La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones informa de que los próximos 27 y 29 de septiembre, a las 10:00 horas, tendrá lugar un webinar organizado por el Equipo de Formación del Centro Criptológico Nacional (CCN-CERT), titulado "Principios básicos para el desarrollo seguro de aplicaciones".
Se trata de una formación gratuita y voluntaria que puede resultar de interés para cualquier profesional de la STIC, especialmente para quien se dedique al área de desarrollo. Asimismo, hay que resaltar su corta duración y su marcado carácter divulgativo, donde se tratarán desde un enfoque práctico los principios básicos para el desarrollo seguro de aplicaciones.
En el evento, se realizará una introducción a los conceptos relativos al desarrollo de aplicaciones bajo una perspectiva integral de la seguridad: triada CIA, riesgos, amenazas y vulnerabilidades y, se acercará a los asistentes a las labores diarias de los profesionales dedicados a la seguridad de aplicaciones.
Solicitud de Inscripción
- Las personas interesadas en participar en esta actividad formativa gratuita pueden cumplimentar el formulario disponible en el siguiente enlace: formulario de inscripción
- El plazo de solicitud finalizará el próximo lunes, 26 de septiembre. No obstante, si se completasen las plazas disponibles antes de la fecha prevista, advierte CCN-CERT que se desactivará el formulario.
Detalle del Webinar | |||
Título | Principios básicos para el desarrollo seguro de aplicaciones | ||
|---|---|---|---|
| Fecha | 27 y 29 de septiembre de 2022 | Hora | 10:00 |
| Lugar | Online / Gratuito | Organizador | Centro Criptológico Nacional (CCN-CERT) |
| Programa | |||
Martes 27 de septiembre: Se realizará una introducción a los conceptos relativos al desarrollo de aplicaciones bajo una perspectiva integral de la seguridad: triada CIA, riesgos, amenazas y vulnerabilidades. Se repasará la historia de la seguridad de aplicaciones, desde su origen hasta el actual estado, haciendo un repaso sobre los controles de seguridad proactivos susceptibles de aplicar en las diferentes metodologías de desarrollo. Del mismo modo, se presentarán las diferentes entidades y organizaciones responsables del desarrollo de los estándares y buenas prácticas de seguridad que imperan hoy en día: OWASP, NIST, MITRE, ISO, etc. Jueves 29 de septiembre: Como continuación de la sesión anterior, se acercará a los asistentes a las labores diarias de los profesionales dedicados a la seguridad de aplicaciones. A lo largo de esta sesión se profundizará en algunos de los conceptos abordados en la sesión anterior, esta vez bajo un punto de vista más práctico, presentándose diferentes ejemplos y casos prácticos sobre algunos ataques conocidos. Se tratarán diferentes estándares de nomenclatura y evaluación de vulnerabilidades tales como CWE, CVE y vectores CVSS, así como una disección práctica de alguna vulnerabilidad conocida: causas, herramientas de explotación, contramedidas y parcheo. | |||
| Inscripciones | Hasta el día 26 de septiembre en https://angeles-privado.ccn-cert.cni.es/registro-cursos/desarrollo-seguro-septiembre | ||
Para cualquier duda o consulta al respecto, podéis contactar con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de que han sido liberados los parches de seguridad mensuales de Microsoft Windows de septiembre que corrigen, entre otras, 5 vulnerabilidades críticas y 2 de “día cero” conocidas, una de las cuales estaba siendo explotada activamente.
Asimismo, en el apartado correspondiente en este comunicado, se informa del calendario del despliegue desde Altiris de estos parches para puestos de usuarios.
Respecto a los servidores afectados, se ruega a sus responsables la máxima diligencia en su resolución, debido al riesgo potencial que presentan estas vulnerabilidades.
Detalle
Microsoft ha lanzado su nueva ronda de actualizaciones para Windows en su boletín mensual de septiembre, corrigiendo 79 vulnerabilidades, 5 de ellas clasificadas como críticas, ya que permiten la ejecución remota de código y, otras 2, ya conocidas por la compañía, de “Día Cero” (0-day), una de las cuales está siendo activamente explotada.
El número de vulnerabilidades en cada categoría se enumeran de la siguiente forma:
- 18 Vulnerabilidades de elevación de privilegios.
- 1 Vulnerabilidades de omisión de características de seguridad.
- 30 Vulnerabilidades de ejecución remota de código.
- 7 Vulnerabilidades de divulgación de información.
- 7 Vulnerabilidades de denegación de servicio.
- 16 Vulnerabilidades de Chromium.
Entre las vulnerabilidades que resuelven las actualizaciones, habría que destacar las siguientes:
- Dos de día cero:
- CVE-2022-37969: Explotada activamente, se debe a un fallo de escalada de privilegios que afecta al controlador del sistema de archivos de registro común (CLFS) de Windows, que podría ser aprovechado por un atacante para obtener privilegios de SYSTEM en un sistema comprometido.
- CVE-2022-23960: Conocida como Spectre-BHB, podría describirse como una vulnerabilidad de especulación de canal lateral en los procesadores ARM.
- Cinco críticas:
- CVE-2022-34718 (puntuación CVSS: 9.8): Vulnerabilidad de ejecución remota de código TCP/IP de Windows.
- CVE-2022-34721 (puntuación CVSS: 9.8): Extensiones del protocolo de intercambio de claves de Internet (IKE) de Windows. Vulnerabilidad de ejecución remota de código.
- CVE-2022-34722 (puntuación CVSS: 9.8): Extensiones de protocolo de intercambio de claves de Internet (IKE) de Windows. Vulnerabilidad de ejecución remota de código.
- CVE-2022-34700 (puntuación CVSS: 8.8): Vulnerabilidad de ejecución remota de código de Microsoft Dynamics 265 (local).
- CVE-2022-35805 (puntuación CVSS: 8.8): Vulnerabilidad de ejecución remota de código de Microosft Dynamics 265 (local).
Debido al riesgo potencial que presentan estas vulnerabilidades, llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas tan pronto como sea posible.
Sistemas Afectados
- Windows 7.
- Windows 8.1
- Windows 10
- Windows 11.
- Windows Server 2012 y 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server 2022
Recomendaciones Actualizadas (20/09/2022)
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:
Mitigación
1º. Solución a las vulnerabilidades:
Será necesario implementar los parches liberados lo antes posible.
Despliegue de Parches desde Altiris para Equipos de Usuarios. Calendario.
El despliegue de los parches de seguridad de los equipos de usuario se realizará desde Altiris de manera escalonada, por anillos, atendiendo al siguiente calendario:
- Anillo 1: 20 de septiembre
- Anillo 2: 27 de septiembre
- Anillo 3: 4 de octubre
Desde el punto de vista del impacto en los usuarios, esta actualización, una vez instalada, informará al usuario que debe reiniciar el equipo.
Referencias
- Web de parches: https://msrc.microsoft.com/update-guide
- Release Notes: https://msrc.microsoft.com/update-guide/releaseNote/2022-Sep
Para cualquier duda o consulta al respecto, puede ponerse en contacto con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de una vulnerabilidad grave, de “día cero” (Zero day), en la última versión de un complemento premium de WordPress conocido como WPGateway que se está explotando activamente, lo que podría permitir que los actores malintencionados se apoderen por completo de los sitios afectados.
Detalle
Registrada como CVE-2022-3180 (puntuación CVSS: 9.8), se trata de una vulnerabilidad de “día cero” que permite a los atacantes no autenticados agregar un usuario malicioso con privilegios de administrador a sitios web basados en WordPress que ejecutan el complemento premium WPGateway, tal como ha anunciado Wordfence, proveedor de soluciones de ciberseguridad del citado CMS.
WPGateway se utiliza como un medio para que los administradores del sitio instalen, respalden y clonen complementos y temas de WordPress desde un tablero unificado.
El indicador más común de que un sitio web que ejecuta el complemento se ha visto comprometido es la presencia de un administrador con el nombre de usuario "rangex". Además, si los logs de la página muestran accesos a '/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1', significa que ha sido atacada, pero no necesariamente que esté comprometida
Wordfence dijo que bloqueó más de 4,6 millones de ataques que intentaron aprovechar la vulnerabilidad contra más de 280.000 sitios en los últimos 30 días.
De acuerdo con la información publicada, esta vulnerabilidad está siendo explotada activamente por atacantes remotos, lo que se traduce en un escenario de riesgo, por lo que rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.
Recursos Afectados
- Sitios web basados en WordPress que ejecutan el complemento premium WPGateway
Recomendaciones Actualizadas (19/09/2022)
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
Mitigación
1º. Solución a las vulnerabilidades:
Eliminar el plugin WPGateway hasta que se libere un parche de seguridad.
Referencias
- Publicaciones sobre la vulnerabilidad:
En caso de haber detectado la explotación de estas vulnerabilidades :
debe reportar el incidente mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso WordPress0922]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de actualizaciones de seguridad para productos Apple que abordan múltiples vulnerabilidades, incluyendo una de “día cero” (zero-day).
Detalle
Apple ha lanzado una serie de actualizaciones de seguridad para corregir, entre otras, una vulnerabilidad de “día cero” (zero-day), calificada como crítica por la compañía y con código CVE-2022-32917, que afecta a sus productos con sistemas operativos iOS, iPadOS, macOS Big Sur y macOS Monterey.
Se trata de un fallo en el kernel que permite la ejecución de código arbitrario en los dispositivos vulnerables y puede producir una corrupción de la memoria. El resultado de una correcta explotación de dicho error permite a una aplicación local escalar privilegios en el sistema.
De acuerdo con la información publicada, esta vulnerabilidad podría estar siendo explotada activamente por atacantes remotos, lo que se traduce en un escenario de riesgo para gran parte de los usuarios de los mencionados dispositivos, recomendándose que se apliquen las actualizaciones liberadas.
Además, estos parches de seguridad corrigen otras siete vulnerabilidades, algunas explotadas activamente:
- CVE-2022-22587 (IOMobileFrameBuffer): una aplicación maliciosa puede ejecutar código arbitrario con privilegios de kernel.
- CVE-2022-22594 (Almacenamiento WebKit): un sitio web puede rastrear información confidencial del usuario (conocida públicamente pero no explotada activamente)
- CVE-2022-22620 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2022-22674 (controlador de gráficos Intel): una aplicación puede leer la memoria del kernel
- CVE-2022-22675 (AppleAVD): una aplicación puede ejecutar código arbitrario con privilegios de kernel.
- CVE-2022-32893 (WebKit): el procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario
- CVE-2022-32894 (Kernel): una aplicación puede ejecutar código arbitrario con privilegios de kernel
Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.
Versiones y Productos Afectados
Versiones:
- iOS Versiones 15.0 19A346 - 15.6.1 19G82
- iPadOS Versiones 19A346 - 15.6.1 19G82
- macOS Big Sur Versiones 11.0 20A2411 - 11.6.8 20G730
- macOS Monterey Versiones 12.0 21A344 - 12.5.1 21G83
Productos:
- iPhone 6s y posteriores
- Todos los modelos de IPad Pro
- iPad Air 2 y posteriores
- iPad de 5ª generación y posteriores
- iPad mini 4 y posteriores
- iPod Touch de 7ª generación
- Todos los MAC compatibles con Big Sur y Monterey
Recomendaciones Actualizadas (15/09/2022)
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:
Mitigación
1º. Solución a las vulnerabilidades:
Será necesario implementar los parches de seguridad liberados por el fabricante lo antes posible, lo que supondrá actualizar los sistemas operativos a las siguientes versiones:
- Safari a la versión 16,
- macOS Big Sur a la versión 11.7,
- macOS Monterey a la versión 12.6,
- iOS a la versión 16,
- iPadOS a la versión 15.7.
Las actualizaciones pueden encontrarse en el siguiente enlace:
Además, el fabricante proporciona las instrucciones que se adjuntan a continuación con la finalidad de facilitar la correcta aplicación de los parches correspondientes:
Referencias
- Publicaciones sobre las vulnerabilidades y parches de seguridad:
- https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/12036-actualizacion-de-seguridad-en-apple.html
- https://www.incibe.es/protege-tu-empresa/avisos-seguridad/apple-corrige-vulnerabilidades-sus-sistemas-actualiza-1
- About the security content of iOS 15.7 and iPadOS 15.7.
- About the security content of macOS Big Sur 11.7.
- About the security content of macOS Monterey 12.6.
- Apple fixes eight zero-day used to hack Iphones and Macs this year.
- Web de parches:
- Instrucciones del fabricante:
En caso de haber detectado la explotación de estas vulnerabilidades :
debe reportar el incidente mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso Apple0922]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación esta semana de una serie de ataques con intentos de explotación de hasta cuatro vulnerabilidades críticas diferentes en dispositivos D-Link.
Detalle
Se ha descubierto que la botnet MooBot está aprovechando vulnerabilidades no parcheadas en routers D-Link para incrementar los dispositivos controlados.
MooBot, revelado por primera vez por el equipo Netlab de Qihoo 360 en septiembre de 2019, se centró previamente en las grabadoras de video digital LILIN y los productos de videovigilancia de Hikvision para expandir su red. Hoy el malware ha actualizado su alcance de orientación, que es típico de las botnets que buscan grupos sin explotar de dispositivos vulnerables que puedan atrapar.
A principios del pasado mes de agosto, la Unidad 42 de Palo Alto Networks observó una serie de ataques con intentos de explotación de hasta cuatro vulnerabilidades en dispositivos D-Link, tanto antiguos como nuevos:
- CVE-2015-2051 (puntuación CVSS: 10,0): vulnerabilidad de ejecución de comando a través de la acción ‘GetDeviceSettings’ en la interfaz HNAP.
- CVE-2018-6530 (puntuación CVSS: 9,8): vulnerabilidad de inyección remota de comandos del sistema operativo a través de un parámetro en la interfaz SOAP.
- CVE-2022-26258 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos a través de un parámetro en‘lan.asp’.
- CVE-2022-28958 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código a través de un parámetro en ‘shareport.php’.
El proveedor ha lanzado actualizaciones de seguridad para abordar estas vulnerabilidades, pero no todos los usuarios han aplicado los parches todavía, especialmente los dos últimos, que se dieron a conocer en marzo y mayo de este año.
La explotación exitosa de alguna de las vulnerabilidades anteriores podría conducir a la ejecución remota de comandos o código y permitir la recuperación de la carga útil de MooBot desde un servidor remoto. A partir de aquí, el dispositivo permanecería a la espera de instrucciones del servidor de comando y control (C2) para ejecutar, por ejemplo, ataques distribuidos de denegación de servicio (DDoS).
Esquema de la campaña. Fuente: unit42.paloaltonetworks.com
Los usuarios de dispositivos D-Link comprometidos pueden notar caídas en la velocidad de Internet, falta de respuesta, sobrecalentamiento del enrutador o cambios inexplicables en la configuración de DNS, todos signos comunes de infecciones de botnet.
Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.
Sistemas Afectados
- Dispositivos D-Link:
- DIR-65L
- DIR-645
- DIR816L
- DIR-820L
- DIR-860L
- DIR-868L
- DIR-880L
Recomendaciones Actualizadas (09/09/2022)
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:
Mitigación
1º. Solución a las vulnerabilidades:
Aplicar las actualizaciones de seguridad y parches disponibles en la página oficial del fabricante para mitigar potenciales amenazas.
Referencias
- Publicaciones sobre la explotación de las vulnerabilidades:
- https://unit42.paloaltonetworks.com/moobot-d-link-devices/
- https://www.bleepingcomputer.com/news/security/moobot-botnet-is-coming-for-your-unpatched-d-link-router/
- https://unaaldia.hispasec.com/2022/09/routers-d-link-en-el-punto-de-mira-de-moobot.html
- https://thehackernews.com/2022/09/mirai-variant-moobot-botnet-exploiting.html
- Ataques anteriores:
En caso de haber detectado la explotación de estas vulnerabilidades :
debe reportar el incidente mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el Asunto: [Compromiso Dlink0922]
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Unidad de Seguridad TIC
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud
