Esta semana en ciberseguridad – Septiembre semana 4

Vulnerabilidad calificada 10/10 en Productos Cisco (Cisco IOS XE)

Cisco advierte que tres vulnerabilidades de seguridad críticas afectan su software insignia IOS XE, el sistema operativo para la mayor parte de su cartera de redes empresariales. Las fallas afectan los controladores inalámbricos de Cisco, la oferta de SD-WAN y los mecanismos de configuración que se utilizan para una gran cantidad de productos.

El gigante de las redes ha lanzado parches para todos ellos, como parte de una actualización completa de 32 errores lanzada esta semana.

El más grave de los errores críticos es un error de ejecución remota de código no autenticado (RCE) y de denegación de servicio (DoS), que afecta a la familia de controladores inalámbricos Cisco Catalyst 9000.

CVE-2021-34770: RCE and DoS for Wireless Controllers
El problema (CVE-2021-34770), que cuenta con una calificación poco común de 10 de cada 10 vulnerabilidad-gravedad CVSS, existe específicamente en el procesamiento del protocolo de control y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP) utilizado por el software Cisco IOS XE que alimenta los dispositivos.

“La vulnerabilidad se debe a un error lógico que ocurre durante la validación de los paquetes CAPWAP”. “Un atacante podría aprovechar esta vulnerabilidad enviando un paquete CAPWAP diseñado a un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con privilegios administrativos o hacer que el dispositivo afectado se bloquee y se recargue, lo que resultará en una condición DoS “.

explicó Cisco en su aviso de esta semana

RCE and DoS for Cisco SD-WAN
Los siguientes dos errores críticos puntúan 9,8 sobre 10 en la escala CVSS. El primero de ellos es un problema de desbordamiento del búfer de software (CVE-2021-34727) en el software SD-WAN de Cisco (que se puede habilitar a través del software IOS XE), que podría permitir RCE no autenticado como root y ataques DoS. Surge en el proceso de vDaemon, según el aviso.

CVE-2021-1619: Endangering Device Configurations
El último error crítico es una vulnerabilidad de omisión de autenticación en el software IOS XE, que afecta específicamente al protocolo de configuración de red (NETCONF) utilizado para instalar, manipular y eliminar la configuración de dispositivos de red a través de un sistema de gestión de red; y el protocolo RESTCONF, que es una interfaz HTTP basada en REST que se utiliza para consultar y configurar dispositivos con almacenes de datos de configuración NETCONF.

Según Mitre.org: El problema (CVE-2021-1619) Es una vulnerabilidad en la función de autenticación, autorización y contabilidad (AAA) del software Cisco IOS XE que podría permitir que un atacante remoto no autenticado omita la autenticación NETCONF o RESTCONF y realice una de las siguientes acciones:

  • Instalar, manipular o eliminar la configuración de un dispositivo afectado.
  • Provoca daños en la memoria que dan como resultado una denegación de servicio (DoS) en un dispositivo afectado.

Esta vulnerabilidad se debe a una variable no inicializada. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de solicitudes NETCONF o RESTCONF a un dispositivo afectado. Un exploit exitoso podría permitirle al atacante usar NETCONF o RESTCONF para instalar, manipular o eliminar la configuración de un dispositivo de red o dañar la memoria en el dispositivo, dando como resultado un DoS.

Workaround (Solución Alternativa)
A diferencia de los dos errores anteriores, este tiene una solución y una mitigación.

En el frente de la solución alternativa, es importante tener en cuenta que para ser vulnerable, se deben configurar tres cosas:

  • AAA
  • NETCONF, RESTCONF o ambos
  • “Enable password” se usa sin “enable secret”

Por lo tanto, los usuarios pueden eliminar la configuración de “enable password” y configurar “enable secret” en su lugar, para protegerse.

En cuanto a la mitigación, para limitar la superficie de ataque, los administradores pueden asegurarse de que las listas de control de acceso (ACL) estén en su lugar para NETCONF y RESTCONF para evitar intentos de acceso desde subredes que no son de confianza, aconsejó Cisco.

FUENTE: (1) https://threatpost.com/critical-cisco-bugs-wireless-sd-wan/174991/
(
2) https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-1619

Google está trabajando en un modo solo-HTTPS para Chrome

Siguiendo los pasos de navegadores como Mozilla Firefox y Microsoft Edge, Google Chrome también está en línea para recibir un modo solo HTTPS que actualizará todas las conexiones HTTP no cifradas a alternativas HTTPS cifradas, cuando sea posible.

Se está trabajando para agregar configuraciones específicas en la interfaz del navegador porque actualmente no hay ninguna funcionalidad real de HTTP a HTTPS.

Actualmente, el nuevo modo solo HTTPS de Chrome aún está en desarrollo en las distribuciones de Chrome Canary. Si bien se está trabajando en esta nueva función en Chrome Canary 93, no está claro si el nuevo modo HTTPS-Only se enviará en esta versión.

Actualmente, Chrome 93 incluye un nuevo indicador ubicado en chrome://flags/#https-only-mode-setting que, cuando está habilitado, agrega una nueva opción llamada “Usar siempre conexiones seguras” en la configuración de seguridad del navegador Chrome.

El trabajo de Chrome para agregar un modo solo HTTPS se produce después de que Mozilla agregó una función con un nombre similar a Firefox en v83. A principios de este mes, Microsoft también agregó una función llamada HTTPS automático a su navegador insignia Edge.

Actualmente, alrededor del 82,2% de todos los sitios de Internet admiten conexiones HTTPS. Los fabricantes de navegadores como Chrome y Mozilla informaron anteriormente que el tráfico HTTPS generalmente representa del 90% al 95% de su tráfico diario de usuarios.

FUENTE: https://blog.segu-info.com.ar/2021/09/google-esta-trabajando-en-un-modo-solo.html

¿Cómo evita DMARC el phishing?

DMARC es un estándar global para la autenticación de correo electrónico. Permite a los remitentes verificar que el correo electrónico realmente proviene de quien dice provenir. Esto ayuda a frenar los ataques de spam y phishing, que se encuentran entre los delitos cibernéticos más frecuentes en la actualidad. Gmail, Yahoo y muchos otros grandes proveedores de correo electrónico han implementado DMARC y elogiaron sus beneficios en los últimos años.

Si el nombre de dominio de su empresa es bankofamerica.com, no desea que un atacante cibernético pueda enviar correos electrónicos bajo ese dominio. Esto pone en riesgo la reputación de su marca y podría propagar malware financiero. El estándar DMARC evita esto al verificar si los correos electrónicos se envían desde una dirección IP o dominio esperados. Especifica cómo se puede contactar con los dominios si hay problemas de autenticación o migración y proporciona información forense para que los remitentes puedan monitorear el tráfico de correo electrónico y poner en cuarentena los correos electrónicos sospechosos.

¿Qué es un ataque de phishing?
El phishing es un intento de los ciberdelincuentes de engañar a las víctimas para que revelen información confidencial, como números de tarjetas de crédito y contraseñas, a través de sitios web y correos electrónicos falsos. El phishing es una forma de ingeniería social. También es uno de los métodos más comunes que utilizan los ciberdelincuentes para infiltrarse en empresas y comprometer sus datos confidenciales.

La suplantación de dominio es un precursor de la mayoría de los ataques de suplantación de identidad utilizados para falsificar correos electrónicos. En este proceso, un atacante falsifica una dirección de correo electrónico o un nombre de dominio legítimos y envía correos electrónicos falsos que contienen enlaces de phishing y ransomware a la clientela de la empresa. El destinatario desprevenido cree que el correo electrónico falsificado es de una empresa que conocen y en la que confían y termina compartiendo su información corporativa o bancaria con el atacante, por lo que es víctima de suplantación de identidad. Esto afecta la reputación de las empresas y conduce a la pérdida de prospectos y clientes.

DMARC puede ayudar a minimizar los intentos de suplantación de dominio directo, lo que indirectamente también reduce los ataques de suplantación de identidad perpetrados a través de dominios de empresa falsificados.

¿Cómo identificar un correo electrónico de phishing enviado desde un dominio falsificado?
La suplantación de identidad no es una nueva amenaza. La suplantación de correo electrónico es una táctica engañosa utilizada por los atacantes para manipular tanto la identidad del remitente de un mensaje de correo electrónico como el origen aparente de ese mensaje. La mayoría de los ataques de suplantación de identidad utilizan información de encabezado falsificada o crean una dirección de correo electrónico de remitente falsa.

Los destinatarios pueden detectar correos electrónicos de suplantación de identidad enviados desde un dominio de empresa falsificado examinando la información del encabezado del correo electrónico, como la dirección “de:” y la dirección de “ruta de retorno”, y verificando que coincidan. Si bien la dirección de correo electrónico “De” es un encabezado visible, la dirección de “ruta de retorno” generalmente no es visible de inmediato y, una vez inspeccionada, puede ayudar a los receptores a detectar la identidad original del atacante.

Por ejemplo:
Un correo electrónico de phishing enviado desde un dominio falsificado probablemente tendrá su dirección De: como: marketing@company.com, que parece auténtica para el ojo inexperto del receptor que está familiarizado con los servicios de dicha empresa. Sin embargo, al inspeccionar la dirección de la ruta de retorno, el receptor se dará cuenta de que el correo electrónico no es de donde el remitente dice que es,

Los propietarios de dominios también pueden detectar e identificar intentos de suplantación de identidad y suplantación de dominio mediante la implementación de un analizador de informes DMARC en su organización. El analizador de informes DMARC de PowerDMARC permite a los propietarios de dominios:

  • Reciba y lea sus informes DMARC en un panel de control bien organizado, en un solo panel, en lugar de tener que leer los informes individuales que se les envían en su correo electrónico o servidor web.
  • Los datos DMARC de las organizaciones están organizados y clasificados en formatos de visualización convenientes, como por resultado, por fuente de envío, por país, por organización, estadísticas detalladas y geolocalización.
  • Los archivos XML difíciles de leer que contienen datos agregados DMARC se analizan en documentos más simples y fáciles de leer.
  • Los propietarios de dominios pueden exportar los datos en forma de informes PDF programados para compartirlos con los empleados para su conocimiento e inspección.
  • Información forense sobre fuentes de envío maliciosas que brindan detalles granulares sobre el origen y la ubicación de estas direcciones falsificadas para que se puedan informar y eliminar fácilmente.

FUENTE: (1) https://thehackernews.com/2021/09/how-does-dmarc-prevent-phishing.html