Lima, 4 de setiembre de 2021
11
Transcript of Lima, 4 de setiembre de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la
Seguridad Digital del Estado Peruano.
El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las
empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar
la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2021.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas.
Lima, 4 de setiembre de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Contenido Vulnerabilidades en ArubaOS ........................................................................................................................ 3
LockFile ransomware: un nuevo cifrado para evitar la detección................................................................. 4
Inyección SQL en Cachet................................................................................................................................ 5
Múltiples vulnerabilidades en navegador Google Chrome ........................................................................... 6
Vulnerabilidad crítica de ejecución remota de código en WebAccess de Advantech .................................. 7
Detección de sitio web fraudulento del Banco Interbank ............................................................................. 8
Índice alfabético ..........................................................................................................................................10
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 226
Fecha: 04-09-2021
Página: 3 de 10
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidades en ArubaOS
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 01 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una vulnerabilidad de desbordamiento de búfer en el protocolo PAPI (Aruba Networks AP management protocol).
Esta vulnerabilidad permite a un atacante, remoto no autenticado, la ejecución de un código en el sistema operativo subyacente y causar una condición de denegación de servicio DoS, mediante el envío de paquetes especialmente diseñados al puerto UDP (8211) de los dispositivos que ejecutan ArubaOS, el cual podría comprometer la integridad y confidencialidad de archivos del sistema.
La vulnerabilidad de severidad crítica tiene una puntuación 9.8 de 10; asimismo, el identificador asignado a esta vulnerabilidad es CVE-2021-37716. Cabe indica, que los productos afectados han llegado al final de su vida útil.
Esta vulnerabilidad afecta a las siguientes versiones:
• ArubaOS 8.3.0.x: 8.3.0.14 y menos
• ArubaOS 8.5.0.x: 8.5.0.11 y menos
• ArubaOS 8.6.0.x: 8.6.0.7 y menos
• ArubaOS 8.7.xx: 8.7. 1.1
Recomendaciones:
• Habilitar la función de seguridad PAPI.
• Actualizar a las nuevas versiones que ha publicado Aruba.
Fuentes de información hxxps://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-arubaos-hpe
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 226
Fecha: 04-09-2021
Página: 4 de 10
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta LockFile ransomware: un nuevo cifrado para evitar la detección
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
El 01 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento a través de la publicación realizada en la página web “Threatpost” sobre un ransomware novedoso llamado “LockFile” que utiliza un método único de “cifrado intermitente” como una forma de evadir la detención y de adoptar tácticas de bandas de ransomware anteriores.
Los operadores del ransomware “LockFile” explotan fallas reveladas recientemente como ProxyShell y PetitPotam, para comprometer los servidores de Windows e implementar malware de cifrado de archivos que codifica solo cada 16 bytes alternativos de un archivo, lo que le da la capacidad de evadir las defensas del ransomware.
“LockFile” ransomware cifra cada 16 bytes de un archivo, lo que significa que algunas soluciones de protección contra ransomware no lo notan porque un documento cifrado se ve estadísticamente muy similar al original sin cifrar.
El ransomware primero aprovecha las fallas de “ProxyShell” sin parchear y luego usa lo que se llama un ataque de retransmisión “PetitPotam NTLM” para tomar el control del dominio de una víctima.
El actor de amenazas utiliza el protocolo remoto del sistema de cifrado de archivos de Microsoft (MS-EFSRPC) para conectarse a un servidor, secuestrar la sesión de autenticación y manipular los resultados de manera que el servidor crea que el atacante tiene un derecho legítimo de acceso.
“LockFile” utiliza entrada / salida (E / S) mapeada en memoria para cifrar un archivo. Esta técnica permite que el ransomware cifre de forma transparente los documentos almacenados en caché en la memoria y hace que el sistema operativo escriba los documentos cifrados, con un mínimo de E / S de disco que detectarían las tecnologías de detección.
Una vez que ha cifrado todos los documentos en la máquina, “LockFile” desaparece sin dejar rastro, borrándose a sí mismo con un comando PING. Esto significa que después del ataque de ransomware, no hay binario de ransomware para que los respondedores de incidentes o el software antivirus lo encuentren o lo limpien.
Recomendaciones:
• Utilizar herramientas Anti Ransomware para este tipo de ataques, a fin de bloquear el proceso de cifrado.
• Establecer políticas de seguridad a fin de impedir la ejecución de directorios comúnmente utilizados por el ransomware.
• Emplear máquinas virtuales para aislar el sistema principal. Asimismo, por seguridad realice periódicamente Backup de sus datos.
Fuentes de información hxxps://threatpost.com/lockfile-ransomware-avoid-detection/169042/ hxxps://thehackernews.com/2021/08/lockfile-ransomware-bypasses-protection.html
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 226
Fecha: 04-09-2021
Página: 5 de 10
Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Inyección SQL en Cachet
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento e intrusión
Descripción
El 01 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento de una vulnerabilidad identificada como CVE-2021-39165, que permite a un atacante remoto ejecutar consultas SQL en forma arbitraria en las bases de datos de la víctima para extraer datos confidenciales de la base de datos, como contraseñas y la sesión del administrador.
Esta vulnerabilidad existe debido a una desinfección insuficiente de los datos proporcionados por el usuario en la función “SearchableTrait#scopeSearch ()”. De esta forma, un atacante remoto podría enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación. En tal sentido, una vez aprovechada esta vulnerabilidad, el atacante podría leer, eliminar, modificar datos en la base de datos y obtener el control completo de la aplicación afectada.
Es preciso indicar, que la presente vulnerabilidad afecta desde la versión 1.0.0 hasta la 2.3.0 de Cachet.
Recomendación:
Se recomienda actualizar el software desde el sitio web del proveedor. Asimismo, el administrador del software deberá asegurarse de que solo se utilicen columnas de búsqueda permitidas en “DB Query”.
Fuentes de información hxxps://www.cybersecurity-help.cz/vdb/SB2021083113
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 226
Fecha: 04-09-2021
Página: 6 de 10
Componente que reporta GRUPO DE OPERACIONES EN EL CIBERESPACIO DE LA FUERZA AÉREA DEL PERÚ
Nombre de la alerta Múltiples vulnerabilidades en navegador Google Chrome
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento e intrusión
Descripción
El 01 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento de una actualización de seguridad de múltiples vulnerabilidades en el navegador Google Chrome. Dentro de las vulnerabilidades parchadas, resaltan las siguientes:
• CVE-2021-30606: vulnerabilidad que existe debido a un error de uso después de la liberación dentro del componente Blink en Google Chrome. Con lo cual, un atacante remoto puede crear una página web especialmente diseñada para engañar a la víctima a visitarla y desencadenar un error de uso después de liberarse y ejecutar código arbitrario en el sistema de destino.
• CVE-2021-30617: vulnerabilidad que existe debido a restricciones de acceso en Blink. Con lo cual, un atacante puede crear una página web para engañar a la víctima y eludir restricciones de seguridad implementadas y obtener acceso no autorizado a información confidencial.
• CVE-2021-30624 y CVE-2021-30623: vulnerabilidad que permite a un atacante remoto realizar ataque de Denegación de Servicios. Existe debido a un error de uso después de la liberación en Autocompletar en Google Chrome.
• CVE-2021-30622: vulnerabilidad debido a un error de uso después de la liberación dentro de las instalaciones de aplicaciones web en Google Chrome.
• CVE-2021-30621: vulnerabilidad debido al procesamiento incorrecto de los datos proporcionados por el usuario en Autocompletar en Google Chrome.
• CVE-2021-30620: vulnerabilidad que permite eludir restricciones de seguridad implementadas.
• CVE-2021-30614: vulnerabilidad que existe debido a un error de límite al procesar contenido HTML que no es de confianza en TabStrip.
Es preciso indicar, que las versiones vulnerables de Google Chrome van desde la versión 7.0.517.41 hasta la 92.0.4515.159.
Recomendación:
• Realizar la actualización del navegador Google Chrome en todos los dispositivos.
• Instalar un antivirus y realzar auditorias de manera exhaustiva.
Fuentes de información hxxps://www.cybersecurity-help.cz/vdb/SB2021083114
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 226
Fecha: 04-09-2021
Página: 7 de 10
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Vulnerabilidad crítica de ejecución remota de código en WebAccess de Advantech
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
Resumen:
Natnael Samson, en colaboración con Trend Micro ZDI, ha reportado una vulnerabilidad de severidad CRÍTICA de tipo desbordamiento de búfer basado en pilas que afecta a WebAccess de Advantech. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante la ejecución remota de código.
Detalles:
La vulnerabilidad crítica registrada como CVE-2021-38408 de desbordamiento de búfer basada en la pila, es causada por la falta de validación adecuada de la longitud de los datos suministrados por el usuario, podría permitir a un atacante la ejecución remota de código. Esta vulnerabilidad afecta a los sectores de infraestructura crítica de sistemas críticos de fabricación, energía, agua y aguas residuales.
Una condición de desbordamiento de búfer basada en la pila es una condición en la que el búfer que se sobrescribe se asigna en la pila (es decir, es una variable local o, rara vez, un parámetro de una función).
Productos afectados:
WebAccess, versión 9.02 y anteriores.
Solución:
Advantech recomienda actualizar WebAccess a la versión 9.1.1. Igualmente, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), recomienda tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad:
• Minimizar la exposición de la red para todos los dispositivos y / o sistemas del sistema de control y asegúrese de que no sean accesibles desde Internet.
• Ubicar las redes del sistema de control y los dispositivos remotos detrás de los firewalls y aíslelos de la red empresarial.
Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más actual disponible. También reconozca que la VPN es tan segura como sus dispositivos conectados.
Fuentes de información ▪ hxxps://www.incibe-cert.es/alerta-temprana/avisos-sci/ejecucion-remota-codigo-
webaccess-advantech ▪ hxxps://us-cert.cisa.gov/ics/advisories/icsa-21-245-03
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 226
Fecha: 04-09-2021
Página: 8 de 10
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de sitio web fraudulento del Banco Interbank
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que actores de amenazas vienen llevando a cabo una campaña de Phishing, suplantando el sitio web del Banco Interbank (Banca por internet), con la finalidad de robar información bancaria de los usuarios como los números de las tarjetas de crédito o débito, documento nacional de identidad, contraseñas de acceso, etc.
Detalles de proceso de Phishing de la web fraudulenta del Banco Interbank.
Comparación del sitio web oficial y fraudulento.
SITIO WEB OFICIAL PLATAFORMA WEB SOSPECHOSA
➢ Existe una diferencia entre la URL original y la URL fraudulenta. ➢ La hxxp://interbanlkwelb[.]artagentsinternational[.]com/1630765033/login del
sitio web fraudulento POSEE EL PROTOCOLO DE SEGURIDAD DE RED (https).
INDICAN QUE PARA PODER REALIZAR LAS OPERACIONES EN LA BANCA POR INTERNET INSTAN A LA VÍCTIMA QUE REGISTRE SU NÚMERO DEL CELULAR.
SEÑALAN QUE SE CONFIGURO EXITOSAMENTE EL PROCESO DE REGISTRO DE DATOS, PARA ELLO INSTAN A LA VÍCTIMA QUE, VUELVA A INICIAR SESIÓN, PARA LUEGO REDIRECCIONAR AL SITIO WEB ORIGINAL DE LA ENTIDAD FINANCIERA.
SOLICITAN LOS NÚMEROS DE LA TARJETA DE CRÉDITO O DÉBITO, DOCUMENTO DE IDENTIDAD Y CONTRASEÑA DE BANCA POR INTERNET.
01
REQUIEREN QUE LA VÍCTIMA REGISTRE DATOS DE LA TARJETA DE DÉBITO O CRÉDITO COMO EL MES, AÑO Y CÓDIGO SE SEGURIDAD.
02
03 04
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La URL sospechosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo como resultado que NO SE ENCUENTRA REPORTADA COMO PHISHING.
• URL: hxxp://interbanlkwelb[.]artagentsinternational[.]com/1630765033/login
• Dominio: artagentsinternational[.]com
• Servidor: Apache
• SHA-256: 0b9f084773f3245d9ed40e34482714f7228fbd0c73f44d81887cc40a7c474a67
Comparación de los dominios del sitio web original del Banco Interbank y la plataforma web sospechosa
Apreciación de la información:
• La presente campaña de phishing permite a los actores de amenazas obtener información bancaria de los usuarios del Banco Interbank
• La propagación del sitio web fraudulento se realiza mediante envió masivos de email, adjuntando enlaces de sitios web fraudulentos con la finalidad de obtener información sensible de las víctimas; asimismo, a través de las aplicaciones de mensajería instantánea entre ellos WhatsApp, Telegram, Messenger, etc. y mensajes de textos SMS.
Recomendaciones:
• Verificar detalladamente las URL de los sitios web
• No abrir o descargar archivos sospechosos.
• No seguir las instrucciones de sitio web sospechoso.
• Mantener el antivirus actualizado.
• Descargar aplicaciones de fuentes confiables.
• Comunicar a la entidad financiera si ha realizado un registro de acceso en un sitio web sospechoso.
• Realizar las actualizaciones correspondientes desde fuentes originales.
Fuentes de información Análisis propio de redes sociales y fuente abierta
DOMINIO DE LA PLATAFORMA WEB
SOSPECHOSA
DOMINIO DEL SITIO WEB OFICIAL DEL BANCO
INTERBANK
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Página: 10 de 10
Índice alfabético
Código malicioso .......................................................................................................................................................... 5, 11 Explotación de vulnerabilidades conocidas ............................................................................................................... 3, 7, 9 Fraude .............................................................................................................................................................................. 13 hxxp ................................................................................................................................................................................. 14 Intento de intrusión ........................................................................................................................................................... 3 internet ............................................................................................................................................................................ 13 Inyección SQL ..................................................................................................................................................................... 7 malware ............................................................................................................................................................................. 5 Malware ....................................................................................................................................................................... 5, 11 phishing ........................................................................................................................................................................... 14 Phishing............................................................................................................................................................................ 13 puerto ................................................................................................................................................................................ 3 ransomware ................................................................................................................................................................... 5, 6 Ransomware ...................................................................................................................................................................... 5 Red, internet .............................................................................................................................................................. 3, 7, 9 redes sociales ............................................................................................................................................................... 1, 15 Redes sociales .................................................................................................................................................................. 13 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ...................................................................... 13 servidor .............................................................................................................................................................................. 5 servidores .......................................................................................................................................................................... 5 software ......................................................................................................................................................................... 5, 7 URL ................................................................................................................................................................................... 14 USB, disco, red, correo, navegación de internet ......................................................................................................... 5, 11 Vulnerabilidad .................................................................................................................................................................. 11 Vulnerabilidades ................................................................................................................................................................ 3
