La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el Centro Criptológico Nacional, CCN-CERT, informa de un incidente de ransomware que está afectando especialmente a entidades del sector sanitario.
Se trata del ransomware Hive involucrado en numerosos incidentes desde mediados de este año. Su modus operandi es similar al empleado hoy en día por otros grupos de atacantes que hacen uso de ransomware: una vez comprometida la organización exfiltran datos personales y proceden con el cifrado de los mismos para, posteriormente, presionar a sus víctimas mediante la, cada vez más común, doble extorsión.
El vector de entrada utilizado por los atacantes es el correo electrónico, generalmente, mediante el uso de spear phishing con adjuntos maliciosos. Para la ejecución de sus TTPs (Tácticas Técnicas y Procedimientos) los atacantes suelen orquestar sus acciones desde herramientas de control remoto tales como el archiconocido CobaltStrike así como el software comercial Connectwise/ScreenConnect, herramienta legítima utilizada en los últimos años por diversos grupos de atacantes.
Debido a los ataques que diversas entidades del sector sanitario están recibiendo mediante este código dañino, la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones ruega encarecidamente extremar la vigilancia y las precauciones ante la posibilidad de ser abordados por este ransomware. Llamamos vuestra atención sobre la necesidad de aplicar las siguientes recomendaciones.
Recomendaciones
A nivel usuario:
Preste atención a los correos electrónicos que recibe:
- Compruebe el dominio del correo remitente y que su nombre coincide con su cuenta de correo electrónico (nombre y dominio).
- Desconfíe de los correos electrónicos cuyo texto esté mal redactado o con faltas de ortografía.
- Evite abrir archivos adjuntos si se desconoce al remitente o no se espera el documento.
- Preste atención a la sintaxis de los enlaces a páginas web que le lleguen por correo electrónico. Una letra puede marcar la diferencia.
- Si observa alguna anomalía en un correo electrónico, contacte con el remitente a través de otro canal (ej. Teléfono) para comprobar la autenticidad del mensaje.
Sea especialmente cuidadoso con la navegación web.
- Navegue solo por sitios web fiables y necesarios para el desempeño de su trabajo
A nivel técnico:
Paso 1. Mantener los dispositivos y aplicaciones actualizados: Contar con la última versión del navegador, sistema operativo, software o aplicación que utilicemos contribuirá a reforzar nuestra seguridad
Paso 2. Se debe verificar que el equipo está protegido con el antivirus corporativo Symantec Endpoint Protection, dispone de las últimas firmas publicadas y tiene el módulo IPS instalado y habilitado.
Paso 3. Es altamente recomendable verificar que está instalado el Agente EDR de Crowdstrike. En caso contrario, puede obtener el procedimiento de instalación aquí.
Paso 4. Incluir IOCs (Indicadores de Compromiso) en proxies y firewalls provinciales
Actualmente desde la USTIC estamos trabajando en un sistema de implementación automática de IOC para el ámbito de la seguridad corporativa en distintas líneas de servicios de seguridad (proxies, firewalls, EDR...)
Los proxies SQUID son los primeros elementos de seguridad en los que se están pilotando esta solución, mediante una servicio de descarga diaria de los IOC del repositorio de Andalucia-CERT e integración en listas de denegación de Ip y dominios.
Este repositorio de Andalucia-CERT, a su vez, proviene de los análisis de la cibertinteligencia de la herramienta REYES (CCN-CERT).
Los IOC que recomienda CCN-CERT, que corresponden a indicadores de explotación de la vulnerabilidad, ya están incluidos en REYES, por lo que se recomienda que se traten de manera automática a través de la ejecución del script preparado para tal efecto.
El script de configuración para la descarga e incorporación de los IOCs automática es el siguiente: ScriptIOCautomatic.sh . En este script hay que sustituir <password_ftp> por la clave. Contactar con ustic.stic.sspa@juntadeandalucia.es para el envío de dichas credenciales.
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por su atención. Reciba un cordial saludo,
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa, con fecha 21 de diciembre de 2021, de una nueva actualización relacionada con la vulnerabilidad que afecta a la librería Apache Log4j 2.
Tras unas semanas en las que se han detectado importantes vulnerabilidades que afectan a Log4j, se ha detectado una nueva de tipología de denegación de servicio (DoS), recogida como CVE-2021-45105, por lo que se recomienda instalar de nuevo parches, en este caso el 2.17.
Por ello, se recomienda instalar la última versión disponible para evitar problemas de seguridad. Este parche ya está disponible y permite que las cadenas de búsqueda en la configuración se expandan de forma recursiva.
Más información sobre la vulnerabilidad en la versión 1.x:
[+] http://slf4j.org/log4shell.html
Más información sobre la vulnerabilidad en la versión 2.x:
https://ws001.sspa.juntadeandalucia.es/confluence/x/4QayBQ
Gracias por su atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa con fecha de 20 de diciembre de 2021, de una nueva vulnerabilidad crítica que afecta a la librería Apache Log4j 2.
Se trata de una nueva vulnerabilidad con criticidad 9 sobre 10, la CVE-2021-45046, y que afecta a la versión 2.15. Esta versión fue propuesta la semana pasada como actualización para solventar la explotación, sin embargo, existe la versión 2.16 y posterior por lo que recomendamos la actualización a estas últimas.
Neo4j
Sobre la vulnerabilidad inicial de Log4j, al aplicarse el cambio en la configuración se puede ver afectado Neo4j, para mitigar esta acción la configuración de Neo4j debe ser:
dbms.jvm.additional=-Dlog4j2.formatMsgNoLookups=true
dbms.jvm.additional=-Dlog4j2.disable.jmx=true
Más información: https://community.neo4j.com/t/log4j-cve-mitigation-for-neo4j/48856
Más información sobre la vulnerabilidad en la versión 1.x:
[+] http://slf4j.org/log4shell.html
Más información sobre la vulnerabilidad en la versión 2.x:
https://ws001.sspa.juntadeandalucia.es/confluence/x/4QayBQ
Gracias por su atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las directrices marcadas por el Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa de nuevos datos respecto a la vulnerabilidad que afecta a la librería Apache Log4j 2.
Asociada a la vulnerabilidad CVE-2021-44228 se ha identificado la vulnerabilidad CVE-2021-45046, además de otra (CVE-2021-4104) sobre Apache Log4j 1.x con ciertos cambios aunque se encuentra relacionada y es explotable.
En Red Hat pueden encontrar más información además de cuáles son las clases utilizadas y vulnerables:
[+] https://access.redhat.com/security/cve/CVE-2021-4104
Principalmente, se indica que se tenga en cuenta que este fallo SÓLO afecta a las aplicaciones que están configuradas específicamente para utilizar JMSAppender, que no lo es por defecto, o cuando el atacante tiene acceso de escritura a la configuración de Log4j para añadir JMSAppender al JMS Broker del atacante.
Cabe destacar que es una vulnerabilidad relacionada con JNDI.
Más información sobre la vulnerabilidad en la versión 1.x:
[+] http://slf4j.org/log4shell.html
Más información sobre la vulnerabilidad en la versión 2.x:
[+] https://ws001.sspa.juntadeandalucia.es/confluence/x/4QayBQ
Gracias por su atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa del estado en el que se encuentra la vulnerabilidad que afecta a la librería Apache Log4j 2.
Como se ha alertado durante los últimos días, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.
La vulnerabilidad, a la que se le ha asignado el CVE-2021-44228 y se ha denominado Log4Shell, es del tipo de ejecución de código remoto no autenticado, permitiendo a un atacante, tomar el control del equipo mediante el manejo adecuado de la entrada al registro de logs.
Debido a la gravedad de esta vulnerabilidad, la Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones ruega encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a la vulnerabilidad.
Recursos Afectados (Actualizado 21/12/2021):
La vulnerabilidad afecta a las siguientes versiones:
- Apache Log4 desde la versión 2.0 hasta la 2.16.
Posibles Vectores de Entrada
La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md
El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.
Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:
- X-Api-Version
- User-Agent
- Referer
- X-Druid-Comment
- Origin
- Location
- X-Forwarded-For
- Cookie
- X-Requested-With
- X-Forwarded-Host
- Accept
Recomendaciones (Actualizadas 27/01/2022)
Detección de la vulnerabilidad
Paso 1. Para revisar si se está usando la versión vulnerable de log4j:
- Windows (PowerShell):
gci 'C:\' -rec -force -include *.jar -ea 0 | foreach {select-string "JndiLookup.class" $_} | select -exp Path - Linux:
find / 2>/dev/null -regex ".*.jar" -type f | xargs -I{} grep JndiLookup.class "{}"
- Windows (PowerShell):
Para otras formas alternativas de localización, consulte las siguientes indicaciones que ofrece CCN-CERT en su artículo “CCN-CERT AL 09/21 Actualización vulnerabilidad en Apache Log4j 2 (14/12/2021)”
| Si estos comandos arrojan resultados, se debe comprobar si la versión es vulnerable. |
|---|
Paso 2. Independientemente de lo indicado en el punto anterior, se debe verificar que el equipo está protegido con el EPP corporativo, dispone de las últimas firmas publicadas y tiene el módulo IPS instalado y habilitado.
| Recordamos que el producto está disponible tanto para Windows como para Linux |
|---|
Paso 3. Es altamente recomendable instalar el EDR de Crowdstrike, cuyo procedimiento se encuentra a continuación:
- Verificar incompatibilidad de versiones NO soportadas:
All other Windows OSes are unsupported, including but not limited to:
All pre-GA versions/builds of Windows – Windows Insider Preview, beta, etc – unless specifically stated in a Release Note. Including but not limited to:
Windows 11 Preview Builds
Windows Server 2022 Preview Builds
Windows 7 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021 [https://supportportal.crowdstrike.com/s/article/SupportAnnouncement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-SP1] .
Windows Server 2008 R2 hosts without a CrowdStrike Extended Support subscription as of January 14, 2021
[https://supportportal.crowdstrike.com/s/article/Support-Announcement-Falcon-Sensor-Support-Policy-for-Windows-7-SP1-and-Windows-Server-2008-R2-
SP1] .
Windows Server 2008 (non-R2), which is based on the Vista kernel
Windows Server Core, all versions other than 2016 and 2019
Windows 10 64-bit v1511, aka Threshold 2
Windows 10 64-bit v1703, aka Redstone 2 ("RS2")
Windows 10 64-bit v1709, aka Redstone 3 ("RS3")
Windows 10 64-bit v1803, aka Redstone 4 ("RS4")
Windows 10 64-bit v1903, aka 19H1
All 32-bit versions of Windows 10 not listed above
All 32-bit versions of Windows 8.1
All versions of Windows 8
Container-based Windows OS solutions, including but not limited to Docker, are not currently supported.
Windows Embedded Standard 7 is unsupported. This version is independent from Windows 7 Embedded POS Ready, which is the only Embedded version we
do support. - Verificar que en el equipo donde se vaya a desplegar el EDR tiene acceso a las siguientes urls y debe aparecer como resultado la palabra "ok":
- Verificar incompatibilidad de versiones NO soportadas:
EU-1
ts01-lanner-lion.cloudsink.net
lfodown01-lanner-lion.cloudsink.net
- Para Windows.
En Servidores: Descargar el siguiente instalador y seguir las instrucciones que se indican en el fichero Readme-Server.txt
- Para Windows.
En PCs. Descargar el siguiente instalador y seguir las instrucciones que se indican en el fichero Readme-PC.txt
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Windows Deployment _ Documentation _ Support _ Falcon.pdf.
- Para Linux.
- Verificar compatibilidad del Kernel en el procedimiento completo.
- Instalar con el comando apropiado según distribución (ver procedimiento completo). La instalación requiere privilegios de sudo.
- Establecer el CID que figura en el punto anterior.
- Establecer opciones de proxy si se requieren
- Establecer Grouping_Tags. Se recomienda usar la cadena “SERVERS_PROVINCIA” Sustituyendo provincia por la que corresponda.
- Para Linux.
| Version Linux | Ejecutable sensor EDR |
|---|---|
| Debian | |
| RHEL_CentOS_Oracle6 | |
| RHEL_CentOS_Oracle7 | |
| RHEL_CentOS_Oracle8 | |
| Ubuntu |
NOTA: Importante verificar los requisitos de comunicaciones antes de proceder a la instalación.
Procedimiento completo: Falcon Sensor for Linux Deployment _ Documentation _ Support _ Falcon.pdf.
Mitigación
1º. Solución a la vulnerabilidad:
Apache ha lanzado la versión Log4j-2.17.0 para abordar esta vulnerabilidad. Para más información sobre cómo instalar las actualizaciones y las distintas extensiones se dispone del siguiente enlace:
2º. Workaround de la vulnerabilidad:
En caso de no poder efectuar la actualización a las versiones indicadas anteriormente, debe realizar los siguientes pasos:
- Como medidas de mitigación, en versiones anteriores (>=2.10), este comportamiento puede resolverse estableciendo la propiedad del sistema:
log4j2.formatMsgNoLookups = true
- o eliminando la clase JndiLookup del classpath, como, por ejemplo:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- Java 8u121 protege contra esta RCE al establecer por defecto:
com.sun.jndi.rmi.object.trustURLCodebase = false
com.sun.jndi.cosnaming.object.trustURLCodebase = false
NOTA: Adicionalmente, aplicar las medidas de mitigación descritas en los avisos de fabricantes afectados.
3º. Incluir IOCs (Indicadores de Compromiso) en proxies y firewalls provinciales
La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:
Actualmente desde la USTIC estamos trabajando en un sistema de implementación automática de IOC para el ámbito de la seguridad corporativa en distintas líneas de servicios de seguridad (proxies, firewalls, EDR,...)
Los proxies SQUID son los primeros elementos de seguridad en los que se están pilotando esta solución, mediante una servicio de descarga diaria de los IOC del repositorio de Andalucia-CERT e integración en listas de denegación de Ip y dominios.
Este repositorio de Andalucia-CERT , a su vez, proviene de los análisis de la cibertinteligencia de la herramienta REYES (CCN-CERT).
Los IOC que recomienda CCN-CERT , que corresponden a indicadores de explotación de la vulnerabilidad, ya están incluidos en REYES, por lo que se recomienda que se traten de manera automática a través de la ejecución del script preparado para tal efecto.
El script de configuración para la descarga e incorporación de los IOCs automática es el siguiente: ScriptIOCautomatic.sh . En este script hay que sustituir <password_ftp> por la clave. Contactar con ustic.stic.sspa@juntadeandalucia.es para el envío de dichas credenciales.
En caso de haber detectado la explotación de esta vulnerabilidad :
debe reportar el incidente mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso log4j]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. Les seguiremos informando.
Gracias por su atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud