Archivos de la categoría: Noticia

Esta semana en ciberseguridad – Mayo 2022

Evita el WAF transformando las consultas SQL

Un equipo de investigadores utilizó el aprendizaje automático básico para generar solicitudes HTTP e identificar patrones que los firewalls comunes de aplicaciones web (WAFs) no detectan como malicioso, pero que permiten a un atacante pasar la seguridad proporcionada por estos.

Los investigadores de la Universidad de Zhejiang en China comenzaron con formas comunes de transformar los ataques de inyección para apuntar a las bases de datos de aplicaciones web utilizando el lenguaje de consulta estructurado (SQL) común. En lugar de utilizar una búsqueda de fuerza bruta de posibles derivaciones, el equipo creó una herramienta, AutoSpear, que utiliza un grupo de posibles derivaciones que se pueden combinar utilizando una estrategia de mutación ponderada y luego probar para determinar la efectividad de los desvíos para evadir la seguridad de ofertas de WAF como servicio.

La herramienta se omitió con éxito — medido por una tasa de falsos negativos — los siete WAF probados basados en la nube con una variedad de éxitos, desde un mínimo del 3% para ModSecurity hasta un máximo del 63% para los WAF de Amazon Web Services y Cloudflare, dijo Zhenqing Qu, un estudiante graduado de la Universidad de Zhejiang y miembro del equipo AutoSpear.

“Los estudios de caso han demostrado el potencial [de la herramienta], porque las firmas de detección no eran sólidas debido a varias vulnerabilidades”… “Simplemente agregar comentarios o espacios en blanco puede omitir algunos WAF, pero la mutación más efectiva depende de WAF específicos”.”

dijo Zhenqing Qu

Los firewalls de aplicaciones web AWS, Fortinet, F5 y CSC se implementaron utilizando los conjuntos de reglas administrados proporcionados por esos proveedores en la plataforma WAF de Amazon Web Services, mientras que los WAF de Cloudflare y Wallarm se compraron en el sitio web oficial de esas compañías, dijo Zhenqing. En muchos casos, el WAF independiente de un proveedor, como FortiWeb y FortiWeb Cloud de Fortinet, no se ve afectado por los mismos problemas que los conjuntos de reglas de WAF.

Los firewalls de aplicaciones web son una forma común de defender importantes programas en la nube y servicios web del ataque, filtrando ataques de aplicaciones comunes e intentos de inyectar comandos de bases de datos, también conocidos como inyección SQL (SQLi). Un estudio de 2020, por ejemplo, encontró que 4 de cada 10 profesionales de seguridad creían eso 50% de los ataques de capa de aplicación que apuntó a su aplicación en la nube omitió su WAF. Otros ataques se centran en comprometiendo a la WAF a través de su inspección del tráfico.

En su presentación, el equipo de la Universidad de Zhejiang se centró en formas de transformar las solicitudes utilizando 10 técnicas diferentes para los cuatro métodos de solicitud comunes: solicitudes POST y GET, ya sea utilizando la codificación JSON o no.

Los investigadores encontraron que los cuatro tipos diferentes de solicitudes fueron tratadas de la misma manera por conjuntos de reglas proporcionados por cuatro proveedores diferentes de WAF, mientras que otros abordaron las entradas de manera diferente.

Los ataques de inyección SQL siguen siendo un riesgo importante para muchas empresas. Los riesgos de seguridad web Top-10 de OWASP calificaron la clase de vulnerabilidad de inyección en la parte superior de su lista de riesgos en 2013 y 2017, y como el no. 3 riesgo en 2021. La lista, publicada aproximadamente cada cuatro años, utiliza más de 400 clases amplias de debilidades para determinar las amenazas más significativas para las aplicaciones web.

Omitir los firewalls de aplicaciones web generalmente se centran en tres enfoques generales. A nivel arquitectónico, los atacantes pueden encontrar formas de eludir el WAF y acceder directamente al servidor de origen. A nivel de protocolo, una variedad de técnicas pueden usar errores en la codificación, como HTTP request smuggling, para evitar los WAF. Finalmente, a nivel de payload, los atacantes pueden usar una variedad de transformación de codificación para engañar al WAF para que no detecte un ataque, mientras aún producen una solicitud válida desde el punto de vista del servidor de la base de datos.

Las transformaciones permitieron que los ataques fueran exitosos desde el 9% del tiempo hasta casi el 100% del tiempo, dependiendo del conjunto de reglas WAF y el formato de solicitud, declaró el equipo en su presentación. En un caso, el investigador descubrió que solo agregar un carácter de nueva línea, “/n”, omitía un WAF importante como servicio.

AWS, Cloudflare Afectado
El equipo de investigación informó las vulnerabilidades a los siete proveedores de WAF y conjuntos de reglas WAF: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity y Wallarm. Cloudflare, F5 y Wallarm han solucionado sus problemas, dijo Zhenqing. El equipo también proporcionó a los proveedores patrones de derivación que se pueden usar para detectar los tipos más comunes de transformaciones.

“Los otros cuatro todavía están trabajando con nosotros, ya que los defectos no se pueden reparar fácilmente”, dijo.

FUENTE: https://www.darkreading.com/cloud/transforming-sql-queries-bypasses-waf-security

DoQ: DNS a través QUIC

La privacidad es uno de los factores más importantes cuando navegamos por Internet. Simplemente con visitar una web estamos dejando algún rastro, pero hay protocolos y servicios que pueden ayudarnos a evitar este problema.

DNS a través de QUIC
El protocolo DNS fundamental traduce la información que ponemos en el navegador, así simplemente con poner el nombre del dominio nos deriva a la dirección IP correspondiente, por lo que no vamos a tener que recordar números sin mucho sentido. Sin embargo este protocolo, por sí mismo, no es fiable y no mantiene la privacidad. Hay opciones como DoH (DNS a través de HTTPS) o DoT (DNS a través de TLS) que cifran la conexión.

Algo así ocurre con QUIC, que es un protocolo de red creado por Google. Podemos decir que funciona de forma parecida a HTTP/2 y TLS/SSL, pero en vez de usar TCP se basa en UDP. De esta forma surge DoQ, que es DNS a través de QUIC.

Funciona de forma similar a DoT, por lo que mantiene la privacidad, pero utiliza QUIC Y DoH3, es decir, DNS a través de HTTP/3, lo que lo hace más veloz, evitando el intercambio de claves que usa el cifrado TLS y que va a ralentizar la conexión.

Además, DNS a través de QUIC o DoQ, también va a ser más seguro ya que corrige uno de los problemas principales de TCP, que es el envío del encabezado de los paquetes en texto plano, algo que puede quedarlo expuesto y que pueda leerse sin autenticación.

En definitiva, DNS va a poder funcionar a través del protocolo QUIC. Esto va a ayudar a mantener la privacidad al navegar por Internet, algo imprescindible hoy en día, pero sin tener ciertos problemas de velocidad y latencia que tienen otros protocolos similares. Por tanto, mantendremos la conexión cifrada y evitaremos que un tercero pueda interceptar lo que enviamos, pero al mismo tiempo manteniendo un funcionamiento óptimo de la conexión.

En este link https://www.rfc-editor.org/rfc/rfc9250.html se pueden ver todas las especificaciones de este protocolo.

FUENTE: https://blog.segu-info.com.ar/2022/05/dns-traves-de-quic.html

Malware (SuspSQLUsage) dirigido a SQL Server

Microsoft detectó una campaña maliciosa dirigida a servidores SQL que aprovecha un binario integrado de PowerShell para lograr la persistencia en los sistemas comprometidos.

Las intrusiones, que aprovechan los ataques de fuerza bruta como vector de compromiso inicial, se destacan por el uso de la utilidad “sqlps.exe“. Se desconocen los objetivos finales de la campaña, al igual que la identidad del actor de amenazas que la organiza. Microsoft está rastreando el malware con el nombre “SuspSQLUsage“.

La utilidad “sqlps.exe”, que viene de forma predeterminada con todas las versiones de SQL Server, permite que un Agente SQL, un servicio de Windows para ejecutar tareas programadas, ejecute trabajos utilizando el subsistema PowerShell.

“Los atacantes logran una persistencia sin archivos al generar la utilidad sqlps.exe, un contenedor de PowerShell para ejecutar cmdlets construidos en SQL, para ejecutar comandos de reconocimiento y cambiar el modo de inicio del servicio SQL a LocalSystem”.

señaló Microsoft.

Además, también se ha observado que los atacantes usan el mismo módulo para crear una nueva cuenta con la función de administrador del sistema, lo que les permite tomar el control de SQL Server.

Esta no es la primera vez que los actores de amenazas aprovechan binarios legítimos que ya están presentes en un entorno, una técnica llamada living-off-the-land (LotL), para lograr sus objetivos.

Una ventaja que ofrecen tales ataques es que tienden a no tener archivos porque no dejan ninguno (fileless) y es menos probable que las actividades sean marcadas por el software antivirus debido a que utilizan un software confiable.

La idea es permitir que el atacante se mezcle con la actividad normal de la red y las tareas administrativas normales, mientras permanece oculto durante largos períodos de tiempo.

“El uso de este binario poco común del tipo living-off-the-land (LOLBin) destaca la importancia de obtener una visibilidad completa del comportamiento en tiempo de ejecución de los scripts para exponer el código malicioso”, dijo Microsoft.

FUENTE: https://thehackernews.com/2022/05/hackers-gain-fileless-persistence-on.html

Esta semana en ciberseguridad – Mayo 2022

Vulnerabilidad crítica (10/10) en WSO2 afecta a servicios de banca y salud

Múltiples Apps y servicios de banca y salud están en peligro debido a una nueva vulnerabilidad con un CVSS Score de 10/10 recientemente publicada que afecta a varios productos de la empresa WSO2.

WSO2 es una compañía dedicada al desarrollo de aplicaciones Open Source dirigidas, sobre todo, al sector financiero, salud, educación e IoT, entre otros. Entre sus clientes se encuentran marcas e instituciones como American Express, ING, Deutsche Bank, Ebay, Verifone, Scheneider Electric, la cadena hotelera Hilton o importantes servicios como Transportes de Londres o el Departamento de Aguas y Energía de Los Ángeles, entre otros.

Entre sus servicios más extendidos están “WSO2 API Manager”, “WSO2 Identity Server”, “WSO2 Enterprise Integrator” y “WSO2 Open Banking”, todos ellos afectados por la vulnerabilidad reportada el pasado 18 de abril con un CVSS Score de 10 sobre 10, el más alto en la escala e identificada como CVE-2022-29464.

Dicha vulnerabilidad es de extrema gravedad, ya que permite ser llevada a cabo por cualquiera, sin necesidad de escalar privilegios ni tener conocimientos técnicos avanzados. Las versiones afectadas de los productos de WSO2 permiten la carga de archivos sin restricciones haciendo posible así la ejecución de código remoto.

Se desconoce si ha sido o está siendo explotada activamente, pero teniendo en cuenta que uno de los servicios afectados, como es el “WSO2 API Manager“, gestiona actualmente más de 200.000 APIs de diferentes verticales de la industria y más de 50.000 millones de transacciones diarias, podría suponer un problema bastante serio.

FUENTE: https://unaaldia.hispasec.com/2022/05/multiples-apps-y-servicios-de-banca-y-salud-en-peligro-debido-a-una-nueva-vulnerabilidad-con-un-cvss-score-de-10-10.html

F5 advierte sobre errores críticos que permiten la ejecución remota de código en sistemas BIG-IP

La vulnerabilidad denominada CVE-2022-1388 está calificada por el Sistema de puntuación de vulnerabilidades comunes CVSS con una gravedad de 9.8 de 10.

F5 Networks advierte que esta vulnerabilidad crítica permite ejecutar comandos arbitrarios en sus sistemas BIG-IP sin la necesidad de estar autenticado y con solo tener acceso a la red.

De acuerdo con F5, la falla reside en la interfaz de transferencia de estado representativo (REST) para el marco iControl que se utiliza para comunicarse entre los dispositivos F5 y los usuarios.

Los actores de amenazas pueden enviar solicitudes no reveladas y aprovechar la falla para omitir la autenticación iControl REST y acceder a los sistemas F5 BIG-IP, un atacante puede ejecutar comandos arbitrarios, crear o eliminar archivos o deshabilitar servidores.

“Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso a la red al sistema BIG-IP a través del puerto de administración y / o direcciones de IP propia ejecute comandos arbitrarios del sistema, cree o elimine archivos o desactive servicios”…. “No hay exposición del plano de datos; este es solo un problema del plano de control ”.

dijo F5 en un aviso

La Agencia de Seguridad Cibernética e Infraestructura (CISA) emitió una alerta y aconsejó a los usuarios que aplicaran las actualizaciones requeridas.

Versiones afectadas
La vulnerabilidad de seguridad que afecta la versión del producto BIG-IP es:

  • 1.0 a 16.1.2
  • 1.0 a 15.1.5
  • 1.0 a 14.1.4
  • 1.0 a 13.1.4
  • 1.0 a 12.1.6
  • 6.1 a 11.6.5

El F5 no introducirá correcciones para las versiones 11.x (11.6.1 – 11.6.5) y 12.x (12.1.0 – 12.1.6), pero introdujo los parches para las versiones v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5.

El aviso de F5 aclara que el CVE-2022-1388 no tiene ningún efecto sobre otros productos F5: BIG-IQ Centralized Management, F5OS-A, F5OS-C o Traffic SDC

FUENTE: https://threatpost.com/f5-critical-bugbig-ip-systems/179514/

Caminando a Passwordless. FIDO sigue creciendo.

Uno de los temas mas recurrentes en estos días es la suplantación, el robo de contraseñas y los problemas que esto ocasiona cuando tratamos de evitarlo. Ya que con el continua crecimiento de las aplicaciones web y el fortalecimiento de las credenciales terminamos generando mucha fricción en la utilización de estas.

Pero cómo podemos conseguir los beneficios del mundo digital, disminuir la fricción y mantener la seguridad. Lo primero que se trato de hacer, fue robustecer la contraseña (algo que yo se), pero esto genera muchos problemas que se traducen en llamados telefónicos o peticiones para restablecer la password. Luego se empezó a masificar el uso de un segundo factor de autenticación del tipo físico – un token (algo que yo tengo), pero esto tenia un costo y si se extraviaba generaba algunos inconvenientes. Los mas osados comenzaron a ir a sistemas biométricos (algo que yo soy). Finalmente, y con la masificación del uso de los celulares, la pregunta fue: por que no podemos hacer algo que de la simpleza y la robustes que tiene el acceso a los celulares, es ahí donde organizaciones como FIDO Alliance entran a participa, generando los estándares necesarios para poder masificar una forma simple y robusta de acceder a los beneficios del mundo digital, sin perder la seguridad.

El acceso siempre ha sido un tema relevante, y lo que sí es claro es que caminamos a un mundo sin contraseñas, pero igualmente seguro. Partimos por el concepto de RBA (risk based authentication – autenticación basada en riesgo) y algunos mecanismos que haciendo uso de la inteligencia artificial pueden detectar con un margen de error quien es quien esta detrás de un teclado o un dispositivo móvil, basándose en un conjunto de variables extraídas del comportamiento típico de una persona al escribir o usar un dispositivo.

Por otro lado, organismos como FIDO Alliance, tratan de generar estandares pare el proceso de autenticación, es así como, este 5 de mayo, en un esfuerzo conjunto para hacer que la web sea más segura. Apple, Google y Microsoft anunciaron planes para expandir el soporte de un estándar común de inicio de sesión sin contraseña creado por FIDO Alliance y World Wide Web Consortium.

La nueva capacidad permitirá que los sitios web y las aplicaciones ofrezcan inicios de sesión sin contraseña consistentes, seguros y fáciles a los consumidores en todos los dispositivos y plataformas.

FIDO Alliance
La Alianza FIDO (Fast Identity Online), creada por algunas de las compañías tecnológicas líderes en el mundo, tiene como propósito cambiar la forma de autenticación ‘online’ para hacerla más segura y cómoda.

La Alianza FIDO ha creado una serie de estándares técnicos interoperables que facilitan la creación de experiencias de inicio de sesión seguras y rápidas en sitios web y aplicaciones. Esto facilita la identificación de los usuarios a través de sistemas biométricos, como la huella dactilar o el reconocimiento facial; así como mediante la autenticación de doble factor o factor múltiple, que consiste en comprobar varias veces mediante diferentes mecanismos que la persona es quien dice ser.

La autenticación de solo contraseña es uno de los mayores problemas de seguridad en la web, y administrar tantas contraseñas es engorroso para los consumidores, lo que a menudo lleva a los consumidores a reutilizar las mismas en todos los servicios. Esta práctica puede conducir a adquisiciones de cuentas costosas, filtraciones de datos e incluso identidades robadas. Si bien los administradores de contraseñas y las formas heredadas de autenticación de dos factores ofrecen mejoras incrementales, ha habido una colaboración en toda la industria para crear una tecnología de inicio de sesión que sea más conveniente y más segura.

Las capacidades ampliadas basadas en estándares darán a los sitios web y aplicaciones la capacidad de ofrecer una opción sin contraseña de extremo a extremo. Los usuarios iniciarán sesión a través de la misma acción que realizan varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella digital o rostro, o un PIN del dispositivo.

Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías heredadas de múltiples factores, como los códigos de acceso de un solo uso enviados por SMS.

FUENTE: https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/

Esta semana en ciberseguridad – Mayo 2022

Avanzando hacia la Privacidad de Datos Personales.

Esta semana se publicó Tails 5.0, un sistema operativo basado en Debian GNU/Linux 11 “Bullseye” cuya principal características es que es completamente anónimo, permitiendo una navegación en internet sin dejar rastros.

Este sistema operativo además es portable y permite la ejecución desde un pendrive. Tiene como entorno de escritorio GNOME 3.38 y permite la transferencia de información encriptada.

El navegador web anónimo incluido es TOR Browser 11.0.10, basado en Mozilla Firefox, quien ya ha invertido mucho en investigación y desarrolla para conseguir una navegación que no pueda ser seguida por bots o Cookies que envían nuestra información de preferencias a empresas con fines publicitarios.

REFERENCIAS: https://tails.boum.org/news/version_5.0/index.es.html

CISA publica las 15 vulnerabilidades que sí o sí debes parchear.

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) en conjunto con las autoridades de ciberseguridad de los Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido dieron a conocer las 15 principales vulnerabilidades y exposiciones comunes (CVE) explotadas habitualmente por actores cibernéticos maliciosos en 2021.

  • CVE-2021-44228 – Log4Shell
  • CVE-2021-40539 – Zoho ManageEngine AD SelfService Plus
  • CVE-2021-34523 / CVE-2021-34473 / CVE-2021-31207 / CVE-2021-27065 / CVE-2021-26858 / CVE-2021-26857 / CVE-2021-26855 – ProxyShell – Microsoft Exchange Server
  • CVE-2021-26084 – Atlassian Confluence Server and Data Center
  • CVE-2021-21972 – VMware vSphere Client
  • CVE-2020-1472 – ZeroLogon – Microsoft Netlogon Remote Protocol (MS-NRPC)
  • CVE-2020-0688 – Microsoft Exchange Server
  • CVE-2019-11510 – Pulse Secure Pulse Connect Secure
  • CVE-2018-13379 – Fortinet FortiOS and FortiProxy

Las organizaciones deben aplicar las mitigaciones recomendadas por CISA. Estas mitigaciones incluyen la aplicación de parches oportunos a los sistemas y la implementación de un sistema centralizado de gestión de parches para reducir el riesgo de compromiso por parte de actores cibernéticos malintencionados.

REFERENCIA: https://www.cisa.gov/uscert/ncas/alerts/aa22-117a

HTTPA: ¿el protocolo sucesor de HTTPS?

HTTPS es el principal protocolo utilizado por aplicaciones y páginas web. Ofrece una conexión rápida, segura y privada, pero aun tiene ciertas limitaciones que hacen que no sea un protocolo perfecto en cuanto a seguridad y privacidad, dado que asume que ambas partes, cliente y servidor son de confianza. Es por esto que se esta generando esta sugerencia para migrar a HTTPA.

¿Qué es HTTPA?
HTTPA (HTTPS Attestable) no es más que una nueva versión de HTTPS que añade una capa extra de seguridad. Con este protocolo toda la información que se comparta se hará mediante un software seguro y en un entorno fiable (TEE). Esto es posible gracias al uso de certificados adicionales y técnicas de criptografía para garantizar que nadie pueda interceptar los datos ni que se hayan modificado durante el proceso; ya sea por parte de un usuario malintencionado o un software fraudulento.

Si en HTTPS se asume que las dos partes son de confianza y que el intercambio de información se hará de forma segura, con HTTPA se confía en el cliente pero no en el servidor. Será el cliente quien tendrá que permitir que el servidor pueda ejecutar el código, aunque no puede garantizarse que todo el servidor sea un entorno seguro. Es decir, HTTPA añade un extra de seguridad, pero sigue arrastrando algunas limitaciones de HTTPS.

¿Cómo funciona?
Según el documento en el que se describe HTTPA, su funcionamiento se divide en tres fases:

  1. Una fase inicial de solicitud y respuesta de la verificación previa HTTP, se comprueba si el servidor acepta o no HTTPA.
  2. Una fase intermedia de solicitud y respuesta de atestación HTTP, que verifica el envío de la información.
  3. Por último, la solicitud y respuesta de sesión de confianza HTTP, que gestiona la solicitud de información y su envío.

De esta forma se mejora la seguridad en internet al introducir la atestación remota, un mecanismo que permite garantizar la máxima seguridad de los datos. Todo con la intención de que los servicios en internet permitan al usuario verificar que el intercambio se realiza en las condiciones más seguras, al verificar antes de proceder al envío de datos que existe una certificación adicional.

Este proceso podría ocasionar problemas de ancho de banda y aumento de la latencia, ya que los datos deben atravesar un camino más largo entre emisor y receptor. En cualquier caso, sus creadores aseguran que los tiempos serán muy parecidos a los obtenidos con HTTPS.

Por el momento HTTPA no es más que una sugerencia, aún quedaría por lanzar oficialmente la propuesta de creación de un nuevo estándar y abrir una consulta pública.

REFERENCIA: https://blog.segu-info.com.ar/2022/05/httpa-el-protocolo-sucesor-de-https.html

Esta semana en ciberseguridad – Abril 2022

Elementor Website Builder de WordPress Comprometido

Se ha encontrado que Elementor, un complemento de creación de sitios web de WordPress con más de cinco millones de instalaciones activas, es vulnerable a una falla de ejecución de código remoto (RCE) autenticada que podría ser abusada para hacerse cargo de los sitios web afectados.

La vulnerabilidad del complemento esta vinculada a la version 3.6.0 que fue lanzada el 22 de marzo de 2022 y aproximadamente el 37% de los usuarios de este complemento ya esta en esta versión.

“El código malicioso proporcionado por el atacante puede ser ejecutado por el sitio web”…”En este caso, es posible que la vulnerabilidad sea explotable por alguien que no haya iniciado sesión en WordPress…”

Según los investigadores

FUENTE: https://thehackernews.com/2022/04/critical-rce-flaw-reported-in-wordpress.htm

Tendencias de ciberseguridad 2022

McKinsey examina tres de las últimas tendencias de ciberseguridad y sus implicaciones para las organizaciones que se enfrentan a ciber-riesgos, amenazas nuevas y emergentes.

“La interrupción digital es inevitable y conducirá a un rápido cambio impulsado por la tecnología. A medida que las organizaciones realizan inversiones a gran escala en tecnología, ya sea en un espíritu de innovación o por necesidad, deben ser conscientes de los ciberriesgos asociados. Los atacantes están explotando las vulnerabilidades que introducen las nuevas tecnologías, e incluso los mejores controles cibernéticos se vuelven obsoletos rápidamente en este mundo digital acelerado. Las organizaciones que buscan posicionarse de manera más efectiva durante los próximos cinco años deberán adoptar un enfoque implacable y proactivo para construir capacidades defensivas sobre el horizonte”.

Jim Boehm, Charlie Lewis y Kathleen Li

Las 3 tendencias en ciberseguridad y la forma en que se podrían abordar:

  1. El acceso bajo demanda a distintas plataformas de datos e información.
    Este acceso requiere de cuatro capacidades de ciberseguiridad:
    1. Arquitectura de confianza cero
    2. Análisis Conductual
    3. Monitoreo de Registros elásticos para grandes conjuntos de datos.
    4. Cifrado homomórfico.
  2. La utilización de IA, aprendizaje automático y otras tecnologías para lanzar ataques cada vez más sofisticados
    Para contrarrestar ataques más sofisticados impulsados por la IA y otras capacidades avanzadas, las organizaciones deben adoptar un enfoque basado en el riesgo para la automatización y las respuestas automáticas a los ataques. La automatización debe centrarse en las capacidades defensivas, como las contramedidas del centro de operaciones de seguridad (SOC) y las actividades intensivas en mano de obra, como la gestión de identidad y acceso (IAM) y los informes. La IA y el aprendizaje automático deben usarse para mantenerse al tanto de los cambios en los patrones de ataque. Finalmente, el desarrollo de respuestas organizativas automáticas técnicas y automáticas a las amenazas de ransomware ayuda a mitigar el riesgo en caso de un ataque.
  3. Un panorama regulatorio cada vez mayor y sus brechas en recursos, conocimiento y talento.
    El mayor escrutinio regulatorio y las brechas en conocimiento, talento y experiencia refuerzan la necesidad de construir e integrar la seguridad en las capacidades tecnológicas a medida que se diseñan, construyen e implementan. Además, las capacidades como la seguridad como el código y una lista de materiales del software ayudan a las organizaciones a implementar capacidades de seguridad y mantenerse a la vanguardia de las consultas de los reguladores.

FUENTE: https://www.mckinsey.com/cybersecurity/cybersecurity-trends-looking-over-the-horizon

Cómo evaluar la seguridad de los proveedores de servicios en la nube

La adopción de la nube pública está aumentando entre las empresas de todos los sectores. En una encuesta reciente [1]

[1] https://cloudsecurityalliance.org/press-releases/2021/03/30/cloud-security-alliance-releases-latest-survey-report-on-state-of-cloud-security-concerns-challenges-and-incidents/

más de la mitad de las empresas indicaron que ahora están ejecutando al menos el 41% de sus cargas de trabajo en la nube pública, una tendencia que seguramente se acelerará en 2022, ese mismo estudio muestra que los problemas de la nube y las desconfiguraciones son las principales causas de las brechas y las interrupciones.

Los tres grandes proveedores de servicios [2] en la nube pública en 2022 son:

[2] https://www.threatstack.com/blog/7-cloud-service-evaluation-criteria-to-help-you-choose-the-right-cloud-service-provider

  • Amazon Web Services (AWS), con el 62% del mercado,
  • Microsoft Azure, con un 20%, y
  • Google Cloud Platform (GCP), con un 12%.

Vamos a centrar nuestra atención en lo que hay que tener en cuenta al elegir un proveedor de la nube.

  1. Comprobar la adhesión a los standards y frameworks
    Algunas de las normas más comunes que hay que buscar son la ISO-27001, la ISO-27002 y la ISO-27017, que indican que el proveedor sigue las mejores prácticas de seguridad y se esfuerza activamente por reducir los riesgos. Otra norma importante es la ISO-27018, que indica que el proveedor protege suficientemente la información personal identificable.
    También hay que tener en cuenta las leyes gubernamentales y normativas, como el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Protección del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS).
  1. Auditar los procesos operativos y empresariales
    La mayoría de los proveedores de servicios en la nube ofrecen documentación que describe su cumplimiento de las directrices y normativas corporativas, gubernamentales y del sector. Esto es un comienzo, pero es importante ir un paso más allá y solicitar información adicional.
    Como regla general, considere la posibilidad de buscar informes de seguridad de terceros de auditores y agencias independientes. Si un proveedor se resiste a proporcionar información o no puede hacerlo con rapidez, podría ser una señal de alarma de que no está actuando en su beneficio.
  1. Comprobar los controles de autenticación e identidad
    El almacenamiento de datos y aplicaciones en la nube introduce nuevos riesgos de acceso. En lugar de acceder a los datos y aplicaciones in situ, los trabajadores pueden utilizarlos desde casi cualquier lugar del mundo. Esto aumenta la probabilidad de robo y uso indebido.
    Por esta razón, es fundamental asociarse con proveedores de la nube que ofrecen controles sólidos de autenticación e identidad . Por ejemplo, el proveedor debe ofrecer autenticación multifactorial (MFA) para los inicios de sesión. Además, las herramientas de monitoreo de identidades en tiempo real y Cloud Infrastructure Entitlements Management (CIEM3) vigilan de cerca todas las identidades (personales y no personales) de su entorno.

https://sonraisecurity.com/use-cases/identity/

  1. Comprender las procesos internos del proveedor y las políticas de acceso
    La migración a la nube y el uso de infraestructura de terceros requiere una gran confianza entre la organización y el proveedor de la nube. Después de todo, una parte importante de sus cargas de trabajo fluirá a través de la infraestructura de un tercero cuando utilice la nube.
    Para proteger su empresa, es necesario definir las políticas de acceso y gobernanza del proveedor. De este modo, tendrá una idea clara de lo que controla el proveedor de la nube y de lo que puede hacer con sus datos. Sin una sólida política de gobierno y acceso del proveedor, su empresa podría arriesgarse a perder incidentes de seguridad y violaciones de la privacidad.
  1. Garantizar el acceso a los registros de auditoría corporativos
    Un registro de auditoría es una línea que resume la fecha y la hora de transacciones específicas en la nube. En otras palabras, muestra quién realiza acciones específicas y cuándo las lleva a cabo.
    El proveedor de la nube debe proporcionar acceso directo a los datos de los registros de auditoría corporativa, para una visibilidad y transparencia completas. Sin este tipo de información, puede ser difícil o incluso imposible realizar una reconstrucción de un evento en particular.
  1. Comprender los recursos de gestión interna
    La migración a la nube pública no es algo que se establece y se olvida. Necesitas conocer a fondo los recursos disponibles que vas a utilizar. Al mismo tiempo, también debe saber qué debe hacer para proteger su entorno de nube.
    Tenga en cuenta que los proveedores de la nube suelen tener modelos de responsabilidad compartida, con marcos específicos para asegurar y supervisar las cargas de trabajo. Los marcos de seguridad en la nube pueden incluir descripción de controles, informes de cumplimiento y protocolos de gestión de identidades o de configuraciones erróneas.
  1. Examinar los SLA
    Los SLA son es el acuerdo oficial entre la organización y el proveedor de servicios en la nube. En un nivel alto, el SLA se encarga de esbozar el nivel de servicio que recibe el cliente. También define las consideraciones de seguridad, incluyendo las responsabilidades compartidas, la fiabilidad, el mantenimiento y el soporte, el gobierno y la auditoría de los datos.
    Dado que el acuerdo de nivel de servicio rige esencialmente la relación con el proveedor de la nube, es necesario examinar el documento y tener una comprensión completa de lo que implica. También es una buena idea incluir en el proceso a los responsables de la seguridad, los equipos jurídicos y otros responsables de la toma de decisiones para evitar dejar nada al azar.
  1. Comprender los precios de los servicios de seguridad
    Muchos de los principales proveedores de la nube ofrecen servicios de seguridad avanzados por un cargo adicional. Por ejemplo, AWS tiene el AWS Security Hub y GCP tiene el Security Command Center. Estos tipos de servicios proporcionan visibilidad y control centralizados, informes de desconfiguración, inteligencia sobre amenazas y mucho más.
    Hable con sus asesores de seguridad y determine si necesita pagar por este tipo de servicio o si es mejor utilizar herramientas estándar. Es posible que pueda evitar el pago de fuertes cuotas de suscripción y reducir el coste total del proyecto.
  1. Examine la ubicación del almacenamiento de datos
    Antes de migrar a la nube, determine el nivel de seguridad y confidencialidad que necesitan sus datos, es decir, clasifique sus datos. Esto le ayudará a analizar el entorno de almacenamiento del proveedor de la nube y a determinar si se ajusta a sus necesidades específicas.
    También querrás investigar dónde almacena realmente tus datos el proveedor. Los proveedores suelen almacenar y procesar los datos en países con normas de seguridad mínimas. Esto podría amenazar potencialmente tus datos personales en la nube y exponerte a violaciones de la privacidad.
  1. Evaluar las capacidades de integración de terceros
    Es necesario comprobar si la plataforma admite integraciones de seguridad de terceros para determinar el nivel de control y personalización que tendrá.
    Las empresas suelen crear modelos de seguridad en la nube personalizados utilizando varias protecciones y servicios de supervisión de terceros. Un proveedor nube nunca debería limitarte a sus servicios. La flexibilidad y las integraciones son la clave del éxito en la nube.
  1. Evaluar uptime y performance
    Los proveedores de la nube pueden sufrir interrupciones y tiempos de inactividad como cualquier otra empresa. Cuando esto ocurre, los clientes se ven directamente afectados. En un ejemplo reciente, Apple tuvo una interrupción masiva del servicio que afectó a numerosas aplicaciones.
    Busqué en profundidad métricas de uptime y performance y analice los datos para determinar la frecuencia con la que el proveedor de la nube experimenta interrupciones y el tiempo medio de resolución.
  1. Compruebe si hay un historial de violación o pérdida de datos
    Otra forma de examinar la seguridad de un proveedor de la nube es investigar la cantidad total de pérdidas de datos y violaciones.
    Al investigar este tipo de información, primero hay que tener en cuenta el contexto. También querrá examinar el tamaño y el alcance del proveedor y el nivel de responsabilidad compartida que ofrece.
  1. Analizar los procesos de copia de seguridad y recuperación de desastres
    Las interrupciones y los desastres pueden ocurrir en cualquier momento. Es vital contar con un sólido proceso de copia de seguridad y recuperación para proteger sus activos en la nube.
    A la hora de seleccionar un proveedor de la nube, estudie sus disposiciones y procesos de recuperación de desastres. Asegúrate de que tienen la capacidad de preservar y restaurar los datos sin problemas.
  1. Busque servicios de migración y soporte
    La migración de las cargas de trabajo de los entornos on-prem a la nube puede ser una tarea compleja y pesada. Las empresas que intentan hacerlo con recursos internos suelen tener dificultades y se encuentran con problemas de rendimiento, desafíos de migración y errores de seguridad.
    Para evitar complicaciones, conviene comprobar si el proveedor de la nube ofrece servicios de migración. Por ejemplo, tanto Azure como AWS facilitan la transferencia de cargas de trabajo de forma segura y eficiente.
  1. Revise la planificación de la salida y evite el bloqueo
    Como dice el refrán, sepa dónde están las salidas. Es posible que empiece a trabajar con un proveedor de la nube y tenga que abandonar el barco por motivos de seguridad, costes, rendimiento o cambio de estrategia.
    El bloqueo del proveedor de la nube se produce cuando un proveedor de la nube hace que sea difícil o incluso imposible romper los lazos con él. Esto suele ocurrir cuando el coste de abandonar el proveedor es tan exorbitante que la empresa tiene que seguir trabajando con él.

Consideraciones Finales
Como puede ver, migrar a la nube no es un paseo. Por el contrario, es un proceso complicado con mucho que considerar, especialmente cuando se trata de la seguridad.

Controlar la seguridad en la nube puede ser muy complejo, tanto si gestionas una como varias plataformas en la nube. Para facilitar el proceso y avanzar en el nivel de seguridad, resulta útil aprovechar una plataforma de seguridad en la nube que ofrezca visibilidad a todos los proveedores.

Fuente: https://securityboulevard.com/2022/04/how-to-evaluate-cloud-service-provider-security-checklist

Esta semana en ciberseguridad – Abril 2022

Vulnerabilidades Críticas de Microsoft

Las actualizaciones de este martes de abril de Microsoft abordaron un total de 128 vulnerabilidades de seguridad que abarcan todos sus productos, incluidos Windows, Defender, Office, Exchange Server, Visual Studio y Print Spooler, entre otros.

10 de los 128 errores corregidos se calificaron como Críticos, 115 se calificaron como Importantes y tres se calificaron como Moderados, con una de las fallas enumeradas como conocidas públicamente y otra bajo ataque activo en el momento del lanzamiento.

Las actualizaciones se suman a otras 26 fallas resueltas por Microsoft en su navegador Edge basado en Chromium desde principios de mes.

La falla explotada activamente (CVE-2022-24521, puntaje CVSS: 7.8) se relaciona con una vulnerabilidad de elevación de privilegios en el Common Log File System Driver de Windows (CLFS).

La segunda falla “Zero-Day” conocida públicamente (CVE-2022-26904, puntaje CVSS: 7.0) también se refiere a un caso de escalamiento de privilegios en el Servicio de perfil de usuario de Windows, cuya explotación exitosa “requiere que un atacante genere una condición de carrera”.

FUENTE: https://thehackernews.com/2022/04/microsoft-issues-patches-for-2-windows.html

Vulnerabilidades Críticas de VMWare

El 6 de abril, VMware publicó un aviso (VMSA-2022-0011) que aborda ocho vulnerabilidades en varios productos de VMware: las ocho vulnerabilidades fueron reveladas a VMware por Steven Seeley, un investigador de seguridad del Qihoo 360 Vulnerability Research Institute.

La más grave de ellas es la CVE-2022-22954, una vulnerabilidad de inyección de plantilla del lado del servidor en VMware Workspace ONE Access and Identity Manager. A esta vulnerabilidad se le asignó una puntuación CVSSv3 de 9,8. Un atacante no autenticado con acceso a la red podría aprovechar esta vulnerabilidad enviando una solicitud especialmente diseñada a un VMware Workspace ONE o Identity Manager vulnerable. La explotación exitosa podría resultar en la ejecución remota de código al explotar una falla de inyección de plantilla del lado del servidor.

FUENTE: https://www.tenable.com/blog/vmware-patches-multiple-vulnerabilities-in-workspace-one-vmsa-2022-0011

Guía de NIST – Enterprise Patch Management Planning

El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology y SP 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways.

La administración de parches empresariales es el proceso de identificar, priorizar, adquirir, instalar y verificar la instalación de parches, actualizaciones y mejoras en toda una organización.

FUENTE: https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final

Esta semana en ciberseguridad – Abril 2022

42% de los desarrolladores insertan código vulnerable

Según un estudio de Tromzo, el 42% de los desarrolladores insertan regularmente código vulnerable, pero esto se debe a la gran cantidad de problemas de seguridad que deben abordarse sin una adecuada priorización.

Otros datos revelados por este interesante informe son:

  • Los desarrolladores corrigen solo el 32% de las vulnerabilidades conocidas
  • Un tercio de las vulnerabilidades son ruido
  • El 23% cree que los desarrolladores y seguridad están aislados.
  • El 62% de los desarrolladores utilizan 11 o más herramientas de seguridad de aplicaciones.
  • El 80% se sorprendería si vieran a su empresa en las noticias por una brecha de seguridad.
  • Casi el 20% cree que más del 75% de las alertas son falsas.

FUENTE: https://blog.segu-info.com.ar/2022/04/42-de-los-desarrolladores-insertan.html

Spring4Shell (CVE-2022-22965)

Un viejo amigo de la casa nos deja este interesante articulo donde habla de una nueva vulnerabilidad de día cero detectada el 29 de marzo denominada “Spring4Shell” que permite la ejecución de código remoto no autenticado en aplicaciones vulnerables utilizando el acceso ClassLoader.

Esta vulnerabilidad se reconoce por su código CVE-2022–22965, y aunque tiene un nombre similar a Log4Shell no es tan mala como esta última, ya que requiere ciertos requisitos previos para ser explotada.

FUENTE: https://www.traceable.ai/blog-post/spring4shell-vulnerability-cve-2022-22965-enables-remote-code-execution-when-using-the-spring-framework

2FA en SSH

Si bien este articulo es un tanto antiguo (09/02/21), siempre es bueno recordar como poder obtener un poco mas de seguridad, sobre todo cuando se trata de un servicio tan popular como lo es SSH y sobre todo si este servicio esta expuesto a internet.

En este articulo se explica como agregar un segundo factor de autenticación al servicio SSH, y acá te dejo un resumen de los pasos a seguir basados en Linux Ubuntu Server 20.04.2 LTS.

  • Instalar el módulo PAM desarrollado por google
    sudo apt install libpam-google-authenticator
  • Configurar el módulo PAM, añadiendo al final del fichero /etc/pam.d/sshd la línea auth required pam_google_authenticator.so
  • Chequear que el parametro ChallengeResponseAuthentication de /etc/ssh/sshd_config este en yes.
  • reiniciar el servicio.
    sudo systemctl restart sshd.service
  • iniciar sesión con el usuario a configurar y ejecutar google-authenticator respondiendo “y” a todas las preguntas que nos haga a excepción de la penúltima donde damos “n”.
  • Con esto se despliega un QR para vincular la cuenta con la aplicación de google en nuestro smartphone

FUENTE: https://derechodelared.com/segundo-factor-de-autenticacion-ssh/

Esta semana en ciberseguridad – Marzo 2022

Vulnerabilidad Crítica de Google Chrome, Edge, etc.

Google Chrome, Edge y Brave acaban de liberar una actualización de seguridad de emergencia para los navegadores basados en Chromium. Se trata de la versión Chromium 99.0.4844.84 que viene a resolver una única vulnerabilidad, pero una extremadamente crítica.

El problema, que afecta a los usuarios de Windows, Linux y macOS, ha sido clasificado como de severidad alta e identificado como CVE-2022-1096. La empresa urge a los usuarios a actualizar cuanto antes pues se ha detectado que ya existe un exploit.

CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde el comienzo del año, el primero CVE-2022-0609, una vulnerabilidad sin uso posterior en el componente de Animación que se parcheó el 14 de febrero de 2022.

Se trata de una vulnerabilidad “type confusion” en V8, el motor de Javascript gratuito, de código abierto, y WebAssembly de Chrome. Diseñado por Chromium Project para los navegadores web Google Chrome y Chromium.

FUENTE: https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html

Browser-in-the-Browser (BitB) Attack

¿Podemos confiar en los navegadores web para protegernos, incluso si dicen “https”? No, con el nuevo ataque de BitB, que falsifica ventanas emergentes de SSO para eliminar credenciales para Google, Facebook, Microsoft, etc.

Se ha descubierto un kit de phishing que permite a ciberdelincuentes crear ventanas falsas para el navegador Chrome que les permita robar información a modo de phishing.

Al iniciar la sesión en muchos sitios web, es habitual contar con la opción de acceder con Google, Microsoft, Apple, Twitter o incluso Steam. Por ejemplo, el formulario de inicio de sesión de DropBox permite iniciar sesión con una cuenta de Apple o Google.

este ataque crea ventanas falsas del navegador dentro de ventanas reales del navegador (Browser in the Browser) para crear ataques de phishing que parecen muy realistas.

Este ataque crea ventanas falsas del navegador dentro de ventanas del navegador muy reales, al hacer clic en los botones de inicio de sesión único (SSO) en Google o en la aplicación y que pedirá que introduzcas tus credenciales para luego inicies sesión en la cuenta.

FUENTE: https://threatpost.com/browser-in-the-browser-attack-makes-phishing-nearly-invisible/179014/

Zero Trust en nuestros días y como enfrentarlo

A una mamá cualquiera le llega un WhatsApp de una sobrina pidiéndole que le deposite dinero porque tuvo tal accidente y que no quiere contarlo, por eso necesita que sea discreta, en el mismo momento, a un gerente de administración y finanzas que acaba de recibir la aprobación de un gerente general para que pague tal factura, le llega un correo del gerente indicando que en vez de pagar en tal cuenta que debe pagar en otra.

Estas dos situaciones tienen algo en común, ¿porque desconfiar?, la mamá habla regularmente por WhatsApp y sabe que la sobrina no le pediría dinero si realmente no la necesitara, el gerente de administración y finanzas lleva varios correos intercambiados por el tema, si bien ambas situaciones son extrañas no alcanza para desconfiar.

Qué hacer?

Ambas situaciones son casos típicos de estafas informáticas hoy día, si bien las personas críticas se les puede entrenar para “desconfiar” y pedir confirmación personal de las solicitudes, lo cual es siempre recomendable, a nivel masivo y automático se deben tener herramientas para proteger a las personas y a las organizaciones de este tipo de amenazas, se necesita poder desconfiar, de quien se está conectando, desde donde se está conectando y con que se está conectando por que como ya vimos en la confianza está el riesgo.

Decir lo anterior es más fácil decirlo que hacerlo, una ayuda muy útil es usar estándares como NIST CSF o NERC CIP, pero nos basaremos en el estándar CIP el cual nace conceptualmente en temas de ciberseguridad, acá las recomendaciones más básicas:

  1. Inventario y Control de Activos Empresariales: Para poder tener control primero se debe tener visualización de los activos que se conectan a la organización de manera automática y en tiempo real, las soluciones por excelencia para esto son los NAC (control de acceso a la red).
  2. Inventario y Control de Activos de Software: El objetivo del control de software es poder determinar si el aplicativo que se está usando corresponde al usado normalmente, si este software tiene vulnerabilidades conocidas o está al día 
  3. Protección de Datos: Los datos son la parte más importante que se quiere capturar para producir los fraudes, recordar que si quiero embaucar entre más datos tenga, más  creíble será mi discurso, tener visualización de los datos, de quien los accede y si estos están protegidos debe ser una labor principal de los encargados de la seguridad de las organizaciones.
  4. Configuración segura de activos y software empresariales: Existen varios casos de estafas, donde la organización tiene todas las herramientas necesarias, incluso tiene lo que se considera lo mejor del mercado, no obstante así igual sufren de eventos de robos y  estafas, existe una regla que indica que hay un 80/20 (Pareto), donde el 80% del éxito corresponde a una correcta y oportuna configuración de seguridad, el 20% restante a la tecnología.
  5. Administración de cuentas: Al igual que los dispositivos y software, los usuarios y su comportamiento son fundamentales para determinar mediante el comportamiento si son realmente una amenaza, tareas como cambio de claves, doble factor de autenticación, geolocalización, son temas a tener en cuenta por los planificadores de ciberseguridad.

Nota: Normalmente las herramientas de ciberseguridad tienden a abarcar la mayor cantidad de necesidades, hoy día están apareciendo herramientas denominadas CASSM (Cyber Asset Attack Surface Management) que además de los conceptos mencionados, contienen funcionalidades como agregación (reunir varias fuentes de información en un repositorio  común) y en base a esa información enriquecida automatizar respuestas y acciones, recordad que se necesita una respuesta automática y en tiempo real a las amenazas que existe hoy día.

AUTOR: Luis Madariaga – Senior SE Makros

Esta semana en ciberseguridad – Marzo 2022

Nueva multa a Meta (Facebook) por incumplimiento de la GDPR

Meta es el nombre con que Facebook intentó iniciar una nueva etapa dejando atrás una gran cantidad de problemas de reputación que tarde o temprano tendría que rendir cuentas.

La última es la sanción impuesta por parte de la “Data Protection Commission” (DPC), el organismo responsable de protección de datos en Irlanda, y que condena a Meta a pagar una multa de 17 millones de euros, por una serie de doce notificaciones de posibles infracciones, recibidas por dicha entidad en tan solo seis meses, en el período comprendido entre el 7 de junio de 2018 y el 4 de diciembre de 2018.

El problema con Meta en general, y con Facebook en particular, es que durante los últimos años ha demostrado ser una compañía muy, muy poco fiable en lo referido a la custodia y el manejo de los datos.

Por otra parte, Meta dijo en un comunicado: “Esta multa tiene que ver con las prácticas de mantenimiento de registros de 2018 que hemos actualizado desde entonces, no con un fallo en la protección de la información de las personas”, “Nos tomamos en serio nuestras obligaciones bajo el GDPR, y consideraremos cuidadosamente esta decisión mientras nuestros procesos continúan evolucionando”.

Fuente: https://blog.segu-info.com.ar/2022/03/nueva-multa-meta-por-incumplimiento-de.html

Vulnerabilidad en Netfilter (CVE-2022-25636)

Detrás de casi todas las herramientas de firewalls de Linux como iptables; su versiones más nuevas, nftables; firewalld y ufw, está netfilter, el cual controla el acceso hacia y desde la pila de red de Linux. Es una herramienta de seguridad esencial de Linux, por lo que cuando se encuentra un agujero de seguridad en él, es un gran problema.

Nick Gregory, un investigador de Sophos, encontró este agujero mientras revisaba netfilter en busca de posibles problemas de seguridad. Específicamente, es un problema de escritura heap out-of-bounds en el filtro de red del Kernel. Gregory dice que es “explotable para lograr la ejecución del código del kernel (a través de ROP [return-oriented programming]), brindando un escalamiento de privilegios local completo“.

Este problema existe porque netfilter no maneja correctamente su función de descarga de hardware. Un atacante local sin privilegios puede usar esto para provocar una denegación de servicio (DoS) y ejecutar código arbitrario. Lo cual, funciona incluso si el hardware atacado no tiene funcionalidad de descarga.

Esta vulnerabilidad está presente en las versiones del Kernel de Linux 5.4 a 5.6.10. Está identificado como CVE-2022-25636 y con un puntaje de CVSS de 7.8.

Fuente: https://thehackernews.com/2022/03/new-linux-bug-in-netfilter-firewall.html

El desarrollador de npm lanzo un “protestware”

El desarrollador detrás del popular paquete npm “node-ipc” ha lanzado versiones saboteadas de la biblioteca para condenar la invasión rusa de Ucrania: un retoque de la cadena de suministro que preferiría llamar “protestware” en lugar de “malware”.

Independientemente de los mensajes de paz y no guerra, node-ipc ahora se está rastreando como un paquete malicioso: uno con código malicioso que se dirige a usuarios con direcciones IP ubicadas en Rusia o Bielorrusia que sobrescribe sus archivos con un emoji cardíaco.

Comenzó el 8 de marzo, cuando el mantenedor de npm Brandon Nozaki Miller (también conocido como RIAEvangelist) escribió el código fuente y publicó un paquete npm llamado peacenotwar y prueba de un día tanto en npm como en GitHub.

Peacenotwar: tiene una calificación de criticidad no pacífica 9.8

El ataque a la cadena de suministro de peacenotwar, Snyk está rastreando los incidentes de seguridad como CVE-2022-23812 para node-ipc: una vulnerabilidad que, hasta ahora, no ha sido analizada por la Base de datos nacional de vulnerabilidad (NVD) de NIST, pero que Synk califica con un puntaje crítico de 9.8, dado que es fácil de explotar.

Fuente: https://threatpost.com/dev-sabotages-popular-npm-package-protest-russian-invasion/178972/

Esta semana en ciberseguridad – Marzo 2022

Marzo 2022: Parches de Microsoft – 71 CVE

Microsoft aborda 71 CVE en su lanzamiento del martes de parches para marzo de 2022, incluidas tres vulnerabilidades que se divulgaron públicamente como días cero.

  • 3 Vulnerabilidades clasificadas como Críticas
  • 68 Vulnerabilidades clasificada como Importantes
  • 0 Vulnerabilidades clasificadas como Moderadas o Bajas

Las vulnerabilidades de ejecución remota de código (RCE) representaron el 40.8% de las vulnerabilidades parcheadas este mes, seguidas de vulnerabilidades de elevación de privilegios (EoP) al 35.2%.

Las Vulnerabilidades a tener presente:

  • CVE-2022-23277 | Vulnerabilidad de ejecución remota de código del servidor Microsoft Exchange
  • CVE-2022-23285 y CVE-2022-21990 | Vulnerabilidad de ejecución remota de código remoto del cliente de escritorio
  • CVE-2022-24508 | Vulnerabilidad de ejecución remota de código del cliente / servidor SMBv3 de Windows
  • CVE-2022-24459 | Servicio de fax y escaneo de Windows Elevación de la vulnerabilidad de privilegios
  • CVE-2022-24512 | Vulnerabilidad de ejecución remota de código .NET y Visual Studio

FUENTE: https://es-la.tenable.com/blog/microsofts-march-2022-patch-tuesday-addresses-71-cves-cve-2022-23277-cve-2022-24508

Los Ataques de API aumentan un 68%.

La empresa Salt ha publicado un informe que se basa en una combinación de resultados de encuestas y datos empíricos cuyo hallazgo más dramático es el aumento del 681% en el tráfico de ataques de API. La investigación revela que el 95% de los encuestados sufrió un incidente de seguridad de sus API el año pasado, y casi dos tercios de los encuestados retrasaron el lanzamiento de una aplicación como resultado de la seguridad de las API.

El informe muestra una tendencia al alza del uso de este tipo de tecnología por parte de las empresas y a su vez de la falta de preparación desde la perspectiva de seguridad. Las llamadas API maliciosas aumentaron de un promedio mensual por cliente de 2,73 millones en diciembre de 2020 a 21,32 millones en diciembre de 2021. Dado que todos los clientes de Salt tienen WAF y casi todos tienen puertas de enlace, estos ataques están superando esos controles de seguridad. El año 2021 demostró que las API son el vector de ataque dominante a las aplicaciones.

FUENTE: https://blog.segu-info.com.ar/2022/03/los-ataques-de-api-aumentaron-un-68-en.html

Ciberguerra entre Rusia y Ucrania

Una amplia gama de actores de amenazas, incluidos Fancy Bear, Ghostwriter y Mustang Panda, han lanzado campañas de phishing contra Ucrania, Polonia y otras entidades europeas en medio de la invasión rusa de Ucrania.

El Grupo de Análisis de Amenazas de Google (TAG) dijo que eliminó dos dominios de Blogspot que fueron utilizados por el grupo de estado-nación FancyBear (también conocido como APT28), que se atribuye a la inteligencia militar de GRU de Rusia, como página de destino para sus ataques de ingeniería social.

Pero no solo Rusia y Bielorrusia han puesto su mirada en Ucrania y Europa. Incluido en la mezcla hay un actor de amenazas con sede en China conocido como Mustang Panda (también conocido como TA416 o RedDelta) que intenta plantar malware en “entidades europeas específicas con señuelos relacionados con la invasión ucraniana”.

Por separado, CERT-UA a revelado detalles de un ciberataque realizado por el grupo UNC1151 dirigido a organizaciones estatales ucranianas que utilizan un malware llamado MicroBackdoor que se entrega a sistemas comprometidos en forma de archivo de ayuda HTML compilado de Microsoft (“dovidka.chm”).

FUENTE: https://thehackernews.com/2022/03/google-russian-hackers-target.html

Esta semana en ciberseguridad – Febrero 2022 – Semana 2

Aumento constante de amenazas. 9.400 millones de intentos de ciberataques en Chile.

Según datos recabados por el laboratorio de inteligencia de amenazas de Fortinet, Chile a tenido 9.400 millones de intentos de ciberataques en 2021. Lo que revela que los países de America Latina y el caribe se encuentran a la par de otras regiones y han sido el objetivo de cerca del 10% del total de ciberataques que se han dado el último año en el mundo.

Uno de los puntos que ha incrementado este aumento a sido el trabajo remoto que ha llevado a un incremento de ataques relacionados con ejecución remota de código (RCE). La distribución de malware a través de publicidad engañosa, sitios web maliciosos y campañas de correo electrónico de phishing sigue siendo la técnica de engaño mas utilizada por los ciberdelincuentes.

FUENTE: https://diarioti.com/aumentan-en-600-los-ciberataques-en-america-latina-y-el-caribe/118901

Adobe: Vulnerabilidad CVSS 9,8/10 en Magento 2.

Un error de ejecución remota de código (RCE) de día cero en las plataformas Magento 2 y Adobe commerce se ha explotado activamente, lo que provocó un lanzamiento de un parche de emergencia durante el fin de semana

La vulnerabilidad reconocida como CVE-2022-24086 permite la autenticación previa de RCE derivada de una validación de entrada inadecuada y tiene una severidad de 9.8 sobre 10. Este error afecta las versiones 2.3.7-p2 y 2.4.3-p1 y anteriores de ambas plataformas de comercio electrónico. Idealmente se debe instalar el parche personalizado de Adobe lo antes posible.

FUENTE: https://threatpost.com/adobe-zero-day-magento-rce-attack/178407/

Cómo administrar su seguridad en un mundo híbrido.

El trabajo remoto llego para quedarse, según Gartner es probable que el 48% de los empleados trabajen de forma remota al menos parte del tiempo posterior al Covid19, lo cual trae muchos desafíos de seguridad.

Security Scorecard te deja 15 consejos para gestionar la seguridad en este escenario:

  1. Cuidado con los dispositivos personales
  2. Los no empleados nunca deben usar dispositivos de la compañía
  3. Deshabilitar unidades externas
  4. Recuerda: Los dispositivos pueden ser robados fisicamente
  5. Mira la Wi-fi
  6. No hay wi-fi público nunca
  7. Segmenta la red
  8. Aplica parches regularmente
  9. Cifra la información
  10. Cifra el correo electrónico
  11. Usa autenticación robusta
  12. Entrena a tus usuarios
  13. Filtra el correo electrónico
  14. Rígete por el principio del menor privilegio.
  15. Controla continuamente tu postura de seguridad.

FUENTE: https://securityscorecard.com/blog/how-to-manage-your-security-in-a-hybrid-world