SERVICIO DE INTELIGENCIA CONTRA AMENAZAS SIA

Transcripción

1 servicio de inteligencia sobre amenazas [sia] año 02 edición 2.

2 Qué es EL Servicio de Inteligencia sobre Amenazas [SIA]? Es una combinación de información de amenazas existentes en la red con el análisis e inteligencia del grupo de especialistas de CORE ONE IT, quienes analizan exhaustivamente todo tipo de amenazas informáticas y desarrollan una serie de recomendaciones adaptadas a cada tipo de cliente. Alcance Se personaliza de acuerdo al tipo de infraestructura y entorno de red del cliente basado en los tipos de dispositivos, modelos y fabricantes, con el fin de recibir solo información relevante y que pudiera afectar de manera directa o indirecta, la continuidad del negocio. Definiciones Riesgo: Probabilidad que una amenaza particular explote una vulnerabilidad particular de un sistema. Amenaza: Es la causa potencial de un incidente no deseado, el cual puede resultar en un daño a un sistema de información u organización. Ataque: Acción de tratar de traspasar controles de seguridad en un sistema. Un ataque puede ser activo, resultando en la modificación de datos, o pasivo, resultando en la divulgación de información. El hecho de que un ataque sea realizado no significa que será exitoso, el grado de éxito depende de la vulnerabilidad del sistema o actividad y de la eficiencia de las medidas existentes. API: Interfaz de Programación de Aplicaciones (Application Programming Interface, por sus siglas en inglés). Conjunto de subrutinas, funciones y procedimientos de una biblioteca para ser utilizado por otro software. Malware: también llamado badware, código maligno, software malicioso, software dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. Ransomware: Es un tipo especial de malware que amenaza con destruir los documentos y otros archivos de las víctimas. Troyano: Software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo. ISP: Proveedor de servicios de Internet (Internet Service Provider, por sus siglas en inglés). Keylogger: Software de vigilancia, el cual cuenta con la capacidad de grabar cada tecla pulsada en el sistema en un archivo, usualmente cifrado. BSOD: Blue Screen Of Death, pantalla azul de la muerte ; se refiere a la pantalla mostrada por el sistema operativo de Windows cuando éste no puede recuperarse de un error del sistema. Vulnerabilidad: Debilidad en los procedimientos de seguridad de un sistema, en el diseño del sistema, en la implementación, en los controles internos, y que puede ser explotada para violar la política de seguridad del sistema.

3 ESTAS SON LAS PEORES AMENAZAS CIBER- NÉTICAS DE 2018 Spectre y Meltdown Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética ya pronosticaban que este sería un año difícil para usuarios y organizaciones, incluso 2018 comenzó con el descubrimiento de una vulnerabilidad presente en prácticamente cualquier procesador de CPU desarrollado durante los últimos 20 años. La peor parte es que a la postre las cosas sólo empeoraron, nuevas familias de malware, ataques patrocinados por gobiernos y muchos incidentes más han mantenido ocupada a la comunidad de la ciberseguridad. Algunas de las amenazas cibernéticas más peligrosas que se presentaron este año son: Apenas comenzó el año y varios especialistas en ciberseguridad comenzaron a reportar las vulnerabilidades de CPU conocidas como Spectre y Meltdown. Presentes en los chips Intel, IBM, ARM y AMD, se descubrió que estas vulnerabilidades podrían ser explotadas a través de un ataque de canal lateral con el propósito de robar información confidencial almacenada en el dispositivo engañando a los programas del equipo comprometido. Antes de su divulgación pública, múltiples organizaciones de la industria trabajaron en conjunto para desarrollar los parches de seguridad para estas fallas, lo que generó algunos contratiempos, como ralentización de los equipos afectados, por si fuera poco, en los meses siguientes continuaron apareciendo algunas variantes de las vulnerabilidades, así como otras vulnerabilidades de ejecución especulativa, como Foreshadow. Empresas como Intel mencionaron que su próxima generación de chips será diseñada para evitar la presencia de esta clase de fallas.

4 GandCrab VPNFilter El software de encriptación GandCrab se convirtió en la herramienta más utilizada en ataques de ransomware este A diferencia de los ataques convencionales, GandCrab se basa en kits de explotación como RIG, GrandSoft y Fallout para desplegar sus ataques, además, GandCrab exige los rescates en la criptomoneda Dash. Acorde a un análisis de una firma de ciberseguridad, los hackers detrás de GandCrab podrían haber generado alrededor de 700 mil dólares en ganancias. VPNFilter es un programa de malware modular presuntamente desarrollado por el grupo de hackers rusos conocido como Fancy Bear. Presente en una amplia gama de enrutadores, este malware es capaz de realizar ataques DDoS, filtración de datos y ciberespionaje. En una etapa posterior, VPNFilter es capaz incluso de propagarse de forma mucho más acelerada a través de múltiples endpoints, filtrar información y cifrar su propio tráfico.

5 Coinhive Magecart El uso de software de minado de criptomoneda incrementó considerablemente este año. Entre los múltiples programas disponibles, Coinhive se consagró como el minero más utilizado, sobre todo por centrarse en la divisa digital Monero, criptomoneda anónima cuyas transacciones son muy difíciles de rastrear. Coinhive es explícitamente utilizada en algunos sitios, aunque la mayor parte de sus usuarios son hackers maliciosos que inyectan el minero de forma inadvertida en sitios web o máquinas de administradores desprevenidos. Este es un malware usado para el robo de datos de tarjetas de pago utilizado al menos por seis organizaciones de hackers maliciosos de todo el mundo. Por lo general, los actores maliciosos incorporan Magecart en sitios web comprometidos usando una herramienta de JavaScript que copia los datos que ingresan en las formas presentes en un sitio web, esta información es posteriormente enviada a un servidor malicioso. Aunque los primeros registros de ataques de Magecart se remontan al año 2014, en definitiva, alcanzó su punto máximo de actividad a lo largo de Fuentes: Estas son las peores amenzas cibernéticas del

6 VULNERABILIDAD CRÍTICA EN SQLITE; FAVOR DE ACTUALIZAR A LA BREVEDAD Este software es utilizado por miles de organizaciones en el mundo Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan el descubrimiento de una vulnerabilidad crítica en el software de SQLite, un motor de base de datos utilizado ampliamente; según los reportes, la vulnerabilidad podría comprometer millones de implementaciones a múltiples ciberataques. La vulnerabilidad de SQLite, apodada Magellan por el equipo de expertos que la descubrió, permitiría a un atacante remoto ejecutar códigos maliciosos o arbitrarios en los dispositivos comprometidos, filtrar la memoria del programa o bloquear las aplicaciones. SQLite es un sistema de gestión de bases de datos relacionales basado en disco, liviano y ampliamente utilizado que requiere un soporte mínimo de sistemas operativos o bibliotecas externas y, por lo tanto, es compatible con casi cualquier dispositivo, plataforma o lenguaje de programación, mencionan los expertos en forense digital. Actualmente, SQLite es utilizado por millones de aplicaciones y, por lo tanto, por miles de millones de implementaciones, incluyendo dispositivos de Internet de las Cosas (IoT), macos y aplicaciones de Windows, además de los motores de búsqueda más utilizados, el software de Adobe, Skype y muchas otras plataformas. Dado que los navegadores web basados en Chromium, como Chrome, Opera, y Brave, también son compatibles con SQLite a través de la API de base de datos web SQL, considerada obsoleta, un atacante remoto podría atacar fácilmente a los usuarios de los navegadores afectados, sólo convenciéndolos de visitar un sitio web especialmente diseñado. Después de confirmar vulnerabilidad también afectaba a Chromium, un equipo forense digital de Google solucionó la falla, se mencionó en el blog de la empresa. El equipo encargado de SQLite lanzó la versión actualizada de su software para corregir la vulnerabilidad después de haber recibido el informe de los expertos en ciberseguridad. Por otra parte, Google ha lanzado la versión de Chromium para solucionar el problema. Especialistas de una firma de ciberseguridad afirman que lograron diseñar una prueba de concepto del exploit exitosamente contra Google Home, el altavoz inteligente de la empresa. Debido a que la mayoría de las aplicaciones no serán actualizadas en breve, los expertos encargados de la investigación decidieron no divulgar mayores detalles sobre la vulnerabilidad o la prueba de concepto. SQLite es utilizado por Adobe, Apple, Dropbox, Firefox, Android y muchos otros desarrollos, por lo que esta vulnerabilidad es considerada un problema crítico, aunque aún no existen evidencias de que haya sido explotada en un ambiente real. Especialistas en ciberseguridad recomiendan a usuarios y administradores actualizar sus sistemas e instalar los parches de seguridad tan pronto como estén disponibles. Fuentes: Vulnerabilidad crítica en SQL; favor de actulizar a la brevedad.

7 Vulnerabilidad de ampliación de privilegios en el software Cisco Adaptive Security Appliance Criticidad: Alta Un exploit podría permitir al atacante recuperar archivos (incluida la configuración en ejecución) del dispositivo o cargar y reemplazar imágenes de software en el dispositivo. Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. Hay soluciones que abordan esta vulnerabilidad. Impacto: Ampliación de privilegios Vulnerabilidad: Ejecución: Remota Plataforma(s) Afectada(s): Esta vulnerabilidad afecta al software ASA de Cisco que se ejecuta en cualquier producto de Cisco que tenga habilitado el acceso de administración web. Referencia: CVE Descripción: Una vulnerabilidad en el subsistema de autorización del software Cisco Adaptive Security Appliance (ASA) podría permitir que un atacante remoto autenticado, pero sin privilegios (niveles 0 y 1), realice acciones privilegiadas utilizando la interfaz de administración web. La vulnerabilidad se debe a la validación incorrecta de los privilegios de los usuarios al utilizar la interfaz de administración web. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP específicas a través de HTTPS a un dispositivo afectado como un usuario sin privilegios. Fuentes: Vulnerabilidad de ampliación de privilegios en el software Cisco Adaptive Security Appliance asa-privesc

8 Vulnerabilidad de inyección SQL en Cisco Prime License Manager Criticidad: Crítica Actualización (2018-diciembre-10): la instalación del parche ciscocm.cscvk30822_ v1.0.k3.cop.sgn puede causar problemas funcionales. Las soluciones están disponibles para algunos de estos problemas. Si se revierte este parche como se describe en la sección Versiones solucionadas, se corregirán estos problemas funcionales, pero el dispositivo se verá afectado nuevamente por esta vulnerabilidad cuando el parche no esté en su lugar. Vea la sección de versiones fijas para más detalles. Impacto: Vulnerabilidad: Acceso no autorizado Una vulnerabilidad en el código del marco web de Cisco Prime License Manager (PLM) podría permitir que un atacante remoto no autenticado ejecutara consultas de SQL arbitrarias. Ejecución: Plataforma(s) Afectada(s): Remota Esta vulnerabilidad afecta a Cisco Prime License Manager Releases y posteriores. Se ven afectadas las implementaciones independientes de Cisco Prime License Manager y las implementaciones asociadas, donde Cisco Prime License Manager se instala automáticamente como parte de la instalación de Cisco Unified Communications Manager y Cisco Unity Connection. La vulnerabilidad se debe a la falta de validación adecuada de la entrada proporcionada por el usuario en las consultas SQL. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP POST creadas que contengan sentencias SQL maliciosas a una aplicación afectada. Una explotación exitosa podría permitir al atacante modificar y eliminar datos arbitrarios en la base de datos de PLM u obtener acceso al shell con los privilegios del usuario de Postgres. Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones que aborden esta vulnerabilidad. Referencia: CVE Descripción: Actualización (2018-diciembre-20): el parche actualizado ciscocm.cscvk30822_v2.0.k3. cop.sgn que evita los problemas funcionales identificados con el parche v1.0 se ha publicado en Cisco.com. Vea la sección de versiones fijas para más detalles. Fuentes: Vulnerabilidad de inyección SQL en Cisco Prime License Manager plm-sql-inject

9 Actualizaciones de seguridad OpenSSL Criticidad: Impacto: Vulnerabilidad: Ejecución: Plataforma(s) Afectada(s): Medio Alto Remota ScreenOS: ScreenOS se ve potencialmente afectado por muchos de estos problemas. ScreenOS no está afectado por CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE y CVE NSM no está afectado por CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE y CVE Juniper Secure Analytics (JSA, STRM): STRM, la serie JSA puede verse afectada por estos problemas. CTPView / CTPOS: CTPView y CTPOS se ven potencialmente afectados por muchos de estos problemas. CTPView y CTPOS no están afectados por CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE y CVE Referencia: CVE Descripción: El proyecto OpenSSL ha publicado un conjunto de avisos de seguridad para las vulnerabilidades resueltas en la biblioteca OpenSSL en diciembre de 2015, marzo, mayo, junio, agosto y septiembre de El siguiente es un resumen de estas vulnerabilidades y su estado con respecto a los productos de Juniper: Junos Space: Junos Space está potencialmente afectado por muchos de estos problemas. Junos Space no está afectado por CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE , CVE y CVE NSM: el software del servidor NSM y los dispositivos NSM (NSM4000, NSM3000, dispositivo NSMXpress) pueden verse afectados por muchos de estos problemas.

10

11

12

13 Fuentes: Junos OS: Boletín de seguridad : actualizaciones de seguridad OpenSSL. Juniper Networks. Diciembre 2018, de Sitio web: T_1&actp=LIST