Archivos de la categoría: Noticia

Esta semana en ciberseguridad – Agosto 2022

Los ataques de phishing con llamadas telefónicas han aumentado un 625% desde el primer trimestre de 2021

Según el informe de inteligencia cibernética del segundo trimestre de 2022 de Agari, los volúmenes de phishing solo aumentaron un 6% en comparación con el primer trimestre de 2022. Sin embargo, el uso de «vishing híbrido» está experimentando un crecimiento masivo del 625%.

El Vishing o «phishing de voz», implica algún tipo de llamada telefónica para realizar ingeniería social en la víctima.

Su forma híbrida, llamada «phishing de devolución de llamada», también incluye un correo electrónico antes de la llamada, que generalmente presenta a la víctima un aviso de suscripción/factura falso.

En el mail se recomienda al destinatario que llame al número de teléfono proporcionado para resolver cualquier problema con el cargo, pero en lugar de un agente de atención al cliente real, la llamada es respondida por los criminales que han montado el engaño.

Luego, los estafadores se ofrecen a resolver el problema presentado engañando a la víctima para que revele información confidencial o instale herramientas de escritorio remoto en su sistema. Luego, los actores de amenazas se conectan al dispositivo de la víctima de forma remota para instalar más puertas traseras o propagarse a otras máquinas.

Estos ataques de phishing de devolución de llamada se introdujeron por primera vez con las campañas ‘BazarCall/BazaCall’ que aparecieron en marzo de 2021 para obtener acceso inicial a las redes corporativas para los ataques de ransomware.

Los ataques funcionan tan bien que varios grupos de ransomware y extorsión, como Quantum, Zeon y Silent Ransom Group, han adoptado la misma técnica para obtener acceso inicial a la red a través de un empleado desprevenido.

«Los ataques Hybrid Vishing alcanzaron un máximo de seis trimestres en el segundo trimestre, aumentando un 625 % desde el primer trimestre de 2021. Este tipo de amenaza también contribuyó al 24,6% de la participación total de amenazas basadas en la respuesta»

detalla el informe de Agari

FUENTE: https://unaaldia.hispasec.com/2022/08/los-ataques-de-phishing-con-llamadas-telefonicas-han-aumentado-un-625-desde-el-primer-trimestre-de-2021.html

Vulnerability Detection Pipeline

Examine, filtre por estado de detección o busque por CVE para obtener visibilidad de las próximas y nuevas detecciones (QID) para todas las gravedades.

Les presentamos una excelente herramienta para buscar vulnerabilidades por gravedad obtenidas del sitio de Qualys

Link: https://community.qualys.com/vulnerability-detection-pipeline/

RTF Lanza Blueprint for Ransomware Defense

El Grupo de Trabajo “Ransomware Task Force (RTF)”, creado por el Instituto de Seguridad y Teología (IST) desarrolló un marco claro y procesable para la mitigación, respuesta y recuperación del ransomware “Plan para la defensa de ransomware”, el cual, aborda el informe desarrollado por RTF: “Combatir el ransomware“.

Este Blueprint se compone de un subconjunto de salvaguardas esenciales de higiene cibernética del centro para la seguridad de internet (CIS Control v8) dentro del Grupo de implementación 1(IG1) que representa un estándar mínimo de seguridad de la información para todas las empresas.

Este blueprint no pretende servir como guía de implementación, sino mas bien como una recomendación de acciones defensivas que se pueden tomar para proteger y responder al ransomware y otros atraques cibernéticos comunes. Las acciones defensivas incluyen la implantación de controles en áreas tales como:

  • Gestión de inventario de activos y software empresarial
  • Gestión de vulnerabilidad
  • Defensa de malware
  • Entrenamiento
  • Recuperación de datos
  • Respuesta a incidentes

Link: https://securityandtechnology.org/wp-content/uploads/2022/08/IST-Blueprint-for-Ransomware-Defense.pdf

Esta semana en ciberseguridad – Julio 2022

Vulnerabilidad RCE de alta gravedad en Fastjson

Los investigadores de ciberseguridad han detallado una vulnerabilidad de seguridad de alta gravedad recientemente parcheada en la Biblioteca Fastjson, eso podría explotarse potencialmente para lograr la ejecución remota de código.

Rastreado como CVE-2022-25845 (CVSS: 8.1), el problema se relaciona con un caso de deserialización de datos no confiables en una característica compatible llamada “AutoType”.”Fue parcheado por los mantenedores del proyecto en versión 1.2.83 lanzado el 23 de mayo de 2022.

Esta vulnerabilidad afecta a todas las aplicaciones de Java que se basan en las versiones 1.2.80 de Fastjson o anteriores y que pasan datos controlados por el usuario a las API JSON.parse o JSON.parseObject sin especificar un específico clase deserializar.

dijo Uriya Yavnieli de JFrog.

Se recomienda a los usuarios de Fastjson actualizar a la versión 1.2.83 o habilitar SafeMode, que desactiva la función independientemente de la lista de permisos y la lista de bloques utilizada, cerrando efectivamente las variantes del ataque de deserialización.

LINK: https://thehackernews.com/2022/06/high-severity-rce-vulnerability.html

Martes de parches de Microsoft

Este 13 de Julio, Microsoft lanzo su ronda mensual de actualizaciones para solucionar 84 errores de seguridad que abarcan múltiples categorías de productos, contando una vulnerabilidad Zero-Day que está siendo utilizada in-the-wild.

De las 84 vulnerabilidades, cuatro se califican como Críticas y 80 se califican como Importantes en cuanto a su gravedad. También resolvieron dos errores de Edge, una de ellas del tipo Zero-Day que Google anunció como activamente explotada.

Lista de Vulnerabilidades Destacadas:

  • CVE-2022-22047 (CVSS: 7.8), un caso de escalamiento de privilegios en Windows Client Server Runtime Subsystem (CSRSS) que podría ser abusado por un atacante para obtener permisos de SYSTEM.
  • CVE-2022-22026 (CVSS: 8.8) : Fallas de elevación de privilegios en el mismo componente CSRSS
  • CVE-2022-22049 (CVSS: 7.8): Fallas de elevación de privilegios en el mismo componente CSRSS

“Un atacante autenticado localmente podría enviar datos especialmente diseñados al servicio CSRSS local para elevar sus privilegios de AppContainer a SYSTEM”

dijo Microsoft en un aviso para CVE-2022-22026.
  • CVE-2022-22029 y CVE-2022-22039: Errores de ejecución de código remoto en el sistema de archivos de red de Windows
  • CVE-2022-30221: Error de gráficos de Windows
  • CVE-2022-22038: Error de tiempo de ejecución de llamada de procedimiento remoto
  • CVE-2022-30222: Error en Windows Shell
  • CVE-2022-22022, CVE-2022-22401, CVE-2022-30206 y CVE-2022-30226: Vulnerabilidades de escalamiento de privilegios en el módulo Windows Print Spooler de Windows.
  • CVE-2022-30216 Vulnerabilidades de manipulación en el servicio de Windows Server
  • CVE-2022-33637 Vulnerabilidades en Microsoft Defender para Endpoint
  • CVE-2022-2202, CVE-2022-22040 y CVE-2022-30208 tres fallas de denegación de servicio (DoS) en Internet, Servicios de Información y Gestor de Cuentas de Seguridad.

FUENTE: https://blog.segu-info.com.ar/2022/07/martes-de-parches-de-microsoft-y-otros.html

7 Tendencias principales en ciberseguridad para 2022

La huella digital en constante expansión de las organizaciones modernas impulsa las principales tendencias de ciberseguridad de este año.

Resumen:

  • Repensar las tecnologías de seguridad para abordar nuevas amenazas sofisticadas.
  • Empuje la toma de decisiones de ciberseguridad a las unidades de negocios para mejorar su postura de seguridad.
  • Evolucione y replantee la práctica de seguridad para gestionar mejor el riesgo cibernético.

Los ejecutivos de seguridad y riesgos enfrentan una coyuntura crítica, ya que la huella digital de las organizaciones se expande y el control centralizado de ciberseguridad se vuelve obsoleto.

Principales Tendencias

Tendencia No. 1: expansión de la superficie del ataque
Actualmente, el 60% de los trabajadores son remotos, y al menos el 18% no regresará a la oficina. Estos cambios en la forma en que trabajamos, junto con un mayor uso de la nube pública, cadenas de suministro altamente conectadas y uso de sistemas Cyber-physical han expuesto nuevas superficies de ataque.

Esto deja a las organizaciones más vulnerables a los ataques. Gartner recomienda que los líderes de seguridad miren más allá de los enfoques tradicionales de monitoreo, detección y respuesta de seguridad para administrar un conjunto más amplio de riesgos.

Tendencia No. 2: defensa del sistema de identidad
Los sistemas de identidad están bajo un ataque sostenido. Mal uso de credenciales ahora es un método primario que los atacantes usan para acceder a los sistemas y lograr sus objetivos. Por ejemplo, en el Violación de SolarWinds los atacantes utilizaron el acceso privilegiado de un proveedor para infiltrarse en la red objetivo.

Gartner utiliza el término detección y respuesta de amenazas de identidad (ITDR) para describir una colección de herramientas y procesos para defender los sistemas de identidad. A largo plazo, surgirán soluciones más consolidadas.

Tendencia No. 3: Riesgo de cadena de suministro digital
Gartner predice que para 2025, el 45% de las organizaciones en todo el mundo habrán experimentado ataques contra sus cadenas de suministro de software, un aumento triple con respecto a 2021.

Los líderes de seguridad y gestión de riesgos deben asociarse con otros departamentos para priorizar riesgo de cadena de suministro digital y presionar a los proveedores para que demuestren las mejores prácticas de seguridad.

Tendencia No. 4: Consolidación de proveedores
Los productos de seguridad están convergiendo. Los proveedores están consolidando las funciones de seguridad en plataformas individuales e introduciendo opciones de precios y licencias para hacer que las soluciones empaquetadas sean más atractivas.

Si bien puede introducir nuevos desafíos, como la reducción del poder de negociación y los posibles puntos únicos de falla, Gartner ve la consolidación como una tendencia bienvenida que debería reducir la complejidad, reducir costos y mejorar la eficiencia, lo que lleva a una mejor seguridad general.

Tendencia No. 5: Cybersecurity mesh
Cybersecurity mesh es un enfoque conceptual moderno de la arquitectura de seguridad que permite a la empresa distribuida implementar e integrar la seguridad en los activos, ya sea en las instalaciones, en los centros de datos o en la nube.

Gartner predice que para 2024, las organizaciones que adopten una arquitectura de “malla de ciberseguridad” reducirán el impacto financiero de los incidentes de seguridad individuales en un promedio del 90%.

Tendencia No. 6: decisiones distribuidas
Los líderes ejecutivos necesitan una función de ciberseguridad rápida y ágil para apoyar las prioridades comerciales digitales. Sin embargo, a medida que se digitalizan más aspectos del negocio, el trabajo se está volviendo demasiado grande para un rol centralizado de CISO. Las organizaciones líderes están construyendo la oficina de la CISO para permitir el juicio cibernético distribuido.

El CISO y la función centralizada continuarán estableciendo políticas, mientras que los líderes de ciberseguridad se colocan en diferentes partes de la organización para descentralizar las decisiones de seguridad.

Tendencia No. 7: Más allá de la conciencia
El error humano continúa apareciendo en la mayoría de las violaciones de datos, lo que demuestra que los enfoques tradicionales de entrenamiento de conciencia de seguridad son ineficaces. Las organizaciones progresistas están yendo más allá de las campañas de concientización anticuadas basadas en el cumplimiento e invirtiendo en programas holísticos de comportamiento y cambio de cultura diseñados para provocar formas más seguras de trabajar.

FUENTE: https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022?source=BLD-200123

Esta semana en ciberseguridad – Junio 2022

Fraude Digital: Cómo abordarlo.

No es un misterio para nadie el boom del e-commerce. Según Morgan Stanley proyecta un crecimiento de 88%; el 22,3% de ventas del retail se harán a travez de este canal y en Chile será de US$ 13,2 mil millones en 2020 a US$ 35,4 mil millones en 2024, según la Cámara de Comercio de Santiago.

Lamentablemente, este crecimiento está aparejado de un crecimiento similar en lo que respecta el fraude digital y la suplantación de identidad.

En este sentido los expertos coinciden en que las estrategias preventivas parece ser lo mas lógico para enfrentar el problema, pero las empresas muchas veces no ven lo mismo.

Según el profesor del área de Tecnologías y Ciberseguridad de INACAP, entender el entorno digital y mantenerse alerta antes las amenazas vigentes permite entender de una mejor manera este tipo de eventos, ya que no existe un receta para enfrentarlos.

El rol de la empresa
Es importante que las empresas estén más blindadas ante este tipo de vulnerabilidades, De lo contrario, un punto ciego se traduce en pérdidas debido a las transacciones fraudulentas y a los falsos positivos que los sistemas clasifican como fraude, lo cual representa aproximadamente un 10% de las Ventas. Explica el director de Transformación de Equifax.

Los esquemas de validación de compras son la mejor manera de robustecer una estrategia preventiva, tales como las herramientas del tipo, segundo factor de autenticación. Comenta Marcelo Diaz, CEO de Makros.

FUENTE: https://equifax.diariofinanciero.cl/fraude-digital-guia-de-accion-para-blindar-las-operaciones-ante-el-aumento-de-las-amenazas/

Workaround para Follina (CVE-2022-30190)

Microsoft ha lanzado una solución alternativa para un defecto de día cero denominado Follina (CVE-2022-30190), una vulnerabilidad asociada a la herramienta de diagnostico de soporte de Microsoft Windows (MSDT), que irónicamente, recopila información de errores en los productos de la compañía e informa a Microsoft Support.

Para explotarlo, los actores de amenazas crean documentos de Word maliciosos y utilizan el controlador de protocolo URI “ms-msdt” para ejecutar comandos de PowerShell simplemente abriendo el documento. El problema de seguridad se puede aprovechar al utilizar el controlador URI “search-ms” que permite que las aplicaciones y los enlaces HTML inicien búsquedas personalizadas en un dispositivo.

La Solución Alternativa
Sin bien todavía no existe un parche para la falla, Microsoft recomienda que los usuarios afectados deshabiliten la URL de MSDT en el registro de Windows para mitigarla por ahora, lo que evitaría las ejecución y búsquedas sobre el sistema.

Esto todavía permitiría acceder a las herramientas de diagnostico y acceder a sus funcionalidades. Además, si la aplicación de llamada es una aplicación de office, este abre el documento desde internet en Vista protegida.

FUENTE: https://threatpost.com/microsoft-workaround-0day-attack/179776/

Introducción al Análisis de Malware

MALWARE es una palabrea derivada de MALicious SofWARE, que en general, es representado por un binario ejecutable cuyo objeto tiene un propósito malicioso que dañara la integridad y la seguridad de los sistemas.

Hoy en día, los atacantes usan malware complejos que contienen técnicas difíciles de analizar y que pueden, desde espiar a un determinado destinatario, haciendo uso de Keyloggers o RAT’s o eliminar o cifrar datos “Ransomware”.

Tipos de Malware
Los malware están diseñados para realizar acciones maliciosas y tienen funcionalidades diferentes. Los cuales, se clasifican según sus características, comportamiento y las capacidades de este.

Como resultado de distintos análisis algunos tipos de malware son:

  1. Backdoor
    Dejar una puerta trasera en el dispositivo donde se instaló el malware y permite al atacante acceder al sistema a través de esta puerta. Por ejemplo, al abrir un puerto de red conectado al shell, permite que el atacante se conecte al sistema a través de este puerto.
  2. Adware
    A menudo viene con software descargado, lo que hace que se muestren anuncios no deseados en el dispositivo. Si bien no todos los programas publicitarios son dañinos, algunos cambian el motor de búsqueda predetermina.
  3. Ransomware
    Es un tipo de malware que ha estado en la agenda mundial durante los últimos años. Exige un rescate de las personas mediante el cifrado y la extracción de todos los archivos del dispositivo.
  4. Worm
    Dado que este tipo de malware se propaga desde los dispositivos infectados a otros dispositivos, se denomina gusano. WannaCry, un gusano malware que explota la vulnerabilidad MS17-010, causó pánico en todo el mundo
  5. Rootkit
    Es un tipo de malware que se disfraza proporcionando acceso a un alto nivel de autoridad en el dispositivo.
  6. RAT (Remote Access Trojan)
    Este tipo de malware permite al atacante acceder de forma remota y ejecutar comandos en el sistema.
  7. Banking malware
    Un tipo de malware que tiene como objetivo las aplicaciones bancarias y provoca el robo de dinero de la víctima​​.
  8. Troyanos
    Los troyanos pueden destruir datos y exfiltrar datos y también pueden usar para espiar
  9. Dropper
    La funcionalidad de Droppers es descargar / soltar malware adicional.

Un malware puede contener más de una función, por lo que un malware puede pertenecer a más de un tipo. Por ejemplo, WannaCry incluye funciones de malware de ransomware y gusanos.

¿Qué es el análisis de malware?
El análisis de malware es el estudio o proceso para determinar la funcionalidad, el origen y el impacto potencial de una muestra de malware dada y extraer tanta información de ella. La información que se extrae ayuda a comprende la funcionalidad y el acceso del malware, cómo se infectó el sistema y cómo defenderse de ataques similares en el futuro.

Objetivos:

  • Comprender el tipo de malware y su funcionalidad.
  • Determinar cómo el sistema fue infectado por malware y definir si fue un ataque dirigido o un ataque de phishing.
  • Cómo se comunica el malware con el atacante.
  • Detección futura de malware y generación de firmas.

Tipos de análisis de malware:

  • Análisis estático (SAST) –
    Es un proceso de análisis de malware con o sin ejecución. Este análisis se utiliza para obtener la mayor cantidad posible de metadatos del malware, como las cadenas de los encabezados P.E, etc.
  • Análisis dinámico (DAST) –
    Es un proceso de ejecución de malware y análisis de su funcionalidad y comportamiento. Este análisis ayuda a saber qué hace el malware durante su ejecución utilizando el depurador.
  • Análisis de código –
    Es un proceso de análisis haciendo uso de ingeniería reversa del código. Es una combinación de análisis estático y dinámico.
  • Análisis conductual –
    Es el proceso de análisis y monitoreo del malware en ejecución. Implica monitorear los procesos, las entradas de registro y el monitoreo de la red para determinar el funcionamiento del malware.

REFERENCIAS: [1] https://www.geeksforgeeks.org/introduction-to-malware-analysis/
[2] https://bit.ly/3tFBXv9

Esta semana en ciberseguridad – Mayo 2022

Chrome 102 soluciona 32 Vulnerabilidades

Google anunció este martes el lanzamiento estable de Chrome 102, que soluciona 32 vulnerabilidades, incluida una falla crítica conocida como CVE-2022-1853, descrito como un error del tipo use-after-free que afecta a Indexed DB.

Chrome 102 también aborda ocho vulnerabilidades de alta gravedad reportadas por investigadores externos. La más grave denominada CVE-2022-1854, un componente ANGLE del navegador web, también del tipo use-after-free.

Las vulnerabilidades del tipo use-after-free generalmente pueden usarse para la corrupción de datos, ataques DoS o ejecución de código arbitrario. En el caso de Chrome, este tipo de errores también podría permitir que un atacante lo haga saltarse el sandbox del navegador, pero necesitaría combinarse con otra vulnerabilidad.

La lista de vulnerabilidades de alta gravedad remediadas en la última versión de Chrome también incluye CVE-2022-1855, un uso gratuito en Messaging y CVE-2022-1856, un uso gratuito en User Education.

Si bien no hay indicios de que estas vulnerabilidades hayan sido explotadas en ataques maliciosos, es importante que los usuarios mantengan el navegador actualizado ya que no es raro que los actores de amenazas lo apunten en sus operaciones.

Google conoce tres vulnerabilidades de Chrome que han sido explotado en ataques en lo que va del año.

En marzo, el gigante tecnológico confirmó haber visto un aumento en la explotación de día cero de Chrome, con 14 vulnerabilidades explotadas en 2021. La compañía atribuyó esta tendencia a varios factores, incluida la popularidad de Chrome, una mayor transparencia, la necesidad de encadenar múltiples fallas para un solo exploit y que el navegador se vuelva más complejo.

FUENTE: https://www.securityweek.com/chrome-102-patches-32-vulnerabilities

Vulnerabilidad ZeroDay en Cisco IOS XR.

Cisco lanzó el viernes un parche para la vulnerabilidad de gravedad media que afecta el software IOS XR que ya ha sido explotada.

Conocida como CVE-2022-20821 (puntaje CVSS: 6.5), el problema se relaciona con una vulnerabilidad de puerto abierto que podría ser utilizada por un atacante para conectarse a una instancia de Redis y lograr la ejecución de código.

“Un ataque exitoso podría permitir escribir archivos arbitrarios para recuperar información de la base de datos de Redis, aunque, dada la configuración del sandbox en que se ejecuta la instancia, el atacante no podría ejecutar código remoto en el host del software Cisco IOS XR”.

dijo Cisco en un aviso

La falla impacta los router de la serie Cisco 8000 que ejecutan el software IOS XR que tiene RPM instalado y activo.

Cisco recomienda encarecidamente que los clientes apliquen soluciones alternativas adecuadas o actualicen a una versión de software fija para remediar esta vulnerabilidad.

FUENTE: https://thehackernews.com/2022/05/cisco-issues-patches-for-new-ios-xr.html

ZeroTrust en el marco NIST para entornos Cloud

En los últimos meses en consecuencia de Log4j, muchas empresas han visto comprometidas sus credenciales e identidades, debido a ataques informáticos que usan brechas de terceros, ataques de APIs y exploits de aplicaciones como entrada. Estos ataques son síntomas del mismo problema: las organizaciones no tienen visibilidad de cómo se protegen y usan sus objetos de datos.

Hasta que los equipos de seguridad puedan responder en tiempo real qué datos tienen, quién tiene acceso a ellos y cómo se están utilizando, las organizaciones continuarán fallando al comunicar rápidamente el alcance de las brechas de seguridad dentro de la nube.

Cuando Samsung confirmó que el grupo de hackers de Lapsus$ había obtenido y filtrado casi 200 gigabytes de datos confidenciales, la primera pregunta para los clientes fue si los datos de sus clientes formaban parte o no de esa estadística o si Samsung tenía salvaguardas para protegerlos.

Afortunadamente, Samsung dijo que la información personal de ningún cliente estaba comprometida. Sin embargo, cuando Okta fue violado por el mismo grupo de hackers solo unas semanas después, su equipo de seguridad tuvo dificultades para comunicar que tanto los había afectado porque no podían determinar la ubicación y los privilegios de todos los datos dentro de su ecosistema. Este tipo de problemas generar desconfianza dentro de la comunidad empresari.

Con tanto en juego, un número cada vez mayor de organizaciones está eligiendo el modelo de Seguridad de Cero Confianza, que supone que existen usuarios no confiables en ambos lados del perímetro informático de una organización.

Los principios de Zero Trust, ya sean aplicados a identidades, redes u objetos de datos, ayudan a las organizaciones a mejorar sistemáticamente los riesgos de seguridad en visibilidad, detección, respuesta y protección. Sin embargo, en la empresa moderna, la implementación de Zero Trust para datos sin romper la lógica comercial es una nueva dirección que requiere un cambio cuidadoso de la gestión de la postura, detección-respuesta a la protección para evitar crear riesgos comerciales o interrupciones.

A medida que el concepto de Zero Trust continúa evolucionando, hay algunas formas prácticas en que las organizaciones pueden comenzar a eliminar el riesgo una vez que han mejorado la visibilidad y han encontrado una solución que funciona dentro de su nube o entorno on-prem.

El Instituto Nacional de Regulaciones y Tecnología (NIST) de los Estados Unidos, que ha publicado una serie de estándares de seguridad en la nube que tienen en cuenta la superposición de las regulaciones federales, incluida HIPAA y la Ley Federal de Gestión de Seguridad de la Información (FISMA), también es un gran punto de referencia. Proporciona materiales y detalles complementarios que actualizan a las organizaciones sobre cómo coinciden los controles y colaboran con otros estándares y marcos ampliamente aceptados. El modelo NIST incorpora el siguiente marco:

Visibilidad de la postura de seguridad:

Cuando las empresas tienen visibilidad de su postura de seguridad de datos, pueden determinar y establecer políticas para mejorar la protección de datos en todas las organizaciones basadas en la nube para ayudarlas a determinar mejor cómo deben tratarse los objetos de datos. Las herramientas de gestión de postura de seguridad de datos (DSPM) son un buen punto de partida para su viaje de cero confianza.

Detección-Respuesta :

Muchas identidades críticas y roles de servicio necesariamente necesitan permisos para grandes extensiones de datos para hacer su trabajo: identidades privilegiadas, aplicaciones que son frentes para bases de datos o data lakes, e incluso CI / CD, etc. El software de la cadena de suministro es un ejemplo de esto. Colocar los cinturones de seguridad de detección y respuesta alrededor de los objetos de datos de joyas de la corona los protege de tales identidades que se utilizan indebidamente a través de fallas de phishing o app-sec.

Protección:

Las organizaciones deben crear permisos y derechos, emitir campañas de limpieza y establecer modelos de gobernanza para prepararse de manera proactiva para responder a los incidentes de ciberseguridad detectados. Estas son campañas a más largo plazo con un valor estratégico importante y, por lo tanto, están informadas por la visibilidad precisa de cómo se utilizan los objetos de datos en diferentes funciones comerciales.

En pocas palabras, los datos son valiosos y el activo más persistente de una organización. Es fundamental que las organizaciones comprendan completamente dónde se encuentran sus secretos en toda su nube y entorno en las instalaciones. ¿Dónde están tus datos?? ¿Quién tiene acceso a él y se controla este acceso?? ¿Su organización mantiene autoridad sobre estos datos para que se puedan revocar privilegios excesivos o latentes cuando sea necesario??

Responder estas preguntas es fundamental para una estrategia moderna de seguridad de datos en la nube, especialmente cuando se enfrenta al desafío de operacionalizar el control de acceso o la seguridad de datos sin romper la lógica empresarial. Si no se responden, las organizaciones continuarán invirtiendo tiempo y recursos en protecciones tangenciales alrededor de redes y aplicaciones que dejan brechas significativas para que los datos sean explotados o tomados en busca de rescate.

FUENTE: https://threatpost.com/zero-trust-for-data/179706/

Esta semana en ciberseguridad – Mayo 2022

Evita el WAF transformando las consultas SQL

Un equipo de investigadores utilizó el aprendizaje automático básico para generar solicitudes HTTP e identificar patrones que los firewalls comunes de aplicaciones web (WAFs) no detectan como malicioso, pero que permiten a un atacante pasar la seguridad proporcionada por estos.

Los investigadores de la Universidad de Zhejiang en China comenzaron con formas comunes de transformar los ataques de inyección para apuntar a las bases de datos de aplicaciones web utilizando el lenguaje de consulta estructurado (SQL) común. En lugar de utilizar una búsqueda de fuerza bruta de posibles derivaciones, el equipo creó una herramienta, AutoSpear, que utiliza un grupo de posibles derivaciones que se pueden combinar utilizando una estrategia de mutación ponderada y luego probar para determinar la efectividad de los desvíos para evadir la seguridad de ofertas de WAF como servicio.

La herramienta se omitió con éxito — medido por una tasa de falsos negativos — los siete WAF probados basados en la nube con una variedad de éxitos, desde un mínimo del 3% para ModSecurity hasta un máximo del 63% para los WAF de Amazon Web Services y Cloudflare, dijo Zhenqing Qu, un estudiante graduado de la Universidad de Zhejiang y miembro del equipo AutoSpear.

“Los estudios de caso han demostrado el potencial [de la herramienta], porque las firmas de detección no eran sólidas debido a varias vulnerabilidades”… “Simplemente agregar comentarios o espacios en blanco puede omitir algunos WAF, pero la mutación más efectiva depende de WAF específicos”.”

dijo Zhenqing Qu

Los firewalls de aplicaciones web AWS, Fortinet, F5 y CSC se implementaron utilizando los conjuntos de reglas administrados proporcionados por esos proveedores en la plataforma WAF de Amazon Web Services, mientras que los WAF de Cloudflare y Wallarm se compraron en el sitio web oficial de esas compañías, dijo Zhenqing. En muchos casos, el WAF independiente de un proveedor, como FortiWeb y FortiWeb Cloud de Fortinet, no se ve afectado por los mismos problemas que los conjuntos de reglas de WAF.

Los firewalls de aplicaciones web son una forma común de defender importantes programas en la nube y servicios web del ataque, filtrando ataques de aplicaciones comunes e intentos de inyectar comandos de bases de datos, también conocidos como inyección SQL (SQLi). Un estudio de 2020, por ejemplo, encontró que 4 de cada 10 profesionales de seguridad creían eso 50% de los ataques de capa de aplicación que apuntó a su aplicación en la nube omitió su WAF. Otros ataques se centran en comprometiendo a la WAF a través de su inspección del tráfico.

En su presentación, el equipo de la Universidad de Zhejiang se centró en formas de transformar las solicitudes utilizando 10 técnicas diferentes para los cuatro métodos de solicitud comunes: solicitudes POST y GET, ya sea utilizando la codificación JSON o no.

Los investigadores encontraron que los cuatro tipos diferentes de solicitudes fueron tratadas de la misma manera por conjuntos de reglas proporcionados por cuatro proveedores diferentes de WAF, mientras que otros abordaron las entradas de manera diferente.

Los ataques de inyección SQL siguen siendo un riesgo importante para muchas empresas. Los riesgos de seguridad web Top-10 de OWASP calificaron la clase de vulnerabilidad de inyección en la parte superior de su lista de riesgos en 2013 y 2017, y como el no. 3 riesgo en 2021. La lista, publicada aproximadamente cada cuatro años, utiliza más de 400 clases amplias de debilidades para determinar las amenazas más significativas para las aplicaciones web.

Omitir los firewalls de aplicaciones web generalmente se centran en tres enfoques generales. A nivel arquitectónico, los atacantes pueden encontrar formas de eludir el WAF y acceder directamente al servidor de origen. A nivel de protocolo, una variedad de técnicas pueden usar errores en la codificación, como HTTP request smuggling, para evitar los WAF. Finalmente, a nivel de payload, los atacantes pueden usar una variedad de transformación de codificación para engañar al WAF para que no detecte un ataque, mientras aún producen una solicitud válida desde el punto de vista del servidor de la base de datos.

Las transformaciones permitieron que los ataques fueran exitosos desde el 9% del tiempo hasta casi el 100% del tiempo, dependiendo del conjunto de reglas WAF y el formato de solicitud, declaró el equipo en su presentación. En un caso, el investigador descubrió que solo agregar un carácter de nueva línea, “/n”, omitía un WAF importante como servicio.

AWS, Cloudflare Afectado
El equipo de investigación informó las vulnerabilidades a los siete proveedores de WAF y conjuntos de reglas WAF: AWS, Cloudflare, CSC, F5, Fortinet, ModSecurity y Wallarm. Cloudflare, F5 y Wallarm han solucionado sus problemas, dijo Zhenqing. El equipo también proporcionó a los proveedores patrones de derivación que se pueden usar para detectar los tipos más comunes de transformaciones.

“Los otros cuatro todavía están trabajando con nosotros, ya que los defectos no se pueden reparar fácilmente”, dijo.

FUENTE: https://www.darkreading.com/cloud/transforming-sql-queries-bypasses-waf-security

DoQ: DNS a través QUIC

La privacidad es uno de los factores más importantes cuando navegamos por Internet. Simplemente con visitar una web estamos dejando algún rastro, pero hay protocolos y servicios que pueden ayudarnos a evitar este problema.

DNS a través de QUIC
El protocolo DNS fundamental traduce la información que ponemos en el navegador, así simplemente con poner el nombre del dominio nos deriva a la dirección IP correspondiente, por lo que no vamos a tener que recordar números sin mucho sentido. Sin embargo este protocolo, por sí mismo, no es fiable y no mantiene la privacidad. Hay opciones como DoH (DNS a través de HTTPS) o DoT (DNS a través de TLS) que cifran la conexión.

Algo así ocurre con QUIC, que es un protocolo de red creado por Google. Podemos decir que funciona de forma parecida a HTTP/2 y TLS/SSL, pero en vez de usar TCP se basa en UDP. De esta forma surge DoQ, que es DNS a través de QUIC.

Funciona de forma similar a DoT, por lo que mantiene la privacidad, pero utiliza QUIC Y DoH3, es decir, DNS a través de HTTP/3, lo que lo hace más veloz, evitando el intercambio de claves que usa el cifrado TLS y que va a ralentizar la conexión.

Además, DNS a través de QUIC o DoQ, también va a ser más seguro ya que corrige uno de los problemas principales de TCP, que es el envío del encabezado de los paquetes en texto plano, algo que puede quedarlo expuesto y que pueda leerse sin autenticación.

En definitiva, DNS va a poder funcionar a través del protocolo QUIC. Esto va a ayudar a mantener la privacidad al navegar por Internet, algo imprescindible hoy en día, pero sin tener ciertos problemas de velocidad y latencia que tienen otros protocolos similares. Por tanto, mantendremos la conexión cifrada y evitaremos que un tercero pueda interceptar lo que enviamos, pero al mismo tiempo manteniendo un funcionamiento óptimo de la conexión.

En este link https://www.rfc-editor.org/rfc/rfc9250.html se pueden ver todas las especificaciones de este protocolo.

FUENTE: https://blog.segu-info.com.ar/2022/05/dns-traves-de-quic.html

Malware (SuspSQLUsage) dirigido a SQL Server

Microsoft detectó una campaña maliciosa dirigida a servidores SQL que aprovecha un binario integrado de PowerShell para lograr la persistencia en los sistemas comprometidos.

Las intrusiones, que aprovechan los ataques de fuerza bruta como vector de compromiso inicial, se destacan por el uso de la utilidad “sqlps.exe“. Se desconocen los objetivos finales de la campaña, al igual que la identidad del actor de amenazas que la organiza. Microsoft está rastreando el malware con el nombre “SuspSQLUsage“.

La utilidad “sqlps.exe”, que viene de forma predeterminada con todas las versiones de SQL Server, permite que un Agente SQL, un servicio de Windows para ejecutar tareas programadas, ejecute trabajos utilizando el subsistema PowerShell.

“Los atacantes logran una persistencia sin archivos al generar la utilidad sqlps.exe, un contenedor de PowerShell para ejecutar cmdlets construidos en SQL, para ejecutar comandos de reconocimiento y cambiar el modo de inicio del servicio SQL a LocalSystem”.

señaló Microsoft.

Además, también se ha observado que los atacantes usan el mismo módulo para crear una nueva cuenta con la función de administrador del sistema, lo que les permite tomar el control de SQL Server.

Esta no es la primera vez que los actores de amenazas aprovechan binarios legítimos que ya están presentes en un entorno, una técnica llamada living-off-the-land (LotL), para lograr sus objetivos.

Una ventaja que ofrecen tales ataques es que tienden a no tener archivos porque no dejan ninguno (fileless) y es menos probable que las actividades sean marcadas por el software antivirus debido a que utilizan un software confiable.

La idea es permitir que el atacante se mezcle con la actividad normal de la red y las tareas administrativas normales, mientras permanece oculto durante largos períodos de tiempo.

“El uso de este binario poco común del tipo living-off-the-land (LOLBin) destaca la importancia de obtener una visibilidad completa del comportamiento en tiempo de ejecución de los scripts para exponer el código malicioso”, dijo Microsoft.

FUENTE: https://thehackernews.com/2022/05/hackers-gain-fileless-persistence-on.html

Esta semana en ciberseguridad – Mayo 2022

Vulnerabilidad crítica (10/10) en WSO2 afecta a servicios de banca y salud

Múltiples Apps y servicios de banca y salud están en peligro debido a una nueva vulnerabilidad con un CVSS Score de 10/10 recientemente publicada que afecta a varios productos de la empresa WSO2.

WSO2 es una compañía dedicada al desarrollo de aplicaciones Open Source dirigidas, sobre todo, al sector financiero, salud, educación e IoT, entre otros. Entre sus clientes se encuentran marcas e instituciones como American Express, ING, Deutsche Bank, Ebay, Verifone, Scheneider Electric, la cadena hotelera Hilton o importantes servicios como Transportes de Londres o el Departamento de Aguas y Energía de Los Ángeles, entre otros.

Entre sus servicios más extendidos están “WSO2 API Manager”, “WSO2 Identity Server”, “WSO2 Enterprise Integrator” y “WSO2 Open Banking”, todos ellos afectados por la vulnerabilidad reportada el pasado 18 de abril con un CVSS Score de 10 sobre 10, el más alto en la escala e identificada como CVE-2022-29464.

Dicha vulnerabilidad es de extrema gravedad, ya que permite ser llevada a cabo por cualquiera, sin necesidad de escalar privilegios ni tener conocimientos técnicos avanzados. Las versiones afectadas de los productos de WSO2 permiten la carga de archivos sin restricciones haciendo posible así la ejecución de código remoto.

Se desconoce si ha sido o está siendo explotada activamente, pero teniendo en cuenta que uno de los servicios afectados, como es el “WSO2 API Manager“, gestiona actualmente más de 200.000 APIs de diferentes verticales de la industria y más de 50.000 millones de transacciones diarias, podría suponer un problema bastante serio.

FUENTE: https://unaaldia.hispasec.com/2022/05/multiples-apps-y-servicios-de-banca-y-salud-en-peligro-debido-a-una-nueva-vulnerabilidad-con-un-cvss-score-de-10-10.html

F5 advierte sobre errores críticos que permiten la ejecución remota de código en sistemas BIG-IP

La vulnerabilidad denominada CVE-2022-1388 está calificada por el Sistema de puntuación de vulnerabilidades comunes CVSS con una gravedad de 9.8 de 10.

F5 Networks advierte que esta vulnerabilidad crítica permite ejecutar comandos arbitrarios en sus sistemas BIG-IP sin la necesidad de estar autenticado y con solo tener acceso a la red.

De acuerdo con F5, la falla reside en la interfaz de transferencia de estado representativo (REST) para el marco iControl que se utiliza para comunicarse entre los dispositivos F5 y los usuarios.

Los actores de amenazas pueden enviar solicitudes no reveladas y aprovechar la falla para omitir la autenticación iControl REST y acceder a los sistemas F5 BIG-IP, un atacante puede ejecutar comandos arbitrarios, crear o eliminar archivos o deshabilitar servidores.

“Esta vulnerabilidad puede permitir que un atacante no autenticado con acceso a la red al sistema BIG-IP a través del puerto de administración y / o direcciones de IP propia ejecute comandos arbitrarios del sistema, cree o elimine archivos o desactive servicios”…. “No hay exposición del plano de datos; este es solo un problema del plano de control ”.

dijo F5 en un aviso

La Agencia de Seguridad Cibernética e Infraestructura (CISA) emitió una alerta y aconsejó a los usuarios que aplicaran las actualizaciones requeridas.

Versiones afectadas
La vulnerabilidad de seguridad que afecta la versión del producto BIG-IP es:

  • 1.0 a 16.1.2
  • 1.0 a 15.1.5
  • 1.0 a 14.1.4
  • 1.0 a 13.1.4
  • 1.0 a 12.1.6
  • 6.1 a 11.6.5

El F5 no introducirá correcciones para las versiones 11.x (11.6.1 – 11.6.5) y 12.x (12.1.0 – 12.1.6), pero introdujo los parches para las versiones v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 y v13.1.5.

El aviso de F5 aclara que el CVE-2022-1388 no tiene ningún efecto sobre otros productos F5: BIG-IQ Centralized Management, F5OS-A, F5OS-C o Traffic SDC

FUENTE: https://threatpost.com/f5-critical-bugbig-ip-systems/179514/

Caminando a Passwordless. FIDO sigue creciendo.

Uno de los temas mas recurrentes en estos días es la suplantación, el robo de contraseñas y los problemas que esto ocasiona cuando tratamos de evitarlo. Ya que con el continua crecimiento de las aplicaciones web y el fortalecimiento de las credenciales terminamos generando mucha fricción en la utilización de estas.

Pero cómo podemos conseguir los beneficios del mundo digital, disminuir la fricción y mantener la seguridad. Lo primero que se trato de hacer, fue robustecer la contraseña (algo que yo se), pero esto genera muchos problemas que se traducen en llamados telefónicos o peticiones para restablecer la password. Luego se empezó a masificar el uso de un segundo factor de autenticación del tipo físico – un token (algo que yo tengo), pero esto tenia un costo y si se extraviaba generaba algunos inconvenientes. Los mas osados comenzaron a ir a sistemas biométricos (algo que yo soy). Finalmente, y con la masificación del uso de los celulares, la pregunta fue: por que no podemos hacer algo que de la simpleza y la robustes que tiene el acceso a los celulares, es ahí donde organizaciones como FIDO Alliance entran a participa, generando los estándares necesarios para poder masificar una forma simple y robusta de acceder a los beneficios del mundo digital, sin perder la seguridad.

El acceso siempre ha sido un tema relevante, y lo que sí es claro es que caminamos a un mundo sin contraseñas, pero igualmente seguro. Partimos por el concepto de RBA (risk based authentication – autenticación basada en riesgo) y algunos mecanismos que haciendo uso de la inteligencia artificial pueden detectar con un margen de error quien es quien esta detrás de un teclado o un dispositivo móvil, basándose en un conjunto de variables extraídas del comportamiento típico de una persona al escribir o usar un dispositivo.

Por otro lado, organismos como FIDO Alliance, tratan de generar estandares pare el proceso de autenticación, es así como, este 5 de mayo, en un esfuerzo conjunto para hacer que la web sea más segura. Apple, Google y Microsoft anunciaron planes para expandir el soporte de un estándar común de inicio de sesión sin contraseña creado por FIDO Alliance y World Wide Web Consortium.

La nueva capacidad permitirá que los sitios web y las aplicaciones ofrezcan inicios de sesión sin contraseña consistentes, seguros y fáciles a los consumidores en todos los dispositivos y plataformas.

FIDO Alliance
La Alianza FIDO (Fast Identity Online), creada por algunas de las compañías tecnológicas líderes en el mundo, tiene como propósito cambiar la forma de autenticación ‘online’ para hacerla más segura y cómoda.

La Alianza FIDO ha creado una serie de estándares técnicos interoperables que facilitan la creación de experiencias de inicio de sesión seguras y rápidas en sitios web y aplicaciones. Esto facilita la identificación de los usuarios a través de sistemas biométricos, como la huella dactilar o el reconocimiento facial; así como mediante la autenticación de doble factor o factor múltiple, que consiste en comprobar varias veces mediante diferentes mecanismos que la persona es quien dice ser.

La autenticación de solo contraseña es uno de los mayores problemas de seguridad en la web, y administrar tantas contraseñas es engorroso para los consumidores, lo que a menudo lleva a los consumidores a reutilizar las mismas en todos los servicios. Esta práctica puede conducir a adquisiciones de cuentas costosas, filtraciones de datos e incluso identidades robadas. Si bien los administradores de contraseñas y las formas heredadas de autenticación de dos factores ofrecen mejoras incrementales, ha habido una colaboración en toda la industria para crear una tecnología de inicio de sesión que sea más conveniente y más segura.

Las capacidades ampliadas basadas en estándares darán a los sitios web y aplicaciones la capacidad de ofrecer una opción sin contraseña de extremo a extremo. Los usuarios iniciarán sesión a través de la misma acción que realizan varias veces al día para desbloquear sus dispositivos, como una simple verificación de su huella digital o rostro, o un PIN del dispositivo.

Este nuevo enfoque protege contra el phishing y el inicio de sesión será radicalmente más seguro en comparación con las contraseñas y las tecnologías heredadas de múltiples factores, como los códigos de acceso de un solo uso enviados por SMS.

FUENTE: https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-of-passwordless-sign-ins/

Esta semana en ciberseguridad – Mayo 2022

Avanzando hacia la Privacidad de Datos Personales.

Esta semana se publicó Tails 5.0, un sistema operativo basado en Debian GNU/Linux 11 “Bullseye” cuya principal características es que es completamente anónimo, permitiendo una navegación en internet sin dejar rastros.

Este sistema operativo además es portable y permite la ejecución desde un pendrive. Tiene como entorno de escritorio GNOME 3.38 y permite la transferencia de información encriptada.

El navegador web anónimo incluido es TOR Browser 11.0.10, basado en Mozilla Firefox, quien ya ha invertido mucho en investigación y desarrolla para conseguir una navegación que no pueda ser seguida por bots o Cookies que envían nuestra información de preferencias a empresas con fines publicitarios.

REFERENCIAS: https://tails.boum.org/news/version_5.0/index.es.html

CISA publica las 15 vulnerabilidades que sí o sí debes parchear.

La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) en conjunto con las autoridades de ciberseguridad de los Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido dieron a conocer las 15 principales vulnerabilidades y exposiciones comunes (CVE) explotadas habitualmente por actores cibernéticos maliciosos en 2021.

  • CVE-2021-44228 – Log4Shell
  • CVE-2021-40539 – Zoho ManageEngine AD SelfService Plus
  • CVE-2021-34523 / CVE-2021-34473 / CVE-2021-31207 / CVE-2021-27065 / CVE-2021-26858 / CVE-2021-26857 / CVE-2021-26855 – ProxyShell – Microsoft Exchange Server
  • CVE-2021-26084 – Atlassian Confluence Server and Data Center
  • CVE-2021-21972 – VMware vSphere Client
  • CVE-2020-1472 – ZeroLogon – Microsoft Netlogon Remote Protocol (MS-NRPC)
  • CVE-2020-0688 – Microsoft Exchange Server
  • CVE-2019-11510 – Pulse Secure Pulse Connect Secure
  • CVE-2018-13379 – Fortinet FortiOS and FortiProxy

Las organizaciones deben aplicar las mitigaciones recomendadas por CISA. Estas mitigaciones incluyen la aplicación de parches oportunos a los sistemas y la implementación de un sistema centralizado de gestión de parches para reducir el riesgo de compromiso por parte de actores cibernéticos malintencionados.

REFERENCIA: https://www.cisa.gov/uscert/ncas/alerts/aa22-117a

HTTPA: ¿el protocolo sucesor de HTTPS?

HTTPS es el principal protocolo utilizado por aplicaciones y páginas web. Ofrece una conexión rápida, segura y privada, pero aun tiene ciertas limitaciones que hacen que no sea un protocolo perfecto en cuanto a seguridad y privacidad, dado que asume que ambas partes, cliente y servidor son de confianza. Es por esto que se esta generando esta sugerencia para migrar a HTTPA.

¿Qué es HTTPA?
HTTPA (HTTPS Attestable) no es más que una nueva versión de HTTPS que añade una capa extra de seguridad. Con este protocolo toda la información que se comparta se hará mediante un software seguro y en un entorno fiable (TEE). Esto es posible gracias al uso de certificados adicionales y técnicas de criptografía para garantizar que nadie pueda interceptar los datos ni que se hayan modificado durante el proceso; ya sea por parte de un usuario malintencionado o un software fraudulento.

Si en HTTPS se asume que las dos partes son de confianza y que el intercambio de información se hará de forma segura, con HTTPA se confía en el cliente pero no en el servidor. Será el cliente quien tendrá que permitir que el servidor pueda ejecutar el código, aunque no puede garantizarse que todo el servidor sea un entorno seguro. Es decir, HTTPA añade un extra de seguridad, pero sigue arrastrando algunas limitaciones de HTTPS.

¿Cómo funciona?
Según el documento en el que se describe HTTPA, su funcionamiento se divide en tres fases:

  1. Una fase inicial de solicitud y respuesta de la verificación previa HTTP, se comprueba si el servidor acepta o no HTTPA.
  2. Una fase intermedia de solicitud y respuesta de atestación HTTP, que verifica el envío de la información.
  3. Por último, la solicitud y respuesta de sesión de confianza HTTP, que gestiona la solicitud de información y su envío.

De esta forma se mejora la seguridad en internet al introducir la atestación remota, un mecanismo que permite garantizar la máxima seguridad de los datos. Todo con la intención de que los servicios en internet permitan al usuario verificar que el intercambio se realiza en las condiciones más seguras, al verificar antes de proceder al envío de datos que existe una certificación adicional.

Este proceso podría ocasionar problemas de ancho de banda y aumento de la latencia, ya que los datos deben atravesar un camino más largo entre emisor y receptor. En cualquier caso, sus creadores aseguran que los tiempos serán muy parecidos a los obtenidos con HTTPS.

Por el momento HTTPA no es más que una sugerencia, aún quedaría por lanzar oficialmente la propuesta de creación de un nuevo estándar y abrir una consulta pública.

REFERENCIA: https://blog.segu-info.com.ar/2022/05/httpa-el-protocolo-sucesor-de-https.html

Esta semana en ciberseguridad – Abril 2022

Elementor Website Builder de WordPress Comprometido

Se ha encontrado que Elementor, un complemento de creación de sitios web de WordPress con más de cinco millones de instalaciones activas, es vulnerable a una falla de ejecución de código remoto (RCE) autenticada que podría ser abusada para hacerse cargo de los sitios web afectados.

La vulnerabilidad del complemento esta vinculada a la version 3.6.0 que fue lanzada el 22 de marzo de 2022 y aproximadamente el 37% de los usuarios de este complemento ya esta en esta versión.

“El código malicioso proporcionado por el atacante puede ser ejecutado por el sitio web”…”En este caso, es posible que la vulnerabilidad sea explotable por alguien que no haya iniciado sesión en WordPress…”

Según los investigadores

FUENTE: https://thehackernews.com/2022/04/critical-rce-flaw-reported-in-wordpress.htm

Tendencias de ciberseguridad 2022

McKinsey examina tres de las últimas tendencias de ciberseguridad y sus implicaciones para las organizaciones que se enfrentan a ciber-riesgos, amenazas nuevas y emergentes.

“La interrupción digital es inevitable y conducirá a un rápido cambio impulsado por la tecnología. A medida que las organizaciones realizan inversiones a gran escala en tecnología, ya sea en un espíritu de innovación o por necesidad, deben ser conscientes de los ciberriesgos asociados. Los atacantes están explotando las vulnerabilidades que introducen las nuevas tecnologías, e incluso los mejores controles cibernéticos se vuelven obsoletos rápidamente en este mundo digital acelerado. Las organizaciones que buscan posicionarse de manera más efectiva durante los próximos cinco años deberán adoptar un enfoque implacable y proactivo para construir capacidades defensivas sobre el horizonte”.

Jim Boehm, Charlie Lewis y Kathleen Li

Las 3 tendencias en ciberseguridad y la forma en que se podrían abordar:

  1. El acceso bajo demanda a distintas plataformas de datos e información.
    Este acceso requiere de cuatro capacidades de ciberseguiridad:
    1. Arquitectura de confianza cero
    2. Análisis Conductual
    3. Monitoreo de Registros elásticos para grandes conjuntos de datos.
    4. Cifrado homomórfico.
  2. La utilización de IA, aprendizaje automático y otras tecnologías para lanzar ataques cada vez más sofisticados
    Para contrarrestar ataques más sofisticados impulsados por la IA y otras capacidades avanzadas, las organizaciones deben adoptar un enfoque basado en el riesgo para la automatización y las respuestas automáticas a los ataques. La automatización debe centrarse en las capacidades defensivas, como las contramedidas del centro de operaciones de seguridad (SOC) y las actividades intensivas en mano de obra, como la gestión de identidad y acceso (IAM) y los informes. La IA y el aprendizaje automático deben usarse para mantenerse al tanto de los cambios en los patrones de ataque. Finalmente, el desarrollo de respuestas organizativas automáticas técnicas y automáticas a las amenazas de ransomware ayuda a mitigar el riesgo en caso de un ataque.
  3. Un panorama regulatorio cada vez mayor y sus brechas en recursos, conocimiento y talento.
    El mayor escrutinio regulatorio y las brechas en conocimiento, talento y experiencia refuerzan la necesidad de construir e integrar la seguridad en las capacidades tecnológicas a medida que se diseñan, construyen e implementan. Además, las capacidades como la seguridad como el código y una lista de materiales del software ayudan a las organizaciones a implementar capacidades de seguridad y mantenerse a la vanguardia de las consultas de los reguladores.

FUENTE: https://www.mckinsey.com/cybersecurity/cybersecurity-trends-looking-over-the-horizon

Cómo evaluar la seguridad de los proveedores de servicios en la nube

La adopción de la nube pública está aumentando entre las empresas de todos los sectores. En una encuesta reciente [1]

[1] https://cloudsecurityalliance.org/press-releases/2021/03/30/cloud-security-alliance-releases-latest-survey-report-on-state-of-cloud-security-concerns-challenges-and-incidents/

más de la mitad de las empresas indicaron que ahora están ejecutando al menos el 41% de sus cargas de trabajo en la nube pública, una tendencia que seguramente se acelerará en 2022, ese mismo estudio muestra que los problemas de la nube y las desconfiguraciones son las principales causas de las brechas y las interrupciones.

Los tres grandes proveedores de servicios [2] en la nube pública en 2022 son:

[2] https://www.threatstack.com/blog/7-cloud-service-evaluation-criteria-to-help-you-choose-the-right-cloud-service-provider

  • Amazon Web Services (AWS), con el 62% del mercado,
  • Microsoft Azure, con un 20%, y
  • Google Cloud Platform (GCP), con un 12%.

Vamos a centrar nuestra atención en lo que hay que tener en cuenta al elegir un proveedor de la nube.

  1. Comprobar la adhesión a los standards y frameworks
    Algunas de las normas más comunes que hay que buscar son la ISO-27001, la ISO-27002 y la ISO-27017, que indican que el proveedor sigue las mejores prácticas de seguridad y se esfuerza activamente por reducir los riesgos. Otra norma importante es la ISO-27018, que indica que el proveedor protege suficientemente la información personal identificable.
    También hay que tener en cuenta las leyes gubernamentales y normativas, como el Reglamento General de Protección de Datos (RGPD) de la UE, la Ley de Protección del Consumidor de California (CCPA), la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) y la Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS).
  1. Auditar los procesos operativos y empresariales
    La mayoría de los proveedores de servicios en la nube ofrecen documentación que describe su cumplimiento de las directrices y normativas corporativas, gubernamentales y del sector. Esto es un comienzo, pero es importante ir un paso más allá y solicitar información adicional.
    Como regla general, considere la posibilidad de buscar informes de seguridad de terceros de auditores y agencias independientes. Si un proveedor se resiste a proporcionar información o no puede hacerlo con rapidez, podría ser una señal de alarma de que no está actuando en su beneficio.
  1. Comprobar los controles de autenticación e identidad
    El almacenamiento de datos y aplicaciones en la nube introduce nuevos riesgos de acceso. En lugar de acceder a los datos y aplicaciones in situ, los trabajadores pueden utilizarlos desde casi cualquier lugar del mundo. Esto aumenta la probabilidad de robo y uso indebido.
    Por esta razón, es fundamental asociarse con proveedores de la nube que ofrecen controles sólidos de autenticación e identidad . Por ejemplo, el proveedor debe ofrecer autenticación multifactorial (MFA) para los inicios de sesión. Además, las herramientas de monitoreo de identidades en tiempo real y Cloud Infrastructure Entitlements Management (CIEM3) vigilan de cerca todas las identidades (personales y no personales) de su entorno.

https://sonraisecurity.com/use-cases/identity/

  1. Comprender las procesos internos del proveedor y las políticas de acceso
    La migración a la nube y el uso de infraestructura de terceros requiere una gran confianza entre la organización y el proveedor de la nube. Después de todo, una parte importante de sus cargas de trabajo fluirá a través de la infraestructura de un tercero cuando utilice la nube.
    Para proteger su empresa, es necesario definir las políticas de acceso y gobernanza del proveedor. De este modo, tendrá una idea clara de lo que controla el proveedor de la nube y de lo que puede hacer con sus datos. Sin una sólida política de gobierno y acceso del proveedor, su empresa podría arriesgarse a perder incidentes de seguridad y violaciones de la privacidad.
  1. Garantizar el acceso a los registros de auditoría corporativos
    Un registro de auditoría es una línea que resume la fecha y la hora de transacciones específicas en la nube. En otras palabras, muestra quién realiza acciones específicas y cuándo las lleva a cabo.
    El proveedor de la nube debe proporcionar acceso directo a los datos de los registros de auditoría corporativa, para una visibilidad y transparencia completas. Sin este tipo de información, puede ser difícil o incluso imposible realizar una reconstrucción de un evento en particular.
  1. Comprender los recursos de gestión interna
    La migración a la nube pública no es algo que se establece y se olvida. Necesitas conocer a fondo los recursos disponibles que vas a utilizar. Al mismo tiempo, también debe saber qué debe hacer para proteger su entorno de nube.
    Tenga en cuenta que los proveedores de la nube suelen tener modelos de responsabilidad compartida, con marcos específicos para asegurar y supervisar las cargas de trabajo. Los marcos de seguridad en la nube pueden incluir descripción de controles, informes de cumplimiento y protocolos de gestión de identidades o de configuraciones erróneas.
  1. Examinar los SLA
    Los SLA son es el acuerdo oficial entre la organización y el proveedor de servicios en la nube. En un nivel alto, el SLA se encarga de esbozar el nivel de servicio que recibe el cliente. También define las consideraciones de seguridad, incluyendo las responsabilidades compartidas, la fiabilidad, el mantenimiento y el soporte, el gobierno y la auditoría de los datos.
    Dado que el acuerdo de nivel de servicio rige esencialmente la relación con el proveedor de la nube, es necesario examinar el documento y tener una comprensión completa de lo que implica. También es una buena idea incluir en el proceso a los responsables de la seguridad, los equipos jurídicos y otros responsables de la toma de decisiones para evitar dejar nada al azar.
  1. Comprender los precios de los servicios de seguridad
    Muchos de los principales proveedores de la nube ofrecen servicios de seguridad avanzados por un cargo adicional. Por ejemplo, AWS tiene el AWS Security Hub y GCP tiene el Security Command Center. Estos tipos de servicios proporcionan visibilidad y control centralizados, informes de desconfiguración, inteligencia sobre amenazas y mucho más.
    Hable con sus asesores de seguridad y determine si necesita pagar por este tipo de servicio o si es mejor utilizar herramientas estándar. Es posible que pueda evitar el pago de fuertes cuotas de suscripción y reducir el coste total del proyecto.
  1. Examine la ubicación del almacenamiento de datos
    Antes de migrar a la nube, determine el nivel de seguridad y confidencialidad que necesitan sus datos, es decir, clasifique sus datos. Esto le ayudará a analizar el entorno de almacenamiento del proveedor de la nube y a determinar si se ajusta a sus necesidades específicas.
    También querrás investigar dónde almacena realmente tus datos el proveedor. Los proveedores suelen almacenar y procesar los datos en países con normas de seguridad mínimas. Esto podría amenazar potencialmente tus datos personales en la nube y exponerte a violaciones de la privacidad.
  1. Evaluar las capacidades de integración de terceros
    Es necesario comprobar si la plataforma admite integraciones de seguridad de terceros para determinar el nivel de control y personalización que tendrá.
    Las empresas suelen crear modelos de seguridad en la nube personalizados utilizando varias protecciones y servicios de supervisión de terceros. Un proveedor nube nunca debería limitarte a sus servicios. La flexibilidad y las integraciones son la clave del éxito en la nube.
  1. Evaluar uptime y performance
    Los proveedores de la nube pueden sufrir interrupciones y tiempos de inactividad como cualquier otra empresa. Cuando esto ocurre, los clientes se ven directamente afectados. En un ejemplo reciente, Apple tuvo una interrupción masiva del servicio que afectó a numerosas aplicaciones.
    Busqué en profundidad métricas de uptime y performance y analice los datos para determinar la frecuencia con la que el proveedor de la nube experimenta interrupciones y el tiempo medio de resolución.
  1. Compruebe si hay un historial de violación o pérdida de datos
    Otra forma de examinar la seguridad de un proveedor de la nube es investigar la cantidad total de pérdidas de datos y violaciones.
    Al investigar este tipo de información, primero hay que tener en cuenta el contexto. También querrá examinar el tamaño y el alcance del proveedor y el nivel de responsabilidad compartida que ofrece.
  1. Analizar los procesos de copia de seguridad y recuperación de desastres
    Las interrupciones y los desastres pueden ocurrir en cualquier momento. Es vital contar con un sólido proceso de copia de seguridad y recuperación para proteger sus activos en la nube.
    A la hora de seleccionar un proveedor de la nube, estudie sus disposiciones y procesos de recuperación de desastres. Asegúrate de que tienen la capacidad de preservar y restaurar los datos sin problemas.
  1. Busque servicios de migración y soporte
    La migración de las cargas de trabajo de los entornos on-prem a la nube puede ser una tarea compleja y pesada. Las empresas que intentan hacerlo con recursos internos suelen tener dificultades y se encuentran con problemas de rendimiento, desafíos de migración y errores de seguridad.
    Para evitar complicaciones, conviene comprobar si el proveedor de la nube ofrece servicios de migración. Por ejemplo, tanto Azure como AWS facilitan la transferencia de cargas de trabajo de forma segura y eficiente.
  1. Revise la planificación de la salida y evite el bloqueo
    Como dice el refrán, sepa dónde están las salidas. Es posible que empiece a trabajar con un proveedor de la nube y tenga que abandonar el barco por motivos de seguridad, costes, rendimiento o cambio de estrategia.
    El bloqueo del proveedor de la nube se produce cuando un proveedor de la nube hace que sea difícil o incluso imposible romper los lazos con él. Esto suele ocurrir cuando el coste de abandonar el proveedor es tan exorbitante que la empresa tiene que seguir trabajando con él.

Consideraciones Finales
Como puede ver, migrar a la nube no es un paseo. Por el contrario, es un proceso complicado con mucho que considerar, especialmente cuando se trata de la seguridad.

Controlar la seguridad en la nube puede ser muy complejo, tanto si gestionas una como varias plataformas en la nube. Para facilitar el proceso y avanzar en el nivel de seguridad, resulta útil aprovechar una plataforma de seguridad en la nube que ofrezca visibilidad a todos los proveedores.

Fuente: https://securityboulevard.com/2022/04/how-to-evaluate-cloud-service-provider-security-checklist

Esta semana en ciberseguridad – Abril 2022

Vulnerabilidades Críticas de Microsoft

Las actualizaciones de este martes de abril de Microsoft abordaron un total de 128 vulnerabilidades de seguridad que abarcan todos sus productos, incluidos Windows, Defender, Office, Exchange Server, Visual Studio y Print Spooler, entre otros.

10 de los 128 errores corregidos se calificaron como Críticos, 115 se calificaron como Importantes y tres se calificaron como Moderados, con una de las fallas enumeradas como conocidas públicamente y otra bajo ataque activo en el momento del lanzamiento.

Las actualizaciones se suman a otras 26 fallas resueltas por Microsoft en su navegador Edge basado en Chromium desde principios de mes.

La falla explotada activamente (CVE-2022-24521, puntaje CVSS: 7.8) se relaciona con una vulnerabilidad de elevación de privilegios en el Common Log File System Driver de Windows (CLFS).

La segunda falla “Zero-Day” conocida públicamente (CVE-2022-26904, puntaje CVSS: 7.0) también se refiere a un caso de escalamiento de privilegios en el Servicio de perfil de usuario de Windows, cuya explotación exitosa “requiere que un atacante genere una condición de carrera”.

FUENTE: https://thehackernews.com/2022/04/microsoft-issues-patches-for-2-windows.html

Vulnerabilidades Críticas de VMWare

El 6 de abril, VMware publicó un aviso (VMSA-2022-0011) que aborda ocho vulnerabilidades en varios productos de VMware: las ocho vulnerabilidades fueron reveladas a VMware por Steven Seeley, un investigador de seguridad del Qihoo 360 Vulnerability Research Institute.

La más grave de ellas es la CVE-2022-22954, una vulnerabilidad de inyección de plantilla del lado del servidor en VMware Workspace ONE Access and Identity Manager. A esta vulnerabilidad se le asignó una puntuación CVSSv3 de 9,8. Un atacante no autenticado con acceso a la red podría aprovechar esta vulnerabilidad enviando una solicitud especialmente diseñada a un VMware Workspace ONE o Identity Manager vulnerable. La explotación exitosa podría resultar en la ejecución remota de código al explotar una falla de inyección de plantilla del lado del servidor.

FUENTE: https://www.tenable.com/blog/vmware-patches-multiple-vulnerabilities-in-workspace-one-vmsa-2022-0011

Guía de NIST – Enterprise Patch Management Planning

El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology y SP 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways.

La administración de parches empresariales es el proceso de identificar, priorizar, adquirir, instalar y verificar la instalación de parches, actualizaciones y mejoras en toda una organización.

FUENTE: https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final

Esta semana en ciberseguridad – Abril 2022

42% de los desarrolladores insertan código vulnerable

Según un estudio de Tromzo, el 42% de los desarrolladores insertan regularmente código vulnerable, pero esto se debe a la gran cantidad de problemas de seguridad que deben abordarse sin una adecuada priorización.

Otros datos revelados por este interesante informe son:

  • Los desarrolladores corrigen solo el 32% de las vulnerabilidades conocidas
  • Un tercio de las vulnerabilidades son ruido
  • El 23% cree que los desarrolladores y seguridad están aislados.
  • El 62% de los desarrolladores utilizan 11 o más herramientas de seguridad de aplicaciones.
  • El 80% se sorprendería si vieran a su empresa en las noticias por una brecha de seguridad.
  • Casi el 20% cree que más del 75% de las alertas son falsas.

FUENTE: https://blog.segu-info.com.ar/2022/04/42-de-los-desarrolladores-insertan.html

Spring4Shell (CVE-2022-22965)

Un viejo amigo de la casa nos deja este interesante articulo donde habla de una nueva vulnerabilidad de día cero detectada el 29 de marzo denominada “Spring4Shell” que permite la ejecución de código remoto no autenticado en aplicaciones vulnerables utilizando el acceso ClassLoader.

Esta vulnerabilidad se reconoce por su código CVE-2022–22965, y aunque tiene un nombre similar a Log4Shell no es tan mala como esta última, ya que requiere ciertos requisitos previos para ser explotada.

FUENTE: https://www.traceable.ai/blog-post/spring4shell-vulnerability-cve-2022-22965-enables-remote-code-execution-when-using-the-spring-framework

2FA en SSH

Si bien este articulo es un tanto antiguo (09/02/21), siempre es bueno recordar como poder obtener un poco mas de seguridad, sobre todo cuando se trata de un servicio tan popular como lo es SSH y sobre todo si este servicio esta expuesto a internet.

En este articulo se explica como agregar un segundo factor de autenticación al servicio SSH, y acá te dejo un resumen de los pasos a seguir basados en Linux Ubuntu Server 20.04.2 LTS.

  • Instalar el módulo PAM desarrollado por google
    sudo apt install libpam-google-authenticator
  • Configurar el módulo PAM, añadiendo al final del fichero /etc/pam.d/sshd la línea auth required pam_google_authenticator.so
  • Chequear que el parametro ChallengeResponseAuthentication de /etc/ssh/sshd_config este en yes.
  • reiniciar el servicio.
    sudo systemctl restart sshd.service
  • iniciar sesión con el usuario a configurar y ejecutar google-authenticator respondiendo “y” a todas las preguntas que nos haga a excepción de la penúltima donde damos “n”.
  • Con esto se despliega un QR para vincular la cuenta con la aplicación de google en nuestro smartphone

FUENTE: https://derechodelared.com/segundo-factor-de-autenticacion-ssh/