SERVICIO DE ITELIECIA COTRA AMEAAS SIA” de seguridad 30 julio de 2018.pdf · particular de un sistema. •Amenaza: Es la causa potencial de un incidente no deseado, el cual puede

SERVICIO DE INTELIGENCIA CONTRA AMENAZAS “SIA”

www.coreoneit.com

servicio de inteligencia sobre amenazas [sia]

año 01 edición 2.63

www.coreoneit.com@coreoneit


www.coreoneit.com

¿Qué es EL Servicio de Inteligencia sobre Amenazas [SIA]?

Es una combinación de información de amenazas existentes en la red con el aná-lisis e inteligencia del grupo de especialistas de CORE ONE IT, quienes analizan exhaustivamente todo tipo de amenazas informáticas y desarrollan una serie de recomendaciones adaptadas a cada tipo de cliente.

Alcance

Se personaliza de acuerdo al tipo de infraestructura y entorno de red del cliente basado en los tipos de dispositivos, modelos y fabricantes, con el fin de recibir solo información relevante y que pudiera afectar de manera directa o indirecta, la continuidad del negocio.

Definiciones

•Riesgo: Probabilidad que una amenaza particular explote una vulnerabilidad particular de un sistema.

•Amenaza: Es la causa potencial de un incidente no deseado, el cual puede re-sultar en un daño a un sistema de información u organización.

•Ataque: Acción de tratar de traspasar controles de seguridad en un sistema. Un ataque puede ser activo, resultando en la modificación de datos, o pasivo, resul-tando en la divulgación de información. El hecho de que un ataque sea realizado no significa que será exitoso, el grado de éxito depende de la vulnerabilidad del sistema o actividad y de la eficiencia de las medidas existentes.

•Vulnerabilidad: Debilidad en los procedimientos de seguridad de un sistema, en el diseño del sistema, en la implementación, en los controles internos, y que puede ser explotada para violar la política de seguridad del sistema.

•API: Interfaz de Programación de Aplicaciones (Application Programming Interfa-ce, por sus siglas en inglés). Conjunto de subrutinas, funciones y procedimientos de una biblioteca para ser utilizado por otro software.

•Malware: también llamado badware, código maligno, software malicioso, sof-tware dañino o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el con-sentimiento de su propietario.

•Ransomware: Es un tipo especial de malware que amenaza con destruir los docu-mentos y otros archivos de las víctimas.

•Troyano: Software malicioso que se presenta al usuario como un programa apa-rentemente legítimo e inofensivo.

•ISP: Proveedor de servicios de Internet (Internet Service Provider, por sus siglas en inglés).

•Keylogger: Software de vigilancia, el cual cuenta con la capacidad de grabar cada tecla pulsada en el sistema en un archivo, usualmente cifrado.

•BSOD: Blue Screen Of Death, “pantalla azul de la muerte”; se refiere a la panta-lla mostrada por el sistema operativo de Windows cuando éste no puede recupe-rarse de un error del sistema.


www.coreoneit.com

Cuidado con Kronos; el peligroso troyano bancario vuelve a la carga en

Europa Linux más seguro

Kronos es uno de los troyanos bancarios más peligrosos, y que más quebraderos de cabeza ha dado a los usuarios y a los bancos, de la historia de la informática. Este tro-yano bancario empezó sus andadas en 2014, cuando comprar en el mercado negro una licencia para poder usar Kronos costaba en torno a 7000 dólares. Aunque este troyano nunca ha dejado de ser una amenaza, hoy nos encontramos con que los piratas infor-máticos tras él vuelven a la carga, y lo hacen con una variante mucho más peligrosa que ya mismo está atacando Europa.

Investigadores de seguridad detectaron el pasado mes de abril una serie de mues-tras de lo que parecía ser un nuevo y peligroso troyano bancario, aunque solo era, muestras. Sin embargo, en los meses siguientes estas muestras empezaron a hacerse cada vez más peligrosas y, al final, el mes pasado finalmente se empezaron a ver las primeras campañas de distribución de malware de lo que al final ha resultado ser una nueva, y peligrosa, variante del troyano bancario Kronos.

Tal como han podido comprobar los investigadores de seguridad, este nuevo troyano ha empezado a hacer de las suyas el pasado 27 de junio, infectando varias institucio-nes financieras en Alemania, seguido el 13 de julio por otras instituciones financieras en Japón. El pasado 15 de julio, este troyano ya empezó a atacar usuarios finales para poder analizar su comportamiento hasta que el pasado 20 de julio se ha habili-tado un sitio web de prueba para controlar todas las infecciones a la vez.

Aunque no está reconocido oficialmente este nuevo troyano como una actualización de Kronos, hay una gran cantidad de indicios que demuestran que, efectivamente, es así, como las APIs utilizadas, las técnicas de cifrado, el servidor C&C y mucho más. Algunos investigadores han decidido darle el nombre de Osiris, aunque su finalidad, y su peligrosidad, son las mismas.

Según se puede encontrar en la Dark Net, Oriris está a la venta por 2000 dólares al mes como un troyano bancario sobre Tor escrito en C++ que ocupa tan solo 350 KB y que cuenta con una gran cantidad de funciones y características, como:

• Conexión a través de Tor.• Rootkit para 32 y 64 bits.• Captura las peticiones POST y GET.• WebInjections.• Keylogger.• Posibilidad de descargar y ejecutar binarios.• Roba las contraseñas de los navegadores.• Seguridad proactiva.• AntiVM, AntiSandbox y AntiDebug.


www.coreoneit.com

Cómo protegernos del troyano bancario Kronos

Según se ha podido comprobar, en cada campaña llevada a cabo desde el pasado mes de junio se ha utilizado un tipo de infección diferente, utilizando macros en Word, kits de exploits, vulnerabilidades de Windows e incluso ocultándolo en sitios web de descargas, por lo que los piratas van a apostar a lo grande para distribuir esta ame-naza no centrándose solo en una técnica.

Por ello, para protegernos de Kronos, Osiris, Anubis o de cualquier otro dios egipcio o griego que pueda poner en peligro la seguridad de nuestro ordenador debemos asegurarnos de tener nuestro ordenador, y las aplicaciones más críticas, como los na-vegadores, siempre actualizados con los últimos parches de seguridad hasta la fecha de manera que los kits de exploits, o las vulnerabilidades, no nos pongan en peligro.

Además, debemos atender siempre al sentido común y llevar a cabo las mismas prác-ticas de seguridad que con cualquier otra amenaza, es decir, evitar descargar archivos desde páginas sospechosas de Internet y, además, tener mucho cuidado con los archi-vos que recibimos a través del correo electrónico, no ejecutando nunca documentos PDF, Excel o de Word que recibamos por este medio.

Con estos sencillos consejos, junto con un antivirus como Windows Defender, Kronos/Oriris no supondrá una amenaza.

Fuentes:Catalin Cimpanu. (2018). New Version of the Kronos Banking Trojan Discovered. 26 de julio de 2018, de Bleepingcomputer Sitio web: https://www.bleepingcomputer.com/news/security/new-version-of-the-kronos-banking-trojan-discovered/traduccion recuperada:Rubén Velasco. (2018). Cuidado con Kronos; el peligroso troyano bancario vuelve a la carga en Europa. 26 de julio de 2018, de Redes Zone Sitio web: https://www.redeszone.net/2018/07/25/troyano-bancario-kronos-vuelve-europa/

Parches de Apache Tomcat Vulnerabilidades de seguridad

mportantesApache Software Foundation (ASF) ha lanzado actualizaciones de seguridad para abor-dar varias vulnerabilidades en su servidor de aplicaciones Tomcat, una de las cuales podría permitir que un atacante remoto obtenga información confidencial.

Apache Tomcat es un servidor web de código abierto y sistema servlet, que utiliza varias especificaciones Java EE, como Java Servlet, JavaServer Pages (JSP), Expres-sion Language y WebSocket, esto proporciona un entorno de servidor web HTTP “puro Java” para ejecutar el concepto en Java.


www.coreoneit.com

A diferencia de las vulnerabilidades de Apache Struts2 explotadas para violar los sis-temas de la agencia de informes crediticios de Estados Unidos Equifax a fines del año pasado, las nuevas vulnerabilidades de Apache Tomcat tienen menos probabilidades de ser explotadas en este ambiente.

Apache Tomcat - Vulnerabilidad de divulgación de información.

La falla más crítica (CVE-2018-8037) de Apache Tomcat es una vulnerabilidad de divul-gación de información causada por un error en el rastreo de cierres de conexión que puede llevar a la reutilización de sesiones de usuario en una nueva conexión.

La vulnerabilidad, marcada como importante, fue comunicada al equipo de seguridad de Apache Tomcat por Dmitry Treskunov el 16 de junio de 2018 y se hizo pública el 22 de julio de 2018.

La falla afecta las versiones de Tomcat 9.0.0.M9 a 9.0.9 y 8.5.5 a 8.5.31, y se ha co-rregido en Tomcat 9.0.10 y 8.5.32.

Vulnerabilidad de Apache Tomcat - Denegación de Servicio (DoS).

Otra vulnerabilidad importante, rastreado como CVE-2018-1336, en Apache Tomcat reside en el decodificador UTF-8 que puede conducir a una condición de denegación de servicio (DoS).

“Un manejo incorrecto del desbordamiento en el decodificador UTF-8 con caracteres suplementarios puede conducir a un bucle infinito en el decodificador que causa una denegación de servicio”, dice la Apache Software Foundation en su aviso.

Actualizaciones de software del servidor Apache Tomcat (parches)

La vulnerabilidad afecta a las versiones 7.0.x, 8.0.x, 8.5.x y 9.0.x de Tomcat, y se ha abordado en las versiones 9.0.7, 8.5.32, 8.0.52 y 7.0.90 de Tomcat.

Apache Software Foundation también incluyó un parche de seguridad en las últimas versiones de Tomcat para abordar un error de derivación de restricciones de seguri-dad de baja gravedad (CVE-2018-8034), que ocurre debido a la falta de verificación del nombre de host cuando se usa TLS con el cliente WebSocket.

Se recomienda encarecidamente a los administradores que apliquen las actualizacio-nes de software tan pronto como sea posible y se les recomienda permitir solo a los usuarios de confianza tener acceso a la red y monitorear los sistemas afectados.

La Apache Software Foundation dice que no ha detectado ningún incidente de explo-tación de una de estas vulnerabilidades de Apache Tomcat.

Un atacante remoto podría explotar una de estas vulnerabilidades para obtener in-formación confidencial.

Fuentes:Mohit Kumar. (2018). Apache Tomcat Patches Important Security Vulnerabilities. 26 de julio de 2018, de The Hacker News Sitio web: https://thehackernews.com/2018/07/apache-tomcat-server.html


www.coreoneit.com

Sin embargo, el malware que afecta los sistemas de IoT opera de una forma un poco diferente que el malware tradicional. Debido a que las plataformas y dispositivos de IoT, no tienen la misma potencia de cómputo o seguridad, este tipo de amenazas han experimentado un repunte considerable recientemente, vale la pena examinar de cerca las infecciones que pueden afectar este tipo de dispositivos habilitados.

¿Qué tan lejos está el alcance del IoT?

Estadísticas significativas han rodeado el IoT desde su inicio, han demostrado el im-pacto potencial que podría tener un sistema de artículos conectados. Considere estos números actualizados según Statista:

Los investigadores pronosticaron que durante 2017 más de $284 mil millones en ser-vicios de IoT quedaron pendientes, y anuncian que el gasto del consumidor llegará a $1,494 mil millones para el año 2020.El mercado minorista general de IoT superará los $5 mil millones en los próximos dos años.El número de sensores y dispositivos de IoT que llegarán a ser consumidos podría ser de 12,860 millones en 2020.

El mercado mundial de etiquetas RFID alcanzará un valor de $24.5 billones para 2020.En los próximos dos años se instalarán más de 37 millones de sistemas de gestión del tránsito vial habilitados para IoT.

Habrá más de 830 millones de dispositivos portátiles inteligentes y 20,800 millones de sistemas automáticos inteligentes instalados en el sector de consumo para el 2020.Con un alcance tan amplio en los sectores de consumo, minorista y civil, no es de extrañar el por qué los actores malintencionados están comenzando a aprovechar los sensores y dispositivos conectados para fines malignos.

Malware en la era del IoT

Ahora que los proveedores de tecnología están brindando conectividad a toda una serie de diferentes artículos y dispositivos, toda la fuerza de Internet de las Cosas (IoT) comienza a ser sentida tanto por las empresas como por los consumidores. Desde artículos simples como routers domésticos hasta sistemas más complejos, de machi-ne-to-machine; IoT es un concepto tecnológico revolucionario y poderoso.

A medida que los sistemas y dispositivos conectados continúan brindando beneficios a los sectores empresarial y de consumo, los piratas informáticos también se han dado cuenta de estos beneficios para sacar provecho de ello. Los dispositivos IoT co-nectados son atractivos para los piratas informáticos, así como para los usuarios de sombrero blanco.


www.coreoneit.com

“Si bien las ganancias de los dispositivos IoT infectados pueden ser pequeñas, al me-nos no representan una preocupación para los usuarios porque, en última instancia, el dispositivo está infectado con un malware“, señaló Palmer. “Mientras que el cryp-tojacking podría decirse que no es tan dañino como el ransomware o los troyanos, los dispositivos aún se han visto comprometidos“.

IoT malware: La variante Mirai se dirige a los dispositivos IoT

Un ejemplo de una infección que se dirige específicamente a los IoT endpoints es una variante del malware Mirai, llamada OMG, identificada por los investigadores, como ELF_MIRAI.AUSX. Esta variante aprovecha las mismas capacidades de ataque distribui-das de estilo de denegación de servicio que la muestra original de Mirai. La variante OMG también incluye ciertas adiciones y omisiones de códigos en un esfuerzo por infectar los puntos finales IoT, incluidos los enrutadores domésticos, en particular.

“El objetivo principal de un ataque de Mirai es permitir que los ciberdelincuentes usen routers de propiedad privada en sus actividades maliciosas sin el conocimiento del propietario“, explican los investigadores. “Estos ataques pueden tener conse-cuencias nefastas para sus víctimas, que también podrían incluir a empresas. Las em-presas podrían enfrentar interrupciones comerciales, pérdidas monetarias e incluso daños en la reputación de su marca“.

La variante OMG Mirai fue una de las primeras infecciones notables dirigidas a IoT, pero seguramente no fue la última. A finales de 2017, el colaborador de WIRED Andy Greenberg informó sobre el Reaper IoT Botnet, que en el momento de escribir estas líneas ya había infectado un millón de redes.

Si bien Mirai y la variante OMG presentaron las debilidades en términos de seguridad y las fallas de contraseñas predeterminadas no actualizadas, el Reaper botnet, tam-bién conocido como IoT Troop, utiliza un enfoque más centrado.

¿Cómo funciona el malware IoT?

Los IoT endpoints son considerablemente diferentes a los PC y sistemas informáticos tradicionales, a los que muchos usuarios y hackers están acostumbrados. Si bien estos dispositivos están equipados con conectividad inalámbrica, algunos no tienen el tipo de interfaz de usuario clásica o potencia de cómputo.

Sin embargo, algunos de los factores que diferencian a los dispositivos IoT de otras plataformas tecnológicas son sólo los tipos de cosas que buscan los hackers.

“Si bien los dispositivos IoT tienen mucha menos potencia que las PC básicas, tienen el beneficio, al menos para los atacantes, de que a menudo los dispositivos carecen de controles de seguridad adecuados y que los usuarios los instalan pero se olvidan de ellos”, declaró Danny Palmer, Colaborador de ZDNet.

El uso de contraseñas predeterminadas y el hecho de que los usuarios no traten los IoT endpoints de la misma manera que tratarían un endpoint tradicional, crea debili-dades de protección las cuales abren la puerta a posibles infecciones.

Dicho esto, hay algunas similitudes entre los más recientes ataques de malware que infectan las PC y los servidores, al igual que los ataques lanzados en los sistemas de IoT. Tal como lo explica Palmer, muchas muestras de malware de IoT buscan aprove-char los dispositivos para la minería de criptomonedas, creando una botnet capaz de generar un beneficio de moneda digital imposible de rastrear.

Aunque algunos expertos en seguridad y tecnología no están convencidos de que los piratas informáticos puedan generar ningún tipo de ingreso considerable a partir de los esquemas de minería de criptomonedas IoT, a esta instancia deberían considerarse una amenaza.


www.coreoneit.com

Asegúrese que los dispositivos estén actualizados: las empresas y los consumidores también deben asegurarse de que el firmware que respalda las operaciones del router esté actualizado, incluidos el sistema operativo, los controladores, los programas de administración y las configuraciones.

Esta amenaza utiliza técnicas de piratería más activas para identificar e infectar IoT endpoints y establecer un botnet de gran alcance con considerable potencia de com-puto.

“La diferencia está entre buscar puertas abiertas y abrir candados activamente“, ex-plicó Andy Greenberg, comparando Mirai con Reaper. “En lugar de simplemente adi-vinar las contraseñas de los dispositivos que infecta, Reaper usa fallas de seguridad conocidas en el código de estas máquinas inseguras, las cuales intervienen con una serie de herramientas de compromiso y luego se expanden aún más“.

Protección de IoT endpoints: mejores prácticas empresariales.

La amenaza del botnet Reaper muestra que los agentes maliciosos son cada vez más conocedores de sus infecciones dirigidas a IoT, y es probable que los ataques a los dispositivos conectados solo se vuelvan más complejos.A medida que las empresas continúan aprovechando todo lo que IoT puede ofrecer, también es importante asegurarse de que estos dispositivos y endpoints estén prote-gidos adecuadamente:

Seleccione productos IoT confiables: es importante implementar sólo routers y dispo-sitivos IoT que incluyan protecciones de seguridad robustas. Por ejemplo, los inves-tigadores de Trend Micro recomiendan evitar los routers que se incluyen en los pa-quetes de servicios de Internet y no instalar estos dispositivos usados, ya que pueden tener configuraciones incorrectas e inseguras.

Use credenciales solidas de autenticación: la mayoría de los dispositivos IoT vienen con contraseñas predeterminadas o preinstaladas. Estas contraseñas representan una puerta abierta a los piratas informáticos, convirtiendo estos dispositivos en un blanco fácil de violación e infección para los actores malintencionados. Por esta razón, es necesario cambiar las contraseñas predeterminadas a una más fuerte y que no sea fácil de adivinar.

Fuentes:Staff Tynmagazine (2018). Malware en la era del IoT. Julio 2018, de Tynmagazine. Sitio Web: http://www.tynmagazine.com/malware-en-la-era-del-iot/


www.coreoneit.com

Un total de 181 millones de ataques de ransomware se han detectado hasta el mo-mento, representando un aumento del 229 por ciento, comparado con el mismo pe-ríodo 2017.

El informe también destaca que los ciberdelincuentes utilizan el cifrado para eludir los controles de seguridad de las redes tradicionales. De hecho, en los dos primeros trimestres del año los ciberataques encriptados aumentaron un 275 por ciento en comparación con 2017.

“Prevemos que los ataques cifrados aumentarán en escala y sofisticación hasta que se conviertan en el estándar para la entrega de malware. Y no estamos tan lejos de que eso ocurra”, afirmó Bill Conner, CEO de SonicWall.

Además, la compañía informó que ha identificado y bloqueado más de 12.300 ataques cibernéticos y variantes de malware nunca antes vistas.

Ataques con malware suben a niveles récord en lo que va del 2018

El volumen de malware continúa subiendo a niveles récord desde 2017, según el in-forme Amenazas Cibernéticas SonicWall 2018, que revela que durante el primer se-mestre del 2018 se ha presentado un aumento de ransomware, amenazas cifradas y ataques basados en chips.Los investigadores de la compañía de ciberseguridad SonicWall encontraron que en este periodo se registraron más de 5.000 millones de ataques de malware, lo que re-fleja un importante aumento en comparación con 2017 cuando la cifra alcanzaba los 2.000 millones.

A pesar de que de 2016 a 2017, los ataques de ransomware, modalidad de cibercri-men en la que encriptan los archivos de un equipo para luego exigir un rescate, se redujeron significativamente, este año los cibercriminales han reactivado campañas relacionadas con esta modalidad.

Fuentes:TECNÓSFERA (2018). Ataques con malware suben a niveles récord en lo que va del 2018 . Mayo 2018, de El tiempo. Sitio Web: http://www.eltiempo.com/tecnosfera/novedades-tecnologia/numero-de-ataques-de-malware-en-el-primer-trimestre-de-2018-247742


www.coreoneit.com

Vulnerabilidades críticas de seguridad para tomar las medidas preventivas y correctivas

frente a las amenazas tecnológicas

Existe una vulnerabilidad de escalamiento de privilegios donde los usuarios autenticados con

acceso de shell pueden convertirse en root (CVE-2018-0024)

Criticidad: AltoImpacto: nyección de códigoVulnerabilidad: -Ejecución: Remota Plataforma(s) afectada(s): Junos OS 12.1X46, 12.3, 12.3X48, 14.1X53, 15.1X49. Plataformas afectadas: Serie EX, QFX3500, QFX3600, QFX5100, Serie SRX.Referencia: CVE-2018-0024

Descripción:

Una vulnerabilidad de gestión de privilegios inapropiada en una sesión de shell de Ju-niper Networks Junos OS permite a un atacante autenticado sin privilegios obtener el control total del sistema.

Solución:

Las siguientes versiones de software se han actualizado para resolver este problema específico: Junos OS 12.1X46-D45, 12.3X48-D20, 12.3R11, 14.1X53-D30, 15.1X49-D20 y todas las versiones posteriores. Este problema se rastrea como PR 1004217, que está visible en el sitio web de Aten-ción al cliente.

Fuentes:Juniper. (2018). Juniper Networks. 24 de julio 2018, de Symantec Sitio web https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10857&cat=SIRT_1&actp=LIST

Descripción:

Una vulnerabilidad en el software Cisco IOS para Cisco CallManager Express (CME) po-dría permitir que un atacante remoto no autenticado realice llamadas telefónicas no autorizadas.

La vulnerabilidad se debe a una restricción de configuración en el componente de pro-tección contra el fraude telefónico del software afectado. Un atacante podría apro-vechar esta vulnerabilidad para realizar llamadas telefónicas de larga distancia no autorizadas mediante el uso de un sistema afectado.

No hay soluciones alternativas que solucionen esta vulnerabilidad.

Vulnerabilidad de acceso no autorizado de Cisco CallManager Express

Criticidad: MediaImpacto: Acceso no autorizadoVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Esta vulnerabilidad afecta al software Cisco IOS para Cisco CallManager ExpressReferencia: CVE-2017-6624

Fuentes:Vulnerabilidad de acceso no autorizado de Cisco CallManager Expresshttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cme1


www.coreoneit.com

Descripción:

Se ha encontrado que las versiones de Tenable Appliance 4.6.1 y anteriores contienen una única vulnerabilidad XSS. Al utilizar una solicitud especialmente diseñada, un ata-cante autenticado podría ejecutar código JavaScript arbitrario manipulando ciertos parámetros de URL relacionados con los complementos sin conexión.

Solución:

Instale la última versión de Tenable Appliance 4.7.0 descargando el archivo de instala-ción apropiado disponible en la página Tenable Downloads (https://www.tenable.com/downloads/tenable-appliance)

Nota * - Tenable Appliance 4.7.0 admite las siguientes rutas de actualización directa: 4.5, 4.6 → 4.7.0

[R1] Tenable Appliance 4.7.0 corrige una vulnerabilidad

Criticidad: BajaImpacto: Inyección de códigoVulnerabilidad: -Ejecución: LocalPlataforma(s) afectada(s): Tenable Appliance 4.6.1 y versiones anterioresReferencia: CVE-2018-1142

Fuentes:Tenable. (2018). [R1] Tenable Appliance 4.7.0 Fixes One Vulnerability. Marzo 29 de 2018, de Tena-ble Sitio web: https://www.tenable.com/security/tns-2018-02

Descripción:

Una vulnerabilidad en la interfaz de usuario basada en la web del servidor de control de acceso seguro de Cisco podría permitir que un atacante remoto no autenticado ob-tenga acceso de lectura a cierta información en el sistema afectado.

La vulnerabilidad se debe a un manejo inadecuado de XML External Entities (XXE) al analizar un archivo XML. Un atacante podría aprovechar esta vulnerabilidad al conven-cer al administrador de un sistema afectado para que importe un archivo XML diseñado.

No hay soluciones alternativas que solucionen esta vulnerabilidad.

Vulnerabilidad de inyección de entidad externa de XML de Servidor de control de acceso de Cisco

Criticidad: MediaImpacto: Acceso no autorizadoVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Versiones de Cisco Secure Access Control Server ante-riores al 5.8 parche 9Referencia: CVE-2018-0218

Fuentes:Seguridad de Cisco., (Marzo 2018) Vulnerabilidad de inyección de entidad externa de XML de Ser-vidor de control de acceso de Cisco. Marzo 2018, de Cisco Sitio web: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180307-acs1


www.coreoneit.com

Vulnerabilidades de divulgación de información de canal lateral de CPU: mayo de 2018

Criticidad: MediaImpacto: Divulgación de informaciónVulnerabilidad: -Ejecución: Local Plataforma(s) afectada(s):


www.coreoneit.com


www.coreoneit.com

Descripción:

El 21 de mayo de 2018, los investigadores revelaron dos vulnerabilidades que apro-vechan la implementación de la ejecución especulativa de instrucciones en muchas arquitecturas modernas de microprocesadores para realizar ataques de divulgación de información de canal lateral. Estas vulnerabilidades podrían permitir a un atacante local sin privilegios, en circunstancias específicas, leer la memoria privilegiada perte-neciente a otros procesos.

La primera vulnerabilidad, CVE-2018-3639, se conoce como Spectre Variant 4 o Spec-treNG . La segunda vulnerabilidad, CVE-2018-3640, se conoce como Espectro variante 3a . Ambos ataques son variantes de los ataques divulgados en enero de 2018 y aprove-chan los ataques de sincronización de caché para inferir cualquier dato revelado.

Para aprovechar cualquiera de estas vulnerabilidades, un atacante debe ser capaz de ejecutar código creado o script en un dispositivo afectado. Aunque la combinación sub-yacente de CPU y sistema operativo en un producto o servicio puede verse afectada por estas vulnerabilidades, la mayoría de los productos de Cisco son sistemas cerrados que no permiten a los clientes ejecutar código personalizado y, por lo tanto, no son vulne-rables. No hay un vector para explotarlos.

Referencia: CVE-2018-3639, CVE-2018-3640


www.coreoneit.com

Los productos de Cisco se consideran potencialmente vulnerables solo si permiten que los clientes ejecuten código personalizado al mismo tiempo que el código de Cisco en el mismo microprocesador.

Un producto de Cisco que pueda implementarse como una máquina virtual o un conte-nedor, incluso cuando no esté directamente afectado por ninguna de estas vulnerabi-lidades, podría ser el objetivo de tales ataques si el entorno de alojamiento es vulne-rable. Cisco recomienda que los clientes fortalezcan sus entornos virtuales, controlen estrictamente el acceso de los usuarios y se aseguren de que todas las actualizaciones de seguridad estén instaladas. Los clientes que están implementando productos como un dispositivo virtual en entornos de alojamiento multi-tenant deben asegurarse de que el hardware subyacente, así como el sistema operativo o el hipervisor, estén actua-lizados contra las vulnerabilidades en cuestión.

Aunque los servicios en la nube de Cisco no se ven directamente afectados por estas vulnerabilidades, la infraestructura en la que se ejecutan puede verse afectada. Con-sulte la sección “Productos afectados” de este documento informativo para obtener información sobre el impacto de estas vulnerabilidades en los servicios en la nube de Cisco.

Cisco lanzará actualizaciones de software que abordan estas vulnerabilidades. No hay soluciones alternativas que aborden estas vulnerabilidades.

Fuentes:Vulnerabilidades de divulgación de información de canal lateral de CPUhttps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170503-cme1


www.coreoneit.com

Carga de archivos arbitrarios de componentes del servidor WLS de Oracle WebLogic (CVE-2018-2894)

Criticidad: CríticoImpacto: Infracción de protección de OracleVulnerabilidad: -Ejecución: RemotaPlataforma(s) afectada(s): Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 Oracle WebLogic Server 12.2.1.2 Oracle WebLogic Server 12.2.1.3Referencia: CVE-2018-2894, CPAI-2018-0769

Descripción:

Se ha informado de una vulnerabilidad de carga arbitraria de archivos en Oracle We-bLogic Server. Esta vulnerabilidad se debe a la validación de entrada de un archivo de almacén de claves. Un atacante remoto no autenticado podría aprovechar esta vulne-rabilidad enviando una solicitud elaborada al servicio remoto. La explotación exitosa podría llevar a la ejecución de código arbitrario en la aplicación de destino.

Solución:

Para activar la protección, actualice su producto Security Gateway a la última actua-lización de IPS.

Security Gateway R80 / R77 / R76 / R75 1. En la pestaña IPS, haga clic en Protecciones y busque la protección Subida de archivo arbitrario de los componentes del servidor WLS de Oracle WebLogic con la herramienta de búsqueda y edite la configuración de la protección. 2. Instalar la política en todos los módulos.

Fuentes:heck Point Advisories. (2018). Carga de archivos arbitrarios de componentes del servidor WLS de Oracle WebLogic (CVE-2018-2894). Julio 26, de Check Point Sitio web: https://www.checkpoint.com/defense/advisories/public/2018/cpai-2018-0769.html#protection

Documents

SERVICIO DE ITELIECIA COTRA AMEAAS SIA” de seguridad 30 julio de 2018.pdf · particular de un sistema. •Amenaza: Es la causa potencial de un incidente no deseado, el cual puede