Lima, 10 de mayo de 2020...Lima, 10 de mayo de 2020 . ... Recomendaciones: Implementar y promover...
13
Transcript of Lima, 10 de mayo de 2020...Lima, 10 de mayo de 2020 . ... Recomendaciones: Implementar y promover...
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 10 de mayo de 2020
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Contenido Filtran datos de los usuarios de la aplicación Mobifriends ........................................................................... 3
Vulnerabilidad CSRF sin parchear en routers CenturyLink ............................................................................ 4
Vulnerabilidad del kernel de Linux ................................................................................................................ 5
Vulnerabilidad del software de Schneider Electric que afecta los PLC de infraestructura critica ................ 6
Vulnerabilidad en plugins de wordpress ....................................................................................................... 7
Malware crece en el sector empresario mundial ............................................................................................ 8
Defacement en página web de Colombia ..................................................................................................... 9
Phishing a través de facebook .....................................................................................................................10
Índice alfabético ..........................................................................................................................................12
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 036
Fecha: 10-05-2020
Página: 3 de 12
Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL
Nombre de la alerta Filtran datos de los usuarios de la aplicación Mobifriends
Tipo de ataque Divulgación no autorizada de información Abreviatura DivNoActInfoPer
Medios de propagación Internet
Código de familia A Código de Sub familia A01
Clasificación temática familia Acceso no autorizado
Descripción
1. Resumen:
El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la Aplicación Mobifriends sufrió la divulgación no autorizada de información de más de tres (3) millones de usuarios registrados, el cual fue compartida de forma gratuita en un foro de piratería de la Deep Web el 12 de abril del presente año.
2. Detalles de la alerta:
Mobifriends fue fundada en noviembre del 2005, con el propósito de crear un nuevo servicio a través de teléfonos móviles e Internet, donde los usuarios puedan buscar y contactar con personas con quienes compartir aficiones, intereses comunes o actividades, hacer nuevos amigos, encontrar pareja o quizás vivir una aventura.
El incidente de seguridad digital, en la cual fueron comprometidos los datos de Mobifriends fueron publicaron originalmente para la venta en un prominente foro de piratería de la Deep Web el 12 de enero del presente año, supuestamente por un ciberdelincuente llamado "DonJuji". Posteriormente fueron compartidos de manera no restringida el 12 de abril de 2020 por otro ciberdelincuente en el mismo foro.
Asimismo, los datos filtrados incluyen detalles personales, como números de teléfono móvil, fechas de nacimiento, información de género, nombres de usuario, contraseñas hash MD5 y actividad de aplicaciones de sitios web. Además, de la fuga de datos contiene direcciones de correo electrónico profesionales relacionadas con entidades conocidas que incluyen: el grupo Internacional Americano (AIG), experian, walmart, Virgin Media y varias otras compañías. Esto crea un alto riesgo de comprometer el correo electrónico comercial, así como posibles ciberataques de phishing.
No obstante, la mala noticia para los usuarios de la aplicación de citas es que las contraseñas MD5 podrían descifrarse fácilmente, esto significa que los atacantes podrían usar credenciales para intentar apuntar a cuentas en otros sitios web donde los usuarios de Mobifriends podrían haberlas reutilizado.
3. Recomendaciones:
Implementar y promover las mejores prácticas de ciberseguridad.
Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
Realizar periódicamente copias de seguridad de los activos de información.
Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
Cambiar periódicamente las contraseñas.
Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas.
Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.
Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 036
Fecha: 10-05-2020
Página: 4 de 12
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad CSRF sin parchear en routers CenturyLink
Tipo de ataque Interrupción de servicios tecnológicos Abreviatura IntServTec
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia F Código de sub familia F02 Clasificación temática familia Disponibilidad del servicio
Descripción
1. El 10 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través del grupo de seguridad Lykosec, detectarón la vulnerabilidad identificada bajo el ID CVE 2019-19639, esta vulnerabilidad está asociada a la falta de protección contra falsificación de peticiones en sitios cruzados en los routers CenturyLink. Asimismo, la vulnerabilidad ha sido comprobada en el router CenturyLink C3000A (marca Actiontec), por lo que los expertos consideran que existan más modelos afectados, debido a que comparten el mismo software.
2. Cabe señalar que esta vulnerabilidad fue reportada el 09 de diciembre de 2019, por lo que el fabricante el 27 de febrero de 2020, indico que estaban probando una versión interna parchada, sin embargo, el 05 de mayo de 2020 se publicó la vulnerabilidad, sin existir una versión que solucione el fallo.
3. Esta vulnerabilidad, permite a cualquier persona en la red deshabilitar la contraseña de administrador y secuestrar el dispositivo, debido a que no requieren autenticación, solo es necesario saber la ruta y los parámetros a enviar para que tener control del router. Una de ellas, ‘/advancedsetup_admin.cgi’ con el parámetro ‘adminPwState=0’ como un formulario por ‘POST’ permite deshabilitar la contraseña del administrador, facilitando tomar el control del router. De tal manera que el ataque podría realizarse de diferentes maneras:
Conexión a la red por WIFI
Mediante administración del router expuesta a internet
Ingeniería social, mediante un usuario de la red que envíe la petición del formulario aprovechando que no hay protección CSRF.
4. Se recomienda:
Actualizar el sistema operativo cuando salga el parche de solución al fallo.
Fuentes de información
https://www.lykosec.com/post/cve-2019-19639-hijacking-centurylink-routers. https://csirt.telconet.net/comunicacion/boletines-servicios/vulnerabilidad-csrf-sin-
parchear-en-routers-centurylink/. https://unaaldia.hispasec.com/2020/05/vulnerabilidad-sin-parchear-permite-secuestrar-
routers-centurylink.html.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 036
Fecha: 10-05-2020
Página: 5 de 12
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad del kernel de Linux
Tipo de ataque Backdoors Abreviatura Backdoors
Medios de propagación USB, red, navegación de internet
Código de familia C Código de sub familia C03 Clasificación temática familia Código malicioso
Descripción
1. El 10 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una vulnerabilidad “CVE-2020-11668” registrado por CCN-CERT (Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional – España), es una vulnerabilidad del kernel de Linux anterior a 5.6.1, drivers / media / usb / gspca / xirlink_cit.c (también conocido como el controlador USB de la cámara Xirlin).
2. En esta vulnerabilidad se encontró un defecto de desreferencia de puntero NULL en el controlador USB de la cámara Xirlink 'xirlink-cit' en el kernel de Linux. El controlador maneja mal los descriptores inválidos que conducen a una denegación de servicio (DoS). Esto podría permitir que un atacante local con privilegio de usuario bloquee el sistema o pierda información interna del núcleo.
3. La mitigación para este problema es omitir la carga del módulo afectado 'xirlink-cit' en el sistema hasta que tengamos una solución disponible, esto puede hacerse mediante un mecanismo de lista negra, esto asegurará que el controlador no se cargue en el momento del arranque.
4. Paquetes afectados y erratas de seguridad de Red Hat emitidas:
5. Se recomienda:
Verificar las dos configuraciones alternativas y al menos un punto final antes de acceder a la segunda estructura de configuración alternativa y desreferenciar las matrices de punto final, esto evita específicamente desreferenciar punteros NULL o corromper memoria cuando un dispositivo no tiene los descriptores esperados.
Tenga en cuenta que la comprobación de cordura en cit_get_packet_size() no es redundante ya que el controlador está mezclando buscando configuraciones alternativas por índice y por número, que puede no coincidir.
Realizar correcciones: 659fefa ("V4L / DVB: gspca_xirlink_cit: Agregue soporte para cámara con una versión bcd de 0.01") y correcciones: 59f8b0b ("V4L / DVB: gspca_xirlink_cit: admite el cambio de ancho de banda para dispositivos con 1 configuración alternativa").
Fuentes de información
https://www.ccn-cert.cni.es/seguridad-al-dia/vulnerabilidades/view/31506.html https://android.googlesource.com/platform/frameworks/base/+/a952197bd161ac0e03ab c6acb5f48e4ec2a56e9d https://www.incibe-cert.es/alerta-temprana/vulnerabilidades/cve-2020-11668 https://github.com/torvalds/linux/commit/a246b4d547708f33ff4d4b9a7a5dbac741dc89d8
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 036
Fecha: 10-05-2020
Página: 6 de 12
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad del software de Schneider Electric que afecta los PLC de infraestructura critica
Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC
Medios de propagación Red, navegación de internet
Código de familia H Código de Subfamilia H01 Clasificación temática familia Intento de intrusión
Descripción
1. El 10 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada el 09 de mayo de 2020 a través de la red social Twitter por el usuario “@bseengg”, sobre una nueva técnica empleada por un grupo de hackers, han creado un sitio web de iconos falsos con el objetivo de ocultar código malicioso y robar datos de las tarjetas en sitios web comprometidos.
2. Los favicons son un gráfico de marca, también conocido como icono de acceso directo, icono de sitio web, icono de pestaña, icono de URL o icono de marcador.
3. Los atacantes web crearon el sitio “myicons.net” donde cargaron los gráficos. El sitio se registró hace aproximadamente una semana y está alojado en un servidor conocido por sus actividades maliciosas, actualmente está desactivado.
4. Las páginas de un sitio web que contienen formularios de pago han cargado el favicon con un archivo JavaScript malicioso, estos generan un formulario de pagos falso para extraer los datos de las tarjetas de las víctimas.
5. Se recomienda:
Descargar favicon de fuentes confiables.
Evitar acceder a sitios inseguros.
Tener siempre actualizado su sistema operativo y los programas antivirus.
Fuentes de información https://twitter.com/bseengg/status/1259116354290016257 https://www.scmagazine.com/home/retail/favicons-found-housing-credit-card-
skimming-malware/.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 036
Fecha: 10-05-2020
Página: 7 de 12
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidad en plugins de wordpress Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC
Medios de propagación Red, navegación de internet
Código de familia H Código de Subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
1. El 10 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento del informe realizado por los especialistas de WordFence (plugin de seguridad para WordPress), sobre la Vulnerabilidad el plugin Elementor Pro, contiene una vulnerabilidad crítica denominada día cero que afecta a más de 1 millón de sitios web, esta información fue publicada el 08 de mayo de 2020 por la web Noticias de Seguridad Informática.
2. Elementor Pro es la versión más popular y contiene un plugin generador de páginas del sistema de gestión de contenido, cabe mencionar que la vulnerabilidad no está presente en la versión gratuita, todo lo que requieren los actores de amenazas para explotar esta vulnerabilidad es registrarse en el sitio web objetivo y ejecutar un sitio web de WordPress con Elementor Pro y permitir que los visitantes del sitio se registren para publicar comentarios, el sitio podría estar expuesto.
3. Los sitios web podrían verse expuestos incluso si no cuentan con usuarios registrados. Esto es así debido a la existencia de otro plugin vulnerable en la herramienta Ultimate Addons para Elementor Pro, contiene una vulnerabilidad que permitiría a un atacante web registrarse como suscriptor del sitio web, incluso si esta función no está habilitada.
4. Se recomienda:
Descargar y actualizar los plugin de seguridad en la página oficial WordPress.
Fuentes de información https://noticiasseguridad.com/vulnerabilidades/vulnerabilidades-en-plugins-de-wordpress-afectan-a-mas-de-1-millon-de-sitios-web/.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 036
Fecha: 10-05-2020
Página: 8 de 12
Componente que Reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Malware crece en el sector empresario mundial Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de sub familia C03
Clasificación temática familia Código malicioso
Descripción
1. El 10 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró una modalidad ya conocida pero poco usada de ataques informáticos denominada “FILELESS”, es así como se conoce al malware sin archivos, que viene circulando por estas fechas por diversas empresas en el mundo.
2. Este malware trabaja de la siguiente forma:
3. El usuario navega por internet y se encuentra con un servidor infectado el cual mediante escaneos en segunda capa infecta a la víctima que se “topó” con él, no instala ningún archivo ni ejecutable infectado(es por eso que se le conoce como malware sin archivos), simplemente hacen uso de herramientas y procesos propios del sistema operativo mediante una técnica conocida como “Living off the Land” o “Viviendo de la Tierra”, que le permiten llevar adelante su actividad maliciosa utilizando elementos preinstalados y sin droppear ejecutables adicionales en el sistema de la víctima. Dicho de otra forma, utiliza funcionalidades del sistema operativo en contra del propio usuario. Esto dificulta su detección, ya que el código malicioso se ejecuta a través de procesos legítimos.
4. Se recomienda:
Monitorizar todos los procesos que resulten sospechosos, ya sea en archivos concretos que residan en el endpoint o desde la propia memoria.
Hacer uso responsable y limitado de las macros.
Mantener el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRAL DE
SEGURIDAD DIGITAL N° 036
Fecha : 10-05-2020
Página: 9 de 12
Componente que Reporta DIRECCIÓN DE INTELIGENCIA DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Defacement en página web de Colombia
Tipo de ataque Modificación del sitio web Abreviatura ModSitWeb
Medios de propagación Red, internet
Código de familia L Código de sub familia L01
Clasificación temática familia Vandalismo
Descripción
1. El 10 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que en la red Social denominada Twitter, el usuario identificado con el nombre “org0n”, realizó una publicación donde se muestra el ataque denominado defacement (ataque a un sitio web que cambia la apariencia visual de una página web), realizado a una página web de Colombia.
2. Se recomienda:
Los administradores de red, deberán extremar medidas en cuanto a las políticas de seguridad y las configuraciones de las páginas web.
Fuentes de información https://twitter.com/org0n/status/1258879890520256514. https://esi.innvestiga.co.
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 036
Fecha: 10-05-2020
Página: 10 de 12
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Phishing a través de facebook
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de Subfamilia
Clasificación temática familia Fraude
Descripción
1. El 10 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que los ciberdelincuentes vienen aprovechando la connotación que vive el mundo a consecuencia del coronavirus (COVID19) llevando a cabo una campaña de phishing a través de la red social facebook, suplantando la identidad de FedEx (Compañía de Logística con cobertura a nivel internacional), en la cual ofrecen premio de $ 1,000 (dólares), patrocinado supuestamente por la Organización Mundial de la Salud, siendo requisito dar me gusta en la publicación y escribir la palabra “FEDEX” como comentario, luego a través de Messenger Facebook se envía mensajes dando inicio al proceso de la estafa.
2. Imágenes:
1 2 3
PUBLICACIÓN DE FACEBOOK DETALLES DE PUBLICACIÓN
Identidad de Compañía
Suplantada
Nombre de Perfil:
Insect Of Borneo
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Detalles de la Fanpage:
o Email: kevinsudin00@gmail[.]com
o Número Telefónico de Contacto: +60 [10]-942 6572 (Prefijo: Malasia)
o Messenger: m.me/InsectsOfBorneo12
o Seguidores: 380 usuarios.
o Información: Refugio de Animales.
o Fecha de Creación: 15 de octubre de 2019
Esta publicación utiliza un acortador para ocultar la página final, el cual fue analizado en la plataforma de Virustotal, donde se obtuvo el resultado siguiente.
3. Referencia:
Phishing o suplantación de identidad: Es un método que los ciberdelincuentes utilizan para engañar a usuarios y conseguir información personal, como contraseñas, datos de tarjetas de crédito o de cuentas bancarias, entre otros.
4. Algunas Recomendaciones:
Verifica la fuente de información antes de ingresar tus datos personales.
Ingresa tus datos confidenciales únicamente en sitios webs seguros que empiezan por https:// y aparece en el navegador un pequeño candado cerrado.
Desconfía de textos mal redactados con faltas de ortografía.
Fuentes de información Análisis propio en redes sociales y fuentes abiertas.
4
1 5
PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional
www.gob.pe
Página: 12 de 12
Índice alfabético
Acceso no autorizado ........................................................................................................................................................ 3 Backdoors .......................................................................................................................................................................... 5 Código malicioso ............................................................................................................................................................ 5, 8 Disponibilidad del servicio ................................................................................................................................................. 4 Fraude .............................................................................................................................................................................. 10 Intento de intrusión ....................................................................................................................................................... 6, 7 internet .............................................................................................................................................................. 4, 5, 6, 7, 8 Interrupción de servicios tecnológicos .............................................................................................................................. 4 malware ......................................................................................................................................................................... 6, 8 Malware ............................................................................................................................................................................. 8 Modificación del sitio web ................................................................................................................................................. 9 phishing ....................................................................................................................................................................... 3, 10 Phishing...................................................................................................................................................................... 10, 11 Red, internet ...................................................................................................................................................................... 9 redes sociales ............................................................................................................................................................... 1, 11 Redes sociales .................................................................................................................................................................. 10 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 10 servidor .......................................................................................................................................................................... 6, 8 software ..................................................................................................................................................................... 4, 6, 8 URL ..................................................................................................................................................................................... 6 USB, disco, red, correo, navegación de internet ........................................................................................................... 4, 8 Vandalismo ........................................................................................................................................................................ 9 Vulnerabilidad ........................................................................................................................................................ 4, 5, 6, 7
