Boletín semanal de ciberseguridad 10-16 de julioTelefónica Tech 16 julio, 2021 Actualización del incidente de Kaseya VSA Tras conocerse el pasado día 2 de julio el ataque realizado por el grupo de ransomware REvil mediante Kaseya VSA, el domingo 11 de julio, Kaseya lanzó el parche para su software VSA (VSA 9.5.7a), estando disponible para clientes de VSA On-Premise y VSA SaaS. Con esta actualización se corrigen las vulnerabilidades catalogadas como CVE-2021-30116, CVE-2021-30119 y CVE-2021-30120, que permitían la fuga de credenciales, Cross-Site Scripting (XSS) y elusión del doble factor de autenticación, respectivamente. Esta nueva versión también corrige un fallo que permitía la carga de archivos sin autorización a un servidor VSA, además de utilizar el indicador de seguridad para las cookies de sesión del portal de usuario ya que no se estaba utilizando; también se han implementado mejoras en la seguridad de las respuestas de la API. En relación con el incidente, cabe destacar por otro lado la publicación este sábado de un artículo en Bloomberg, que recoge declaraciones de varios ex empleados de la compañía quienes aseguraban que desde hace años advirtieron sobre problemas graves en el software que no habrían sido tenidos en cuenta ni solucionados. Toda la información: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021 SolarWinds corrige un nuevo 0-day activamente explotado La compañía de software SolarWinds, quienes experimentaban el pasado año una de las campañas de ciberespionaje más sofisticada de los últimos tiempos, ha lanzado una actualización para una vulnerabilidad de día cero catalogada como CVE-2021-35211, la cual estaría afectando a su producto Serv-U. Según informan desde SolarWinds en su propio aviso, investigadores de Microsoft informaban a la tecnológica de una vulnerabilidad de ejecución remota de código (RCE por sus siglas en inglés) que estaba siendo activamente explotada. De ser aprovechada, un actor malicioso podría obtener acceso privilegiado en el host que aloje el producto Serv-U. Desde la compañía se desconoce el alcance real del fallo, por lo que no han aportado más detalles. Los productos afectados son Serv-U Managed File Transfer y Serv-U Secure FTP desde su versión 15.2.3 HF1 y anteriores. Desde SolarWinds han habilitado una actualización segura en la versión 15.2.3 HF2, a la que se recomienda actualizar. Tras la publicación de la actualización de seguridad de SolarWinds, Microsoft publicaba nuevos detalles de la investigación llevada a cabo donde especifican que detectaron un exploit empleado en ataques dirigidos contra el producto Serv-U de SolarWinds y los atribuían a un actor de amenaza denominado DEV-0322. Según los investigadores, la actividad del citado grupo estaría localizada en China y emplearía soluciones de VPN comerciales, así como routers comprometidos como infraestructura de ataque. Consecuentemente, Microsoft observó que los objetivos de la campaña eran entidades norteamericanas de los sectores de software y defensa. Más detalles: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211 Vulnerabilidad RCE crítica en ForgeRock Access Manager activamente explotada Agencias de Ciberseguridad de Australia y Estados Unidos están alertando de una vulnerabilidad crítica de ejecución remota de código (RCE por sus siglas en inglés) en ForgeRock Access Management, aplicación de código abierto utilizada para la gestión de permisos en aplicaciones internas, catalogada como CVE-2021-35464. Este fallo fue descubierto y divulgado el pasado 29 de junio por Michael Stepankin, investigador de seguridad de PortSwigger. ForgeRock indica que este fallo afectaría a las versiones de Access Management (AM) inferiores a la 7.0 que ejecutan Java 8. Desde la compañía se recomienda aplicar los parches publicados el pasado 29 de junio sin demora, puesto que la vulnerabilidad se encuentra activamente explotada. Para saber más: https://backstage.forgerock.com/knowledge/kb/article/a47894244 Boletín mensual de Microsoft Microsoft ha publicado su boletín de seguridad de julio donde incluye correcciones para 117 vulnerabilidades, trece de ellas críticas. Entre los fallos destacan nueve 0-days, cuatro de los cuales estarían siendo activamente explotados: CVE-2021-34527 (PrintNightmare): Vulnerabilidad de ejecución remota de código en el administrador de impresión de WindowsCVE-2021-33771: Vulnerabilidad de elevación de privilegios en el kernel de WindowsCVE-2021-34448: Vulnerabilidad de corrupción de memoria del motor de scriptingCVE-2021-31979: Vulnerabilidad de elevación de privilegios en el kernel de Windows Además, es importante mencionar tres vulnerabilidades de ejecución remota de código (RCE) las cuales están afectando a Microsoft Exchange Server (CVE-2021-31206), al servidor DNS de Windows (CVE-2021-34494) y al kernel de Windows (CVE-2021-34458). Desde Microsoft recomiendan la actualización de los activos afectados. Toda la info: https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul Distribución de ransomware explotando firmware de SonicWall SonicWall ha emitido un aviso de seguridad con carácter de urgencia ante la detección de una campaña de ransomware basada en la explotación de una vulnerabilidad en el firmware de algunos de sus productos. En concreto, los dispositivos vulnerables serían productos Secure Mobile Access (SMA) serie 100 y Secure Remote Access (SRA) que se encuentren ejecutando versiones del firmware 8.x. Desde la firma, recomiendan de forma urgente actualizar los productos a la versión 9.x. En caso de no ser posible actualizar, proponen las siguientes medidas de mitigación: desconexión inmediata de dispositivos SMA y SRA vulnerables, restablecimiento de las contraseñas y activación de medidas multifactor para la autenticación (MFA). A pesar de que en el aviso de SonicWall no se aporta el detalle de la vulnerabilidad concreta que estaría siendo aprovechada, investigadores de seguridad de Crowdstrike, que descubrían y alertaban de un fallo en este firmware el pasado mes de junio, confirman que se trataría de la misma vulnerabilidad que detallaban en su artículo hace unas semanas y al que identificaban como CVE-2019-7481. Por su parte, desde el equipo de respuesta a incidentes de SonicWall han publicado también un aviso para alertar de este fallo, sin llegar a asociarle el identificador que vinculaban desde Crowdstrike en su artículo, pero otorgándole una severidad de CVSSv3 9.8. Más: https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/ Caso de éxito: AWS by acens, la solución elegida por ForceManager para su CRM de gestión de equipos comercialesDescubierta una vulnerabilidad en Kubernetes que permite acceso a redes restringidas (CVE-2020-8562)
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Álvaro Alegria Meunier Principales retos para la adopción del metaverso En un post anterior dedicado al metaverso explicaba en qué consiste el metaverso y veíamos qué oportunidades iba a ofrecer a las empresas. Hoy quiero compartir otros retos que, en...
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Paloma Recuero de los Santos ¿Cómo hablar a los niños sobre la Inteligencia Artificial? Desde la conocida como “generación de los constructores”, los nacidos entre 1925 y 1944, a los pequeños “alfa”, los hijos de los “millenials”, la tecnología ha ido ganando terreno...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
AI of Things Descubre lo que tienes que saber sobre 6G Promete aterrizar en 2030 y tener pruebas piloto en 2026. Pero sobre todo, promete múltiples mejoras en términos de conectividad. Nos referimos al 6G, la sexta generación de redes móviles que...