Boletín semanal de ciberseguridad 10-16 de julioTelefónica Tech 16 julio, 2021 Actualización del incidente de Kaseya VSA Tras conocerse el pasado día 2 de julio el ataque realizado por el grupo de ransomware REvil mediante Kaseya VSA, el domingo 11 de julio, Kaseya lanzó el parche para su software VSA (VSA 9.5.7a), estando disponible para clientes de VSA On-Premise y VSA SaaS. Con esta actualización se corrigen las vulnerabilidades catalogadas como CVE-2021-30116, CVE-2021-30119 y CVE-2021-30120, que permitían la fuga de credenciales, Cross-Site Scripting (XSS) y elusión del doble factor de autenticación, respectivamente. Esta nueva versión también corrige un fallo que permitía la carga de archivos sin autorización a un servidor VSA, además de utilizar el indicador de seguridad para las cookies de sesión del portal de usuario ya que no se estaba utilizando; también se han implementado mejoras en la seguridad de las respuestas de la API. En relación con el incidente, cabe destacar por otro lado la publicación este sábado de un artículo en Bloomberg, que recoge declaraciones de varios ex empleados de la compañía quienes aseguraban que desde hace años advirtieron sobre problemas graves en el software que no habrían sido tenidos en cuenta ni solucionados. Toda la información: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021 SolarWinds corrige un nuevo 0-day activamente explotado La compañía de software SolarWinds, quienes experimentaban el pasado año una de las campañas de ciberespionaje más sofisticada de los últimos tiempos, ha lanzado una actualización para una vulnerabilidad de día cero catalogada como CVE-2021-35211, la cual estaría afectando a su producto Serv-U. Según informan desde SolarWinds en su propio aviso, investigadores de Microsoft informaban a la tecnológica de una vulnerabilidad de ejecución remota de código (RCE por sus siglas en inglés) que estaba siendo activamente explotada. De ser aprovechada, un actor malicioso podría obtener acceso privilegiado en el host que aloje el producto Serv-U. Desde la compañía se desconoce el alcance real del fallo, por lo que no han aportado más detalles. Los productos afectados son Serv-U Managed File Transfer y Serv-U Secure FTP desde su versión 15.2.3 HF1 y anteriores. Desde SolarWinds han habilitado una actualización segura en la versión 15.2.3 HF2, a la que se recomienda actualizar. Tras la publicación de la actualización de seguridad de SolarWinds, Microsoft publicaba nuevos detalles de la investigación llevada a cabo donde especifican que detectaron un exploit empleado en ataques dirigidos contra el producto Serv-U de SolarWinds y los atribuían a un actor de amenaza denominado DEV-0322. Según los investigadores, la actividad del citado grupo estaría localizada en China y emplearía soluciones de VPN comerciales, así como routers comprometidos como infraestructura de ataque. Consecuentemente, Microsoft observó que los objetivos de la campaña eran entidades norteamericanas de los sectores de software y defensa. Más detalles: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211 Vulnerabilidad RCE crítica en ForgeRock Access Manager activamente explotada Agencias de Ciberseguridad de Australia y Estados Unidos están alertando de una vulnerabilidad crítica de ejecución remota de código (RCE por sus siglas en inglés) en ForgeRock Access Management, aplicación de código abierto utilizada para la gestión de permisos en aplicaciones internas, catalogada como CVE-2021-35464. Este fallo fue descubierto y divulgado el pasado 29 de junio por Michael Stepankin, investigador de seguridad de PortSwigger. ForgeRock indica que este fallo afectaría a las versiones de Access Management (AM) inferiores a la 7.0 que ejecutan Java 8. Desde la compañía se recomienda aplicar los parches publicados el pasado 29 de junio sin demora, puesto que la vulnerabilidad se encuentra activamente explotada. Para saber más: https://backstage.forgerock.com/knowledge/kb/article/a47894244 Boletín mensual de Microsoft Microsoft ha publicado su boletín de seguridad de julio donde incluye correcciones para 117 vulnerabilidades, trece de ellas críticas. Entre los fallos destacan nueve 0-days, cuatro de los cuales estarían siendo activamente explotados: CVE-2021-34527 (PrintNightmare): Vulnerabilidad de ejecución remota de código en el administrador de impresión de WindowsCVE-2021-33771: Vulnerabilidad de elevación de privilegios en el kernel de WindowsCVE-2021-34448: Vulnerabilidad de corrupción de memoria del motor de scriptingCVE-2021-31979: Vulnerabilidad de elevación de privilegios en el kernel de Windows Además, es importante mencionar tres vulnerabilidades de ejecución remota de código (RCE) las cuales están afectando a Microsoft Exchange Server (CVE-2021-31206), al servidor DNS de Windows (CVE-2021-34494) y al kernel de Windows (CVE-2021-34458). Desde Microsoft recomiendan la actualización de los activos afectados. Toda la info: https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul Distribución de ransomware explotando firmware de SonicWall SonicWall ha emitido un aviso de seguridad con carácter de urgencia ante la detección de una campaña de ransomware basada en la explotación de una vulnerabilidad en el firmware de algunos de sus productos. En concreto, los dispositivos vulnerables serían productos Secure Mobile Access (SMA) serie 100 y Secure Remote Access (SRA) que se encuentren ejecutando versiones del firmware 8.x. Desde la firma, recomiendan de forma urgente actualizar los productos a la versión 9.x. En caso de no ser posible actualizar, proponen las siguientes medidas de mitigación: desconexión inmediata de dispositivos SMA y SRA vulnerables, restablecimiento de las contraseñas y activación de medidas multifactor para la autenticación (MFA). A pesar de que en el aviso de SonicWall no se aporta el detalle de la vulnerabilidad concreta que estaría siendo aprovechada, investigadores de seguridad de Crowdstrike, que descubrían y alertaban de un fallo en este firmware el pasado mes de junio, confirman que se trataría de la misma vulnerabilidad que detallaban en su artículo hace unas semanas y al que identificaban como CVE-2019-7481. Por su parte, desde el equipo de respuesta a incidentes de SonicWall han publicado también un aviso para alertar de este fallo, sin llegar a asociarle el identificador que vinculaban desde Crowdstrike en su artículo, pero otorgándole una severidad de CVSSv3 9.8. Más: https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/ Caso de éxito: AWS by acens, la solución elegida por ForceManager para su CRM de gestión de equipos comercialesDescubierta una vulnerabilidad en Kubernetes que permite acceso a redes restringidas (CVE-2020-8562)
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
David Prieto Marqués La importancia del control de acceso: ¿está tu empresa protegida? Por David Prieto y Rodrigo Rojas En un mundo cada vez más digitalizado y complejo, la seguridad de la información es fundamental para las empresas. A medida que las empresas...
Telefónica Tech Boletín semanal de Ciberseguridad, 22 – 26 de mayo GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo...