DETECCIÓN Y RESPUESTA GESTIONADA (MDR): LA NUEVA CLAVE PARA DETENER EL RANSOMWARE

No hay duda de que el ransomware es una amenaza creciente. Los ataques de alto perfil han paralizado varias ciudades de Estados Unidos, interrumpido oleoductos y alterado las cadenas de suministro en 2020 y 2021. Sin embargo, esos ataques reflejan solo el lado público de una industria cibercriminal mucho más grande que innova constantemente sus capacidades.

¿Cómo podemos evitarlo y darle un mejor manejo?

Crowdstrike aliado estratégico de SAFE nos comparte el siguiente documento:

Ataques DrDoS

A partir del concepto de un ataque Distributed Denial of Service (DDoS), que consiste en lanzar las solicitudes desde una red de ordenadores formada por muchas máquinas sobre las que se ha establecido previamente un control (botnet), nació Reflected Distributed Denial of Service (DrDoS), que rápidamente se extrapoló a otros entornos. Además, el aumento en el número de dispositivos IoT representa nuevas posibilidades, ya que pueden verse comprometidos y comportarse como un elemento más de una botnet.

En esta variante, los atacantes no se limitan a lanzar un gran volumen de solicitudes a sus objetivos, sino que buscan que los paquetes de solicitud de servicio o de acceso que se van a utilizar como base del ataque comiencen con un tamaño pequeño para generar el mayor número posible de ellos.

Además, cuentan con un sistema intermedio que aumenta el tamaño y la complejidad de los paquetes de respuesta, según la solicitud. Estas respuestas se redirigen al sistema objeto del ataque, reemplazando la dirección IP de origen real con la del sistema que se va a atacar. Por lo tanto, un paquete de solicitud de servicio lanzado por el atacante cuyo tamaño es de unos pocos KB o incluso unos pocos Bytes, a través de un sistema intermedio llamado ‘amplificador’, se convierte en un paquete de respuesta, que se redirige al sistema objetivo del ataque con un tamaño significativamente mayor. tamaño, conocido como factor de amplificación o factor multiplicador .

En ataques DrDoS conocidos y documentados, este factor de amplificación puede variar entre 3,8, en ataques DrDoS basados ​​en el protocolo NetBIOS, y un multiplicador de 51.000, en ataques basados ​​en la vulnerabilidad Memcached, es decir, un paquete generado por el atacante de unos pocos KiloBytes llega al sistema atacado con un tamaño multiplicado por entre 3,8 y 51.000, según la técnica y protocolo utilizado.

Si bien el ataque tiene un gran impacto en los sistemas atacados, su efectividad depende del tiempo necesario para generar las solicitudes desde una sola máquina, por pequeño que sea el paquete fuente, ya que el objetivo puede tener la capacidad de absorber un aumento sostenido de peticiones. Además, los administradores del sistema atacado pueden identificar la fuente del ataque y bloquearlo.

Para evitar esto, los atacantes recurren a lanzar las solicitudes originales, no desde una sola máquina, sino desde decenas o miles de ellas, a través de redes botnet bajo su control y utilizando no un único sistema intermedio de amplificación, sino muchos de ellos. Esta combinación da lugar a un ataque que es mucho más difícil de contrarrestar.

Los diversos ataques DrDos suelen basarse en los diferentes servicios y protocolos que utilizan el protocolo UDP (User Data Protocol). Este protocolo no establece una conexión de extremo a extremo, es decir, la comunicación se realiza desde el origen hasta el destino, sin verificar la disponibilidad ni el estado del receptor, utilizando la información de las cabeceras de los paquetes, como la IP de origen. Dirección. Sin embargo, esta dirección puede ser modificada para que el destinatario piense que es de otra fuente, quien así recibiría la respuesta. Esta técnica se conoce como suplantación de identidad .

El protocolo requiere que el receptor devuelva una respuesta a la dirección IP de origen, por lo tanto, si la dirección se modificó en los paquetes UDP, los paquetes de respuesta llegarán a la dirección IP proporcionada por el atacante. Muchas de estas respuestas sobrecargarían a la víctima.

Esta circunstancia no se da cuando la solicitud del servicio se realiza por TCP, donde es imprescindible establecer un canal de conexión entre un remitente y el servidor para que se pueda prestar el servidor.

Como hemos visto, este tipo de ataques nos pueden afectar de varias formas:

  • Nuestros sistemas pueden convertirse en una posible víctima del ataque.
  • Nuestros sistemas actúan como participantes involuntarios de un ataque perpetrado contra un tercero.
  • Nuestros sistemas pueden quedar inutilizados porque su participación en un ataque de este tipo contra un tercero genera en ellos una denegación de servicio.

Consecuencias y motivación

En cualquiera de los escenarios anteriores, el impacto del ataque será directamente proporcional a las funciones que realicen las máquinas afectadas y el tiempo que estén fuera de uso. Hay que tener en cuenta que, si bien la mayoría de los ataques son de corta duración, minutos u horas, existen casos documentados en los que los servicios están fuera de servicio durante varios días.

Las consecuencias financieras de estos ataques se suman al daño reputacional, debido a la pérdida de confianza y credibilidad por parte de los clientes y otras partes interesadas. La falta de uso de los sistemas, aunque sea por un período breve, también puede conllevar una pérdida de datos comerciales y serias complicaciones en sus operaciones, ya que no pueden acceder a información crítica para llevarlas a cabo.

Los ciberdelincuentes tienen varias motivaciones para lanzar este tipo de ataques. Aunque puede tratarse simplemente de vandalismo, normalmente está motivado por la venganza, para obtener algún tipo de beneficio económico a través de la extorsión y el chantaje, puede causar pérdidas económicas a la víctima, guerras comerciales o guerras para captar la atención del público por una determinada causa social o política. .

Defensa

Por las características de este tipo de ataques, cualquier sistema que esté presente en Internet es vulnerable a convertirse en un objetivo potencial. Defenderse de ellos dependerá de la combinación de su tamaño y, por tanto, de su capacidad para absorber los picos de carga de procesamiento y de las medidas de seguridad implementadas para contrarrestar la sobrecarga de solicitudes de servicio que reciben.

Por otro lado, para evitar que los propios sistemas se conviertan en un reflector, la defensa está directamente relacionada con la configuración de estos sistemas, la frecuencia con la que se aplican actualizaciones para corregir vulnerabilidades, su exposición en Internet y las medidas de protección complementarias que se han aplicado.

Los proveedores de servicios de Internet son especialmente relevantes e importantes ante este riesgo, ya que cuentan con los mecanismos necesarios para detectarlos, principalmente identificando paquetes falsificados, bloqueando el tráfico malicioso o, en su defecto, diluyéndolo a través de su infraestructura para que no afecte los sistemas finales de sus clientes. Además, los proveedores de servicios de Internet son una parte interesada en reducir la probabilidad de esta amenaza ya que, si bien no son el objetivo final de los ataques de denegación de servicio, su compromiso con sus clientes en los acuerdos de nivel de servicio afecta directamente sus resultados financieros y reputacionales.

Por otro lado, debido a la forma en que se ejecutan estos ataques, la identificación y persecución de quienes los instigan se dificulta en la mayoría de los casos por el hecho de que actúan a través de sistemas interpuestos, redes botnet y máquinas reflectoras, y desde diferentes áreas geográficas.

Los blogs futuros establecerán una descripción detallada de los ataques DrDoS basados ​​en diferentes protocolos ( DNS , NTP , TFTP , mDNS , LDAP , Memcached , CharGEN , PortMapper , UBNT , NetBIOS , SSDP , QOTD , SNMP y ARD ), y ofrecerán recomendaciones sobre cómo para prevenirlos y detectarlos, así como pautas para establecer protocolos de actuación en caso de ser víctima de ellos.

Botnet, ¿qué es y cuál es su objetivo?

Una botnet es una colección de dispositivos conectados a Internet, que pueden incluir computadoras personales (PC), servidores, dispositivos móviles y dispositivos de Internet de las cosas (IoT) , que están infectados y controlados por un tipo común de malware. Estos son controlados de forma remota por actores de amenazas, a menudo ciberdelincuentes, y se utilizan para para lanzar ataques diseñados específicamente para colapsar la red de un objetivo, inyectar malware, recolectar credenciales o ejecutar tareas que requieren un uso intensivo de la CPU, estas operaciones maliciosas permanecen ocultas para el usuario.

Cada dispositivo individual dentro de la red de botnet se denomina bot.

¿Cómo funcionan las botnets?

El término botnet se deriva de las palabras robot y red. Un bot es un dispositivo infectado por un código malicioso, que luego pasa a formar parte de una red de máquinas infectadas controladas por un único atacante o grupo de ataque.

El malware de botnet generalmente busca dispositivos con puntos finales vulnerables en Internet, en lugar de dirigirse a individuos, empresas o industrias específicas.

El objetivo de crear una red de bots es infectar tantos dispositivos conectados como sea posible y utilizar la potencia informática y la funcionalidad a gran escala de esos dispositivos para tareas automatizadas que generalmente permanecen ocultas para los usuarios de los dispositivos.

La arquitectura de una botnet

Las infecciones de botnet generalmente se propagan a través de malware o spyware. El malware de botnet generalmente está diseñado para escanear automáticamente sistemas y dispositivos en busca de vulnerabilidades comunes que no han sido reparadas con la esperanza de infectar tantos dispositivos como sea posible.

Una vez que se infecta la cantidad deseada de dispositivos, los atacantes pueden controlar los bots utilizando dos enfoques diferentes:

Modelo cliente-servidor centralizado

La primera generación de redes de bots operaba en una arquitectura cliente-servidor, donde un servidor de comando y control (C&C) opera toda la red de bots. Debido a su simplicidad, la desventaja de usar un modelo centralizado sobre un modelo P2P es que es susceptible a un único punto de falla.

Los dos canales de comunicación de C&C más comunes son IRC y HTTP:

Red de bots IRC (Internet Relay Chat)

Las redes de bots de IRC se encuentran entre los primeros tipos de redes de bots y se controlan de forma remota con un canal y un servidor de IRC preconfigurados. Los bots se conectan al servidor IRC y esperan las órdenes del pastor de bots.

red de bots HTTP

Una red de bots HTTP es una red de bots basada en la web a través de la cual el pastor de bots utiliza el protocolo HTTP para enviar comandos. Los bots visitarán periódicamente el servidor para obtener actualizaciones y nuevos comandos. El uso del protocolo HTTP permite al pastor enmascarar sus actividades como tráfico web normal.

Modelo descentralizado de igual a igual

La nueva generación de botnets son peer-to-peer, donde los bots comparten comandos e información entre sí y no están en contacto directo con el servidor C&C.

Las redes de bots P2P son más difíciles de implementar que las redes de bots IRC o HTTP, pero también son más resistentes porque no dependen de un servidor centralizado. En cambio, cada bot funciona de forma independiente como cliente y servidor, actualizando y compartiendo información de manera coordinada entre los dispositivos de la red de bots.

¿Cómo funciona una red de bots?

Inicialmente, el pirata informático encuentra una vulnerabilidad en un sitio web, una aplicación o en el comportamiento del usuario para exponerlo al malware. Pueden explotar los problemas de seguridad en el software o los sitios web para poder entregar malware a través de correos electrónicos, descargas ocultas o descargas de caballos de Troya.

Posteriormente, los dispositivos de las víctimas se infectan con malware que puede tomar el control de sus dispositivos. La infección de malware inicial permite a los piratas informáticos crear dispositivos zombis utilizando técnicas como descargas web, kits de explotación, anuncios emergentes y archivos adjuntos de correo electrónico. Si se trata de una botnet centralizada, el cibercriminal dirigirá el dispositivo infectado a un servidor C&C. Si se trata de una botnet P2P, comienza la propagación entre pares y los dispositivos zombi buscan conectarse con otros dispositivos infectados.

Por último, cuando el cibercriminal ha infectado una cantidad suficiente de bots, puede movilizar sus ataques. Los dispositivos zombis luego descargarán la última actualización del canal C&C para recibir su pedido. Luego, el bot procede con sus órdenes y se involucra en actividades maliciosas. El pastor de bots puede continuar administrando y haciendo crecer su botnet de forma remota para llevar a cabo diversas actividades maliciosas. Las botnets no se dirigen a individuos específicos, ya que el objetivo del cibercriminal de bots es infectar tantos dispositivos como sea posible para que puedan llevar a cabo ataques maliciosos.

Tipos de ataques de botnets

Una vez que un adversario tiene el control de una botnet, las posibilidades maliciosas son amplias. Una red de bots se puede utilizar para realizar muchos tipos de ataques, entre ellos:

1. suplantación de identidad

Las botnets se pueden utilizar para distribuir malware a través de correos electrónicos de phishing. Debido a que las botnets están automatizadas y consisten en muchos bots, cerrar una campaña de phishing es como jugar un juego de Whack-A-Mole.

2. Ataque de denegación de servicio distribuido (DDoS)

Durante un ataque DDoS , la botnet envía una cantidad abrumadora de solicitudes a un servidor o aplicación objetivo, lo que hace que se bloquee. Los ataques DDoS de la capa de red utilizan inundaciones SYN , inundaciones UDP , amplificación de DNS y otras técnicas diseñadas para consumir el ancho de banda del objetivo y evitar que se atiendan solicitudes legítimas. Los ataques DDoS en la capa de aplicación utilizan inundaciones HTTP , ataques Slowloris o RUDY, ataques de día cero y otros ataques que tienen como objetivo las vulnerabilidades en un sistema operativo, aplicación o protocolo para bloquear una aplicación en particular.

3. Bots de spam

Los spambots recolectan correos electrónicos de sitios web, foros, libros de visitas, salas de chat y cualquier otro lugar donde los usuarios ingresen sus direcciones de correo electrónico. Una vez adquiridos, los correos electrónicos se utilizan para crear cuentas y enviar mensajes de spam. Se cree que más del 80 por ciento del spam proviene de botnets.

Prevención de botnets con controles de ciberseguridad

No existe una solución única para la detección y prevención de botnets, pero los usuarios y las empresas pueden comenzar incorporando los siguientes controles de seguridad:

  • fuertes métodos de autenticación de usuarios;
  • actualizaciones de firmware remotas y seguras, que solo permiten el firmware del fabricante original;
  • arranque seguro para garantizar que los dispositivos solo ejecuten código producido por partes confiables;
  • análisis de comportamiento avanzado para detectar comportamientos de tráfico IoT inusuales; y
  • métodos que utilizan la automatización, el aprendizaje automático y la inteligencia artificial (IA) para automatizar las medidas de protección en las redes de IoT antes de que las redes de bots puedan causar daños graves.

Pagos en línea: Buenas prácticas de seguridad para organizaciones e individuos

A medida que aumenta la actividad de los pagos en línea, también lo han hecho los esfuerzos de los  ciberdelincuentes, lo que ha resultado en pérdidas masivas para individuos y organizaciones que han sido víctimas de estos ataques. Generalmente, las compras en línea son una actividad muy segura si se establece bajo estándares básicos necesarios, sin embargo, son los hábitos de los individuos y organizaciones, los que lo hacen inseguro. Y eso es exactamente en lo que confían los ciberdelincuentes.

Simultáneamente con el aumento de cifras de identidades y cuentas robadas, filtraciones de datos y fraudes con tarjetas, las organizaciones y los proveedores de pagos han duplicado la seguridad de sus entornos digitales. Aún así, los pagos electrónicos enfrentan amenazas de ciberseguridad, desde actividades de pago fraudulentas hasta skimming y más, estas son algunas de las amenazas más comunes:

  • Amenazas persistentes avanzadas (APT). Los correos electrónicos de phishing y los intentos de engañar a los empleados para que descarguen malware se encuentran entre las APT más comunes. Una vez que una persona ingresa al sistema, el robo de datos, el fraude y otras preocupaciones pueden continuar durante un período prolongado. Mucho peor que un solo pago fraudulento, el problema puede resultar en un robo masivo de datos y pérdidas millonarias.
  • Amenazas internas. Cualquiera que tenga acceso a información confidencial puede robar datos y causar daños graves por una violación de datos. Utilizando su correo electrónico personal o un dispositivo USB, un infiltrado puede, de forma intencionada o no, provocar un compromiso masivo en un sistema.
  • Ataques distribuidos de denegación de servicio (DDoS). Cuando los piratas informáticos inundan una red con solicitudes, pueden abrumar y no procesar transacciones reales. No se trata de poner dinero en manos de delincuentes, sino de quitarle negocio a una empresa o servicio.
  • Tomas de cuenta. Los delincuentes utilizan dispositivos de robo, trucos y otros métodos tortuosos para victimizar a los titulares de tarjetas. Roban la tarjeta de crédito del titular de la tarjeta o su número y comienzan a iniciar actividades de pago fraudulentas. Esto puede suceder en el centro comercial, en un cajero automático o en cualquier lugar donde se exponga una tarjeta.
  • Infracciones en la cadena de suministro. Los proveedores de pagos pueden convertirse en víctimas de actividades delictivas cuando se producen infracciones en la cadena de suministro. Esto incluye problemas con hardware y software que no es seguro.

Es por esto, la gran importancia de implementar procedimientos y regulaciones de seguridad importantes para el manejo de pagos electrónicos como organización y como individuo. Algunas recomendaciones generales serían:

PRÁCTICAS DE SEGURIDAD PARA ORGANIZACIONES

Establecer un servicio de verificación de direcciones (AVS)

Verificar los detalles proporcionados durante la transacción puede ayudar a identificar una transacción potencialmente fraudulenta y proteger el negocio y al cliente antes de que ocurra el fraude. El Servicio de verificación de direcciones (AVS) compara la dirección IP del comprador con la dirección de facturación de la tarjeta de crédito utilizada para garantizar que el cliente es el titular de la tarjeta.

Cifrar datos: Protocolo SSL

SSL y TLS: (Transport Layer Security) TLS y (Secure Sockets Layer) son protocolos que autentican y cifran datos cuando se mueven en Internet. Proteger las transacciones con protocolos SSL garantiza que la información confidencial se cifre y solo el destinatario previsto pueda acceder a ella..

Una forma de saber que un sitio web está usando SSL es observar si su URL comienza con https. Las URL de sitios web que comienzan con https tienen un certificado SSL. Ese certificado es esencialmente una prueba de que el sitio está utilizando encriptación SSL. Otro símbolo común asociado con SSL es el candado. Si un sitio tiene un candado que aparece cerca de su URL, tiene certificación SSL.

  • Cree su sitio web con un creador que ofrezca certificación SSL
  • Compre la certificación SSL de un vendedor externo
  • Utilice una pasarela de pago o una página de pago ofrecida por su empresa de procesamiento

Usar tokenización de pago

La tokenización de tarjetas de crédito anula la identificación de la información de pago confidencial al convertirla en una cadena de números generados aleatoriamente, llamados “token”. Como token, la información se puede enviar a través de Internet o redes de pago para completar el pago sin exponerse.

Requerir contraseñas seguras

Los ciberdelincuentes intentan acceder a las cuentas de los usuarios con combinaciones de nombres, fechas de nacimiento y palabras del diccionario que se utilizan con frecuencia. Proteger las cuentas de los clientes con una contraseña segura puede agregar una línea de defensa. En el caso de que el cliente no pueda recordar su contraseña segura, es necesario que exista un proceso de “olvidó su contraseña” para permitirle acceder a su cuenta.

Implementar 3D seguro

3D Secure es un método de autenticación diseñado para evitar el uso no autorizado de tarjetas y protege a los comerciantes de comercio electrónico de contracargos en caso de una transacción fraudulenta. Los comerciantes, las redes de tarjetas y las instituciones financieras comparten información para autenticar transacciones. Todos los comerciantes deben cumplir con las nuevas leyes de la UE para una autenticación sólida de los clientes y 3D Secure es una forma eficiente de hacerlo.

Solicitar el CVV

El valor de verificación de tarjeta (CVV) se puede utilizar para validar transacciones sin tarjeta presente, ya sea por teléfono o en línea. Si los números de la tarjeta de crédito han sido robados, solicitar información que solo está disponible en la tarjeta puede ayudar a los comerciantes a validar el pago.

Utilice la autenticación fuerte de clientes (SCA)

SCA se utiliza para reducir el fraude y aumentar la seguridad de los pagos en línea y solicita dos o más elementos del uso en el proceso de autenticación. Algo que sabes (una contraseña o PIN), algo que tienes (una placa o un teléfono inteligente) o algo que eres (huellas dactilares o reconocimiento de voz).

Supervise el fraude continuamente

Los comerciantes necesitan una pasarela de pago que detecte y gestione el fraude. El monitoreo de fraude incorporado identifica dónde puede haber un riesgo real de una compra fraudulenta. Las empresas pueden establecer reglas, en función de su situación y tolerancia al riesgo, que limiten o rechacen transacciones que se consideren de demasiado alto riesgo, o que requieran aprobación manual antes de que se complete una transacción.

Administrar el cumplimiento de PCI

Los comerciantes que procesan, almacenan o transmiten datos de tarjetas de crédito deben cumplir con PCI. Las consecuencias de una filtración de datos para una empresa que no cumple con las normas son significativas y pueden incluir costosas multas y sanciones, además de un importante daño a la reputación.

Los procesadores de pagos juegan un papel importante para ayudar a los comerciantes a administrar y mantener el cumplimiento, pero las empresas deben asumir un papel proactivo para comprender sus obligaciones y requisitos de cumplimiento .

Capacitar a los empleados

Proporcionar a las personas los conocimientos y habilidades que les permitan reconocer y responder adecuadamente. Cuando el equipo comprende el proceso de pago seguro, está mejor preparado para identificar la actividad fraudulenta en el momento en que ocurre y puede prevenir incidentes de seguridad de la información.

PRÁCTICAS DE SEGURIDAD PARA INDIVIDUOS

Búsquedas seguras en internet

La mayoría de las veces, el primer paso antes de comprar es buscar en motores de búsqueda, los usuarios corren el riesgo de hacer clic involuntariamente en resultados de búsqueda fraudulentos o infectados que podrían conducirlo a malware en lugar de al destino previsto. Puede usar herramientas como complementos de navegador de terceros, como Web of Trust. Estos pueden ayudar a evitar que haga clic en enlaces falsos e ingrese a sitios web maliciosos. 

Escriba la URL en la barra de direcciones

Los emisores de correos electrónicos de phishing envían enlace para ir a “sitios web” de interés de la víctima potencial. Sin embargo, esos enlaces en realidad lo llevan a sitios web similares diseñados inteligentemente. Para asegurarse de que va al sitio web real, es mucho más seguro escribir la URL del destino en la barra de direcciones de su navegador web. 

Use una dirección de correo electrónico dedicada específicamente para sus compras

Cree una dirección de correo electrónico que usará solo para compras en línea. Esto limitará severamente la cantidad de  mensajes de spam  que recibe y reducirá significativamente el riesgo de abrir correos electrónicos potencialmente maliciosos disfrazados de promociones de ventas u otras notificaciones.

Administre y proteja sus contraseñas en línea

Usar contraseñas seguras y usar una contraseña diferente para cada cuenta en línea es una de las cosas más importantes que puede hacer para comprar en línea de manera segura. Puede usar un administrador de contraseñas para ayudarlo a mantener contraseñas seguras para varias cuentas.

Evite usar Wi-Fi público para iniciar sesión en cuentas en línea

Usar Wi-Fi público para iniciar sesión en una cuenta privada es un gran riesgo de seguridad, ya que los cibercriminales podrían estar secuestrando la señal Wi-Fi, o incluso configurar la suya propia para engañarlo para que la use. Algo que podría pasar es que si inicia sesión en una cuenta bancaria en línea o en un sitio web minorista, el pirata informático adquirirá su nombre de usuario y contraseña. Si necesita acceder a Internet cuando está de compras, es más seguro hacerlo a través de la red de su teléfono móvil.

Considere usar su tableta basada en Linux

Si tiene un dispositivo basado en Linux, como una tableta Samsung u otro dispositivo que ejecute el sistema operativo Linux, puede ser más seguro usarlo para transacciones en línea. También es menos probable que los iPads de Apple sean explotados mientras compra en línea, siempre que su dispositivo no haya sido liberado. Sin embargo, es importante recordar siempre evitar el uso de una red Wi-Fi pública, o existe el riesgo de que te roben las contraseñas y otros datos.

Use una VPN

Si absolutamente debe comprar en línea mientras usa Wi-Fi público, primero instale una VPN (red privada virtual). Una VPN encriptará todos los datos que se transfieren entre su computadora o dispositivo móvil y el servidor VPN, evitando que los piratas informáticos secuestren y vean cualquier información confidencial que ingrese.

Si debe comprar en línea en Wi-Fi público, use Una VPN crea una conexión encriptada entre su computadora y el servidor VPN. Piense en ello como un túnel por el que pasa su tráfico de Internet mientras navega por la web. Los piratas informáticos que acechan cerca no pueden interceptarlo, incluso si tienen la contraseña de la red Wi-Fi que está utilizando. Una VPN significa que probablemente tendrá una forma segura de comprar en línea mientras está en una red Wi-Fi pública.

Qrishing: El uso de códigos QR ha ampliado la superficie de ciberataques

En enero de este año, el FBI generó una alerta (I-011822-PSA) relacionada con la utilización de códigos QR por parte de los ciberdelincuentes, dirigiendo los escaneos de estos códigos a sitios maliciosos para robar datos de las víctimas, incorporando malware para obtener acceso al dispositivo de la víctima y redirigiendo el pago para uso de los ciberdelincuentes.

Un código QR se puede incrustar fácilmente en cualquier lugar donde se pueda colocar una imagen: en el cuerpo de un correo electrónico, como archivo adjunto, impreso en una etiqueta o en un sitio web. Y al igual que una URL maliciosa, están diseñados para mezclarse y no hacer que un usuario desprevenido lo piense dos veces antes de escanearlo.

Los ciberdelincuentes manipulan los códigos QR digitales y físicos para reemplazar los códigos legítimos con códigos maliciosos. Una víctima escanea lo que cree que es un código legítimo, pero el código manipulado dirige a las víctimas a un sitio malicioso, lo que les solicita que ingresen información financiera y de inicio de sesión. El acceso a esta información de la víctima le da al ciberdelincuente la posibilidad de robar fondos a través de las cuentas de las víctimas.

Qrishing: phishing de los códigos QR

El término QRishing deriva de Pishing, como se conoce a la técnica de phishing para estafas en la web. En este caso se trata de una suplantación de identidad, pero utilizando como canal los útiles códigos QR. 

Muchas aplicaciones que usan códigos QR no muestran específicamente la URL destino, especialmente cuando se usan pasarelas de pago. Al intentar abrir sitios, generalmente mostraría el hipervínculo, pero en las técnicas de qrishing, ¿los ciberdelincuentes usan acortadores de URL para ocultar el enlace final. Además, es posible que la URL que se muestra al escanear un código QR con un dispositivo móvil no se muestre completamente en el navegador móvil.

Es importante tener en cuenta que los navegadores móviles, ya sean iPhone o teléfonos Android, no emplean las mismas técnicas de navegación segura que los navegadores de escritorio, lo que hace que el riesgo sea mayor.

¿CUÁLES SON LOS RIESGOS?

Generalmente vulnerar un código QR real requiere cambiar los puntos pixelados en la matriz del código o simplemente incrustar software malicioso en códigos QR (que pueden generarse con herramientas gratuitas ampliamente disponibles en Internet). Para un usuario promedio, todos estos códigos tienen el mismo aspecto, pero un código QR malicioso puede dirigir al usuario a un sitio web falso, capturar datos personales o instalar software malicioso en un teléfono inteligente que inicia acciones como esta: 

  • Agregar una nueva lista de contactos en el teléfono del usuario y usarla para lanzar un ataque de phishing u otro ataque personalizado.
  • Iniciar una llamada telefónica para así exponer el número de teléfono a un mal actor.
  • Enviar un mensaje de texto a un destinatario malicioso o recibir un mensaje de texto malicioso de un estafador. 
  • Redactar un correo electrónico y completar el destinatario y las líneas de asunto. Los piratas informáticos podrían apuntar al correo electrónico del trabajo del usuario si el dispositivo carece de protección contra amenazas móviles.
  • Realizar un pago y capturar los datos financieros personales del usuario. 
  • Revelar la ubicación geográfica del usuario y enviar estos datos a una aplicación o sitio web. 
  • Las cuentas de redes sociales del usuario pueden ser dirigidas para seguir una cuenta maliciosa, que luego puede exponer la información personal y los contactos del usuario. 
  • Agregar una red Wi-Fi comprometida a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red. 

MÉTODOS COMUNES DE QRISHING

QRishing utiliza cebos de ingeniería social para hacer que las víctimas potenciales escaneen el código. 

Para el mismo se han utilizado los siguientes métodos:

  1. Pegar un código QR malicioso encima de un código QR genuino: esto se observó por primera vez en bancos donde las personas estarían muy seguras de escanear el código QR y también deben estar en uso en otros lugares. La razón para creer en la autenticidad del código es la ubicación en la que se ha colocado. P.ej. Si un usuario se encuentra dentro de un banco de renombre o una oficina gubernamental, hay muchas posibilidades de que confíe en cualquier código QR en las instalaciones debido a la confianza en la marca. En tal situación, los ciberdelincuentes pegan el código QR malicioso sobre el genuino.
  2. Cambiar los detalles de la empresa sobre el código QR : para engañar a los usuarios haciéndoles creer que estarían escaneando un código QR genuino, el pirata informático usaría el código QR en un cartel que menciona una marca genuina. P.ej. Una pancarta, folleto o cartel en la calle que mencione un banco de renombre pediría a los usuarios escanear el código QR en él. El código QR sería, a su vez, un intento de phishing que la víctima podría no reconocer.
  3. Uso de códigos QR como vales de descuento : a la gente le encantan los descuentos y los ciberdelincuentes lo saben muy bien. El uso de códigos QR para generar un cupón de descuento para marcas líderes en línea como Amazon se usa mucho para QRishing. Más bien, un informe sobre problemas de seguridad QR muestra que es mucho más probable que los usuarios abran códigos QR que ofrecen descuentos.

¿CÓMO PROTEGERSE?


Como organización, es importante asegurarse de que los empleados estén capacitados para cuestionar los códigos QR antes de escanearlos es clave para prevenir estos ataques. En general, cualquier código QR en un correo electrónico, por ejemplo, debe considerarse sospechoso.

Un conjunto sólido de soluciones de seguridad de varias capas resistirá muchos tipos de amenazas cibernéticas, pero, como siempre, los usuarios finales son la última línea de defensa contra los ataques. La capacitación de concientización comienza enseñando a los usuarios finales que los códigos QR se pueden usar en estafas de phishing y luego les brinda las habilidades para identificar e informar cualquier cosa sospechosa a sus equipos de seguridad y TI. Esos equipos pueden ser fundamentales en la mitigación y recuperación tempranas, antes de que un problema se generalice.

En este mismo sentido, existen recomendaciones generales tales como:

  1. Cuidado con los códigos QR en superficies físicas: el peor tipo de ataques QRishing se realiza pegando un código QR malicioso en uno genuino. Una mirada cuidadosa podría ayudar a descubrirlo.
  2. No abra URL acortadas: se recomienda verificar una URL acortada expandiéndola usando algunas herramientas. Pero eso no siempre es posible cuando se usa un navegador móvil. Más bien, las URL que muestran los códigos QR en un navegador móvil generalmente no están completas. Es mejor evitar abrirlos.
  3. Tenga cuidado antes de ingresar sus credenciales: siempre debe ingresar las credenciales en un sitio seguro, cuya dirección web comience con ‘https://’. Nunca lo hagas con enlaces aleatorios a los que te dirijan a través de códigos QR.
  4. Instale aplicaciones de seguridad en su dispositivo móvil : los navegadores móviles aún no han aplicado listas negras y otras medidas de seguridad como los navegadores de escritorio. Ciertas aplicaciones de seguridad permiten mejorar la seguridad cuando queremos acceder o descargar la información de un código QR: en estas apps, tras escanear el QR se abre una pestaña que permite observar el link completo antes de acceder en el URL.
  5. Evite los códigos QR : a pesar de que los códigos QR son una de las opciones más cómodas, es mejor evitar su uso hasta que se haya investigado lo suficiente para que sean seguros para el uso público.
Vulnerabilidades FEBRERO

Ataques de Deadbolt Ransomware en dispositivos Asustor NAS

Ha habido informes de ataques de ransomware Deadbolt en dispositivos Asustor Network Attached Storage (NAS). El NAS afectado tendrá sus archivos encriptados con una extensión ‘.deadbolt’.
Se recomienda a los usuarios de dispositivos Asustor NAS que hayan sido afectados por el ransomware Deadbolt que sigan los pasos que se detallan a continuación:

  1. Desconecte el cable de red Ethernet
  2. Apague el NAS de forma segura manteniendo presionado el botón de encendido durante tres segundos
  3. No inicialice el NAS ya que esto borrará sus datos
  4. Rellene el formulario que aparece en este enlace para ponerse en contacto con Asustor para obtener ayuda:  https://support.asustor.com/

Si su NAS no se ha visto afectado, Asustor recomienda las siguientes medidas de mitigación para que los usuarios de Asustor NAS adopten para proteger su dispositivo NAS:

  • Cambie los puertos predeterminados, incluidos los puertos de acceso web NAS predeterminados de 8000 y 8001, así como los puertos de acceso web remoto de 80 y 443
  • Deshabilitar EZ Connect
  • Hacer una copia de seguridad inmediata
  • Apague los servicios de Terminal/SSH y SFTP

Si no hay necesidad de acceder al NAS de forma remota desde Internet, los usuarios podrían considerar retirar su dispositivo de Internet.

En respuesta a los ataques de ransomware Deadbolt, el firmware ADM de Asustor se ha actualizado para solucionar problemas de seguridad relacionados. Se recomienda a los usuarios que actualicen a las últimas versiones de inmediato.

CVE-2022-24086

Vulnerabilidad de día cero en las plataformas de código abierto de Adobe Commerce y Magento

Adobe ha publicado una actualización de seguridad para abordar una vulnerabilidad de día cero en sus plataformas Commerce y Magento Open Source que pueden haber sido explotadas activamente.

La explotación exitosa de la vulnerabilidad puede permitir que un atacante ejecute comandos en las plataformas afectadas de forma remota.La vulnerabilidad afecta a las versiones 2.4.3-p1 y anteriores y 2.3.7-p2 y anteriores de las plataformas Adobe Commerce y Magento Open Source.

Se recomienda a los administradores de los productos afectados que instalen las actualizaciones de seguridad más recientes de inmediato.

Hay más información disponible aquí:
https://www.securityweek.com/adobe-releases-emergency-patch-exploited-commerce-zero-day 

CVE-2022-22620

Vulnerabilidad de día cero en Apple iPhone, iPad y Mac

Apple ha publicado una actualización de seguridad para abordar una vulnerabilidad de día cero (CVE-2022-22620) que puede haber sido explotada activamente.

La explotación exitosa de la vulnerabilidad puede permitir que un atacante ejecute comandos en los dispositivos de los usuarios de forma remota. 

Se recomienda a los usuarios actualizar sus productos a las últimas versiones de inmediato:

  • iOS 15.3.1 y iPadOS 15.3.1: para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch (7.ª generación)
  • macOS Monterey 12.2.1: para macOS Monterey

También se recomienda a los usuarios que habiliten las actualizaciones automáticas de software yendo a Configuración > General > Actualizaciones de software > Habilitar actualizaciones automáticas.

Hay más información disponible aquí:
https://support.apple.com/en-us/HT213093

Vulnerabilidades críticas de ejecución remota de código en el complemento WordPress PHP Everywhere

PHP Everywhere ha lanzado una actualización de seguridad para abordar varias vulnerabilidades de ejecución remota de código que se encuentran en el complemento WordPress PHP Everywhere.

Las vulnerabilidades son:

CVE-2022-24663 : una vulnerabilidad que permite a los usuarios casi sin permisos, como un suscriptor, ejecutar código PHP arbitrario en un sitio enviando una solicitud con el parámetro de código abreviado establecido en ‘PHP Everywhere’. Esto podría permitir la adquisición completa del sitio.

CVE-2022-24664 : una vulnerabilidad que permite a los usuarios de nivel colaborador que no son de confianza usar el metabox de PHP Everywhere para lograr la ejecución remota de código en un sitio. La vulnerabilidad se puede explotar creando una publicación, agregando código PHP al metabox de PHP Everywhere y luego obteniendo una vista previa de la publicación. 

CVE-2022-24665– Una vulnerabilidad que permite a los usuarios de nivel colaborador que no son de confianza usar el bloque PHP Everywhere Gutenberg para lograr la ejecución remota de código en un sitio. La vulnerabilidad se puede explotar creando una publicación, agregando código PHP al bloque PHP Everywhere y luego obteniendo una vista previa de la publicación.

Estas vulnerabilidades afectan a las versiones 2.0.3 y anteriores del complemento WordPress PHP Everywhere.

Se recomienda a los administradores que actualicen a la última versión de inmediato.

Vulnerabilidades MARZO

CVE-2022-1040

Vulnerabilidad crítica en Sophos Firewall

Sophos ha publicado revisiones para una vulnerabilidad crítica (CVE-2022-1040) en su producto Firewall. La vulnerabilidad afecta a Sophos Firewall v18.5 MR3 (18.5.3) y versiones anteriores. La vulnerabilidad de omisión de autenticación reside en el Portal de usuario y Webadmin del cortafuegos. La explotación exitosa de la vulnerabilidad puede permitir que un atacante realice la ejecución remota de código.

Se recomienda a los administradores y usuarios de las versiones afectadas que se aseguren de que las revisiones relevantes se apliquen de inmediato. Las revisiones también están disponibles para las versiones al final de su vida útil (EOL) de Sophos Firewall.  No es necesario aplicar parches manualmente si la función “Permitir la instalación automática de revisiones” está habilitada (configuración predeterminada) en la configuración del firewall.

Revise las últimas actualizaciones aquí:  https://support.sophos.com/support/s/article/KB-000043853

CVE-2022-1096

Error de día cero de alta gravedad en Google Chrome

G oogle lanzó Chrome 99.0.4844.84 para Windows, Mac, Linux y Chrome 99.0.4844.88 para usuarios de Android para abordar un error de día cero de alta gravedad (CVE-2022-1096) La vulnerabilidad es una confusión de tipos en el motor de JavaScript V8 y se informa que existe en la naturaleza. V8 es el componente de Chrome que se encarga de procesar el código JavaScript.

La confusión de tipos se refiere a errores de codificación durante los cuales una aplicación inicializa operaciones de ejecución de datos utilizando la entrada de un “tipo” específico, pero se engaña para que trate la entrada como un “tipo” diferente. Esto conduce a errores lógicos en la memoria de la aplicación, lo que puede permitir que un atacante ejecute códigos maliciosos sin restricciones dentro de una aplicación.

Se recomienda a los usuarios de Google Chrome en Windows, Mac y Linux que actualicen a Chrome 99.0.4844.84 inmediatamente. Hay más información disponible aquí:
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html 

CVE-2022-0811

Vulnerabilidad de alta gravedad en CRI-O

Se informó una vulnerabilidad de gravedad alta (CVE-2022-0811) en CRI-O, un motor de tiempo de ejecución de contenedores de código abierto de Kubernetes.

La explotación exitosa de la vulnerabilidad permite que un atacante realice una variedad de acciones contra otros contenedores, incluida la ejecución de malware, la filtración de datos y el movimiento lateral entre los pods. 

La vulnerabilidad afecta a las versiones de CRI-O:

  • 1.19.0 a 1.19.5
  • 1.20.0 a 1.20.6
  • 1.21.0 a 1.21.5
  • 1.22.0 a 1.22.2
  • 1.23.0 a 1.23.1

Se recomienda a los administradores y usuarios de las versiones afectadas que instalen las últimas actualizaciones de seguridad de inmediato.Hay más información disponible aquí:
https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/

Vulnerabilidades ABRIL

CVE-2020-0796

Vulnerabilidad de ejecución remota de código de cliente/servidor de Windows SMBv3

Existe una vulnerabilidad de ejecución remota de código en la forma en que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) maneja ciertas solicitudes, también conocida como “vulnerabilidad de ejecución remota de código cliente/servidor Windows SMBv3”.

Más información aquí: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

CVE-2021-44228

Vulnerabilidad de ejecución remota de código en Apache Log4j2 2.14.1

Apache Log4j2 2.0-beta9 a 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1) Las funciones JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI. Un atacante que puede controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada. Desde log4j 2.15.0, este comportamiento se ha desactivado de forma predeterminada. A partir de la versión 2.16.0 (junto con la 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se eliminó por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2021-44228

CVE-2019-1003029

Vulnerabilidad de sandbox en Jenkins Script

Security Plugin+Existe una vulnerabilidad de omisión de sandbox en Jenkins Script Security Plugin 1.53 y versiones anteriores en src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, src/main/java/org/jenkinsci/plugins/scriptsecurity/ sandbox/groovy/SecureGroovyScript.java que permite a los atacantes con permiso general/de lectura ejecutar código arbitrario en la JVM maestra de Jenkins.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2019-1003029

CVE-2021-26334

Vulnerabilidad potencial de control de acceso inadecuado en AMD μProf Tool

El controlador AMDPowerProfiler.sys de la herramienta AMD μProf puede permitir que los usuarios con menos privilegios accedan a los MSR en el kernel, lo que puede provocar una escalada de privilegios y la ejecución del código ring-0 por parte del usuario con menos privilegios.

Más información en: https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1016

CVE-2021-32834

Vulnerabilidad de ejecución de código arbitrario en Eclipse Keti

Eclipse Keti es un servicio que se diseñó para proteger la API RESTfuls mediante el control de acceso basado en atributos (ABAC). En Keti, un usuario capaz de crear conjuntos de políticas puede ejecutar código arbitrario mediante el envío de scripts Groovy maliciosos que escaparán del entorno limitado de Groovy configurado. Se sabe que esta vulnerabilidad existe en la última confirmación en el momento de escribir este CVE (commit a1c8dbe). Para obtener más detalles, consulte el GHSL-2021-063 al que se hace referencia.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2021-32834

CVE-2017-1000353

Vulnerabilidad de ejecución de código remoto no autenticado de Jenkins

Las versiones 2.56 y anteriores de Jenkins, así como la 2.46.1 LTS y anteriores, son vulnerables a una ejecución remota de código no autenticado. Una vulnerabilidad de ejecución de código remoto no autenticado permitió a los atacantes transferir un objeto Java `SignedObject` serializado a la CLI de Jenkins, que se deserializaría utilizando un nuevo `ObjectInputStream`, sin pasar por el mecanismo de protección existente basado en la lista negra. Estamos solucionando este problema agregando `SignedObject` a la lista negra. También estamos adaptando el nuevo protocolo HTTP CLI de Jenkins 2.54 a LTS 2.46.2, y descartando el protocolo CLI basado en comunicación remota (es decir, serialización de Java), inhabilitándolo de forma predeterminada.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2017-1000353

Vulnerabilidades MAYO

CVE-2022-22972 – CVE-2022-22973

Vulnerabilidades en los productos de VMware

VMware ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos de VMware: Fundación de la nube de VMware, Administrador de identidades de VMware (vIDM), Administrador del ciclo de vida de vRealize Suite, VMware vRealize Automatización (vRA), VMware Workspace ONE Access (Acceso).

Las vulnerabilidades son:

  • CVE-2022-22972: VMware Workspace ONE Access, Identity Manager y vRealize Automation contienen una vulnerabilidad de omisión de autenticación que afecta a los usuarios del dominio local. Un atacante con acceso de red a la interfaz de usuario (IU) puede obtener acceso administrativo sin necesidad de autenticación.
  • CVE-2022-22973: VMware Workspace ONE Access e Identity Manager contienen una vulnerabilidad de escalada de privilegios. Un atacante con acceso local puede escalar los privilegios a ‘root’.

Se recomienda a los administradores de los productos afectados que actualicen a las últimas versiones de inmediato.Hay más información disponible aquí:
https://www.vmware.com/security/advisories/VMSA-2022-0014.html

CVE-2021-21465

Múltiples Vulnerabilidades Críticas en Servidor de Aplicaciones SAP, ABAP y Plataforma ABAP

El servidor de aplicaciones SAP ABAP y la plataforma ABAP son susceptibles a la inyección de código, la inyección SQL y las vulnerabilidades de autorización faltantes. Múltiples productos de SAP se ven afectados.

La interfaz de base de datos BW permite que un atacante con privilegios bajos ejecute cualquier consulta de base de datos manipulada, exponiendo la base de datos de back-end. Un atacante puede incluir sus propios comandos SQL que la base de datos ejecutará sin desinfectar adecuadamente los datos que no son de confianza, lo que lleva a una vulnerabilidad de inyección SQL que puede comprometer completamente el sistema SAP afectado.

Mas información aquí: https://nvd.nist.gov/vuln/detail/CVE-2021-21465

CVE-2022-22675

Vulnerabilidad de día cero en productos Apple

La falla es un problema de escritura fuera de los límites (CVE-2022-22675) en AppleAVD (una extensión del kernel para la decodificación de audio y video) que permite que las aplicaciones ejecuten código arbitrario con privilegios del kernel.

El error fue informado por investigadores anónimos y Apple lo solucionó en macOS Big Sur 11.6. ,  watchOS 8.6 y  tvOS 15.5 con verificación de límites mejorada. La lista de dispositivos afectados incluye Apple Watch Series 3 o posterior, Mac con macOS Big Sur, Apple TV 4K, Apple TV 4K (2da generación) y Apple TV HD.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2022-22675

CVE-2018-8421

Vulnerabilidad de ejecución remota de código .NET Framework

Existe una vulnerabilidad de ejecución remota de código cuando Microsoft .NET Framework procesa la entrada. Un atacante que explotara con éxito esta vulnerabilidad podría tomar el control de un sistema afectado.

Para aprovechar la vulnerabilidad, un atacante necesitaría poder cargar un archivo especialmente diseñado en una aplicación web.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que .NET Framework procesa la entrada.

Vulnerabilidades JUNIO

CVE-2022-32158

Vulnerabilidad en servidores de implementación de Splunk Enterprise permiten la publicación de paquetes de reenviadores por parte del cliente

Los servidores de implementación de Splunk Enterprise en versiones anteriores a la 9.0 permiten que los clientes implementen paquetes de reenviadores a otros clientes de implementación a través del servidor de implementación. Un atacante que comprometiera un punto final de Universal Forwarder podría usar la vulnerabilidad para ejecutar código arbitrario en todos los demás puntos finales de Universal Forwarder suscritos al servidor de implementación.

Actualice los servidores de implementación de Splunk Enterprise a la versión 8.1.10.1, 8.2.6.1 y 9.0 o posterior. Más información aquí: https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html

CVE-2017-1000158

Vulnerabilidad en Python: Desbordamiento de búfer

CPython (también conocido como Python) hasta 2.7.13 es vulnerable a un desbordamiento de enteros en la función PyString_DecodeEscape en stringobject.c, lo que genera un desbordamiento de búfer basado en almacenamiento dinámico (y una posible ejecución de código arbitrario)

Todos los usuarios de Python 2 deben actualizar a la última versión: https://bugs.python.org/issue30657

# emerge --sync
 # emerge --pregunta --oneshot --verbose ">=dev-lang/python-2.7.14:2.7"

CVE-2018-1270

Ejecución remota de código con mensajes Spring

Spring Framework, las versiones 5.0 anteriores a la 5.0.5 y las versiones 4.3 anteriores a la 4.3.15 y las versiones anteriores no compatibles, permiten que las aplicaciones expongan STOMP sobre los puntos finales de WebSocket con un agente STOMP simple en memoria a través del módulo de mensajería Spring. Un usuario (o atacante) malintencionado puede enviar un mensaje al intermediario que puede provocar un ataque de ejecución remota de código.

Los usuarios de las versiones afectadas deben actualizar a últimas versiones.

CVE-2019-5066

Vulnerabilidad de ejecución remota de código en Aspose.PDF 19.2 para C++

Existe una vulnerabilidad explotable de uso después de la liberación en la forma en que se procesan los flujos comprimidos con LZW en Aspose.PDF 19.2.para C++. Un PDF especialmente diseñado puede causar un puntero de montón colgando, lo que resulta en una condición de uso después de la liberación. Para desencadenar esta vulnerabilidad, la aplicación de destino debe procesar un documento PDF diseñado específicamente.

Los usuarios de las versiones afectadas deben actualizar a últimas versiones.

CVE-2019-5127

Vulnerabilidad de inyección de comando en el codificador de YouPHPTube

Se ha encontrado una inyección de comando en el codificador de YouPHPTube. Un ataque exitoso podría permitir que un atacante comprometiera el servidor. Existen inyecciones de comandos no autenticados explotables en YouPHPTube Encoder 2.3, un complemento para proporcionar funcionalidad de codificador en YouPHPTube. El parámetro base64Url en /objects/getImage.php es vulnerable a un ataque de inyección de comandos. Las solicitudes web especialmente diseñadas pueden hacer que se ejecuten comandos en el servidor. Un atacante puede enviar una solicitud web con parámetros que contengan un parámetro específico para desencadenar estas vulnerabilidades, lo que podría permitir la filtración de la base de datos o las credenciales del usuario o incluso comprometer el sistema operativo subyacente.

Más información: https://talosintelligence.com/vulnerability_reports/TALOS-2019-0917