Esta semana en ciberseguridad – Mayo 2022

Vulnerabilidad crítica (10/10) en WSO2 afecta a servicios de banca y salud

Múltiples Apps y servicios de banca y salud están en peligro debido a una nueva vulnerabilidad con un CVSS Score de 10/10 recientemente publicada que afecta a varios productos de la empresa WSO2.

WSO2 es una compañía dedicada al desarrollo de aplicaciones Open Source dirigidas, sobre todo, al sector financiero, salud, educación e IoT, entre otros. Entre sus clientes se encuentran marcas e instituciones como American Express, ING, Deutsche Bank, Ebay, Verifone, Scheneider Electric, la cadena hotelera Hilton o importantes servicios como Transportes de Londres o el Departamento de Aguas y Energía de Los Ángeles, entre otros.

Entre sus servicios más extendidos están “WSO2 API Manager”, “WSO2 Identity Server”, “WSO2 Enterprise Integrator” y “WSO2 Open Banking”, todos ellos afectados por la vulnerabilidad reportada el pasado 18 de abril con un CVSS Score de 10 sobre 10, el más alto en la escala e identificada como CVE-2022-29464.

Dicha vulnerabilidad es de extrema gravedad, ya que permite ser llevada a cabo por cualquiera, sin necesidad de escalar privilegios ni tener conocimientos técnicos avanzados. Las versiones afectadas de los productos de WSO2 permiten la carga de archivos sin restricciones haciendo posible así la ejecución de código remoto.

Se desconoce si ha sido o está siendo explotada activamente, pero teniendo en cuenta que uno de los servicios afectados, como es el “WSO2 API Manager“, gestiona actualmente más de 200.000 APIs de diferentes verticales de la industria y más de 50.000 millones de transacciones diarias, podría suponer un problema bastante serio.

FUENTE: https://unaaldia.hispasec.com/2022/05/multiples-apps-y-servicios-de-banca-y-salud-en-peligro-debido-a-una-nueva-vulnerabilidad-con-un-cvss-score-de-10-10.html

F5 advierte sobre errores críticos que permiten la ejecución remota de código en sistemas BIG-IP

La vulnerabilidad denominada CVE-2022-1388 está calificada por el Sistema de puntuación de vulnerabilidades comunes CVSS con una gravedad de 9.8 de 10.

F5 Networks advierte que esta vulnerabilidad crítica permite ejecutar comandos arbitrarios en sus sistemas BIG-IP sin la necesidad de estar autenticado y con solo tener acceso a la red.

De acuerdo con F5, la falla reside en la interfaz de transferencia de estado representativo (REST) para el marco iControl que se utiliza para comunicarse entre los dispositivos F5 y los usuarios.

Los actores de amenazas pueden enviar solicitudes no reveladas y aprovechar la falla para omitir la autenticación iControl REST y acceder a los sistemas F5 BIG-IP, un atacante puede ejecutar comandos arbitrarios, crear o eliminar archivos o deshabilitar servidores.

“Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso a la red al sistema BIG-IP a través del puerto de administración y / o direcciones de IP propia ejecute comandos arbitrarios del sistema, cree o elimine archivos o desactive servicios”…. “No hay exposición del plano de datos; este es solo un problema del plano de control ”.

dijo F5 en un aviso

La Agencia de Seguridad Cibernética e Infraestructura (CISA) emitió una alerta y aconsejó a los usuarios que aplicaran las actualizaciones requeridas.

Versiones afectadas
La vulnerabilidad de seguridad que afecta la versión del producto BIG-IP es:

  • 1.0 a 16.1.2
  • 1.0 a 15.1.5
  • 1.0 a 14.1.4
  • 1.0 a 13.1.4
  • 1.0 a 12.1.6
  • 6.1 a 11.6.5

El F5 no introducirá correcciones para las versiones 11.x (11.6.1 – 11.6.5) y 12.x (12.1.0 – 12.1.6), pero introdujo los parches para las versiones v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5.

El aviso de F5 aclara que el CVE-2022-1388 no tiene ningún efecto sobre otros productos F5: BIG-IQ Centralized Management, F5OS-A, F5OS-C o Traffic SDC

FUENTE: https://threatpost.com/f5-critical-bugbig-ip-systems/179514/

Caminando a Passwordless. FIDO sigue creciendo.

Uno de los temas mas recurrentes en estos días es la suplantación, el robo de contraseñas y los problemas que esto ocasiona cuando tratamos de evitarlo. Ya que con el continua crecimiento de las aplicaciones web y el fortalecimiento de las credenciales terminamos generando mucha fricción en la utilización de estas.

Pero cómo podemos conseguir los beneficios del mundo digital, disminuir la fricción y mantener la seguridad. Lo primero que se trato de hacer, fue robustecer la contraseña (algo que yo se), pero esto genera muchos problemas que se traducen en llamados telefónicos o peticiones para restablecer la password. Luego se empezó a masificar el uso de un segundo factor de autenticación del tipo físico – un token (algo que yo tengo), pero esto tenia un costo y si se extraviaba generaba algunos inconvenientes. Los mas osados comenzaron a ir a sistemas biométricos (algo que yo soy). Finalmente, y con la masificación del uso de los celulares, la pregunta fue: por que no podemos hacer algo que de la simpleza y la robustes que tiene el acceso a los celulares, es ahí donde organizaciones como FIDO Alliance entran a participa, generando los estándares necesarios para poder masificar una forma simple y robusta de acceder a los beneficios del mundo digital, sin perder la seguridad.

El acceso siempre ha sido un tema relevante, y lo que sí es claro es que caminamos a un mundo sin contraseñas, pero igualmente seguro. Partimos por el concepto de RBA (risk based authentication – autenticación basada en riesgo) y algunos mecanismos que haciendo uso de la inteligencia artificial pueden detectar con un margen de error quien es quien esta detrás de un teclado o un dispositivo móvil, basándose en un conjunto de variables extraídas del comportamiento típico de una persona al escribir o usar un dispositivo.

Por otro lado, organismos como FIDO Alliance, tratan de generar estandares pare el proceso de autenticación, es así como, este 5 de mayo, en un esfuerzo conjunto para hacer que la web sea más segura. Apple, Google y Microsoft anunciaron planes para expandir el soporte de un estándar común de inicio de sesión sin contraseña creado por FIDO Alliance y World Wide Web Consortium.

La nueva capacidad permitirá que los sitios web y las aplicaciones ofrezcan inicios de sesión sin contraseña consistentes, seguros y fáciles a los consumidores en todos los dispositivos y plataformas.

FIDO Alliance
La Alianza FIDO (Fast Identity Online), creada por algunas de las compañías tecnológicas líderes en el mundo, tiene como propósito cambiar la forma de autenticación ‘online’ para hacerla más segura y cómoda.

La Alianza FIDO ha creado una serie de estándares técnicos interoperables que facilitan la creación de experiencias de inicio de sesión seguras y rápidas en sitios web y aplicaciones. Esto facilita la identificación de los usuarios a través de sistemas biométricos, como la huella dactilar o el reconocimiento facial; así como mediante la autenticación de doble factor o factor múltiple, que consiste en comprobar varias veces mediante diferentes mecanismos que la persona es quien dice ser.

La autenticación de solo contraseña es uno de los mayores problemas de seguridad en la web, y administrar tantas contraseñas es engorroso para los consumidores, lo que a menudo lleva a los consumidores a reutilizar las mismas en todos los servicios. Esta práctica puede conducir a adquisiciones de cuentas costosas, filtraciones de datos e incluso identidades robadas. Si bien los administradores de contraseñas y las formas heredadas de autenticación de dos factores ofrecen mejoras incrementales, ha habido una colaboración en toda la industria para crear una tecnología de inicio de sesión que sea más conveniente y más segura.

Las capacidades ampliadas basadas en estándares darán a los sitios web y aplicaciones la capacidad de ofrecer una opción sin contraseña de extremo a extremo. Los usuarios iniciarán sesión a través de la misma acción que realizan varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella digital o rostro, o un PIN del dispositivo.

Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías heredadas de múltiples factores, como los códigos de acceso de un solo uso enviados por SMS.

FUENTE: https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/