Archivo mensual: Mayo 2022

Esta semana en ciberseguridad – Mayo 2022

Chrome 102 soluciona 32 Vulnerabilidades

Google anunció este martes el lanzamiento estable de Chrome 102, que soluciona 32 vulnerabilidades, incluida una falla crítica conocida como CVE-2022-1853, descrito como un error del tipo use-after-free que afecta a Indexed DB.

Chrome 102 también aborda ocho vulnerabilidades de alta gravedad reportadas por investigadores externos. La más grave denominada CVE-2022-1854, un componente ANGLE del navegador web, también del tipo use-after-free.

Las vulnerabilidades del tipo use-after-free generalmente pueden usarse para la corrupción de datos, ataques DoS o ejecución de código arbitrario. En el caso de Chrome, este tipo de errores también podría permitir que un atacante lo haga saltarse el sandbox del navegador, pero necesitaría combinarse con otra vulnerabilidad.

La lista de vulnerabilidades de alta gravedad remediadas en la última versión de Chrome también incluye CVE-2022-1855, un uso gratuito en Messaging y CVE-2022-1856, un uso gratuito en User Education.

Si bien no hay indicios de que estas vulnerabilidades hayan sido explotadas en ataques maliciosos, es importante que los usuarios mantengan el navegador actualizado ya que no es raro que los actores de amenazas lo apunten en sus operaciones.

Google conoce tres vulnerabilidades de Chrome que han sido explotado en ataques en lo que va del año.

En marzo, el gigante tecnológico confirmó haber visto un aumento en la explotación de día cero de Chrome, con 14 vulnerabilidades explotadas en 2021. La compañía atribuyó esta tendencia a varios factores, incluida la popularidad de Chrome, una mayor transparencia, la necesidad de encadenar múltiples fallas para un solo exploit y que el navegador se vuelva más complejo.

FUENTE: https://www.securityweek.com/chrome-102-patches-32-vulnerabilities

Vulnerabilidad ZeroDay en Cisco IOS XR.

Cisco lanzó el viernes un parche para la vulnerabilidad de gravedad media que afecta el software IOS XR que ya ha sido explotada.

Conocida como CVE-2022-20821 (puntaje CVSS: 6.5), el problema se relaciona con una vulnerabilidad de puerto abierto que podría ser utilizada por un atacante para conectarse a una instancia de Redis y lograr la ejecución de código.

“Un ataque exitoso podría permitir escribir archivos arbitrarios para recuperar información de la base de datos de Redis, aunque, dada la configuración del sandbox en que se ejecuta la instancia, el atacante no podría ejecutar código remoto en el host del software Cisco IOS XR”.

dijo Cisco en un aviso

La falla impacta los router de la serie Cisco 8000 que ejecutan el software IOS XR que tiene RPM instalado y activo.

Cisco recomienda encarecidamente que los clientes apliquen soluciones alternativas adecuadas o actualicen a una versión de software fija para remediar esta vulnerabilidad.

FUENTE: https://thehackernews.com/2022/05/cisco-issues-patches-for-new-ios-xr.html

ZeroTrust en el marco NIST para entornos Cloud

En los últimos meses en consecuencia de Log4j, muchas empresas han visto comprometidas sus credenciales e identidades, debido a ataques informáticos que usan brechas de terceros, ataques de APIs y exploits de aplicaciones como entrada. Estos ataques son síntomas del mismo problema: las organizaciones no tienen visibilidad de cómo se protegen y usan sus objetos de datos.

Hasta que los equipos de seguridad puedan responder en tiempo real qué datos tienen, quién tiene acceso a ellos y cómo se están utilizando, las organizaciones continuarán fallando al comunicar rápidamente el alcance de las brechas de seguridad dentro de la nube.

Cuando Samsung confirmó que el grupo de hackers de Lapsus$ había obtenido y filtrado casi 200 gigabytes de datos confidenciales, la primera pregunta para los clientes fue si los datos de sus clientes formaban parte o no de esa estadística o si Samsung tenía salvaguardas para protegerlos.

Afortunadamente, Samsung dijo que la información personal de ningún cliente estaba comprometida. Sin embargo, cuando Okta fue violado por el mismo grupo de hackers solo unas semanas después, su equipo de seguridad tuvo dificultades para comunicar que tanto los había afectado porque no podían determinar la ubicación y los privilegios de todos los datos dentro de su ecosistema. Este tipo de problemas generar desconfianza dentro de la comunidad empresari.

Con tanto en juego, un número cada vez mayor de organizaciones está eligiendo el modelo de Seguridad de Cero Confianza, que supone que existen usuarios no confiables en ambos lados del perímetro informático de una organización.

Los principios de Zero Trust, ya sean aplicados a identidades, redes u objetos de datos, ayudan a las organizaciones a mejorar sistemáticamente los riesgos de seguridad en visibilidad, detección, respuesta y protección. Sin embargo, en la empresa moderna, la implementación de Zero Trust para datos sin romper la lógica comercial es una nueva dirección que requiere un cambio cuidadoso de la gestión de la postura, detección-respuesta a la protección para evitar crear riesgos comerciales o interrupciones.

A medida que el concepto de Zero Trust continúa evolucionando, hay algunas formas prácticas en que las organizaciones pueden comenzar a eliminar el riesgo una vez que han mejorado la visibilidad y han encontrado una solución que funciona dentro de su nube o entorno on-prem.

El Instituto Nacional de Regulaciones y Tecnología (NIST) de los Estados Unidos, que ha publicado una serie de estándares de seguridad en la nube que tienen en cuenta la superposición de las regulaciones federales, incluida HIPAA y la Ley Federal de Gestión de Seguridad de la Información (FISMA), también es un gran punto de referencia. Proporciona materiales y detalles complementarios que actualizan a las organizaciones sobre cómo coinciden los controles y colaboran con otros estándares y marcos ampliamente aceptados. El modelo NIST incorpora el siguiente marco:

Visibilidad de la postura de seguridad:

Cuando las empresas tienen visibilidad de su postura de seguridad de datos, pueden determinar y establecer políticas para mejorar la protección de datos en todas las organizaciones basadas en la nube para ayudarlas a determinar mejor cómo deben tratarse los objetos de datos. Las herramientas de gestión de postura de seguridad de datos (DSPM) son un buen punto de partida para su viaje de cero confianza.

Detección-Respuesta :

Muchas identidades críticas y roles de servicio necesariamente necesitan permisos para grandes extensiones de datos para hacer su trabajo: identidades privilegiadas, aplicaciones que son frentes para bases de datos o data lakes, e incluso CI / CD, etc. El software de la cadena de suministro es un ejemplo de esto. Colocar los cinturones de seguridad de detección y respuesta alrededor de los objetos de datos de joyas de la corona los protege de tales identidades que se utilizan indebidamente a través de fallas de phishing o app-sec.

Protección:

Las organizaciones deben crear permisos y derechos, emitir campañas de limpieza y establecer modelos de gobernanza para prepararse de manera proactiva para responder a los incidentes de ciberseguridad detectados. Estas son campañas a más largo plazo con un valor estratégico importante y, por lo tanto, están informadas por la visibilidad precisa de cómo se utilizan los objetos de datos en diferentes funciones comerciales.

En pocas palabras, los datos son valiosos y el activo más persistente de una organización. Es fundamental que las organizaciones comprendan completamente dónde se encuentran sus secretos en toda su nube y entorno en las instalaciones. ¿Dónde están tus datos?? ¿Quién tiene acceso a él y se controla este acceso?? ¿Su organización mantiene autoridad sobre estos datos para que se puedan revocar privilegios excesivos o latentes cuando sea necesario??

Responder estas preguntas es fundamental para una estrategia moderna de seguridad de datos en la nube, especialmente cuando se enfrenta al desafío de operacionalizar el control de acceso o la seguridad de datos sin romper la lógica empresarial. Si no se responden, las organizaciones continuarán invirtiendo tiempo y recursos en protecciones tangenciales alrededor de redes y aplicaciones que dejan brechas significativas para que los datos sean explotados o tomados en busca de rescate.

FUENTE: https://threatpost.com/zero-trust-for-data/179706/

Esta semana en ciberseguridad – Mayo 2022

Evita el WAF transformando las consultas SQL

Un equipo de investigadores utilizó el aprendizaje automático básico para generar solicitudes HTTP e identificar patrones que los firewalls comunes de aplicaciones web (WAFs) no detectan como malicioso, pero que permiten a un atacante pasar la seguridad proporcionada por estos.

Los investigadores de la Universidad de Zhejiang en China comenzaron con formas comunes de transformar los ataques de inyección para apuntar a las bases de datos de aplicaciones web utilizando el lenguaje de consulta estructurado (SQL) común. En lugar de utilizar una búsqueda de fuerza bruta de posibles derivaciones, el equipo creó una herramienta, AutoSpear, que utiliza un grupo de posibles derivaciones que se pueden combinar utilizando una estrategia de mutación ponderada y luego probar para determinar la efectividad de los desvíos para evadir la seguridad de ofertas de WAF como servicio.

La herramienta se omitió con éxito — medido por una tasa de falsos negativos — los siete WAF probados basados en la nube con una variedad de éxitos, desde un mínimo del 3% para ModSecurity hasta un máximo del 63% para los WAF de Amazon Web Services y Cloudflare, dijo Zhenqing Qu, un estudiante graduado de la Universidad de Zhejiang y miembro del equipo AutoSpear.

“Los estudios de caso han demostrado el potencial [de la herramienta], porque las firmas de detección no eran sólidas debido a varias vulnerabilidades”… “Simplemente agregar comentarios o espacios en blanco puede omitir algunos WAF, pero la mutación más efectiva depende de WAF específicos”.”

dijo Zhenqing Qu

Los firewalls de aplicaciones web AWS, Fortinet, F5 y CSC se implementaron utilizando los conjuntos de reglas administrados proporcionados por esos proveedores en la plataforma WAF de Amazon Web Services, mientras que los WAF de Cloudflare y Wallarm se compraron en el sitio web oficial de esas compañías, dijo Zhenqing. En muchos casos, el WAF independiente de un proveedor, como FortiWeb y FortiWeb Cloud de Fortinet, no se ve afectado por los mismos problemas que los conjuntos de reglas de WAF.

Los firewalls de aplicaciones web son una forma común de defender importantes programas en la nube y servicios web del ataque, filtrando ataques de aplicaciones comunes e intentos de inyectar comandos de bases de datos, también conocidos como inyección SQL (SQLi). Un estudio de 2020, por ejemplo, encontró que 4 de cada 10 profesionales de seguridad creían eso 50% de los ataques de capa de aplicación que apuntó a su aplicación en la nube omitió su WAF. Otros ataques se centran en comprometiendo a la WAF a través de su inspección del tráfico.

En su presentación, el equipo de la Universidad de Zhejiang se centró en formas de transformar las solicitudes utilizando 10 técnicas diferentes para los cuatro métodos de solicitud comunes: solicitudes POST y GET, ya sea utilizando la codificación JSON o no.

Los investigadores encontraron que los cuatro tipos diferentes de solicitudes fueron tratadas de la misma manera por conjuntos de reglas proporcionados por cuatro proveedores diferentes de WAF, mientras que otros abordaron las entradas de manera diferente.

Los ataques de inyección SQL siguen siendo un riesgo importante para muchas empresas. Los riesgos de seguridad web Top-10 de OWASP calificaron la clase de vulnerabilidad de inyección en la parte superior de su lista de riesgos en 2013 y 2017, y como el no. 3 riesgo en 2021. La lista, publicada aproximadamente cada cuatro años, utiliza más de 400 clases amplias de debilidades para determinar las amenazas más significativas para las aplicaciones web.

Omitir los firewalls de aplicaciones web generalmente se centran en tres enfoques generales. A nivel arquitectónico, los atacantes pueden encontrar formas de eludir el WAF y acceder directamente al servidor de origen. A nivel de protocolo, una variedad de técnicas pueden usar errores en la codificación, como HTTP request smuggling, para evitar los WAF. Finalmente, a nivel de payload, los atacantes pueden usar una variedad de transformación de codificación para engañar al WAF para que no detecte un ataque, mientras aún producen una solicitud válida desde el punto de vista del servidor de la base de datos.

Las transformaciones permitieron que los ataques fueran exitosos desde el 9% del tiempo hasta casi el 100% del tiempo, dependiendo del conjunto de reglas WAF y el formato de solicitud, declaró el equipo en su presentación. En un caso, el investigador descubrió que solo agregar un carácter de nueva línea, “/n”, omitía un WAF importante como servicio.

AWS, Cloudflare Afectado
El equipo de investigación informó las vulnerabilidades a los siete proveedores de WAF y conjuntos de reglas WAF: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity y Wallarm. Cloudflare, F5 y Wallarm han solucionado sus problemas, dijo Zhenqing. El equipo también proporcionó a los proveedores patrones de derivación que se pueden usar para detectar los tipos más comunes de transformaciones.

“Los otros cuatro todavía están trabajando con nosotros, ya que los defectos no se pueden reparar fácilmente”, dijo.

FUENTE: https://www.darkreading.com/cloud/transforming-sql-queries-bypasses-waf-security

DoQ: DNS a través QUIC

La privacidad es uno de los factores más importantes cuando navegamos por Internet. Simplemente con visitar una web estamos dejando algún rastro, pero hay protocolos y servicios que pueden ayudarnos a evitar este problema.

DNS a través de QUIC
El protocolo DNS fundamental traduce la información que ponemos en el navegador, así simplemente con poner el nombre del dominio nos deriva a la dirección IP correspondiente, por lo que no vamos a tener que recordar números sin mucho sentido. Sin embargo este protocolo, por sí mismo, no es fiable y no mantiene la privacidad. Hay opciones como DoH (DNS a través de HTTPS) o DoT (DNS a través de TLS) que cifran la conexión.

Algo así ocurre con QUIC, que es un protocolo de red creado por Google. Podemos decir que funciona de forma parecida a HTTP/2 y TLS/SSL, pero en vez de usar TCP se basa en UDP. De esta forma surge DoQ, que es DNS a través de QUIC.

Funciona de forma similar a DoT, por lo que mantiene la privacidad, pero utiliza QUIC Y DoH3, es decir, DNS a través de HTTP/3, lo que lo hace más veloz, evitando el intercambio de claves que usa el cifrado TLS y que va a ralentizar la conexión.

Además, DNS a través de QUIC o DoQ, también va a ser más seguro ya que corrige uno de los problemas principales de TCP, que es el envío del encabezado de los paquetes en texto plano, algo que puede quedarlo expuesto y que pueda leerse sin autenticación.

En definitiva, DNS va a poder funcionar a través del protocolo QUIC. Esto va a ayudar a mantener la privacidad al navegar por Internet, algo imprescindible hoy en día, pero sin tener ciertos problemas de velocidad y latencia que tienen otros protocolos similares. Por tanto, mantendremos la conexión cifrada y evitaremos que un tercero pueda interceptar lo que enviamos, pero al mismo tiempo manteniendo un funcionamiento óptimo de la conexión.

En este link https://www.rfc-editor.org/rfc/rfc9250.html se pueden ver todas las especificaciones de este protocolo.

FUENTE: https://blog.segu-info.com.ar/2022/05/dns-traves-de-quic.html

Malware (SuspSQLUsage) dirigido a SQL Server

Microsoft detectó una campaña maliciosa dirigida a servidores SQL que aprovecha un binario integrado de PowerShell para lograr la persistencia en los sistemas comprometidos.

Las intrusiones, que aprovechan los ataques de fuerza bruta como vector de compromiso inicial, se destacan por el uso de la utilidad “sqlps.exe“. Se desconocen los objetivos finales de la campaña, al igual que la identidad del actor de amenazas que la organiza. Microsoft está rastreando el malware con el nombre “SuspSQLUsage“.

La utilidad “sqlps.exe”, que viene de forma predeterminada con todas las versiones de SQL Server, permite que un Agente SQL, un servicio de Windows para ejecutar tareas programadas, ejecute trabajos utilizando el subsistema PowerShell.

“Los atacantes logran una persistencia sin archivos al generar la utilidad sqlps.exe, un contenedor de PowerShell para ejecutar cmdlets construidos en SQL, para ejecutar comandos de reconocimiento y cambiar el modo de inicio del servicio SQL a LocalSystem”.

señaló Microsoft.

Además, también se ha observado que los atacantes usan el mismo módulo para crear una nueva cuenta con la función de administrador del sistema, lo que les permite tomar el control de SQL Server.

Esta no es la primera vez que los actores de amenazas aprovechan binarios legítimos que ya están presentes en un entorno, una técnica llamada living-off-the-land (LotL), para lograr sus objetivos.

Una ventaja que ofrecen tales ataques es que tienden a no tener archivos porque no dejan ninguno (fileless) y es menos probable que las actividades sean marcadas por el software antivirus debido a que utilizan un software confiable.

La idea es permitir que el atacante se mezcle con la actividad normal de la red y las tareas administrativas normales, mientras permanece oculto durante largos períodos de tiempo.

“El uso de este binario poco común del tipo living-off-the-land (LOLBin) destaca la importancia de obtener una visibilidad completa del comportamiento en tiempo de ejecución de los scripts para exponer el código malicioso”, dijo Microsoft.

FUENTE: https://thehackernews.com/2022/05/hackers-gain-fileless-persistence-on.html

Esta semana en ciberseguridad – Mayo 2022

Vulnerabilidad crítica (10/10) en WSO2 afecta a servicios de banca y salud

Múltiples Apps y servicios de banca y salud están en peligro debido a una nueva vulnerabilidad con un CVSS Score de 10/10 recientemente publicada que afecta a varios productos de la empresa WSO2.

WSO2 es una compañía dedicada al desarrollo de aplicaciones Open Source dirigidas, sobre todo, al sector financiero, salud, educación e IoT, entre otros. Entre sus clientes se encuentran marcas e instituciones como American Express, ING, Deutsche Bank, Ebay, Verifone, Scheneider Electric, la cadena hotelera Hilton o importantes servicios como Transportes de Londres o el Departamento de Aguas y Energía de Los Ángeles, entre otros.

Entre sus servicios más extendidos están “WSO2 API Manager”, “WSO2 Identity Server”, “WSO2 Enterprise Integrator” y “WSO2 Open Banking”, todos ellos afectados por la vulnerabilidad reportada el pasado 18 de abril con un CVSS Score de 10 sobre 10, el más alto en la escala e identificada como CVE-2022-29464.

Dicha vulnerabilidad es de extrema gravedad, ya que permite ser llevada a cabo por cualquiera, sin necesidad de escalar privilegios ni tener conocimientos técnicos avanzados. Las versiones afectadas de los productos de WSO2 permiten la carga de archivos sin restricciones haciendo posible así la ejecución de código remoto.

Se desconoce si ha sido o está siendo explotada activamente, pero teniendo en cuenta que uno de los servicios afectados, como es el “WSO2 API Manager“, gestiona actualmente más de 200.000 APIs de diferentes verticales de la industria y más de 50.000 millones de transacciones diarias, podría suponer un problema bastante serio.

FUENTE: https://unaaldia.hispasec.com/2022/05/multiples-apps-y-servicios-de-banca-y-salud-en-peligro-debido-a-una-nueva-vulnerabilidad-con-un-cvss-score-de-10-10.html

F5 advierte sobre errores críticos que permiten la ejecución remota de código en sistemas BIG-IP

La vulnerabilidad denominada CVE-2022-1388 está calificada por el Sistema de puntuación de vulnerabilidades comunes CVSS con una gravedad de 9.8 de 10.

F5 Networks advierte que esta vulnerabilidad crítica permite ejecutar comandos arbitrarios en sus sistemas BIG-IP sin la necesidad de estar autenticado y con solo tener acceso a la red.

De acuerdo con F5, la falla reside en la interfaz de transferencia de estado representativo (REST) para el marco iControl que se utiliza para comunicarse entre los dispositivos F5 y los usuarios.

Los actores de amenazas pueden enviar solicitudes no reveladas y aprovechar la falla para omitir la autenticación iControl REST y acceder a los sistemas F5 BIG-IP, un atacante puede ejecutar comandos arbitrarios, crear o eliminar archivos o deshabilitar servidores.

“Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso a la red al sistema BIG-IP a través del puerto de administración y / o direcciones de IP propia ejecute comandos arbitrarios del sistema, cree o elimine archivos o desactive servicios”…. “No hay exposición del plano de datos; este es solo un problema del plano de control ”.

dijo F5 en un aviso

La Agencia de Seguridad Cibernética e Infraestructura (CISA) emitió una alerta y aconsejó a los usuarios que aplicaran las actualizaciones requeridas.

Versiones afectadas
La vulnerabilidad de seguridad que afecta la versión del producto BIG-IP es:

  • 1.0 a 16.1.2
  • 1.0 a 15.1.5
  • 1.0 a 14.1.4
  • 1.0 a 13.1.4
  • 1.0 a 12.1.6
  • 6.1 a 11.6.5

El F5 no introducirá correcciones para las versiones 11.x (11.6.1 – 11.6.5) y 12.x (12.1.0 – 12.1.6), pero introdujo los parches para las versiones v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5.

El aviso de F5 aclara que el CVE-2022-1388 no tiene ningún efecto sobre otros productos F5: BIG-IQ Centralized Management, F5OS-A, F5OS-C o Traffic SDC

FUENTE: https://threatpost.com/f5-critical-bugbig-ip-systems/179514/

Caminando a Passwordless. FIDO sigue creciendo.

Uno de los temas mas recurrentes en estos días es la suplantación, el robo de contraseñas y los problemas que esto ocasiona cuando tratamos de evitarlo. Ya que con el continua crecimiento de las aplicaciones web y el fortalecimiento de las credenciales terminamos generando mucha fricción en la utilización de estas.

Pero cómo podemos conseguir los beneficios del mundo digital, disminuir la fricción y mantener la seguridad. Lo primero que se trato de hacer, fue robustecer la contraseña (algo que yo se), pero esto genera muchos problemas que se traducen en llamados telefónicos o peticiones para restablecer la password. Luego se empezó a masificar el uso de un segundo factor de autenticación del tipo físico – un token (algo que yo tengo), pero esto tenia un costo y si se extraviaba generaba algunos inconvenientes. Los mas osados comenzaron a ir a sistemas biométricos (algo que yo soy). Finalmente, y con la masificación del uso de los celulares, la pregunta fue: por que no podemos hacer algo que de la simpleza y la robustes que tiene el acceso a los celulares, es ahí donde organizaciones como FIDO Alliance entran a participa, generando los estándares necesarios para poder masificar una forma simple y robusta de acceder a los beneficios del mundo digital, sin perder la seguridad.

El acceso siempre ha sido un tema relevante, y lo que sí es claro es que caminamos a un mundo sin contraseñas, pero igualmente seguro. Partimos por el concepto de RBA (risk based authentication – autenticación basada en riesgo) y algunos mecanismos que haciendo uso de la inteligencia artificial pueden detectar con un margen de error quien es quien esta detrás de un teclado o un dispositivo móvil, basándose en un conjunto de variables extraídas del comportamiento típico de una persona al escribir o usar un dispositivo.

Por otro lado, organismos como FIDO Alliance, tratan de generar estandares pare el proceso de autenticación, es así como, este 5 de mayo, en un esfuerzo conjunto para hacer que la web sea más segura. Apple, Google y Microsoft anunciaron planes para expandir el soporte de un estándar común de inicio de sesión sin contraseña creado por FIDO Alliance y World Wide Web Consortium.

La nueva capacidad permitirá que los sitios web y las aplicaciones ofrezcan inicios de sesión sin contraseña consistentes, seguros y fáciles a los consumidores en todos los dispositivos y plataformas.

FIDO Alliance
La Alianza FIDO (Fast Identity Online), creada por algunas de las compañías tecnológicas líderes en el mundo, tiene como propósito cambiar la forma de autenticación ‘online’ para hacerla más segura y cómoda.

La Alianza FIDO ha creado una serie de estándares técnicos interoperables que facilitan la creación de experiencias de inicio de sesión seguras y rápidas en sitios web y aplicaciones. Esto facilita la identificación de los usuarios a través de sistemas biométricos, como la huella dactilar o el reconocimiento facial; así como mediante la autenticación de doble factor o factor múltiple, que consiste en comprobar varias veces mediante diferentes mecanismos que la persona es quien dice ser.

La autenticación de solo contraseña es uno de los mayores problemas de seguridad en la web, y administrar tantas contraseñas es engorroso para los consumidores, lo que a menudo lleva a los consumidores a reutilizar las mismas en todos los servicios. Esta práctica puede conducir a adquisiciones de cuentas costosas, filtraciones de datos e incluso identidades robadas. Si bien los administradores de contraseñas y las formas heredadas de autenticación de dos factores ofrecen mejoras incrementales, ha habido una colaboración en toda la industria para crear una tecnología de inicio de sesión que sea más conveniente y más segura.

Las capacidades ampliadas basadas en estándares darán a los sitios web y aplicaciones la capacidad de ofrecer una opción sin contraseña de extremo a extremo. Los usuarios iniciarán sesión a través de la misma acción que realizan varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella digital o rostro, o un PIN del dispositivo.

Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías heredadas de múltiples factores, como los códigos de acceso de un solo uso enviados por SMS.

FUENTE: https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/

Esta semana en ciberseguridad – Mayo 2022

Avanzando hacia la Privacidad de Datos Personales.

Esta semana se publicó Tails 5.0, un sistema operativo basado en Debian GNU/Linux 11 “Bullseye” cuya principal características es que es completamente anónimo, permitiendo una navegación en internet sin dejar rastros.

Este sistema operativo además es portable y permite la ejecución desde un pendrive. Tiene como entorno de escritorio GNOME 3.38 y permite la transferencia de información encriptada.

El navegador web anónimo incluido es TOR Browser 11.0.10, basado en Mozilla Firefox, quien ya ha invertido mucho en investigación y desarrolla para conseguir una navegación que no pueda ser seguida por bots o Cookies que envían nuestra información de preferencias a empresas con fines publicitarios.

REFERENCIAS: https://tails.boum.org/news/version_5.0/index.es.html

CISA publica las 15 vulnerabilidades que sí o sí debes parchear.

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) en conjunto con las autoridades de ciberseguridad de los Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido dieron a conocer las 15 principales vulnerabilidades y exposiciones comunes (CVE) explotadas habitualmente por actores cibernéticos maliciosos en 2021.

  • CVE-2021-44228 – Log4Shell
  • CVE-2021-40539 – Zoho ManageEngine AD SelfService Plus
  • CVE-2021-34523 / CVE-2021-34473 / CVE-2021-31207 / CVE-2021-27065 / CVE-2021-26858 / CVE-2021-26857 / CVE-2021-26855 – ProxyShell – Microsoft Exchange Server
  • CVE-2021-26084 – Atlassian Confluence Server and Data Center
  • CVE-2021-21972 – VMware vSphere Client
  • CVE-2020-1472 – ZeroLogon – Microsoft Netlogon Remote Protocol (MS-NRPC)
  • CVE-2020-0688 – Microsoft Exchange Server
  • CVE-2019-11510 – Pulse Secure Pulse Connect Secure
  • CVE-2018-13379 – Fortinet FortiOS and FortiProxy

Las organizaciones deben aplicar las mitigaciones recomendadas por CISA. Estas mitigaciones incluyen la aplicación de parches oportunos a los sistemas y la implementación de un sistema centralizado de gestión de parches para reducir el riesgo de compromiso por parte de actores cibernéticos malintencionados.

REFERENCIA: https://www.cisa.gov/uscert/ncas/alerts/aa22-117a

HTTPA: ¿el protocolo sucesor de HTTPS?

HTTPS es el principal protocolo utilizado por aplicaciones y páginas web. Ofrece una conexión rápida, segura y privada, pero aun tiene ciertas limitaciones que hacen que no sea un protocolo perfecto en cuanto a seguridad y privacidad, dado que asume que ambas partes, cliente y servidor son de confianza. Es por esto que se esta generando esta sugerencia para migrar a HTTPA.

¿Qué es HTTPA?
HTTPA (HTTPS Attestable) no es más que una nueva versión de HTTPS que añade una capa extra de seguridad. Con este protocolo toda la información que se comparta se hará mediante un software seguro y en un entorno fiable (TEE). Esto es posible gracias al uso de certificados adicionales y técnicas de criptografía para garantizar que nadie pueda interceptar los datos ni que se hayan modificado durante el proceso; ya sea por parte de un usuario malintencionado o un software fraudulento.

Si en HTTPS se asume que las dos partes son de confianza y que el intercambio de información se hará de forma segura, con HTTPA se confía en el cliente pero no en el servidor. Será el cliente quien tendrá que permitir que el servidor pueda ejecutar el código, aunque no puede garantizarse que todo el servidor sea un entorno seguro. Es decir, HTTPA añade un extra de seguridad, pero sigue arrastrando algunas limitaciones de HTTPS.

¿Cómo funciona?
Según el documento en el que se describe HTTPA, su funcionamiento se divide en tres fases:

  1. Una fase inicial de solicitud y respuesta de la verificación previa HTTP, se comprueba si el servidor acepta o no HTTPA.
  2. Una fase intermedia de solicitud y respuesta de atestación HTTP, que verifica el envío de la información.
  3. Por último, la solicitud y respuesta de sesión de confianza HTTP, que gestiona la solicitud de información y su envío.

De esta forma se mejora la seguridad en internet al introducir la atestación remota, un mecanismo que permite garantizar la máxima seguridad de los datos. Todo con la intención de que los servicios en internet permitan al usuario verificar que el intercambio se realiza en las condiciones más seguras, al verificar antes de proceder al envío de datos que existe una certificación adicional.

Este proceso podría ocasionar problemas de ancho de banda y aumento de la latencia, ya que los datos deben atravesar un camino más largo entre emisor y receptor. En cualquier caso, sus creadores aseguran que los tiempos serán muy parecidos a los obtenidos con HTTPS.

Por el momento HTTPA no es más que una sugerencia, aún quedaría por lanzar oficialmente la propuesta de creación de un nuevo estándar y abrir una consulta pública.

REFERENCIA: https://blog.segu-info.com.ar/2022/05/httpa-el-protocolo-sucesor-de-https.html