SEVICIO DE ITELIECIA COTA AMEAAS SIA” de seguridad 05... · 2018-11-05 · SEVICIO DE ITELIECIA...

SERVICIO DE INTELIGENCIA CONTRA AMENAZAS “SIA”

www.coreoneit.com

servicio de inteligencia sobre amenazas [sia]

año 02 edición 2.76

www.coreoneit.com@coreoneit


www.coreoneit.com

¿Qué es EL Servicio de Inteligencia sobre Amenazas [SIA]?

Es una combinación de información de amenazas existentes en la red con el aná-lisis e inteligencia del grupo de especialistas de CORE ONE IT, quienes analizan exhaustivamente todo tipo de amenazas informáticas y desarrollan una serie de recomendaciones adaptadas a cada tipo de cliente.

Alcance

Se personaliza de acuerdo al tipo de infraestructura y entorno de red del cliente basado en los tipos de dispositivos, modelos y fabricantes, con el fin de recibir solo información relevante y que pudiera afectar de manera directa o indirecta, la continuidad del negocio.

Definiciones

•Riesgo: Probabilidad que una amenaza particular explote una vulnerabilidad particular de un sistema.

•Amenaza: Es la causa potencial de un incidente no deseado, el cual puede re-sultar en un daño a un sistema de información u organización.

•Ataque: Acción de tratar de traspasar controles de seguridad en un sistema. Un ataque puede ser activo, resultando en la modificación de datos, o pasivo, resul-tando en la divulgación de información. El hecho de que un ataque sea realizado no significa que será exitoso, el grado de éxito depende de la vulnerabilidad del sistema o actividad y de la eficiencia de las medidas existentes.

•Vulnerabilidad: Debilidad en los procedimientos de seguridad de un sistema, en el diseño del sistema, en la implementación, en los controles internos, y que puede ser explotada para violar la política de seguridad del sistema.

•API: Interfaz de Programación de Aplicaciones (Application Programming Interfa-ce, por sus siglas en inglés). Conjunto de subrutinas, funciones y procedimientos de una biblioteca para ser utilizado por otro software.

•Malware: también llamado badware, código maligno, software malicioso, sof-tware dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el con-sentimiento de su propietario.

•Ransomware: Es un tipo especial de malware que amenaza con destruir los docu-mentos y otros archivos de las víctimas.

•Troyano: Software malicioso que se presenta al usuario como un programa apa-rentemente legítimo e inofensivo.

•ISP: Proveedor de servicios de Internet (Internet Service Provider, por sus siglas en inglés).

•Keylogger: Software de vigilancia, el cual cuenta con la capacidad de grabar cada tecla pulsada en el sistema en un archivo, usualmente cifrado.

•BSOD: Blue Screen Of Death, “pantalla azul de la muerte”; se refiere a la panta-lla mostrada por el sistema operativo de Windows cuando éste no puede recupe-rarse de un error del sistema.


www.coreoneit.com

Datos robados utilizados en estafa de sextortion

Según los datos de Barracuda Networks, los ciberdelincuentes lanzaron una campaña de suplantación de identidad mediante el robo de datos de consumidores robados en violaciones de datos y disponibles en la web oscura .

En el Threat Spotlight de este mes, los investigadores detallan la estafa de la extor-sión sexual en la que los atacantes se aprovechan de las víctimas mediante el uso de contraseñas robadas, amenazando con tener un video comprometedor que se compar-tirá con los contactos de la víctima a menos que el usuario pague en Bitcoin.

La campaña comenzó en julio y Barracuda Labs dijo que continúa en curso. Los in-vestigadores encontraron aproximadamente 24,000 correos electrónicos informados por clientes de todo el mundo desde septiembre. Según se informa, los correos elec-trónicos utilizan la contraseña robada como línea de asunto, aunque algunos pueden preceder con “su contraseña es”.

Al atacar el miedo humano, los atacantes saben el impacto que tal sujeto tendrá ante la mera sugerencia de que su cuenta ha sido hackeada. Según los resultados de la investigación, el correo electrónico continúa afirmando que la computadora del usuario estaba infectada con un troyano de acceso remoto (RAT) de un sitio web de pornografía. La afirmación es que todos los videos explícitos que el usuario ha esta-do viendo han sido grabados.

“El correo electrónico también afirma que los contactos del usuario del correo elec-trónico y las redes sociales se han recopilado y que, a menos que se pague una suma de dinero (en Bitcoin, por supuesto), el video del usuario que mira pornografía se enviará a esos contactos. También vimos ejemplos de los atacantes enviando un correo electrónico a la misma dirección varias veces para mejorar las tácticas de miedo, un enfoque que probablemente tomarán con la mayoría, si no con todas, de sus víctimas previstas “, escribió Jonathan Tanner en The Threat Spotlight.

Si bien el atacante tiene una contraseña legítima, que según los investigadores fue probablemente de una lista publicada en 2016 de más de 500 millones de contrase-ñas filtradas, no hay video ni se ha detectado ninguna infección en las computadoras de las víctimas.

Fuentes:Zurkus, K. (2018). Stolen Data Used in Ongoing Sextortion Scam. Retrieved from https://www.infosecurity-magazine.com/news/stolen-data-used-in-ongoing/


www.coreoneit.com

Apple y Samsung multados por ralentizar sus móviles más viejos

Como Apple y Samsung acaban de descubrir, a costa de sus arcas, hay una forma co-rrecta y otra incorrecta de ofrecer actualizaciones de software a sus clientes.

Según investigadores del anti trust italiano AGCM, la forma correcta de proveer las actualizaciones a iOS y Android es añadir nuevas funciones que mejoren la experien-cia del usuario con el dispositivo.

La forma incorrecta, por lo contrario, es ofrecer una actualización que lo ralentice o provoque averías.

El AGCM afirma que ambas empresas utilizan demasiadas actualizaciones incorrectas, por lo que ha decidido multar a Apple con 10€ millones y a Samsung con 5€ millones como castigo.

Calderilla para cualquiera de las dos empresas, pero la decisión marca un prece-dente extraordinario que seguramente preocupará a los fabricantes de dispositivos móviles.

Por primera vez en la historia, una organización gubernamental ha culpado a un fabricante informático de utilizar las actualizaciones para empeorar el dispositivo del usuario.

Pero ¿por qué querrían Apple y Samsung hacer tal cosa?

Los problemas de Apple vienen desde iOS 10, desarrollado para el iPhone 7, pero que también estaba disponible para los usuarios del iPhone 6, 6s y SE como una mejora en septiembre de 2016.

Los dueños se empezaron a quejar de apagados repentinos después de la actuali-zación, lo que hizo que posteriormente Apple intentara solucionarlo con actuali-zaciones que aceleraran el rendimiento del CPU para hacer frente a lo que habían decidido que eran baterías viejas.

Después les ocurrió lo mismo a los usuarios del iPhone 7 actualizando a iOS 11 en 2017, lo que supuso que Apple admitiera finalmente lo que estaba haciendo mientras ofrecía baterías de sustitución por 29$.

El cargo contra Samsung es otra versión del mismo comportamiento, esta vez rela-cionada con una actualización para Android 6 para el Galaxy Note 4, diseñada para el Note 7.

Al contrario que Apple, Samsung no ha admitido la aceleración, por lo que parece que el AGCM no le cree.


www.coreoneit.com

Desde un punto de vista técnico aquello de lo que se les acusa tanto a Apple como a Samsung (permitir que un dispositivo antiguo ejecute una versión moderna y exigente de un sistema operativo nuevo, ralentizando un poco el CPU para preservar las bate-rías) tiente todo el sentido.

El problema es que las actualizaciones también mejoran la seguridad, incluyendo par-chear vulnerabilidades conocidas. Saber, o incluso sospechar, que una actualización puede afectar negativamente al rendimiento puede hacer que millones de usuarios no las quieran implementar.

Según la opinión de los reguladores italianos y de algunos clientes, el comportamien-to de estas empresas supone un injusto empujón para actualizar a un nuevo dispositi-vo para escapar de los problemas causados por la aceleración.

También argumentan que los usuarios no conocían las implicaciones de la actualiza-ción ni tenían la opción de revertirla.

En cuanto a las implicaciones a largo plazo, es posible que los fabricantes de disposi-tivos comiencen o a recomendar mejorar las baterías o a avisar sobre las actualizacio-nes en algunos modelos. O pueden seguir el camino recientemente abierto por Google y separar las actualizaciones de seguridad de las actualizaciones generales.

El deseo de Apple de que la mayor parte de sus usuarios utilicen las versiones más recientes de su iOS normalmente, se considera a favor de la empresa, pero parece que eso va a cambiar.

A lo mejor simplemente tenemos que aceptar que incluso con una nueva batería, cada dispositivo iOS tiene una vida útil, después de la cual cualquier acumulación de nue-vas funciones va a afectar al rendimiento de algo.

Fuentes:Security, N., & Security, N. (2018). Apple y Samsung multados por ralentizar sus móviles más viejos. Retrieved from https://news.sophos.com/es-es/2018/10/29/apple-y-samsung-multados-por-ralentizar-sus-moviles-mas-viejos/

Funcionario público que veía porno en el trabajo presunto culpable de

infectar con malware una red del gobierno

El empleado infectó una red del gobierno, además de algunos dispositivos Investiga-dores en ciberseguridad y forense digital descubrieron que una red del gobierno de los Estados Unidos había sido infectada con malware gracias a un empleado del go-bierno y a sus “amplios antecedentes” de consumo de pornografía en la computadora de su oficina.Gracias a una auditoría llevada a cabo por el inspector general del Departamento del Interior de los Estados Unidos, se descubrió que una red del Servicio Geológico de EU (USGS) en el Centro de Ciencia y Observación de los Recursos de la Tierra (EROS), una instalación de imágenes satelitales en Dakota del Sur, fue infectada con malware des-pués de que un empleado no identificado visitó miles de páginas porno que alojaban el contenido malicioso, el cual se descargó e instaló en su laptop, gracias a lo cual se extendió hacia la red de USGS”.


www.coreoneit.com

Los investigadores en forense digital descubrieron que muchas de las imágenes porno-gráficas fueron posteriormente almacenadas en un dispositivo USB no autorizado y en un teléfono celular personal con sistema operativo Android”, que estaba conectado a la computadora propiedad del gobierno de EU. Además de la red del USGS, el teléfono del empleado en cuestión también se encontraba infectado con malware.

Estos hallazgos se hicieron públicos en un informe de seguridad a principios del mes de octubre, pero pasaron en buena medida desapercibidos, recibiendo casi nula difu-sión por parte del gobierno.

“Ya es suficientemente indeseable que, a estas alturas, un organismo de control del gobierno tenga que recordar a sus funcionarios que está prohibido acceder a esta clase de contenido en el trabajo, y mucho menos en una computadora propiedad del gobierno”, consideró el inspector encargado de la investigación. El inspector general no mencionó las medidas que serán tomadas contra el empleado.

“El equipo de forense digital del Departamento del Interior de EU ha identificado dos vulnerabilidades en los lineamientos de seguridad de TI del USGS: acceso a sitios web y puertos USB abiertos”, señala el informe.

Hay un lado medianamente positivo en este incidente. “El Centro EROS, que controla y archiva imágenes de la superficie terrestre del planeta, no opera ninguna red cla-sificada”, dijo un portavoz del inspector general de Interior en un comunicado, des-cartando cualquier actividad maliciosa significativa contra las redes del gobierno. El portavoz no especificó qué tipo de malware fue identificado, mencionando solamente que “el malware encontrado ayuda a habilitar la filtración de datos y también está asociado con algunas variantes de ransomware”.

Expertos en forense digital del Instituto Internacional de Seguridad Cibernética con-sideran que la mejor medida es que el USGS imponga una política de “lista negra” de sitios web no autorizados, además de supervisar regularmente el historial de uso de la web de los empleados. También se recomienda que la agencia establezca límites en su política de uso de USB, restringiendo a los empleados el uso de medios extraíbles en dispositivos gubernamentales.

El USGS se encuentra en proceso de evaluación de nuevas políticas para fortalecer la seguridad de sus redes

Fuentes:Noticias Seguridad. (s.f.). Funcionario público que veía porno en el trab-jo presunto culpable de infectar con malware una red del gobierno. Recupe-rado 2 noviembre, 2018, de http://noticiasseguridad.com/malware-virus/funcionario-publico-que-veia-porno-en-el-trabajo-presunto-culpable-de-infec-


www.coreoneit.com

IBM compra la compañía de software de código abierto “Red Hat” por $ 34 mil

millones

Ha sido todo un año para las plataformas de código abierto.

A principios de este año, Microsoft adquirió el popular servicio de hospedaje de re-positorio de código GitHub por $ 7,5 mil millones, y ahora IBM acaba de anunciar el mayor negocio de código abierto de la historia.

IBM confirmó hoy que adquiriría la empresa de código abierto de Linux Red Hat por $ 190 por acción en efectivo, con un valor total de aproximadamente $ 34 mil millones.

Red Hat, conocido por su sistema operativo Red Hat Enterprise Linux (RHEL), es una empresa de software líder que ofrece productos de software de código abierto a la comunidad empresarial.

Incluso Oracle utiliza el código fuente de Red Hat para su producto Oracle Linux.Los ingresos del año pasado de Red Hat fueron de $ 2.4 mil millones, y este año la compañía ha ganado $ 2.9 mil millones. Pero si los productos de Red Hat son de código abierto y las actualizaciones son gratuitas, es posible que se pregunte cómo gana la empresa.

Red Hat fue una de las primeras compañías que encontró una manera exitosa de ganar dinero con el software gratuito de código abierto. Ofrece servicios de con-sultoría, que incluyen evaluaciones, implementaciones, migraciones de plataforma, integración de soluciones y desarrollo de aplicaciones.

IBM adquiere Red Hat para dirigirse a gigantes de la computación en la nube

Al igual que otras grandes empresas de tecnología, IBM también ha sido un importan-te partidario de Linux y colaborador del núcleo y otros proyectos de código abierto, pero la empresa se ha quedado atrás de Amazon, Alphabet (Google) y Microsoft cuando se trata de cloud computing.

El acuerdo de adquisición ayudará a IBM a ampliar su alcance como proveedor de computación en la nube para empresas.

“La adquisición de Red Hat es un cambio de juego. Cambia todo sobre el mercado de la nube”, dijo Ginni Rometty, presidente de IBM, presidente y director ejecutivo en un comunicado.

“IBM se convertirá en el proveedor de nube híbrida número 1 del mundo, ofrecien-do a las empresas la única solución de nube abierta que desbloqueará el valor total de la nube para sus negocios”.


www.coreoneit.com

IBM: Red Hat seguirá siendo una unidad independiente

Es importante tener en cuenta que Red Hat continuará siendo liderado por el CEO de Red Hat, Jim Whitehurst, y el equipo de administración actual de Red Hat, como antes. IBM tiene la intención de mantener la sede, las instalaciones, las marcas y las prácticas de Red Hat.

“Es importante destacar que Red Hat sigue siendo Red Hat. Cuando la transacción se cierre, como señalé anteriormente, seremos una unidad distinta dentro de IBM, e informaré directamente al CEO de IBM, Ginni Rometty. Nuestro compromiso inque-brantable con la innovación de código abierto permanece sin cambios, “ dijo James M. Whitehurst, CEO de Red Hat.

“La independencia con la que IBM se ha comprometido permitirá a Red Hat continuar construyendo el amplio ecosistema que permite la elección del cliente y ha sido inte-gral para el éxito del código abierto en la empresa”.

Según IBM, el acuerdo entre IBM y Red Hat ya fue aprobado por los dos consejos de administración de las compañías, pero aún está sujeto a las aprobaciones de los ac-cionistas y reguladores de Red Hat.

Si todo sale según lo planeado, se espera que el acuerdo de adquisición se cierre en la segunda mitad de 2019.

Fuentes:Swati Khandelwal. (2018). IBM Buys “Red Hat” Open-Source Software Company for $34 Billion. 28 de octubre 2018, de The Hacker News Sitio web: https://thehacker-news.com/2018/10/ibm-redhat-tech-acquisition.html

Dos nuevos defectos de chip Bluetooth exponen millones de dispositivos a ataques remotos

Los investigadores de seguridad han revelado detalles de dos vulnerabilidades críticas en los chips Bluetooth Low Energy (BLE) integrados en millones de puntos de acceso y dispositivos de red utilizados por empresas de todo el mundo.

Apodado BleedingBit, el conjunto de dos vulnerabilidades podría permitir a los ata-cantes remotos ejecutar código arbitrario y tomar el control total de los dispositivos vulnerables sin autenticación, incluidos dispositivos médicos como bombas de insulina y marcapasos, así como dispositivos de punto de venta e IoT.

Descubiertas por investigadores de la firma de seguridad israelí Armis, existen vul-nerabilidades en los chips de pila Bluetooth Low Energy (BLE) fabricados por Texas Instruments (TI) que Cisco, Meraki y Aruba están utilizando en su línea de productos empresariales.


www.coreoneit.com

Armis es la misma empresa de seguridad que el año pasado descubrió BlueBorne , un conjunto de nueve fallas relacionadas con Bluetooth de día cero en Android, Win-dows, Linux e iOS que afectaron a miles de millones de dispositivos, incluidos telé-fonos inteligentes, computadoras portátiles, televisores, relojes y sistemas de audio para automóviles.

Vulnerabilidad de First BleedingBit RCE en chips BLE (CVE-2018-16986)

La primera vulnerabilidad, identificada como CVE-2018-16986, existe en los chips TI CC2640 y CC2650 y afecta a muchos puntos de acceso Wi-Fi de Cisco y Meraki. El error aprovecha una laguna en la forma en que los chips Bluetooth analizan los datos entrantes.

Según los investigadores, enviar más tráfico a un chip BLE del que se supone que maneja causa daños en la memoria, comúnmente conocido como ataque de desborda-miento de búfer, lo que podría permitir que un atacante ejecute código malicioso en un dispositivo afectado.

“Primero, el atacante envía múltiples mensajes de transmisión BLE benignos, llama-dos Paquetes publicitarios, que se almacenarán en la memoria del chip BLE vulnera-ble en el dispositivo de destino”, explicaron los investigadores.

“A continuación, el atacante envía el paquete de desbordamiento, que es un paquete de publicidad estándar con una alteración sutil: un bit específico en su encabezado activado en lugar de apagado. Este bit hace que el chip asigne la información del paquete un espacio mucho mayor que realmente necesita, lo que desencadena un desbordamiento de memoria crítica en el proceso “.

Cabe señalar que el ataque inicial requiere que un pirata informático esté en la proxi-midad física de un dispositivo específico, pero una vez comprometido, puede tomar el control del punto de acceso, lo que les permite interceptar el tráfico de red, instalar una puerta trasera persistente en el chip, o lanzar más ataques a otros dispositivos conectados a través de Internet.

Segundo defecto OCE RCE de BleedingBit en chips BLE (CVE-2018-7080)

La segunda vulnerabilidad, identificada como CVE-2018-7080, reside en los chips TI CC2642R2, CC2640R2, CC2640, CC2650, CC2540 y CC2541, y afecta a la serie 300 del punto de acceso Wi-Fi de Aruba.

Esta vulnerabilidad se debe a un problema con la función de actualización de firmware de Texas Instruments en chips BLE llamada Descarga de firmware Over the Air (OAD).

Dado que todos los puntos de acceso de Aruba comparten la misma contraseña OAD que se puede “obtener detectando una actualización legítima o mediante el firmwa-re BLE de Aruba de ingeniería inversa”, un atacante puede enviar una actualización malintencionada al punto de acceso seleccionado y volver a escribir su sistema opera-tivo, obteniendo una capacidad total. Control sobre el dispositivo.

“De forma predeterminada, la función OAD no está configurada automáticamente para abordar actualizaciones seguras de firmware. Permite un mecanismo de actua-lización simple del firmware que se ejecuta en el chip BLE en una transacción del GATT”, explicaron los investigadores.

“Un atacante ... puede conectarse al chip BLE en un punto de acceso vulnerable y car-gar un firmware malicioso que contenga el propio código del atacante, lo que permite una reescritura completa de su sistema operativo, y de ese modo obtener el control total sobre él”, dijeron los investigadores.


www.coreoneit.com

Información relacionada con el parche

Armis descubrió las vulnerabilidades de BleedingBit a principios de este año e informó responsablemente a todos los proveedores afectados en junio de 2018, y luego tam-bién contactó y trabajó con las compañías afectadas para ayudarles a implementar las actualizaciones apropiadas para solucionar los problemas.

Texas Instruments confirmó las vulnerabilidades y lanzó parches de seguridad para el hardware afectado el jueves que estarán disponibles a través de los respectivos fabri-cantes de equipos originales.

Cisco, que también es propietario de Meraki , lanzó la versión B.2 -STACK 2.2.2 para tres puntos de acceso inalámbrico de la serie Aironet (1542 AP, 1815 AP, 4800 AP) y los puntos de acceso de la serie Meraki (MR33, MR30H, MR74, MR53E), el jueves para abordar CVE-2018-16986.

Aruba también ha lanzado un parche de seguridad para sus puntos de acceso de las series Aruba 3xx e IAP-3xx para abordar la falla CVE-2018-7080.

Sin embargo, tanto Cisco como Aruba notaron que sus dispositivos tienen Bluetoo-th deshabilitado de forma predeterminada. Ningún proveedor es consciente de que alguien explote activamente cualquiera de estas vulnerabilidades de día cero en la naturaleza.

Fuentes:Swati Khandelwal. (2018). Two New Bluetooth Chip Flaws Expose Millions of Devices to Remote Attacks. 01 de noviembre 2018, de The Hacker News Sitio web: https://thehackernews.com/2018/11/bluetooth-chip-hacking.html

Error de Windows 10 permite que las aplicaciones UWP accedan a todos los archivos sin el consentimiento de los

usuarios

Microsoft reparó silenciosamente un error en su sistema operativo Windows 10 con la actualización de octubre de 2018 (versión 1809) que permitía a las aplicaciones de la Tienda Microsoft con un amplio permiso del sistema de archivos acceder a todos los archivos en las computadoras de los usuarios sin su consentimiento.

Con Windows 10, Microsoft introdujo una plataforma común, llamada Universal Win-dows Platform (UWP), que permite que las aplicaciones se ejecuten en cualquier dis-positivo que ejecute Windows 10, incluyendo PC de escritorio, Xbox, IoT, Surface Hub y auriculares de realidad mixta.


www.coreoneit.com

Las aplicaciones UWP tienen la capacidad de acceder a ciertas API, archivos como imágenes, música o dispositivos como cámara y micrófono, al declarar los permisos necesarios en su archivo de manifiesto (configuración) del paquete.

De forma predeterminada, las aplicaciones UWP tienen acceso a directorios, donde la aplicación está instalada en el sistema de los usuarios y donde la aplicación puede almacenar datos (carpetas locales, móviles y temporales).

Sin embargo, para acceder a otros archivos en un sistema, incluidos los recursos confi-denciales, Microsoft ofrece varios tipos de capacidades que una aplicación puede usar al declarar su permiso en el archivo manifiesto.

Una de estas capacidades extensivas, llamada broadFileSystemAccess (acceso amplio al sistema de archivos), permite que una aplicación acceda al sistema de archivos al mismo nivel que el usuario que lanzó la aplicación.

Sin embargo, según Microsoft, esta es una capacidad restringida que, si se usa, acti-vará un aviso de consentimiento del usuario mientras los usuarios inician la aplicación por primera vez, solicitándoles que otorguen o denieguen este permiso a la aplica-ción.

“En el primer uso, el sistema solicitará al usuario que permita el acceso. El acceso se puede configurar en Configuración> Privacidad> Sistema de archivos. Si envía una aplicación a la Tienda que declara esta capacidad, deberá proporcionar descripciones adicionales de por qué su aplicación necesita esta capacidad y cómo pretende usarla”, dice la documentación de Microsoft.

De acuerdo con el desarrollador de la aplicación de Windows Sébastien Lachance, la versión de Windows 10 anterior a la actualización de octubre de 2018 no pudo mos-trar las solicitudes de permiso para acceder al sistema de archivos debido a un error, aparentemente dejando a los usuarios datos confidenciales expuestos a aplicaciones

descargadas de la Tienda Windows.

En otras palabras, hasta la versión 1809, las aplicaciones podrían usarse para acce-der a todo el sistema de archivos sin pedir permiso a los usuarios.

Lachance se enteró del error cuando una de sus aplicaciones que usa el permiso broadFileSystemAccess comenzó a fallar después de instalar la actualización de Win-dows 10 de octubre de 2018.

Más tarde, un ingeniero de Microsoft explicó a Lachance que, dado que la última ac-tualización de Windows 10 solucionó el problema del sistema al desactivar el ajuste ‘broadFileSystemAccess’ de forma predeterminada, es posible que todas las aplica-ciones de UWP deban actualizarse para evitar bloqueos.


www.coreoneit.com

Para evitar bloqueos, Andrew sugirió que los desarrolladores de aplicaciones de Win-dows incluyan una línea simple de código en su software afectado que obligará a sus usuarios a aceptar el nuevo permiso de acceso a archivos en la configuración antes de iniciar la aplicación.

Desde que Microsoft detuvo el lanzamiento de la actualización de octubre de Win-dows 10 debido a un error de borrado de archivos, los usuarios que no tienen la ac-tualización pueden restringir el acceso de las aplicaciones UWP al sistema de archivos en su computadora con Windows 10 a través de Configuración → Privacidad → Sistema de archivos.

Fuentes:Swati Khandelwal. (2018). Windows 10 Bug Let UWP Apps Access All Files Without Users’ Consent. 30 de octubre 2018, de The Hacker News Sitio web: https://the-hackernews.com/2018/10/windows10-uwp-apps.html


www.coreoneit.com

Vulnerabilidades críticas de seguridad para tomar las medidas preventivas y correctivas

frente a las amenazas tecnológicas

Vulnerabilidad de denegación de servicio de Cisco Adaptive Security Appliance y Cisco Firepower Threat

Defense Software

Criticidad: AltaImpacto: Denegación de servicioVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Esta vulnerabilidad afecta a la versión 9.4 y posterio-res del software Cisco ASA y a la versión 6.0 y posteriores del software Cisco FTD si la inspección SIP está habilitada y el software se está ejecutando en cualquiera de los siguientes productos de Cisco:

• Dispositivo de seguridad industrial serie 3000 (ISA)• Cortafuegos de última generación de la serie ASA 5500-X• Módulo de servicios ASA para Cisco Catalyst 6500 Series Switch y Cisco 7600 Se-ries Routers• Dispositivo virtual de seguridad adaptable (ASAv)• Firepower 2100 Series Security Appliance• Firepower 4100 Series Security Appliance• Firepower 9300 ASA Security Module• FTD Virtual (FTDv)Referencia: CVE-2018-15454

Descripción:

Una vulnerabilidad en el motor de inspección del Protocolo de inicio de sesión (SIP) del software Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado haga que un dispositivo afectado se vuelva a cargar o active una CPU alta, lo que en una condición de denegación de servicio (DoS).

La vulnerabilidad se debe a un manejo inadecuado del tráfico SIP. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes de SIP diseñadas para desencade-nar específicamente este problema a una alta tasa en un dispositivo afectado.Las actualizaciones de software que abordan esta vulnerabilidad aún no están dispo-nibles. No hay soluciones que aborden esta vulnerabilidad. Las opciones de mitigación que abordan esta vulnerabilidad están disponibles.

Fuentes:Vulnerabilidad de denegación de servicio de Cisco Adaptive Security Appliance y Cisco Firepower Threat Defense Software https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos


www.coreoneit.com

Vulnerabilidad de precarga de DLL de Windows Cisco Advanced Malware Protection para puntos finales

Criticidad: MediaImpacto: Acceso no autorizadoVulnerabilidad: -Ejecución: LocalPlataforma(s) afectada(s): Esta vulnerabilidad afecta a Cisco AMP para puntos finales.Referencia: CVE-2018-15452

Descripción:

Una vulnerabilidad en el componente de carga de DLL de Cisco Advanced Malware Pro-tection (AMP) para puntos finales en Windows podría permitir a un atacante local au-tenticado deshabilitar los servicios de escaneo del sistema o tomar otras medidas para evitar la detección de intrusiones no autorizadas. Para aprovechar esta vulnerabilidad, el atacante necesitaría tener credenciales administrativas en el sistema Windows.

La vulnerabilidad se debe a la validación incorrecta de los recursos cargados por un proceso del sistema en el tiempo de ejecución. Un atacante podría aprovechar esta vul-nerabilidad creando un archivo DLL malicioso y ubicándolo en una ubicación específica del sistema de destino. Una explotación exitosa podría permitir al atacante deshabi-litar los servicios de escaneo del sistema objetivo y, en última instancia, evitar que el sistema esté protegido contra intrusiones adicionales.No hay soluciones que aborden esta vulnerabilidad.

Fuentes:Vulnerabilidad de precarga de DLL de Windows Cisco Advanced Malware Protection para puntos finales https://tools.cisco.com/security/center/content/CiscoSecurit-yAdvisory/cisco-sa-20181029-amp-dll

Vulnerabilidad de denegación de servicio de acceso directo a memoria de Cisco Adaptive Security Appliance

Criticidad: AltaImpacto: Denegación de servicioVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco Adaptive Security Appliance (ASA) o el software Cisco Firepower Threat Defense (FTD):

• ASA 5506-X con servicios FirePOWER• ASA 5506H-X con servicios FirePOWER• ASA 5506W-X con servicios FirePOWER• ASA 5508-X con servicios FirePOWER• ASA 5516-X con servicios FirePOWERReferencia: CVE-2018-15383

Descripción:

Una vulnerabilidad en el controlador del acelerador de hardware criptográfico del sof-tware Cisco Adaptive Security Appliance (ASA) y el software Cisco Firepower Threat Defense (FTD) podría permitir que un atacante remoto no autenticado haga que un dis-positivo afectado se recargue, lo que resulta en una denegación temporal del servicio (DoS ) condición.

La vulnerabilidad se debe a que los dispositivos afectados tienen una cantidad limitada de memoria de acceso directo a la memoria (DMA) y el software afectado maneja inco-rrectamente los recursos en condiciones de poca memoria.


www.coreoneit.com

Un atacante podría aprovechar esta vulnerabilidad enviando una alta tasa sostenida de tráfico malicioso a un dispositivo afectado para agotar la memoria del dispositivo. Una explotación exitosa podría permitir que el atacante agote la memoria DMA en el dis-positivo afectado, lo que podría hacer que el dispositivo se vuelva a cargar y provocar una condición de DoS temporal.

Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones que aborden esta vulnerabilidad.

Vulnerabilidad de denegación de servicio de acceso directo a memoria de Cisco Adaptive Security Appliance

Criticidad: CríticaImpacto: Ejecución remota de códigoVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Esta vulnerabilidad afecta a los siguientes productos:• Cisco Prime Data Center Network Manager (DCNM) - Versión 10.0 y versiones posteriores• Cisco Prime Infrastructure (PI) - Versión 3.2 y anterioresReferencia: CVE-2018-0258

Descripción:

Una vulnerabilidad en el servlet de carga de archivos de Cisco Prime que afecta a varios productos de Cisco podría permitir a un atacante remoto cargar archivos arbi-trarios en cualquier directorio de un dispositivo vulnerable y ejecutar esos archivos.

Para obtener más información sobre esta vulnerabilidad por producto de Cisco, consul-te la sección Detalles de este aviso de seguridad.

Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad. No hay soluciones que aborden esta vulnerabilidad.

Fuentes:Vulnerabilidad de denegación de servicio de acceso directo a memoria de Cisco Adaptive Security Appliance https://tools.cisco.com/security/center/content/Cis-coSecurityAdvisory/cisco-sa-20181003-asa-dma-dos

Fuentes:Vulnerabilidad de denegación de servicio de acceso directo a memoria de Cisco Adaptive Security Appliance https://tools.cisco.com/security/center/content/Cis-coSecurityAdvisory/cisco-sa-20180


www.coreoneit.com

Vulnerabilidad de omisión de la autenticación de libssh que afecta a los productos de Cisco

Criticidad: CriticaImpacto: Acceso no autorizadoVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Cisco está investigando su línea de productos para de-terminar qué productos y servicios pueden verse afectados por esta vulnerabili-dad. A medida que avanza la investigación, Cisco actualizará este aviso con infor-mación sobre los productos y servicios afectados.Referencia: CVE-2018-10933

Descripción:

Una vulnerabilidad en libssh podría permitir a un atacante remoto no autenticado elu-dir la autenticación en un sistema específico.

La vulnerabilidad se debe a operaciones de autenticación incorrectas por parte de la máquina de estado del lado del servidor del software afectado. Un atacante podría aprovechar esta vulnerabilidad presentando un mensaje SSH2_MSG_USERAUTH_SUC-CESS a un sistema específico. Una explotación exitosa podría permitir al atacante elu-dir la autenticación y obtener acceso no autorizado a un sistema específico.

Este aviso se actualizará a medida que haya información adicional disponible.

Fuentes:Vulnerabilidad de omisión de la autenticación de libssh que afecta a los productos de Ciscohttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181019-libssh

Vulnerabilidad de denegación de servicio y ejecución remota de código de Texas Instruments Bluetooth Low

Energy

Criticidad: AltaImpacto: Acceso no autorizadoVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): La siguiente tabla enumera los productos de Cisco que están afectados por la vulnerabilidad descrita en este aviso:

Referencia: CVE-2018-16986


www.coreoneit.com

Armis anunció la presencia de una vulnerabilidad de ejecución remota de código (RCE) o de denegación de servicio (DoS) en la pila de Bluetooth de baja energía (BLE) en los chips CC2640 y CC2650 de Texas Instruments (TI). A esta vulnerabilidad se le ha asigna-do el ID de vulnerabilidades y exposiciones comunes (CVE) de CVE-2018-16986.

La vulnerabilidad se debe a una condición de corrupción de memoria que puede ocurrir al procesar marcos BLE con formato incorrecto. Un atacante que se encuentre cerca de un dispositivo afectado que esté escaneando activamente podría explotar el problema al transmitir tramas BLE con formato incorrecto. Un ataque exitoso puede hacer que el atacante obtenga la capacidad de ejecutar código arbitrario o provocar una condición de denegación de servicio en un dispositivo afectado.No hay soluciones que aborden esta vulnerabilidad.

Fuentes:Vulnerabilidad de denegación de servicio y ejecución remota de código de Texas Ins-truments Bluetooth Low Energy https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181101-ap

Aviso de OpenSSL del 8 de enero de 2015

Criticidad: MediaImpacto: MultiplesVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): MultiplesReferencia: CVE-2018-0049CVE-2014-3569, CVE-2014-3570, CVE-2014-3572, CVE-2014-8275, CVE-2015-0204, CVE-2015-0205.

Descripción:

El proyecto OpenSSL ha publicado un aviso de seguridad para las vulnerabilidades re-sueltas en la biblioteca OpenSSL el 8 de enero de 2015:


www.coreoneit.com

Además de lo anterior, este aviso de OpenSSL también incluye CVE-2014-3571 y CVE-2015-0206 que solo afectan el protocolo DTLS que no se utiliza en ningún producto de Juniper. Por lo tanto, estas dos CVE no afectan ningún producto de Juniper.

Productos Vulnerables:

• El sistema operativo Junos está potencialmente afectado por una o más de las vul-nerabilidades. La interfaz J-Web de Junos no es vulnerable al problema “FREAK”, sin embargo, los componentes del lado del cliente de Junos que utilizan OpenSSL para co-nectarse a servidores vulnerables pueden estar en riesgo de vulnerabilidad de FREAK. Los servidores alojados por Juniper a los que se pueden conectar los dispositivos Junos mediante el uso de SSL / TLS para las actualizaciones no son vulnerables al problema “FREAK”.• El software CTP es potencialmente vulnerable a una o más vulnerabilidades.• ScreenOS es potencialmente vulnerable solo a CVE-2014-8275 y CVE-2015-0205. El resto de los CVE en este aviso no afectan a ScreenOS.• Junos Space es potencialmente vulnerable a una o más vulnerabilidades.• NSM es potencialmente vulnerable a una o más vulnerabilidades.• DDoS Secure está potencialmente afectado por una o más vulnerabilidades.• IDP está potencialmente afectado por una o más de las vulnerabilidades.• Pulse Secure: por favor, consulte KB29833.• SBR Carrier está potencialmente afectado por una o más de las vulnerabilidades.• Las versiones de la serie SRC anteriores a 4.8 son vulnerables solo a CVE-2015-0204 cuando la función Servidor de redirección HTTPS está habilitada.• vGW está potencialmente afectado por una o más de las vulnerabilidades.• El dispositivo RingMaster está potencialmente afectado por una o más de las vulne-rabilidades.

Productos no vulnerables:

• Smartpass no utiliza OpenSSL y no es vulnerable.• El software RingMaster no usa OpenSSL y no es vulnerable.

A medida que se disponga de nueva información sobre productos que no figuran en la lista anterior, este documento se actualizará.

Fuentes:Junos OS: Aviso de OpenSSL del 8 de enero de 2015 . Juniper Networks. Octubre 2018, de Sitio web: https://kb.juniper.net/InfoCenter/index?page=content&id=J-SA10679&cat=SIRT_1&actp=LIST


www.coreoneit.com

Sistema operativo Junos: la IP / máscara no válida obtenida del servidor DHCP podría causar la falla del

proceso del daemon de control del dispositivo (dcd)

Criticidad: MediaImpacto: Multiples Vulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Junos OS 12.1X46, 12.3X48, 14.1X53, 15.1, 15.1X49, 15.1X53, 16.1, 16.2, 17.1, 17.2, 17.3Referencia: CVE-2018-0060.

Descripción:

Una debilidad de validación de entrada incorrecta en el proceso del demonio de con-trol del dispositivo (dcd) de Juniper Networks. El sistema operativo Junos permite que un atacante provoque una denegación de servicio en el proceso de dcd y las interfaces y los clientes conectados cuando el dispositivo Junos solicita una dirección IP.

Los dispositivos Junos no son vulnerables a este problema cuando no están configura-dos para usar DHCP.

Las liberaciones afectadas son Juniper Networks Junos OS:

Versiones 12.1X46 anteriores a 12.1X46-D40 en la serie SRX;Versiones 12.3X48 anteriores a 12.3X48-D20 en la serie SRX;14.1X53versiones anteriores a 14.1X53-D40 en EX2200 / VC, EX3200, EX3300 / VC, EX4200, EX4300, EX4550 / VC, EX4600, EX6200, EX8200 / VC (XRE), QFX3500, QFX3600, QFX5100;Versiones de 15.1X49 anteriores a 15.1X49-D20 en la serie SRX;Versiones de 15.1X53 anteriores a 15.1X53-D68 en la serie QFX10000;Versiones de 15.1X53 anteriores a 15.1X53-D235 en QFX5200 / QFX5110;Versiones de 15.1X53 anteriores a 15.1X53-D495 en NFX150, NFX250;

Versiones de 15.1X53 anteriores a 15.1X53-D590 en EX2300 / EX3400;5.1 versiones anteriores a 15.1R7-S2

Juniper SIRT no tiene conocimiento de ninguna explotación maliciosa de esta vulnera-bilidad.

Fuentes:Junos OS: Sistema operativo Junos: la IP / máscara no válida obtenida del servidor DHCP podría causar la falla del proceso del daemon de control del dispositivo (dcd) (CVE-2018-0060). Juniper Networks. Octubre 2018, de Sitio web:

SEVICIO DE ITELIECIA COTA AMEAAS SIA” de seguridad 05... · 2018-11-05 · SEVICIO DE ITELIECIA...

Documents

Transcript of SEVICIO DE ITELIECIA COTA AMEAAS SIA” de seguridad 05... · 2018-11-05 · SEVICIO DE ITELIECIA...