Esta semana en ciberseguridad – Mayo 2022

Chrome 102 soluciona 32 Vulnerabilidades

Google anunció este martes el lanzamiento estable de Chrome 102, que soluciona 32 vulnerabilidades, incluida una falla crítica conocida como CVE-2022-1853, descrito como un error del tipo use-after-free que afecta a Indexed DB.

Chrome 102 también aborda ocho vulnerabilidades de alta gravedad reportadas por investigadores externos. La más grave denominada CVE-2022-1854, un componente ANGLE del navegador web, también del tipo use-after-free.

Las vulnerabilidades del tipo use-after-free generalmente pueden usarse para la corrupción de datos, ataques DoS o ejecución de código arbitrario. En el caso de Chrome, este tipo de errores también podría permitir que un atacante lo haga saltarse el sandbox del navegador, pero necesitaría combinarse con otra vulnerabilidad.

La lista de vulnerabilidades de alta gravedad remediadas en la última versión de Chrome también incluye CVE-2022-1855, un uso gratuito en Messaging y CVE-2022-1856, un uso gratuito en User Education.

Si bien no hay indicios de que estas vulnerabilidades hayan sido explotadas en ataques maliciosos, es importante que los usuarios mantengan el navegador actualizado ya que no es raro que los actores de amenazas lo apunten en sus operaciones.

Google conoce tres vulnerabilidades de Chrome que han sido explotado en ataques en lo que va del año.

En marzo, el gigante tecnológico confirmó haber visto un aumento en la explotación de día cero de Chrome, con 14 vulnerabilidades explotadas en 2021. La compañía atribuyó esta tendencia a varios factores, incluida la popularidad de Chrome, una mayor transparencia, la necesidad de encadenar múltiples fallas para un solo exploit y que el navegador se vuelva más complejo.

FUENTE: https://www.securityweek.com/chrome-102-patches-32-vulnerabilities

Vulnerabilidad ZeroDay en Cisco IOS XR.

Cisco lanzó el viernes un parche para la vulnerabilidad de gravedad media que afecta el software IOS XR que ya ha sido explotada.

Conocida como CVE-2022-20821 (puntaje CVSS: 6.5), el problema se relaciona con una vulnerabilidad de puerto abierto que podría ser utilizada por un atacante para conectarse a una instancia de Redis y lograr la ejecución de código.

“Un ataque exitoso podría permitir escribir archivos arbitrarios para recuperar información de la base de datos de Redis, aunque, dada la configuración del sandbox en que se ejecuta la instancia, el atacante no podría ejecutar código remoto en el host del software Cisco IOS XR”.

dijo Cisco en un aviso

La falla impacta los router de la serie Cisco 8000 que ejecutan el software IOS XR que tiene RPM instalado y activo.

Cisco recomienda encarecidamente que los clientes apliquen soluciones alternativas adecuadas o actualicen a una versión de software fija para remediar esta vulnerabilidad.

FUENTE: https://thehackernews.com/2022/05/cisco-issues-patches-for-new-ios-xr.html

ZeroTrust en el marco NIST para entornos Cloud

En los últimos meses en consecuencia de Log4j, muchas empresas han visto comprometidas sus credenciales e identidades, debido a ataques informáticos que usan brechas de terceros, ataques de APIs y exploits de aplicaciones como entrada. Estos ataques son síntomas del mismo problema: las organizaciones no tienen visibilidad de cómo se protegen y usan sus objetos de datos.

Hasta que los equipos de seguridad puedan responder en tiempo real qué datos tienen, quién tiene acceso a ellos y cómo se están utilizando, las organizaciones continuarán fallando al comunicar rápidamente el alcance de las brechas de seguridad dentro de la nube.

Cuando Samsung confirmó que el grupo de hackers de Lapsus$ había obtenido y filtrado casi 200 gigabytes de datos confidenciales, la primera pregunta para los clientes fue si los datos de sus clientes formaban parte o no de esa estadística o si Samsung tenía salvaguardas para protegerlos.

Afortunadamente, Samsung dijo que la información personal de ningún cliente estaba comprometida. Sin embargo, cuando Okta fue violado por el mismo grupo de hackers solo unas semanas después, su equipo de seguridad tuvo dificultades para comunicar que tanto los había afectado porque no podían determinar la ubicación y los privilegios de todos los datos dentro de su ecosistema. Este tipo de problemas generar desconfianza dentro de la comunidad empresari.

Con tanto en juego, un número cada vez mayor de organizaciones está eligiendo el modelo de Seguridad de Cero Confianza, que supone que existen usuarios no confiables en ambos lados del perímetro informático de una organización.

Los principios de Zero Trust, ya sean aplicados a identidades, redes u objetos de datos, ayudan a las organizaciones a mejorar sistemáticamente los riesgos de seguridad en visibilidad, detección, respuesta y protección. Sin embargo, en la empresa moderna, la implementación de Zero Trust para datos sin romper la lógica comercial es una nueva dirección que requiere un cambio cuidadoso de la gestión de la postura, detección-respuesta a la protección para evitar crear riesgos comerciales o interrupciones.

A medida que el concepto de Zero Trust continúa evolucionando, hay algunas formas prácticas en que las organizaciones pueden comenzar a eliminar el riesgo una vez que han mejorado la visibilidad y han encontrado una solución que funciona dentro de su nube o entorno on-prem.

El Instituto Nacional de Regulaciones y Tecnología (NIST) de los Estados Unidos, que ha publicado una serie de estándares de seguridad en la nube que tienen en cuenta la superposición de las regulaciones federales, incluida HIPAA y la Ley Federal de Gestión de Seguridad de la Información (FISMA), también es un gran punto de referencia. Proporciona materiales y detalles complementarios que actualizan a las organizaciones sobre cómo coinciden los controles y colaboran con otros estándares y marcos ampliamente aceptados. El modelo NIST incorpora el siguiente marco:

Visibilidad de la postura de seguridad:

Cuando las empresas tienen visibilidad de su postura de seguridad de datos, pueden determinar y establecer políticas para mejorar la protección de datos en todas las organizaciones basadas en la nube para ayudarlas a determinar mejor cómo deben tratarse los objetos de datos. Las herramientas de gestión de postura de seguridad de datos (DSPM) son un buen punto de partida para su viaje de cero confianza.

Detección-Respuesta :

Muchas identidades críticas y roles de servicio necesariamente necesitan permisos para grandes extensiones de datos para hacer su trabajo: identidades privilegiadas, aplicaciones que son frentes para bases de datos o data lakes, e incluso CI / CD, etc. El software de la cadena de suministro es un ejemplo de esto. Colocar los cinturones de seguridad de detección y respuesta alrededor de los objetos de datos de joyas de la corona los protege de tales identidades que se utilizan indebidamente a través de fallas de phishing o app-sec.

Protección:

Las organizaciones deben crear permisos y derechos, emitir campañas de limpieza y establecer modelos de gobernanza para prepararse de manera proactiva para responder a los incidentes de ciberseguridad detectados. Estas son campañas a más largo plazo con un valor estratégico importante y, por lo tanto, están informadas por la visibilidad precisa de cómo se utilizan los objetos de datos en diferentes funciones comerciales.

En pocas palabras, los datos son valiosos y el activo más persistente de una organización. Es fundamental que las organizaciones comprendan completamente dónde se encuentran sus secretos en toda su nube y entorno en las instalaciones. ¿Dónde están tus datos?? ¿Quién tiene acceso a él y se controla este acceso?? ¿Su organización mantiene autoridad sobre estos datos para que se puedan revocar privilegios excesivos o latentes cuando sea necesario??

Responder estas preguntas es fundamental para una estrategia moderna de seguridad de datos en la nube, especialmente cuando se enfrenta al desafío de operacionalizar el control de acceso o la seguridad de datos sin romper la lógica empresarial. Si no se responden, las organizaciones continuarán invirtiendo tiempo y recursos en protecciones tangenciales alrededor de redes y aplicaciones que dejan brechas significativas para que los datos sean explotados o tomados en busca de rescate.

FUENTE: https://threatpost.com/zero-trust-for-data/179706/