browser-immediately.html

Hackers explotan fallas 0-day en Pulse Secure para acceder a redes privadas corporativas

Una nueva falla descubierta en Pulse Connect Secure gateway, conocida como CVE-2021-22893, está siendo explotada y no hay un parche disponible aún.

Al menos dos atacantes han sido relacionados con una serie de intrusiones que apuntan a distintas organizaciones usando vulnerabilidades en Pulse Secure que permiten saltar la autenticación de dos pasos y entrar a redes corporativas.

Explotando diversas debilidades de Pulse Secure VPN, CVE-2019-11510, CVE-2020-8260, CVE-2020-8243, y CVE-2021-22893, se cree que uno de los exploits recolectó credenciales luego utilizadas para moverse lateralmente, y luego para obtener persistencia, los atacantes usaron binarios modificados de Pulse Secure para habilitar la ejecución remota de código.

Se recomienda a los clientes de Pulse Secure estar atentos a las actualizaciones disponibles, y actualizar a PCS Server version 9.1R.11.4 cuando esté disponible/

Fuente: https://thehackernews.com/2021/04/warning-hackers-exploit-unpatched-pulse.html

Estudio de CETIUC nos posiciona por segundo año consecutivo como el Proveedor de Ciberseguridad mejor evaluado en nuestra categoría.

En Makros estamos felices y muy orgullosos, porque nuestras ganas de mejorar constantemente y dar siempre un mejor servicio se han vuelto un resultado patente por segundo año consecutivo, según el estudio que realiza el Centro de Estudios de Tecnologías de Información de la Pontificia Universidad Católica de Chile, CETIUC. Lo anterior, lo demuestra el benchmark de Evaluación de Proveedores de Ciberseguridad del ENCI (Estudio Nacional de Ciberseguridad) en donde nos posicionamos en 2021 como el Nº1 de nuestra categoría. 

El estudio está enfocado en recoger la opinión del principal responsable de Ciberseguridad en las principales organizaciones del país. Por lo tanto, además de CISOs, contempla CIOs, quienes son los responsables principales de Ciberseguridad, de más de 80 empresas de alto nivel, como la Bolsa de Santiago, Alsacia & Express, Concha y Toro, Carozzi, Iansa, Gasco, Red de Salud Christus, Metlife, Enex, Masisa, entre muchas más.

Tasa de promotores netos

En el cuadrante de Índice de variables técnicas, Makros presenta la mejor evaluación respecto al resto de los proveedores con 83 puntos.

En esa misma categoría, en el Cumplimiento de Objetivos y Cumplimiento de Plazos, nuevamente figuramos con la mejor puntuación con 83 puntos.

Del mismo modo, en los cuadrantes de Competencias Técnicas y Experiencia de los Profesionales, Makros fue la empresa mejor evaluada en la categoría Implementación e Integración de tecnologías y plataformas de ciberseguridad

Inversión y costos: el Factor Makros:

Una variable crítica para los ejecutivos que respondieron este benchmark, es la Inversión vs Costos. Y en este factor de decisión, Makros es la empresa mejor evaluada. Se destaca que al comparar la Inversión y Costos respecto a variables como Cumplimiento de Objetivos y Competencias Técnicas, Makros vuelve a presentar la mejor evaluación respecto a su competencia en la categoría de Implementación e Integración de tecnologías y plataformas de ciberseguridad.

Probabilidad de Recomendación

Sin embargo, según la visión de Marcelo Díaz, CEO de Makros, es esta variable, la “Probabilidad de Recomendación” la que realmente guía la dirección de la compañía. Porque habla del lealtad real que tienen los clientes y el mercado, respecto a Makros.

“En estos cuadrantes, es donde realmente podemos sentirnos orgullosos por el esfuerzo y la dedicación de nuestro equipo. Donde realmente nos diferenciamos del resto”.

Efectivamente, somos los mejor evaluados en Variables Técnicas, Cumplimiento de Objetivos y de Plazos. Así como las competencias técnicas y, ciertamente, la experiencia de nuestros profesionales.

El estudio de este año fue realizado en Octubre 2020; y lo puedes revisar en el link de la CETIUC: https://www.cetiuc.com/benchmarks/user/login

(Por ahora, disponible exclusivamente para suscriptores y para quienes participaron de él)

CETIUC realiza los benchmarks que componen el ENTI según las metodologías que se describen en detalle en cada uno de ellos. Sus resultados se basan en la evaluaciones que realizan los CIOs para fines informativos, y no implican ninguna garantía explicita o implícita, por las cuales CETIUC pueda ser responsabilizado. ENTI no sugiere u orienta la selección de ningún proveedor, según las calificaciones que estos obtengan de las evaluaciones que realizan los CIOs. Registro de Propiedad Intelectual N°A-294086.-La Ley N°17.336 sobre Propiedad Intelectual prohíbe el uso de obras protegidas sin la autorización expresa del titular del derecho de autor. Cualquier forma de reproducción, distribución, comunicación publica o transformación de esta obra solo puede ser realizada con la autorización de su titular.

Esta semana en ciberseguridad

Ejecución remota de código en versiones no parchadas de los navegadores Chrome, Opera y Brave

Investigadores de seguridad publicaron una prueba de concepto relacionada a una nueva falla de seguridad que impacta a Google Chrome y otros navegadores basados en Chromium, como Microsoft Edge, Opera y Brave.

El exploit está relacionado con una vulnerabilidad de ejecución de código remota en el entorno V8 de JavaScript. Se cree que es la misma falla demostrada en la competencia Pwn2Own 2021 la semana pasada, donde dos hackers recibieron una recompensa de 100 mil dólares por encontrar esta seria falla.

Al parecer, el investigador que publicó la falla, lo hizo debido a información relacionada al parche que fue publicada por Google, por lo que se espera un parche de seguridad para la próxima semana.

Fuente: https://thehackernews.com/2021/04/rce-exploit-released-for-unpatched.html

FBI limpia servidores vulnerados en Estados Unidos por falla en Microsoft Exchange

En una operación masiva, el FBI removió código malicioso de cientos de máquinas vulneradas en los Estados Unidos, comprometidas por las recientes vulnerabilidades en Microsoft Exchange.

ProxyLogon es una serie de fallas de seguridad que afectan a versiones en-sitio de Microsoft Exchange. Microsoft advirtió el mes pasado que las vulnerabilidades están siendo activamente explotadas por actores estatales.

Esta conjunto de 4 fallas, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, pueden ser utilizadas en conjunto para lograr una ejecución de código remota sin autenticación, lo que significa que atacantes pueden tomar el control de los servidores sin tener credenciales conocidas. Esto les da acceso a las comunicaciones de correo electrónico y a poder instalar otros softwares maliciosos, como ransomware.

El hecho de que muchas máquinas se encontraran vulneradas, llevó al FBI a tomar medidas, solicitando una orden de la corte para esta acción, enfocada en eliminar software malicioso ya instalado en las máquinas, acción considerada como sin precedentes.

Fuente: https://threatpost.com/fbi-proxylogon-web-shells/165400/

Nuevas fallas de seguridad en Whatsapp permitiría a atacantes hackear teléfonos remotamente

Whatsapp parchó recientemente dos vulnerabilidades en la versión para Android de su aplicación de mensajería instantánea, que pueden ser utilizadas por atacantes para ejecutar código malicioso remotamente en los dispositivos vulnerables, e incluso robar información personal.

Las fallas apuntan a versiones Android superiores a Android 9, en un ataque conocido como man-in-the-disk, que hace posible a atacantes comprometer la aplicación, manipulando los datos que se intercambian entre la aplicación y el almacenamiento.

Las dos vulnerabilidades permiten a atacantes recolectar material criptográfico de las sesiones TLS. Con los secretos TLS, pueden comprometer las comunicaciones de Whataspp, e incluso lograr la ejecución de código remota.

Whatsapp recomienda actualizar a la version 2.21.4.18 para mitigar el riesgo asociado a estas fallas.

Fuente: https://thehackernews.com/2021/04/new-whatsapp-bug-couldve-let-attackers.html

Esta semana en ciberseguridad

Falla en Fortinet es explotada para sofisticados ataques Ransomware.

Atacantes están explotando una vulnerabilidad en equipos Fortinet que provisiona una nueva variante de ransomware, llamada Cring, que está afectando a distintas industrias alrededor de Europa.

Investigadores indican que los atacantes están explotando una vulnerabilidad no parchada conocida como CVE-2018-13379 en FortiOS de Fortinet con la misión de ganar acceso a la red corporativa de las victimas y finalmente instalar un ransomware.

Cring es un tipo relativamente nuevo de ransomware, que ha sido observado por CSIRT de Swisscom en Enero. El ransomware es único en que usa dos formas de encripción, y destruye respaldos en un esfuerzo de complicar a las víctimas y prevenir que estas se recuperen usando respaldos sin pagar la recompensa.

La vulnerabilidad está relacionada con el portal SSL VPN y permite a un atacante no autenticado descargar archivos del sistema de las máquinas atacadas usando peticiones HTTP específicamente modificadas.

Kaspersky publicó un reporte al respecto indicando las formas de ataque del ransomware, y recalca la importancia de mantener los softwares actualizados para evitar este tipo de ataques.

Reporte: https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
Fuente: https://threatpost.com/hackers-exploit-flaw-cring-ransomware/165300/

Datos de más de 500 millones de usuarios de LinkedIn publicados para la venta.

La información personal de más de 500 millones de usuarios de LinkedIn ha sido publicada para la venta en línea, en otro incidente en que atacantes obtienen información masivamente desde los perfiles públicos y la ofrecen para su posible uso criminal.

De la misma manera que el incidente de Facebook esta semana, la información, que incluye ID de usuario, correos electrónicos, nombres completos, títulos profesionales y números de teléfono, fue obtenida en masa usando servicios disponibles públicamente, pero de una forma que no es la que se pretende.

Los usuarios de un conocido foro hacker pudieron acceder a una muestra de 2 millones de registros de la información.

La compañía está investigando el incidente, e indicó que no hubo un mal uso de su plataforma sino la obtención masiva de datos por medio de scraping.

Fuente: https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/

Cisco no parchará vulnerabilidad crítica de ejecución remota de código que afecta a routers en fin de su tiempo de soporte.

La vulnerabilidad conocida como CVE-2021-1459 se considera crítica, y afecta al VPN Firewall y Routers modelo RV110W, RV130, RV130W y RV215W, permitiendo a un atacante ejecutar código en el appliance afectado.

Cisco Systems informó que no planea parchar una vulnerabilidad crítica de seguridad que afecta a algunos de sus routers para pequeños negocios, indicando que los usuarios deben renovar sus dispositivos ya que estos se encuentran fuera de su periodo de soporte.

Esta falla surge de un problema de validación de la entrada de datos del usuario en la plataforma de administración web, permitiendo a un actor malicioso ejecutar código usando peticiones HTTP.

Aparte de esto, Cisco lanzó otras actualizaciones para sus plataformas de software en Cisco WAN vManage, CVE-2021-1137, CVE-2021-1479, y CVE-2021-1480

Mas información: https://www.cisco.com/c/en/us/products/collateral/routers/small-business-rv-series-routers/eos-eol-notice-c51-742771.pdf
Otros parches: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-YuTVWqy
Fuente: https://thehackernews.com/2021/04/cisco-will-not-patch-critical-rce-flaw.html