Dumpster Diving o Ataques de Buceo en Basurero

El buceo en contenedores es la práctica de explorar la basura en busca de información sobre una persona o empresa que podría utilizarse con fines de piratería más adelante. Este asalto se dirige principalmente a las principales empresas o negocios para realizar phishing (principalmente) mediante el envío de correos electrónicos falsos a las víctimas que parecen provenir de una fuente confiable.

Las estafas de identidad se aprovechan de la información obtenida al violar la confidencialidad de la víctima. Los buceadores de basureros buscan en la basura de la víctima estados financieros, documentos del gobierno, facturas médicas, currículos y otros documentos. Una vez obtenidos, los datos se utilizan para construir perfiles de identidad, lo que aumenta la probabilidad de éxito de la ingeniería social. Los conjuntos completos de credenciales utilizables, así como la información necesaria para la adquisición de cuentas (ATO), a veces se encuentran en la basura.

El buceo en contenedores puede defenderse con contramedidas simples, como estar atento a la destrucción de documentos. Con frecuencia, los estándares de eliminación de basura de una empresa, como el requisito de utilizar una trituradora de corte transversal, están relacionados con la prevención del buceo en contenedores o con el cumplimiento legal. Los restablecimientos de fábrica y la eliminación adecuada del dispositivo también son vitales para evitar el buceo en contenedores, ya que los teléfonos celulares, las computadoras y los tokens de seguridad pueden ser útiles para los atacantes.

Un pirata informático puede buscar varios detalles, que incluyen:

  • Correos electrónicos
  • Números de teléfono para phishing
  • Estados financieros/estados de cuenta bancarios
  • registros de atencion medica
  • Documentos de gran importancia
  • Credenciales de inicio de sesión para la cuenta
  • secretos del negocio
  • secretos de la comercialización
  • Información de la base de datos de empleados
  • Información sobre el software/herramientas/tecnologías que utiliza la empresa

Está en peligro si los posibles atacantes tienen acceso rápido al material descartado, ya sea en forma de documentos en papel, datos electrónicos o hardware o medios de almacenamiento que contengan datos confidenciales. Los atacantes pueden poner la información recopilada a través del buceo en contenedores en una variedad de aplicaciones. En un intento de piratería, pueden utilizar cualquier red o información de seguridad directamente. Por ejemplo, si alguien anotó su nueva contraseña en su agenda y luego la tiró a fin de año, los atacantes podrían usarla para violar la red directamente.

¿Cómo puede evitar que sus datos sufran ataques de buceo en contenedores?

Para salvaguardar nuestra seguridad, podemos tomar una serie de procedimientos prácticos. Sin embargo, la etapa más crucial en el proceso de garantizar la seguridad se mantiene sin cambios. También es para concienciar a tus amigos y conocidos.

  • El éxito de Dumpster Diving puede estar relacionado con la falta de conciencia sobre la seguridad. La gente no volcaría datos en una hoja de papel sin destruirlos si entendieran cómo podría utilizarlos un atacante.
  • Educar a su equipo es el enfoque más eficiente para defenderse a sí mismo y a su empresa contra los ataques de buceo en contenedores. Aprende a diferenciar entre documentos públicos y privados.
  • Incluya la gestión de eliminación en su estrategia de seguridad general para que las empresas ofrezcan reglas claras sobre cómo se pueden mantener seguros los datos confidenciales de su basura. Por ejemplo, la política puede estipular que todos los documentos se trituren antes de desecharlos. Por otro lado, todos los datos deben eliminarse de los dispositivos de almacenamiento.

Ahora, veamos algunas de las pautas generales que puede seguir para proteger sus datos de los ataques de buceo en contenedores:

Destruye los dispositivos que no están en uso

Los dispositivos de desecho deben destruirse, incluidos los CD y DVD que contienen datos personales, como imágenes, películas u otra información confidencial. Cuando las PC, las computadoras portátiles, los teléfonos móviles u otros equipos ya no sirven para nada, se deben limpiar y borrar todos los archivos para evitar problemas futuros.

Los cortafuegos se pueden utilizar para evitar que los usuarios de Internet sospechosos accedan a los datos que han sido destruidos. Los documentos en papel deben triturarse o destruirse permanentemente. Los contenedores de desechos deben estar cerrados y debe existir una estrategia de eliminación segura.

Aligera tus contenedores de basura

Los basureros bien iluminados harán que los carroñeros reconsideren sus nefastos planes. Las luces deben colocarse sobre los contenedores de basura para que cualquier contenedor de basura pueda detectarse temprano. Las luces deben colocarse en la parte superior del piso, fuera del alcance del público en general.

Instale cámaras digitales con detección de movimiento

Las cámaras de detección de movimiento pueden identificar fácilmente a cualquier intruso, lo que ayuda a monitorear los contenedores de basura. Deben recibir mantenimiento de forma rutinaria, ya que si se rompen, dicha inversión será inútil.

cerca del basurero

Se debe colocar un cerco adecuado alrededor de los contenedores de basura para evitar cualquier infiltración y garantizar la seguridad al bucear en los contenedores. No garantiza la seguridad del contenedor de basura. Sin embargo, el intruso tendrá dificultades para recuperar información de la papelera.

Destrucción de copias duplicadas

Las copias duplicadas de documentos personales importantes deben destruirse adecuadamente. Es fácil utilizar dichas copias para fines ilícitos, lo que puede generar una serie de dificultades posteriores. Se debe verificar que no se almacene dicha información que pueda ser explotada por los basureros en el futuro.

Externalizar los Servicios de Monitoreo

Los servicios de seguridad de monitoreo se pueden subcontratar a una variedad de proveedores de servicios. La cámara de monitoreo remoto ayuda a sus servicios. Pueden informar instantáneamente cualquier irregularidad alrededor de los contenedores de basura a las autoridades de seguridad si las notan.

En el mundo de la seguridad de la información y las amenazas cibernéticas, el buceo en basureros es el proceso de buscar en la basura para obtener información útil sobre una persona/negocio que luego puede usarse con fines de piratería. Este ataque se dirige principalmente a grandes organizaciones o empresas para realizar phishing (principalmente) mediante el envío de correos electrónicos falsos a las víctimas que parecen provenir de una fuente legítima. La información obtenida comprometiendo la confidencialidad de la víctima se utiliza para fraudes de identidad. 

¿Qué busca un hacker? 
 

  • Dirección de correo electrónico/dirección
  • Teléfonos para realizar Vishing
  • Contraseñas y otros números de seguridad social que podríamos haber escrito en notas adhesivas para nuestra conveniencia
  • Extractos bancarios/estados financieros
  • Registros médicos
  • Documentos importantes
  • Credenciales de inicio de sesión de la cuenta
  • secretos comerciales
  • secretos de marketing
  • Información de la base de empleados
  • Información sobre el software/herramientas/tecnologías que se utilizan en la empresa

Medidas preventivas: 
 

  • Destruya cualquier CD/DVD que contenga datos personales.
  • En caso de que ya no necesite su PC, asegúrese de haber eliminado todos los datos para que no se puedan recuperar.
  • El uso de cortafuegos puede evitar que los usuarios de Internet sospechosos accedan a los datos descartados.
  • Los documentos en papel deben destruirse/triturarse permanentemente.
  • Las empresas deben cerrar con llave los contenedores de basura y deben tener una política de eliminación segura.
Vishing o Voice Phishing

Vishing es la abreviatura de Voice Phishing (phishing de voz), que consiste en engañar a las personas por medio de una llamada telefónica o mensaje, incitándolas a divulgar información confidencial. Un ataque de Vishing tiene como objetivo apoderarse de los datos de la víctima y utilizarlos para su propio beneficio, por lo general, para obtener una ventaja financiera. Estos datos pueden ser las credenciales de acceso, los números de tarjetas de crédito o los datos personales que luego pueden usarse para ejecutar un robo de identidad .

¿Cuál es la diferencia entre vishing y phishing?

El vishing se realiza por teléfono mediante una llamada de voz. Esto puede ocurrir a través de una línea fija, una red celular o un sistema de Voz sobre Protocolo de Internet (VoIP). El phishing, por otro lado, se ejecuta mediante el correo electrónico. Esta guía detallada sobre phishing explica los diferentes tipos de técnicas de phishing que utilizan los delincuentes.

En los diversos tipos de ataques de phishing y estafas de vishing, el atacante puede usar algo denominado “cebo”. Un ataque de hostigamiento implica el uso de promesas falsas para apelar al sentido de curiosidad o codicia de la víctima. Una vez que el atacante tiene la atención de la víctima, aprovecha esto para engañarla para que entregue información privada. De esta manera, tanto el vishing como el phishing son ataques de ingeniería social : usan las emociones del objetivo para obligarlo a hacer algo que de otro modo no haría.

¿Por qué se realizan los ataques de Vishing?

El motivo principal por el que se realizan los ataques de vishing es para obtener información financiera sensible o los datos personales de la persona que atiende el teléfono. En una interacción cara a cara, se pueden presentar credenciales físicas y visibles, como gafetes de identidad, licencias de conducir o tarjetas de acceso. Por teléfono, los métodos para verificar la identidad de la persona que llama se limitan a lo que dicen. 

Por lo tanto, una de las principales razones por las que se realizan los ataques de vishing es porque son más fáciles de realizar que las estafas en persona.              

¿Cuáles son los ataques de vishing más comunes?

Cuenta bancaria o de tarjeta de crédito comprometida

Si un Visher puede obtener la información de la cuenta bancaria o de la tarjeta de crédito de una víctima, puede obtener acceso a sus fondos. Los números de ruta para cuentas bancarias se pueden encontrar fácilmente en línea. Con la combinación de la información de enrutamiento de un banco y el número de cuenta personal de la víctima, el atacante puede potencialmente retirar o transferir fondos de su cuenta a la suya propia.

De manera similar, con un número de tarjeta de crédito, fecha de vencimiento y código de seguridad, un atacante puede realizar compras por teléfono o en línea. Incluso si la compra se revela como fraudulenta, el atacante, en muchos casos, puede devolver el artículo o venderlo para obtener una ganancia.

Ofertas de préstamo o inversión no solicitadas

Los Vishers pueden sorprender a las víctimas ofreciéndoles la oportunidad de invertir en un proyecto u obtener un préstamo. Debido a que este tipo de transacciones financieras a menudo implican la divulgación de información financiera personal, si el atacante puede convencer a la víctima de que su oferta es legítima, es posible que el objetivo no tenga problemas para brindar información confidencial.

Estafa de Medicare o del Seguro Social

Lamentablemente, muchos atacantes se centran en personas enfermas o ancianas. Parte de su ataque puede involucrar el uso de la condición de la víctima como palanca para convencer al objetivo de que debe entregar sus datos personales. Esto podría implicar la promesa de inscribirlos para obtener una oferta gratuita, obtener un reembolso o recibir un cheque, solo después de que proporcionen información privada.

Estafa de impuestos del IRS

Con una estafa de impuestos del Servicio de Impuestos Internos (IRS), el atacante se aprovecha del hecho de que la persona puede tener miedo de que el IRS los persiga para cobrar una deuda. El atacante puede entonces ofrecer una solución al problema, o incluso un reembolso, si el objetivo está dispuesto a divulgar datos personales.

Cómo identificar un ataque de vishing

Hay un sentido frenético de urgencia

Un ataque vishing a menudo depende de crear una sensación de pánico o de aplicar presión a la víctima. Esto podría incluir ofertas de naturaleza urgente o aquellas que brindan una solución a un problema grave.   

La persona que llama pide su información

Cada vez que una persona que llama solicita información personal, debe ser escéptico. A menudo, no hay forma de saber con certeza si la solicitud es legítima o parte de una estafa vishing. Lo mejor es decir que no.

La persona que llama afirma representar al IRS, Medicare o la Administración del Seguro Social

Todas estas son organizaciones en las que las personas tienden a confiar y se sienten cómodas proporcionando información personal. Un agente o representante real del IRS, Medicare o del Seguro Social ya tendrá suficiente información personal para hacer negocios con usted.

¿Qué medidas puede tomar para prevenir un ataque de vishing?

No levantes el teléfono

Si ve un número sospechoso, déjelo ir al correo de voz. Puedes verificar su importancia revisando tus mensajes.

Únase al Registro Nacional No Llame

El Registro Nacional No Llame puede reducir la cantidad de llamadas de telemercadeo y vishing que recibe. Si las empresas llaman a los números de la lista, pueden enfrentar sanciones.

Colgar

En caso de duda, simplemente cuelgue el teléfono.

No presione botones ni responda a las indicaciones

Las llamadas automáticas de vishing dependen de los comentarios de la víctima. Si se niega a presionar botones o responder preguntas, el ataque puede detenerse.

Verificar la identidad de la persona que llama

Puede realizar una búsqueda en línea de la persona que llama, su empresa, su ubicación física y otra información que puede usar para verificar su legitimidad.

¿Cómo te recuperas de un ataque de vishing?

La recuperación de un ataque de vishing depende de los siguientes factores:

  1. La naturaleza del ataque : si proporcionó información financiera, debe alertar a las instituciones involucradas.
  2. El equipo de respuesta a incidentes de su organización : debe alertarlos de inmediato si sospecha que ha sido atacado.
  3. Protección contra virus en una computadora personal : esto puede ayudar a bloquear futuros ataques al evitar el malware que podría usarse para compartir su información de contacto.
  4. Póngase en contacto con la institución financiera para obtener asesoramiento sobre cómo proteger sus datos : ellos conocen las mejores formas de proteger la información que lo ayuda a obtener acceso a sus servicios.

Cómo detectar una estafa vishing

Estos son algunos de los signos reveladores de una estafa vishing:

  • La persona que llama afirma representar al IRS, Medicare o la Administración del Seguro Social. A menos que haya solicitado contacto, ninguna de estas agencias federales iniciará contacto con usted por correo electrónico, mensajes de texto o canales de redes sociales para solicitar información personal o financiera. De hecho, sea escéptico con cualquiera que lo llame con una oferta.
  • Hay una frenética sensación de urgencia. Los estafadores intentarán aprovechar su sentido del miedo, utilizando amenazas de órdenes de arresto y problemas con su cuenta. Si recibe una de estas llamadas telefónicas, mantenga la calma y nunca dé su propia información. Cuelga y haz tu propia investigación.
  • La persona que llama le pide su información. Es posible que le pidan que confirme su nombre, dirección, fecha de nacimiento, número de Seguro Social, información de la cuenta bancaria y otros detalles de identificación. Para engañarte y hacerte creer que son legítimos, es posible que incluso tengan parte de esta información a mano. El objetivo es obtener la información restante que aún no tienen.

Cómo protegerse del vishing

Además de saber cómo funciona el vishing y buscar señales de alerta, también puede:

  • Únete a laRegistro Nacional No Llame. Agregar su número de teléfono particular o móvil a esteregistroes gratis y les dice a los vendedores telefónicos que no desea sus llamadas telefónicas. Sin embargo, ciertos tipos de organizaciones aún pueden llamarlo, como organizaciones benéficas y grupos políticos, y eso no impedirá que las personas llamen ilegalmente a su número.
  • No cojas el teléfono. Aunque puede ser tentador contestar todas las llamadas telefónicas, simplemente déjelos ir al correo de voz. Los identificadores de llamadas se pueden falsificar, lo que significa que es posible que no sepa quién llama. Escucha tus mensajes y decide si devolver la llamada a la persona.
  • Colgar. En el momento en que sospeche que se trata de una llamada telefónica vishing, no se sienta obligado a mantener una conversación cortés. Simplemente cuelgue y bloquee el número.
  • No presione botones ni responda a indicaciones. Si recibe un mensaje automático que le pide que presione botones o responda preguntas, no lo haga. Por ejemplo, el mensaje podría decir “Presione 2 para ser eliminado de nuestra lista” o “Diga ‘sí’ para hablar con un operador”. Los estafadores a menudo usan estos trucos para identificar objetivos potenciales para más llamadas automáticas. También pueden grabar su voz y luego usarla al navegar por los menús telefónicos automatizados por voz vinculados a sus cuentas.
  • Verifica la identidad de la persona que llama. Si la persona proporciona un número de devolución de llamada, puede ser parte de la estafa, así que no lo use. En su lugar, busque el número de teléfono público oficial de la empresa y llame a la organización en cuestión.

Cómo recuperarse después de un ataque de vishing

Si ha proporcionado su información financiera a alguien que luego cree que es un estafador, primero llame a su institución financiera. Ya sea el emisor de su tarjeta de crédito, el banco o el contacto de Medicare, llame y pregunte sobre la cancelación de transacciones fraudulentas y el bloqueo de cargos futuros.

Es posible que también deba cambiar sus números de cuenta para asegurarse de que nadie use sus cuentas existentes.

Congelar sus informes de créditopuede ayudar a garantizar que nadie pueda abrir nuevas cuentas a su nombre. Despuéspresentar una queja ante la Comisión Federal de Comercioo el FBICentro de Quejas de Delitos en Internet.

Si bien los ataques de vishing están diseñados para engañarlo, es posible aprender las señales de alerta antes de levantar el teléfono. Manténgase a la vanguardia de los ciberladrones que intentan acceder a sus datos personales por teléfono.

ESTAFAS BANCARIAS EN LÍNEA

En los últimos años, la cantidad de personas que son víctimas de estafas bancarias ha seguido aumentando. Solo en 2020, la Comisión Federal de Comercio (FTC) recibió 2,2 millones de informes de fraude en los que los estadounidenses sufrieron pérdidas por fraude por valor de 3300 millones de dólares.

Pero, ¿cómo entran los estafadores en sus cuentas bancarias? 

La mayoría de las personas han recibido un mensaje de texto o correo electrónico sospechoso que dice ser de su banco o han notado intentos de inicio de sesión inusuales en su cuenta. Estas son señales de advertencia de que está siendo atacado por estafadores bancarios. Y no querrás ignorarlos. 

El fraude bancario es un delito  estafa que se realiza mediante prácticas ilegales por parte de funcionarios internos de bancos o grupos externos para obtener información y datos privados de terceros, posibilidad de usurpar identidades o directamente robar dinero de usuarios de una entidad bancaria.

Los tipos más comunes de fraude bancario que podemos encontrar en la actualidad son violaciones a la seguridad, privacidad y obtención de datos bancarios de terceros por medio de software malicioso o estrategias complejas de defraudación. Existen diversos tipos de fraudes electrónicos en el sector bancario que debemos conocer para ser perjudicados.

Entre ellas podemos encontrar el Phishing. Este es un tipo de fraude que ocurre a través de plataformas en línea en las que un tercero viola nuestros patrones de seguridad para obtener información valiosa como claves de usuarios bancarios, cuentas bancarias, número de tarjetas de crédito y códigos de autorización para utilizar nuestras herramientas financieras para su beneficio.

Ataques DrDoS

A partir del concepto de un ataque Distributed Denial of Service (DDoS), que consiste en lanzar las solicitudes desde una red de ordenadores formada por muchas máquinas sobre las que se ha establecido previamente un control (botnet), nació Reflected Distributed Denial of Service (DrDoS), que rápidamente se extrapoló a otros entornos. Además, el aumento en el número de dispositivos IoT representa nuevas posibilidades, ya que pueden verse comprometidos y comportarse como un elemento más de una botnet.

En esta variante, los atacantes no se limitan a lanzar un gran volumen de solicitudes a sus objetivos, sino que buscan que los paquetes de solicitud de servicio o de acceso que se van a utilizar como base del ataque comiencen con un tamaño pequeño para generar el mayor número posible de ellos.

Además, cuentan con un sistema intermedio que aumenta el tamaño y la complejidad de los paquetes de respuesta, según la solicitud. Estas respuestas se redirigen al sistema objeto del ataque, reemplazando la dirección IP de origen real con la del sistema que se va a atacar. Por lo tanto, un paquete de solicitud de servicio lanzado por el atacante cuyo tamaño es de unos pocos KB o incluso unos pocos Bytes, a través de un sistema intermedio llamado ‘amplificador’, se convierte en un paquete de respuesta, que se redirige al sistema objetivo del ataque con un tamaño significativamente mayor. tamaño, conocido como factor de amplificación o factor multiplicador .

En ataques DrDoS conocidos y documentados, este factor de amplificación puede variar entre 3,8, en ataques DrDoS basados ​​en el protocolo NetBIOS, y un multiplicador de 51.000, en ataques basados ​​en la vulnerabilidad Memcached, es decir, un paquete generado por el atacante de unos pocos KiloBytes llega al sistema atacado con un tamaño multiplicado por entre 3,8 y 51.000, según la técnica y protocolo utilizado.

Si bien el ataque tiene un gran impacto en los sistemas atacados, su efectividad depende del tiempo necesario para generar las solicitudes desde una sola máquina, por pequeño que sea el paquete fuente, ya que el objetivo puede tener la capacidad de absorber un aumento sostenido de peticiones. Además, los administradores del sistema atacado pueden identificar la fuente del ataque y bloquearlo.

Para evitar esto, los atacantes recurren a lanzar las solicitudes originales, no desde una sola máquina, sino desde decenas o miles de ellas, a través de redes botnet bajo su control y utilizando no un único sistema intermedio de amplificación, sino muchos de ellos. Esta combinación da lugar a un ataque que es mucho más difícil de contrarrestar.

Los diversos ataques DrDos suelen basarse en los diferentes servicios y protocolos que utilizan el protocolo UDP (User Data Protocol). Este protocolo no establece una conexión de extremo a extremo, es decir, la comunicación se realiza desde el origen hasta el destino, sin verificar la disponibilidad ni el estado del receptor, utilizando la información de las cabeceras de los paquetes, como la IP de origen. Dirección. Sin embargo, esta dirección puede ser modificada para que el destinatario piense que es de otra fuente, quien así recibiría la respuesta. Esta técnica se conoce como suplantación de identidad .

El protocolo requiere que el receptor devuelva una respuesta a la dirección IP de origen, por lo tanto, si la dirección se modificó en los paquetes UDP, los paquetes de respuesta llegarán a la dirección IP proporcionada por el atacante. Muchas de estas respuestas sobrecargarían a la víctima.

Esta circunstancia no se da cuando la solicitud del servicio se realiza por TCP, donde es imprescindible establecer un canal de conexión entre un remitente y el servidor para que se pueda prestar el servidor.

Como hemos visto, este tipo de ataques nos pueden afectar de varias formas:

  • Nuestros sistemas pueden convertirse en una posible víctima del ataque.
  • Nuestros sistemas actúan como participantes involuntarios de un ataque perpetrado contra un tercero.
  • Nuestros sistemas pueden quedar inutilizados porque su participación en un ataque de este tipo contra un tercero genera en ellos una denegación de servicio.

Consecuencias y motivación

En cualquiera de los escenarios anteriores, el impacto del ataque será directamente proporcional a las funciones que realicen las máquinas afectadas y el tiempo que estén fuera de uso. Hay que tener en cuenta que, si bien la mayoría de los ataques son de corta duración, minutos u horas, existen casos documentados en los que los servicios están fuera de servicio durante varios días.

Las consecuencias financieras de estos ataques se suman al daño reputacional, debido a la pérdida de confianza y credibilidad por parte de los clientes y otras partes interesadas. La falta de uso de los sistemas, aunque sea por un período breve, también puede conllevar una pérdida de datos comerciales y serias complicaciones en sus operaciones, ya que no pueden acceder a información crítica para llevarlas a cabo.

Los ciberdelincuentes tienen varias motivaciones para lanzar este tipo de ataques. Aunque puede tratarse simplemente de vandalismo, normalmente está motivado por la venganza, para obtener algún tipo de beneficio económico a través de la extorsión y el chantaje, puede causar pérdidas económicas a la víctima, guerras comerciales o guerras para captar la atención del público por una determinada causa social o política. .

Defensa

Por las características de este tipo de ataques, cualquier sistema que esté presente en Internet es vulnerable a convertirse en un objetivo potencial. Defenderse de ellos dependerá de la combinación de su tamaño y, por tanto, de su capacidad para absorber los picos de carga de procesamiento y de las medidas de seguridad implementadas para contrarrestar la sobrecarga de solicitudes de servicio que reciben.

Por otro lado, para evitar que los propios sistemas se conviertan en un reflector, la defensa está directamente relacionada con la configuración de estos sistemas, la frecuencia con la que se aplican actualizaciones para corregir vulnerabilidades, su exposición en Internet y las medidas de protección complementarias que se han aplicado.

Los proveedores de servicios de Internet son especialmente relevantes e importantes ante este riesgo, ya que cuentan con los mecanismos necesarios para detectarlos, principalmente identificando paquetes falsificados, bloqueando el tráfico malicioso o, en su defecto, diluyéndolo a través de su infraestructura para que no afecte los sistemas finales de sus clientes. Además, los proveedores de servicios de Internet son una parte interesada en reducir la probabilidad de esta amenaza ya que, si bien no son el objetivo final de los ataques de denegación de servicio, su compromiso con sus clientes en los acuerdos de nivel de servicio afecta directamente sus resultados financieros y reputacionales.

Por otro lado, debido a la forma en que se ejecutan estos ataques, la identificación y persecución de quienes los instigan se dificulta en la mayoría de los casos por el hecho de que actúan a través de sistemas interpuestos, redes botnet y máquinas reflectoras, y desde diferentes áreas geográficas.

Los blogs futuros establecerán una descripción detallada de los ataques DrDoS basados ​​en diferentes protocolos ( DNS , NTP , TFTP , mDNS , LDAP , Memcached , CharGEN , PortMapper , UBNT , NetBIOS , SSDP , QOTD , SNMP y ARD ), y ofrecerán recomendaciones sobre cómo para prevenirlos y detectarlos, así como pautas para establecer protocolos de actuación en caso de ser víctima de ellos.

Botnet, ¿qué es y cuál es su objetivo?

Una botnet es una colección de dispositivos conectados a Internet, que pueden incluir computadoras personales (PC), servidores, dispositivos móviles y dispositivos de Internet de las cosas (IoT) , que están infectados y controlados por un tipo común de malware. Estos son controlados de forma remota por actores de amenazas, a menudo ciberdelincuentes, y se utilizan para para lanzar ataques diseñados específicamente para colapsar la red de un objetivo, inyectar malware, recolectar credenciales o ejecutar tareas que requieren un uso intensivo de la CPU, estas operaciones maliciosas permanecen ocultas para el usuario.

Cada dispositivo individual dentro de la red de botnet se denomina bot.

¿Cómo funcionan las botnets?

El término botnet se deriva de las palabras robot y red. Un bot es un dispositivo infectado por un código malicioso, que luego pasa a formar parte de una red de máquinas infectadas controladas por un único atacante o grupo de ataque.

El malware de botnet generalmente busca dispositivos con puntos finales vulnerables en Internet, en lugar de dirigirse a individuos, empresas o industrias específicas.

El objetivo de crear una red de bots es infectar tantos dispositivos conectados como sea posible y utilizar la potencia informática y la funcionalidad a gran escala de esos dispositivos para tareas automatizadas que generalmente permanecen ocultas para los usuarios de los dispositivos.

La arquitectura de una botnet

Las infecciones de botnet generalmente se propagan a través de malware o spyware. El malware de botnet generalmente está diseñado para escanear automáticamente sistemas y dispositivos en busca de vulnerabilidades comunes que no han sido reparadas con la esperanza de infectar tantos dispositivos como sea posible.

Una vez que se infecta la cantidad deseada de dispositivos, los atacantes pueden controlar los bots utilizando dos enfoques diferentes:

Modelo cliente-servidor centralizado

La primera generación de redes de bots operaba en una arquitectura cliente-servidor, donde un servidor de comando y control (C&C) opera toda la red de bots. Debido a su simplicidad, la desventaja de usar un modelo centralizado sobre un modelo P2P es que es susceptible a un único punto de falla.

Los dos canales de comunicación de C&C más comunes son IRC y HTTP:

Red de bots IRC (Internet Relay Chat)

Las redes de bots de IRC se encuentran entre los primeros tipos de redes de bots y se controlan de forma remota con un canal y un servidor de IRC preconfigurados. Los bots se conectan al servidor IRC y esperan las órdenes del pastor de bots.

red de bots HTTP

Una red de bots HTTP es una red de bots basada en la web a través de la cual el pastor de bots utiliza el protocolo HTTP para enviar comandos. Los bots visitarán periódicamente el servidor para obtener actualizaciones y nuevos comandos. El uso del protocolo HTTP permite al pastor enmascarar sus actividades como tráfico web normal.

Modelo descentralizado de igual a igual

La nueva generación de botnets son peer-to-peer, donde los bots comparten comandos e información entre sí y no están en contacto directo con el servidor C&C.

Las redes de bots P2P son más difíciles de implementar que las redes de bots IRC o HTTP, pero también son más resistentes porque no dependen de un servidor centralizado. En cambio, cada bot funciona de forma independiente como cliente y servidor, actualizando y compartiendo información de manera coordinada entre los dispositivos de la red de bots.

¿Cómo funciona una red de bots?

Inicialmente, el pirata informático encuentra una vulnerabilidad en un sitio web, una aplicación o en el comportamiento del usuario para exponerlo al malware. Pueden explotar los problemas de seguridad en el software o los sitios web para poder entregar malware a través de correos electrónicos, descargas ocultas o descargas de caballos de Troya.

Posteriormente, los dispositivos de las víctimas se infectan con malware que puede tomar el control de sus dispositivos. La infección de malware inicial permite a los piratas informáticos crear dispositivos zombis utilizando técnicas como descargas web, kits de explotación, anuncios emergentes y archivos adjuntos de correo electrónico. Si se trata de una botnet centralizada, el cibercriminal dirigirá el dispositivo infectado a un servidor C&C. Si se trata de una botnet P2P, comienza la propagación entre pares y los dispositivos zombi buscan conectarse con otros dispositivos infectados.

Por último, cuando el cibercriminal ha infectado una cantidad suficiente de bots, puede movilizar sus ataques. Los dispositivos zombis luego descargarán la última actualización del canal C&C para recibir su pedido. Luego, el bot procede con sus órdenes y se involucra en actividades maliciosas. El pastor de bots puede continuar administrando y haciendo crecer su botnet de forma remota para llevar a cabo diversas actividades maliciosas. Las botnets no se dirigen a individuos específicos, ya que el objetivo del cibercriminal de bots es infectar tantos dispositivos como sea posible para que puedan llevar a cabo ataques maliciosos.

Tipos de ataques de botnets

Una vez que un adversario tiene el control de una botnet, las posibilidades maliciosas son amplias. Una red de bots se puede utilizar para realizar muchos tipos de ataques, entre ellos:

1. suplantación de identidad

Las botnets se pueden utilizar para distribuir malware a través de correos electrónicos de phishing. Debido a que las botnets están automatizadas y consisten en muchos bots, cerrar una campaña de phishing es como jugar un juego de Whack-A-Mole.

2. Ataque de denegación de servicio distribuido (DDoS)

Durante un ataque DDoS , la botnet envía una cantidad abrumadora de solicitudes a un servidor o aplicación objetivo, lo que hace que se bloquee. Los ataques DDoS de la capa de red utilizan inundaciones SYN , inundaciones UDP , amplificación de DNS y otras técnicas diseñadas para consumir el ancho de banda del objetivo y evitar que se atiendan solicitudes legítimas. Los ataques DDoS en la capa de aplicación utilizan inundaciones HTTP , ataques Slowloris o RUDY, ataques de día cero y otros ataques que tienen como objetivo las vulnerabilidades en un sistema operativo, aplicación o protocolo para bloquear una aplicación en particular.

3. Bots de spam

Los spambots recolectan correos electrónicos de sitios web, foros, libros de visitas, salas de chat y cualquier otro lugar donde los usuarios ingresen sus direcciones de correo electrónico. Una vez adquiridos, los correos electrónicos se utilizan para crear cuentas y enviar mensajes de spam. Se cree que más del 80 por ciento del spam proviene de botnets.

Prevención de botnets con controles de ciberseguridad

No existe una solución única para la detección y prevención de botnets, pero los usuarios y las empresas pueden comenzar incorporando los siguientes controles de seguridad:

  • fuertes métodos de autenticación de usuarios;
  • actualizaciones de firmware remotas y seguras, que solo permiten el firmware del fabricante original;
  • arranque seguro para garantizar que los dispositivos solo ejecuten código producido por partes confiables;
  • análisis de comportamiento avanzado para detectar comportamientos de tráfico IoT inusuales; y
  • métodos que utilizan la automatización, el aprendizaje automático y la inteligencia artificial (IA) para automatizar las medidas de protección en las redes de IoT antes de que las redes de bots puedan causar daños graves.

Pagos en línea: Buenas prácticas de seguridad para organizaciones e individuos

A medida que aumenta la actividad de los pagos en línea, también lo han hecho los esfuerzos de los  ciberdelincuentes, lo que ha resultado en pérdidas masivas para individuos y organizaciones que han sido víctimas de estos ataques. Generalmente, las compras en línea son una actividad muy segura si se establece bajo estándares básicos necesarios, sin embargo, son los hábitos de los individuos y organizaciones, los que lo hacen inseguro. Y eso es exactamente en lo que confían los ciberdelincuentes.

Simultáneamente con el aumento de cifras de identidades y cuentas robadas, filtraciones de datos y fraudes con tarjetas, las organizaciones y los proveedores de pagos han duplicado la seguridad de sus entornos digitales. Aún así, los pagos electrónicos enfrentan amenazas de ciberseguridad, desde actividades de pago fraudulentas hasta skimming y más, estas son algunas de las amenazas más comunes:

  • Amenazas persistentes avanzadas (APT). Los correos electrónicos de phishing y los intentos de engañar a los empleados para que descarguen malware se encuentran entre las APT más comunes. Una vez que una persona ingresa al sistema, el robo de datos, el fraude y otras preocupaciones pueden continuar durante un período prolongado. Mucho peor que un solo pago fraudulento, el problema puede resultar en un robo masivo de datos y pérdidas millonarias.
  • Amenazas internas. Cualquiera que tenga acceso a información confidencial puede robar datos y causar daños graves por una violación de datos. Utilizando su correo electrónico personal o un dispositivo USB, un infiltrado puede, de forma intencionada o no, provocar un compromiso masivo en un sistema.
  • Ataques distribuidos de denegación de servicio (DDoS). Cuando los piratas informáticos inundan una red con solicitudes, pueden abrumar y no procesar transacciones reales. No se trata de poner dinero en manos de delincuentes, sino de quitarle negocio a una empresa o servicio.
  • Tomas de cuenta. Los delincuentes utilizan dispositivos de robo, trucos y otros métodos tortuosos para victimizar a los titulares de tarjetas. Roban la tarjeta de crédito del titular de la tarjeta o su número y comienzan a iniciar actividades de pago fraudulentas. Esto puede suceder en el centro comercial, en un cajero automático o en cualquier lugar donde se exponga una tarjeta.
  • Infracciones en la cadena de suministro. Los proveedores de pagos pueden convertirse en víctimas de actividades delictivas cuando se producen infracciones en la cadena de suministro. Esto incluye problemas con hardware y software que no es seguro.

Es por esto, la gran importancia de implementar procedimientos y regulaciones de seguridad importantes para el manejo de pagos electrónicos como organización y como individuo. Algunas recomendaciones generales serían:

PRÁCTICAS DE SEGURIDAD PARA ORGANIZACIONES

Establecer un servicio de verificación de direcciones (AVS)

Verificar los detalles proporcionados durante la transacción puede ayudar a identificar una transacción potencialmente fraudulenta y proteger el negocio y al cliente antes de que ocurra el fraude. El Servicio de verificación de direcciones (AVS) compara la dirección IP del comprador con la dirección de facturación de la tarjeta de crédito utilizada para garantizar que el cliente es el titular de la tarjeta.

Cifrar datos: Protocolo SSL

SSL y TLS: (Transport Layer Security) TLS y (Secure Sockets Layer) son protocolos que autentican y cifran datos cuando se mueven en Internet. Proteger las transacciones con protocolos SSL garantiza que la información confidencial se cifre y solo el destinatario previsto pueda acceder a ella..

Una forma de saber que un sitio web está usando SSL es observar si su URL comienza con https. Las URL de sitios web que comienzan con https tienen un certificado SSL. Ese certificado es esencialmente una prueba de que el sitio está utilizando encriptación SSL. Otro símbolo común asociado con SSL es el candado. Si un sitio tiene un candado que aparece cerca de su URL, tiene certificación SSL.

  • Cree su sitio web con un creador que ofrezca certificación SSL
  • Compre la certificación SSL de un vendedor externo
  • Utilice una pasarela de pago o una página de pago ofrecida por su empresa de procesamiento

Usar tokenización de pago

La tokenización de tarjetas de crédito anula la identificación de la información de pago confidencial al convertirla en una cadena de números generados aleatoriamente, llamados “token”. Como token, la información se puede enviar a través de Internet o redes de pago para completar el pago sin exponerse.

Requerir contraseñas seguras

Los ciberdelincuentes intentan acceder a las cuentas de los usuarios con combinaciones de nombres, fechas de nacimiento y palabras del diccionario que se utilizan con frecuencia. Proteger las cuentas de los clientes con una contraseña segura puede agregar una línea de defensa. En el caso de que el cliente no pueda recordar su contraseña segura, es necesario que exista un proceso de “olvidó su contraseña” para permitirle acceder a su cuenta.

Implementar 3D seguro

3D Secure es un método de autenticación diseñado para evitar el uso no autorizado de tarjetas y protege a los comerciantes de comercio electrónico de contracargos en caso de una transacción fraudulenta. Los comerciantes, las redes de tarjetas y las instituciones financieras comparten información para autenticar transacciones. Todos los comerciantes deben cumplir con las nuevas leyes de la UE para una autenticación sólida de los clientes y 3D Secure es una forma eficiente de hacerlo.

Solicitar el CVV

El valor de verificación de tarjeta (CVV) se puede utilizar para validar transacciones sin tarjeta presente, ya sea por teléfono o en línea. Si los números de la tarjeta de crédito han sido robados, solicitar información que solo está disponible en la tarjeta puede ayudar a los comerciantes a validar el pago.

Utilice la autenticación fuerte de clientes (SCA)

SCA se utiliza para reducir el fraude y aumentar la seguridad de los pagos en línea y solicita dos o más elementos del uso en el proceso de autenticación. Algo que sabes (una contraseña o PIN), algo que tienes (una placa o un teléfono inteligente) o algo que eres (huellas dactilares o reconocimiento de voz).

Supervise el fraude continuamente

Los comerciantes necesitan una pasarela de pago que detecte y gestione el fraude. El monitoreo de fraude incorporado identifica dónde puede haber un riesgo real de una compra fraudulenta. Las empresas pueden establecer reglas, en función de su situación y tolerancia al riesgo, que limiten o rechacen transacciones que se consideren de demasiado alto riesgo, o que requieran aprobación manual antes de que se complete una transacción.

Administrar el cumplimiento de PCI

Los comerciantes que procesan, almacenan o transmiten datos de tarjetas de crédito deben cumplir con PCI. Las consecuencias de una filtración de datos para una empresa que no cumple con las normas son significativas y pueden incluir costosas multas y sanciones, además de un importante daño a la reputación.

Los procesadores de pagos juegan un papel importante para ayudar a los comerciantes a administrar y mantener el cumplimiento, pero las empresas deben asumir un papel proactivo para comprender sus obligaciones y requisitos de cumplimiento .

Capacitar a los empleados

Proporcionar a las personas los conocimientos y habilidades que les permitan reconocer y responder adecuadamente. Cuando el equipo comprende el proceso de pago seguro, está mejor preparado para identificar la actividad fraudulenta en el momento en que ocurre y puede prevenir incidentes de seguridad de la información.

PRÁCTICAS DE SEGURIDAD PARA INDIVIDUOS

Búsquedas seguras en internet

La mayoría de las veces, el primer paso antes de comprar es buscar en motores de búsqueda, los usuarios corren el riesgo de hacer clic involuntariamente en resultados de búsqueda fraudulentos o infectados que podrían conducirlo a malware en lugar de al destino previsto. Puede usar herramientas como complementos de navegador de terceros, como Web of Trust. Estos pueden ayudar a evitar que haga clic en enlaces falsos e ingrese a sitios web maliciosos. 

Escriba la URL en la barra de direcciones

Los emisores de correos electrónicos de phishing envían enlace para ir a “sitios web” de interés de la víctima potencial. Sin embargo, esos enlaces en realidad lo llevan a sitios web similares diseñados inteligentemente. Para asegurarse de que va al sitio web real, es mucho más seguro escribir la URL del destino en la barra de direcciones de su navegador web. 

Use una dirección de correo electrónico dedicada específicamente para sus compras

Cree una dirección de correo electrónico que usará solo para compras en línea. Esto limitará severamente la cantidad de  mensajes de spam  que recibe y reducirá significativamente el riesgo de abrir correos electrónicos potencialmente maliciosos disfrazados de promociones de ventas u otras notificaciones.

Administre y proteja sus contraseñas en línea

Usar contraseñas seguras y usar una contraseña diferente para cada cuenta en línea es una de las cosas más importantes que puede hacer para comprar en línea de manera segura. Puede usar un administrador de contraseñas para ayudarlo a mantener contraseñas seguras para varias cuentas.

Evite usar Wi-Fi público para iniciar sesión en cuentas en línea

Usar Wi-Fi público para iniciar sesión en una cuenta privada es un gran riesgo de seguridad, ya que los cibercriminales podrían estar secuestrando la señal Wi-Fi, o incluso configurar la suya propia para engañarlo para que la use. Algo que podría pasar es que si inicia sesión en una cuenta bancaria en línea o en un sitio web minorista, el pirata informático adquirirá su nombre de usuario y contraseña. Si necesita acceder a Internet cuando está de compras, es más seguro hacerlo a través de la red de su teléfono móvil.

Considere usar su tableta basada en Linux

Si tiene un dispositivo basado en Linux, como una tableta Samsung u otro dispositivo que ejecute el sistema operativo Linux, puede ser más seguro usarlo para transacciones en línea. También es menos probable que los iPads de Apple sean explotados mientras compra en línea, siempre que su dispositivo no haya sido liberado. Sin embargo, es importante recordar siempre evitar el uso de una red Wi-Fi pública, o existe el riesgo de que te roben las contraseñas y otros datos.

Use una VPN

Si absolutamente debe comprar en línea mientras usa Wi-Fi público, primero instale una VPN (red privada virtual). Una VPN encriptará todos los datos que se transfieren entre su computadora o dispositivo móvil y el servidor VPN, evitando que los piratas informáticos secuestren y vean cualquier información confidencial que ingrese.

Si debe comprar en línea en Wi-Fi público, use Una VPN crea una conexión encriptada entre su computadora y el servidor VPN. Piense en ello como un túnel por el que pasa su tráfico de Internet mientras navega por la web. Los piratas informáticos que acechan cerca no pueden interceptarlo, incluso si tienen la contraseña de la red Wi-Fi que está utilizando. Una VPN significa que probablemente tendrá una forma segura de comprar en línea mientras está en una red Wi-Fi pública.

Vulnerabilidades FEBRERO

Ataques de Deadbolt Ransomware en dispositivos Asustor NAS

Ha habido informes de ataques de ransomware Deadbolt en dispositivos Asustor Network Attached Storage (NAS). El NAS afectado tendrá sus archivos encriptados con una extensión ‘.deadbolt’.
Se recomienda a los usuarios de dispositivos Asustor NAS que hayan sido afectados por el ransomware Deadbolt que sigan los pasos que se detallan a continuación:

  1. Desconecte el cable de red Ethernet
  2. Apague el NAS de forma segura manteniendo presionado el botón de encendido durante tres segundos
  3. No inicialice el NAS ya que esto borrará sus datos
  4. Rellene el formulario que aparece en este enlace para ponerse en contacto con Asustor para obtener ayuda:  https://support.asustor.com/

Si su NAS no se ha visto afectado, Asustor recomienda las siguientes medidas de mitigación para que los usuarios de Asustor NAS adopten para proteger su dispositivo NAS:

  • Cambie los puertos predeterminados, incluidos los puertos de acceso web NAS predeterminados de 8000 y 8001, así como los puertos de acceso web remoto de 80 y 443
  • Deshabilitar EZ Connect
  • Hacer una copia de seguridad inmediata
  • Apague los servicios de Terminal/SSH y SFTP

Si no hay necesidad de acceder al NAS de forma remota desde Internet, los usuarios podrían considerar retirar su dispositivo de Internet.

En respuesta a los ataques de ransomware Deadbolt, el firmware ADM de Asustor se ha actualizado para solucionar problemas de seguridad relacionados. Se recomienda a los usuarios que actualicen a las últimas versiones de inmediato.

CVE-2022-24086

Vulnerabilidad de día cero en las plataformas de código abierto de Adobe Commerce y Magento

Adobe ha publicado una actualización de seguridad para abordar una vulnerabilidad de día cero en sus plataformas Commerce y Magento Open Source que pueden haber sido explotadas activamente.

La explotación exitosa de la vulnerabilidad puede permitir que un atacante ejecute comandos en las plataformas afectadas de forma remota.La vulnerabilidad afecta a las versiones 2.4.3-p1 y anteriores y 2.3.7-p2 y anteriores de las plataformas Adobe Commerce y Magento Open Source.

Se recomienda a los administradores de los productos afectados que instalen las actualizaciones de seguridad más recientes de inmediato.

Hay más información disponible aquí:
https://www.securityweek.com/adobe-releases-emergency-patch-exploited-commerce-zero-day 

CVE-2022-22620

Vulnerabilidad de día cero en Apple iPhone, iPad y Mac

Apple ha publicado una actualización de seguridad para abordar una vulnerabilidad de día cero (CVE-2022-22620) que puede haber sido explotada activamente.

La explotación exitosa de la vulnerabilidad puede permitir que un atacante ejecute comandos en los dispositivos de los usuarios de forma remota. 

Se recomienda a los usuarios actualizar sus productos a las últimas versiones de inmediato:

  • iOS 15.3.1 y iPadOS 15.3.1: para iPhone 6s y posteriores, iPad Pro (todos los modelos), iPad Air 2 y posteriores, iPad de 5.ª generación y posteriores, iPad mini 4 y posteriores, y iPod touch (7.ª generación)
  • macOS Monterey 12.2.1: para macOS Monterey

También se recomienda a los usuarios que habiliten las actualizaciones automáticas de software yendo a Configuración > General > Actualizaciones de software > Habilitar actualizaciones automáticas.

Hay más información disponible aquí:
https://support.apple.com/en-us/HT213093

Vulnerabilidades críticas de ejecución remota de código en el complemento WordPress PHP Everywhere

PHP Everywhere ha lanzado una actualización de seguridad para abordar varias vulnerabilidades de ejecución remota de código que se encuentran en el complemento WordPress PHP Everywhere.

Las vulnerabilidades son:

CVE-2022-24663 : una vulnerabilidad que permite a los usuarios casi sin permisos, como un suscriptor, ejecutar código PHP arbitrario en un sitio enviando una solicitud con el parámetro de código abreviado establecido en ‘PHP Everywhere’. Esto podría permitir la adquisición completa del sitio.

CVE-2022-24664 : una vulnerabilidad que permite a los usuarios de nivel colaborador que no son de confianza usar el metabox de PHP Everywhere para lograr la ejecución remota de código en un sitio. La vulnerabilidad se puede explotar creando una publicación, agregando código PHP al metabox de PHP Everywhere y luego obteniendo una vista previa de la publicación. 

CVE-2022-24665– Una vulnerabilidad que permite a los usuarios de nivel colaborador que no son de confianza usar el bloque PHP Everywhere Gutenberg para lograr la ejecución remota de código en un sitio. La vulnerabilidad se puede explotar creando una publicación, agregando código PHP al bloque PHP Everywhere y luego obteniendo una vista previa de la publicación.

Estas vulnerabilidades afectan a las versiones 2.0.3 y anteriores del complemento WordPress PHP Everywhere.

Se recomienda a los administradores que actualicen a la última versión de inmediato.

Vulnerabilidades MARZO

CVE-2022-1040

Vulnerabilidad crítica en Sophos Firewall

Sophos ha publicado revisiones para una vulnerabilidad crítica (CVE-2022-1040) en su producto Firewall. La vulnerabilidad afecta a Sophos Firewall v18.5 MR3 (18.5.3) y versiones anteriores. La vulnerabilidad de omisión de autenticación reside en el Portal de usuario y Webadmin del cortafuegos. La explotación exitosa de la vulnerabilidad puede permitir que un atacante realice la ejecución remota de código.

Se recomienda a los administradores y usuarios de las versiones afectadas que se aseguren de que las revisiones relevantes se apliquen de inmediato. Las revisiones también están disponibles para las versiones al final de su vida útil (EOL) de Sophos Firewall.  No es necesario aplicar parches manualmente si la función “Permitir la instalación automática de revisiones” está habilitada (configuración predeterminada) en la configuración del firewall.

Revise las últimas actualizaciones aquí:  https://support.sophos.com/support/s/article/KB-000043853

CVE-2022-1096

Error de día cero de alta gravedad en Google Chrome

G oogle lanzó Chrome 99.0.4844.84 para Windows, Mac, Linux y Chrome 99.0.4844.88 para usuarios de Android para abordar un error de día cero de alta gravedad (CVE-2022-1096) La vulnerabilidad es una confusión de tipos en el motor de JavaScript V8 y se informa que existe en la naturaleza. V8 es el componente de Chrome que se encarga de procesar el código JavaScript.

La confusión de tipos se refiere a errores de codificación durante los cuales una aplicación inicializa operaciones de ejecución de datos utilizando la entrada de un “tipo” específico, pero se engaña para que trate la entrada como un “tipo” diferente. Esto conduce a errores lógicos en la memoria de la aplicación, lo que puede permitir que un atacante ejecute códigos maliciosos sin restricciones dentro de una aplicación.

Se recomienda a los usuarios de Google Chrome en Windows, Mac y Linux que actualicen a Chrome 99.0.4844.84 inmediatamente. Hay más información disponible aquí:
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html 

CVE-2022-0811

Vulnerabilidad de alta gravedad en CRI-O

Se informó una vulnerabilidad de gravedad alta (CVE-2022-0811) en CRI-O, un motor de tiempo de ejecución de contenedores de código abierto de Kubernetes.

La explotación exitosa de la vulnerabilidad permite que un atacante realice una variedad de acciones contra otros contenedores, incluida la ejecución de malware, la filtración de datos y el movimiento lateral entre los pods. 

La vulnerabilidad afecta a las versiones de CRI-O:

  • 1.19.0 a 1.19.5
  • 1.20.0 a 1.20.6
  • 1.21.0 a 1.21.5
  • 1.22.0 a 1.22.2
  • 1.23.0 a 1.23.1

Se recomienda a los administradores y usuarios de las versiones afectadas que instalen las últimas actualizaciones de seguridad de inmediato.Hay más información disponible aquí:
https://www.crowdstrike.com/blog/cr8escape-new-vulnerability-discovered-in-cri-o-container-engine-cve-2022-0811/

Vulnerabilidades ABRIL

CVE-2020-0796

Vulnerabilidad de ejecución remota de código de cliente/servidor de Windows SMBv3

Existe una vulnerabilidad de ejecución remota de código en la forma en que el protocolo Microsoft Server Message Block 3.1.1 (SMBv3) maneja ciertas solicitudes, también conocida como “vulnerabilidad de ejecución remota de código cliente/servidor Windows SMBv3”.

Más información aquí: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

CVE-2021-44228

Vulnerabilidad de ejecución remota de código en Apache Log4j2 2.14.1

Apache Log4j2 2.0-beta9 a 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1) Las funciones JNDI utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI. Un atacante que puede controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada. Desde log4j 2.15.0, este comportamiento se ha desactivado de forma predeterminada. A partir de la versión 2.16.0 (junto con la 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se eliminó por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2021-44228

CVE-2019-1003029

Vulnerabilidad de sandbox en Jenkins Script

Security Plugin+Existe una vulnerabilidad de omisión de sandbox en Jenkins Script Security Plugin 1.53 y versiones anteriores en src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, src/main/java/org/jenkinsci/plugins/scriptsecurity/ sandbox/groovy/SecureGroovyScript.java que permite a los atacantes con permiso general/de lectura ejecutar código arbitrario en la JVM maestra de Jenkins.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2019-1003029

CVE-2021-26334

Vulnerabilidad potencial de control de acceso inadecuado en AMD μProf Tool

El controlador AMDPowerProfiler.sys de la herramienta AMD μProf puede permitir que los usuarios con menos privilegios accedan a los MSR en el kernel, lo que puede provocar una escalada de privilegios y la ejecución del código ring-0 por parte del usuario con menos privilegios.

Más información en: https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1016

CVE-2021-32834

Vulnerabilidad de ejecución de código arbitrario en Eclipse Keti

Eclipse Keti es un servicio que se diseñó para proteger la API RESTfuls mediante el control de acceso basado en atributos (ABAC). En Keti, un usuario capaz de crear conjuntos de políticas puede ejecutar código arbitrario mediante el envío de scripts Groovy maliciosos que escaparán del entorno limitado de Groovy configurado. Se sabe que esta vulnerabilidad existe en la última confirmación en el momento de escribir este CVE (commit a1c8dbe). Para obtener más detalles, consulte el GHSL-2021-063 al que se hace referencia.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2021-32834

CVE-2017-1000353

Vulnerabilidad de ejecución de código remoto no autenticado de Jenkins

Las versiones 2.56 y anteriores de Jenkins, así como la 2.46.1 LTS y anteriores, son vulnerables a una ejecución remota de código no autenticado. Una vulnerabilidad de ejecución de código remoto no autenticado permitió a los atacantes transferir un objeto Java `SignedObject` serializado a la CLI de Jenkins, que se deserializaría utilizando un nuevo `ObjectInputStream`, sin pasar por el mecanismo de protección existente basado en la lista negra. Estamos solucionando este problema agregando `SignedObject` a la lista negra. También estamos adaptando el nuevo protocolo HTTP CLI de Jenkins 2.54 a LTS 2.46.2, y descartando el protocolo CLI basado en comunicación remota (es decir, serialización de Java), inhabilitándolo de forma predeterminada.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2017-1000353

Vulnerabilidades MAYO

CVE-2022-22972 – CVE-2022-22973

Vulnerabilidades en los productos de VMware

VMware ha publicado actualizaciones de seguridad para abordar vulnerabilidades en varios productos de VMware: Fundación de la nube de VMware, Administrador de identidades de VMware (vIDM), Administrador del ciclo de vida de vRealize Suite, VMware vRealize Automatización (vRA), VMware Workspace ONE Access (Acceso).

Las vulnerabilidades son:

  • CVE-2022-22972: VMware Workspace ONE Access, Identity Manager y vRealize Automation contienen una vulnerabilidad de omisión de autenticación que afecta a los usuarios del dominio local. Un atacante con acceso de red a la interfaz de usuario (IU) puede obtener acceso administrativo sin necesidad de autenticación.
  • CVE-2022-22973: VMware Workspace ONE Access e Identity Manager contienen una vulnerabilidad de escalada de privilegios. Un atacante con acceso local puede escalar los privilegios a ‘root’.

Se recomienda a los administradores de los productos afectados que actualicen a las últimas versiones de inmediato.Hay más información disponible aquí:
https://www.vmware.com/security/advisories/VMSA-2022-0014.html

CVE-2021-21465

Múltiples Vulnerabilidades Críticas en Servidor de Aplicaciones SAP, ABAP y Plataforma ABAP

El servidor de aplicaciones SAP ABAP y la plataforma ABAP son susceptibles a la inyección de código, la inyección SQL y las vulnerabilidades de autorización faltantes. Múltiples productos de SAP se ven afectados.

La interfaz de base de datos BW permite que un atacante con privilegios bajos ejecute cualquier consulta de base de datos manipulada, exponiendo la base de datos de back-end. Un atacante puede incluir sus propios comandos SQL que la base de datos ejecutará sin desinfectar adecuadamente los datos que no son de confianza, lo que lleva a una vulnerabilidad de inyección SQL que puede comprometer completamente el sistema SAP afectado.

Mas información aquí: https://nvd.nist.gov/vuln/detail/CVE-2021-21465

CVE-2022-22675

Vulnerabilidad de día cero en productos Apple

La falla es un problema de escritura fuera de los límites (CVE-2022-22675) en AppleAVD (una extensión del kernel para la decodificación de audio y video) que permite que las aplicaciones ejecuten código arbitrario con privilegios del kernel.

El error fue informado por investigadores anónimos y Apple lo solucionó en macOS Big Sur 11.6. ,  watchOS 8.6 y  tvOS 15.5 con verificación de límites mejorada. La lista de dispositivos afectados incluye Apple Watch Series 3 o posterior, Mac con macOS Big Sur, Apple TV 4K, Apple TV 4K (2da generación) y Apple TV HD.

Más información aquí: https://nvd.nist.gov/vuln/detail/CVE-2022-22675

CVE-2018-8421

Vulnerabilidad de ejecución remota de código .NET Framework

Existe una vulnerabilidad de ejecución remota de código cuando Microsoft .NET Framework procesa la entrada. Un atacante que explotara con éxito esta vulnerabilidad podría tomar el control de un sistema afectado.

Para aprovechar la vulnerabilidad, un atacante necesitaría poder cargar un archivo especialmente diseñado en una aplicación web.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que .NET Framework procesa la entrada.