La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones informa de la publicación del tercer capítulo del programa de sensibilización y concienciación en ciberseguridad, dirigido a todos los profesionales de la STIC.

En este episodio, nos centraremos en conocer la estructura organizativa de seguridad del Servicio Andaluz de Salud. En concreto, nos ocuparemos de la organización jerárquica de Comités de Seguridad TIC y otros órganos dependientes de los anteriores.

Podéis verlo en el siguiente enlace: Capítulo 3. Organización de la Seguridad TIC en el SAS: Comités de Seguridad y órganos dependientes

Para cualquier consulta o sugerencia respecto a este programa de concienciación, podéis contactar con ustic.stic.sspa@juntadeandalucia.es.

Gracias por vuestra atención,

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de una vulnerabilidad crítica que afecta a la librería Apache Commons Text y que permite a un atacante remoto la posibilidad de ejecutar código arbitrario (RCE).

Detalle 

Apache Commons Text es una popular biblioteca Java de código abierto con un sistema de interpolación que permite a los desarrolladores modificar, decodificar, generar y escapar cadenas en función de las búsquedas de cadenas ingresadas.

El fallo detectado, el cual ha sido catalogado bajo el CVE-2022-42889, es una vulnerabilidad crítica (puntuación CVSSv3 9.8), denominada “Text4Shell”, causada por una evaluación de secuencias de comandos insegura por parte del sistema de interpolación que podría desencadenar la ejecución de código arbitrario al procesar entradas maliciosas en la configuración predeterminada de la biblioteca.

En este momento, no hay información sobre si está siendo explotada activamente, pero, debido a su gravedad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas.

Recursos Afectados

El problema afecta a las siguientes versiones:

• Apache Commons Text desde la versión 1.5 hasta la 9, ambas incluidas.

Recomendaciones Actualizadas (20/10/2022)

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:

Mitigación

1º. Solución a las vulnerabilidades:

• Actualizar a la versión 1.10.0 de Apache Commons Text, disponible en el siguiente enlace:

  • Apache Commons Text 1.10.0.

Referencias

• CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults
• GHSL-2022-018: Arbitrary Code Execution in Apache Commons Text - CVE-2022-42889
• CVE-2022-42889: Keep Calm and Stop Saying "4Shell"
• CVE-2022-42889 Detail
• Critical-Severity Flaw in Apache Commons Text Library Fixed.
• https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/12084-ccn-cert-av-17-22-vulnerabilidad-en-apache-commons-text.html

En caso de haber detectado la explotación de estas vulnerabilidades :

debe reportar el incidente  mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso Text4Shell1022]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones informa de que el Consejo de Gobierno ha aprobado la Estrategia Andaluza de Ciberseguridad para el periodo 2022–2025.

Detalle

La Estrategia ha sido elaborada por la Agencia Digital de Andalucía (ADA) en colaboración con diferentes centros directivos de la Junta de Andalucía, organismos públicos, así como entidades y empresas privadas con competencias en materia de ciberseguridad y contiene los retos, objetivos y líneas de actuación en materia de ciberseguridad para los años 2022 – 2025.

Objetivos y Líneas de Acción

El documento cuenta con ocho líneas de actuación definidas para la consecución de los objetivos establecidos en la Estrategia: reforzar las capacidades de prevención, detección y respuesta a incidentes en la Administración de la Junta a través de servicios avanzados de ciberseguridad; así como cooperar y colaborar para extender la capacidad de protección al conjunto de entidades del sector público andaluz, ayuntamientos, diputaciones provinciales y otros entes públicos.

De igual forma, la Estrategia persigue fortalecer las estructuras de gobierno y la gestión del riesgo en la administración autonómica, buscando el cumplimiento normativo, la coordinación y la especialización en ciberseguridad del personal empleado público, así como mejorar las competencias digitales de la ciudadanía y de los futuros profesionales del sector de la ciberseguridad.  Además, se promoverá la concienciación y sensibilización en ciberseguridad y fomento de las buenas prácticas en el uso de las TIC en la Administración, ciudadanía y empresas.

Puede consultarse de manera íntegra en el siguiente enlace: Estrategia Andaluza de Ciberseguridad 2022-2025 - Planes y programas - Junta de Andalucía (juntadeandalucia.es)

Alineados con la Estrategia

La Unidad de Seguridad TIC del Servicio Andaluz de Salud comparte los principios, objetivos y líneas de actuación en los que se fundamenta la Estrategia, pues desde su creación, colabora y coopera de forma habitual con otros organismos públicos como la Agencia Digital de Andalucía (ADA), AndalucíaCERT, la Unidad de Seguridad TIC corporativa de Junta de Andalucía o el Centro Criptológico Nacional (CCN-CERT).

Asimismo, las estructuras de gobierno continúan fortaleciéndose, uniéndose a la creación y puesta en funcionamiento de la propia USTIC, del CSISTIC-SAS y la comisión ejecutiva de seguridad, algunos comités de Seguridad Interior y Seguridad TIC de algunas instituciones dependientes.

Además, apuesta por un Sistema Sanitario Público Andaluz avanzado y seguro, reforzando las capacidades de prevención, detección y respuesta a incidentes, ya sea con el despliegue de diversas herramientas para la protección de los servicios y sistemas, como, por ejemplo, los tradicionales antivirus o el EDR (Endpoint Detection and Response) que la ADA está probando durante el último año en los puestos de usuario TIC, o con proyectos para la adquisición de nuevos instrumentos (parcheo virtual de sistemas, SIEM, gestión de cuentas privilegiadas, control de acceso a redes o  monitorización de dispositivos médicos e industriales) que permitan proteger a la organización de ataques externos

Del mismo modo, promueve la formación en competencias de ciberseguridad entre sus profesionales con los planes de formación y concienciación y fomenta una cultura de sensibilización y buenas prácticas en el uso de las TIC.

Por último, forman parte de su misión y visión desde sus inicios la resilencia y ser referentes en el panorama nacional del sector salud.

En definitiva, podemos decir que la Unidad de Seguridad TIC del Servicio Andaluz de Salud se encuentra alineada con la estrategia de ciberseguridad corporativa, colaborando tanto con sus estructuras organizativas como con las nacionales y tratando de complementar aquellas funciones que resultan diferenciales para nuestra organización respecto del resto de organismos de la Junta de Andalucía.

Para cualquier duda o consulta al respecto, podéis contactar con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es.

Gracias por vuestra atención.

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de que han sido liberados los parches de seguridad mensuales de Microsoft Windows de octubre que corrigen, entre otras, 13 vulnerabilidades críticas, incluidas 2 de día cero conocidas, una de las cuales estaba siendo explotada activamente.

Asimismo, en el apartado correspondiente en este comunicado, se informa del calendario del despliegue desde Altiris de estos parches para puestos de usuarios.

Respecto a los servidores afectados, se ruega a sus responsables la máxima diligencia en su resolución, debido al riesgo potencial que presentan estas vulnerabilidades.

Detalle 

Microsoft ha lanzado su nueva ronda de actualizaciones para Windows en su boletín mensual de octubre, corrigiendo 84 vulnerabilidades, 13 de ellas clasificadas como críticas (dos son de Día Cero o 0-day), ya que, alternativa o conjuntamente, permiten la elevación de privilegios del sistema, la suplantación de identidad o la ejecución remota de código

El número de vulnerabilidades en cada categoría se enumeran de la siguiente forma:

• 39 de elevación de privilegios.
• 2 de omisión de características de seguridad.
• 20 de ejecución remota de código.
• 11 de divulgación de información.
• 8 de denegación de servicio.
• 4 de suplantación de identidad.

Los principales fallos que resuelven las actualizaciones son los siguientes:

• CVE-2022-41033: Vulnerabilidad de día cero, explotada activamente. Se debe a un fallo de elevación de privilegios del Servicio del sistema de eventos COM+ de Windows (puntuación CVSS: 7,8).  
• CVE-2022-41043 : Vulnerabilidad 0-day de divulgación de información de Microsoft Office que los atacantes podrían aprovechar para obtener acceso a los tokens del usuario y, desde allí, entrar a otros lugares del sistema.

Debido al riesgo potencial que presentan estas vulnerabilidades, llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas tan pronto como sea posible.

Desafortunadamente, Microsoft no ha publicado las actualizaciones de seguridad para las dos vulnerabilidades de día cero explotadas activamente y rastreadas como CVE-2022-41040 y CVE-2022-41082, también denominadas como "ProxyNotShell", que ya fueron comunicadas a principios de este mes de octubre aquí.

Sistemas Afectados

• Windows 7.
• Windows 8.1
• Windows 10
• Windows 11.
• Windows Server 2008 y 2008 R2.
• Windows Server 2012 y 2012 R2.
• Windows Server 2016.
• Windows Server 2019.
• Windows Server 2022.

Recomendaciones Actualizadas (13/10/2022)

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:

Mitigación

1º. Solución a las vulnerabilidades:

Será necesario implementar los parches liberados lo antes posible.

Despliegue de Parches desde Altiris para Equipos de Usuarios. Calendario.

El despliegue de los parches de seguridad de los equipos de usuario se realizará desde Altiris de manera escalonada, por anillos, atendiendo al siguiente calendario:

• Anillo 1: 18 de octubre
• Anillo 2: 25 de octubre
• Anillo 3: 2 de noviembre

Desde el punto de vista del impacto en los usuarios, esta actualización, una vez instalada, informará al usuario que debe reiniciar el equipo.                                                                    

Referencias

• October 2022 Security Updates
• Security Update Guide                                                                                              

Para cualquier duda o consulta al respecto, puede ponerse en contacto con nuestro equipo en ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación de una vulnerabilidad crítica que afecta a los firewalls FortiGate, que podría permitir que un atacante realice acciones no autorizadas.

Detalle 

Fortinet ha publicado un comunicado en el que advierte sobre un fallo crítico de seguridad que afecta a los firewalls Fortigate y a los servidores proxy web FortiProxy .

Identificada como CVE-2022-40684, esta vulnerabilidad de omisión de autenticación crítica recibió una puntuación CVSSv3 de 9,6 sobre 10.  Al enviar solicitudes http o https especialmente diseñadas a un objetivo vulnerable, un atacante remoto con acceso a la interfaz de administración podría realizar operaciones de administrador.

En este momento, no hay información sobre si esta vulnerabilidad está siendo explotada activamente, pero debido a su gravedad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas.

Recursos Afectados

El problema afecta a las siguientes versiones:

• • FortiOS: De 7.0.0 a 7.0.6 y de 7.2.0 a 7.2.1

Recomendaciones Actualizadas (10/10/2022)

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:

Mitigación

1º. Solución a las vulnerabilidades:

Actualizar los dispositivos vulnerables a las versiones 7.0.7 o 7.2.2 de FortiOS         

2º. Workaround de las vulnerabilidades:

La empresa también proporciona una solución alternativa para aquellos que no pueden implementar actualizaciones de seguridad de inmediato. Para evitar que los atacantes remotos eludan la autenticación e inicien sesión en implementaciones vulnerables de FortiGate y FortiProxy, se deben limitar las direcciones IP que pueden llegar a la interfaz administrativa mediante una política local.                                                               

Referencias

• https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
• https://docs.fortinet.com/document/fortigate/7.2.2/fortios-release-notes/289806/resolved-issues
• https://docs.fortinet.com/document/fortiproxy/7.0.7/release-notes/987706/what-s-new                                                                                           

En caso de haber detectado la explotación de esta vulnerabilidad :

debe reportar el incidente mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso Fortigate1022]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones, siguiendo las indicaciones marcadas por el CCN-CERT, del Centro Criptológico Nacional, alerta de la publicación de dos vulnerabilidades de “día cero” que afectan a Microsoft Exchange Server 2013, 2016 y 2019 que podrían permitir a un ciberatacante ejecutar código de forma remota. 

Detalle 

Microsoft está investigando dos vulnerabilidades de día cero, calificadas por la compañía como críticas, que afectan a Microsoft Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. La primera, identificada como CVE-2022-41040, es una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) y, la segunda, identificada como CVE-2022-41082, permite la ejecución remota de código (RCE) cuando PowerShell es accesible para el atacante. 

De acuerdo con la información publicada, estas vulnerabilidades están siendo explotada activamente por atacantes remotos, lo que se traduce en un escenario de riesgo, por lo que se ruega se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.

Sistemas Afectados

• Exchange Server 2013;
• Exchange Server 2016;
• Exchange Server 2019.

Recomendaciones Actualizadas (03/10/2022)

La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas:

Mitigación

1º. Solución a las vulnerabilidades:

En estos momentos no hay disponible una actualización o parche de seguridad que corrija estas vulnerabilidades.  Asimismo, indican desde Microsoft que los clientes de Exchange Online no necesitan realizar ninguna acción porque la empresa cuenta con sistemas de detección y mitigación para protegerlos. Mientras tanto, la organización recomienda aplicar una serie de medidas de mitigación, que serán resumidas a continuación.

2º. Workaround de las vulnerabilidades:

• Deshabilitar el acceso remito a PowerShell para los usuarios que no sean administradores de la organización.
• Bloquear los puertos remotos de PowerShell (HTTP: 5985 y HTTPS: 5986) expuestos también puede limitar la explotación.
• Agregar una regla de bloqueo en "IIS Manager -> Default Web Site -> URL Rewrite -> Actions" para bloquear los patrones de ataque conocidos, tal como se detalla aquí.

Referencias

• Alerta CCN-CERT Exchange
• Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center
• Warning: New attack campaign utilized a new 0-day RCE vulnerability on Microsoft Exchange Server | Blog | GTSC - Cung cấp các dịch vụ bảo mật toàn diện (gteltsc.vn)
• ProxyNotShell— the story of the claimed zero days in Microsoft Exchange | by Kevin Beaumont | Sep, 2022 | DoublePulsar
• Suspected Post-Authentication Zero-Day Vulnerabilities in Microsoft Exchange Server | Rapid7 Blog
• SECURITY ALERT: Attack Campaign Utilizing Microsoft Exchange 0-Day (trendmicro.com)                                                                                                

En caso de haber detectado la explotación de esta vulnerabilidad :

debe reportar el incidente  mediante correo electrónico a sau.cges.sspa@juntadeandalucia.es indicando en el  Asunto: [Compromiso Exchange1022]

Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es. 

Gracias por vuestra atención. 

Unidad de Seguridad TIC

Subdirección de Tecnologías de la Información y Comunicaciones

Servicio Andaluz de Salud