Embed Size (px)
Citation preview
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.
El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.
Lima, 18 de junio de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Contenido Falla critica en dispositivos ThoughTek ......................................................................................................... 3
Vulnerabilidades peligrosas de validación de entrada e inyección de código en Phpmailer. ....................... 4
Múltiples vulnerabilidades en la biblioteca de códigos PHPMailer .............................................................. 5
Múltiples vulnerabilidades en la plataforma de mensajería “Apache Pulsar” .............................................. 6
Detección de una nueva campaña de phishing a Microsoft Office 365 ........................................................ 7
Índice alfabético ............................................................................................................................................ 9
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 150
Fecha: 18-06-2021
Página: 3 de 9
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Falla critica en dispositivos ThoughTek
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 18 de junio de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) emitió el martes un aviso sobre una falla crítica en la cadena de suministro de software que afecta el kit de desarrollo de software (SDK) de ThroughTek.
Un atacante podría utilizar el error para obtener acceso inadecuado a las transmisiones de audio y video y podría permitir el acceso no autorizado a información sensible de la cámara.
El SDK punto a punto (P2P) de ThroughTek es ampliamente utilizado por dispositivos de IoT con videovigilancia o capacidad de transmisión de audio/video, como cámaras IP, cámaras de monitoreo de bebés y mascotas, electrodomésticos inteligentes y sensores para brindar acceso remoto al contenido multimedia. a través de internet.
La deficiencia afecta a los productos ThroughTek P2P, versiones 3.1.5 y anteriores, así como a las versiones SDK con etiqueta nossl, y se debe a una falta de protección suficiente al transferir datos entre los dispositivos y los servidores de ThroughTek.
Recomendación:
Actualizar la biblioteca a la versión 3.3.1.0 o v3.4.2.0 y habilitar AuthKey / DTLS; dado que la falla afecta a un componente de software que es parte de la cadena de suministro para muchos OEM de cámaras de seguridad y dispositivos de IoT para consumidores.
Fuentes de información hxxps://thehackernews.com/2021/06/critical-throughtek-flaw-opens-millions.html
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 150
Fecha: 18-06-2021
Página: 4 de 9
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta Vulnerabilidades peligrosas de validación de entrada e inyección de código en Phpmailer.
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura RobInfo.
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 18 de junio de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomo conocimiento através de la información publicada por “information security newspaper”, donde informan sobre la detección de al menos dos vulnerabilidades de seguridad en PHPMailer.
Antecedentes:
• PHPMailer, es una popular biblioteca de código para enviar correos electrónicos de forma segura a través de código PHP desde un servidor web
• La explotación exitosa de estos defectos permitiría la implementación de ataques de ejecución remota de código.
• La vulnerabilidad obtuvo una puntuación de 8.1/10 CVSS y su explotación permitiría a los actores de amenazas remotas tomar el control sobre las implementaciones afectadas.
Detalles:
• CVE-2021-34551: esta vulnerabilidad existe debido a la validación incorrecta de la entrada proporcionada por el usuario dentro del método setLanguage, cuando se procesa el parámetro $lang_path en un sistema Windows. Los actores de amenazas remotas pueden pasar entradas especialmente diseñadas a la aplicación, establecer una ruta UNC a través del parámetro afectado y ejecutar código PHP arbitrario en el sistema afectado.
• CVE-2021-3603: Por otro lado, este defecto existe debido a la validación de entrada incorrecta en la solución afectada. Si el parámetro $patternselect para validateAddress, se establece en 'php' (la configuración predeterminada definida por PHPMailer), y el espacio de nombres global contiene la función php, se llamará con preferencia al validador incorporado del mismo nombre.
• Los atacantes remotos pueden enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema comprometido.
• Los defectos reportados pueden ser explotados remotamente por actores de amenazas no autenticados. Sin embargo, los expertos en ciberseguridad no han informado de la detección de intentos de explotación activos o la presencia de una variante de malware asociado con este defecto.
Recomendación:
Los parches de seguridad para abordar estos defectos ya están disponibles, por lo que se recomienda a los usuarios de las implementaciones afectadas que actualicen lo antes posible.
Fuentes de información hxxps://www.securitynewspaper.com/2021/06/17/dangerous-input-validation-and-code-injection-vulnerabilities-in-phpmailer-patch-now/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 150
Fecha: 18-06-2021
Página: 5 de 9
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Múltiples vulnerabilidades en la biblioteca de códigos PHPMailer
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
Resumen:
El investigador Vikrant Singh Chauhan y el equipo de seguridad de WordPress han reportado múltiples vulnerabilidades de severidad ALTA de tipo validación de entrada incorrecta y control inadecuado de la generación de código que afecta a la librería PHPMailer que envía correo electrónico a través de formularios de PHP. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código PHP arbitrario en el sistema de destino.
Detalles:
PHPMailer es una biblioteca de códigos que se utiliza para enviar correos electrónicos de forma segura y sencilla a través de código PHP desde un servidor web.
• La vulnerabilidad registrada como CVE-2021-34551 se debe a una validación insuficiente de la entrada proporcionada por el usuario dentro del método setLanguage () al procesar el parámetro $lang_path en un sistema Windows. Un atacante remoto podría pasar una entrada especialmente diseñada a la aplicación, establecer una ruta UNC mediante el parámetro afectado y ejecutar código PHP arbitrario en el sistema.
• La vulnerabilidad registrada como CVE-2021-3603 se debe a una validación de entrada incorrecta. Si el parámetro $patternselect para validateAddress () está configurado en 'php' (el valor predeterminado, definido por PHPMailer:$validator), y el espacio de nombres global contiene una función llamada php, se llamará con preferencia al validador incorporado del mismo nombre. Un atacante remoto podría enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
Productos afectados:
HPMailer versión: 2.0.3, 2.2.1, 2.3.0, 5.0.0, 5.0.2, 5.1.0, 5.2, 5.2.0, 5.2.1, 5.2.2, 5.2.3, 5.2.4, 5.2.5, 5.2.6, 5.2.7, 5.2.8, 5.2.9, 5.2.10, 5.2.11, 5.2.12, 5.2.13, 5.2.14, 5.2.15, 5.2.16, 5.2.17, 5.2.18, 5.2.19, 5.2.20, 5.2.21, 5.2.22, 5.2.23, 5.2.24, 5.2.25, 5.2.26, 5.2.27, 5.2.28, 6.0.0, 6.0.1, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7, 6.1.0, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.1.7, 6.1.8, 6.2.0, 6.3.0, 6.4.0, 6.4.1
Solución:
PHP recomienda actualizar PHPMailer a la versión 6.5.0 y posteriores.
Fuentes de información ▪ hxxps://www.cybersecurity-help.cz/vdb/SB2021061620 ▪ hxxps://github.com/PHPMailer/PHPMailer/releases/tag/v6.5.0
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 150
Fecha: 18-06-2021
Página: 6 de 9
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Múltiples vulnerabilidades en la plataforma de mensajería “Apache Pulsar”
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
Resumen:
Investigadores de seguridad de Apache han reportado múltiples vulnerabilidades de severidad ALTA de tipo control inadecuado de la generación de Código, archivo temporal inseguro, permisos predeterminados incorrectos, asignación de memoria con valor de tamaño excesivo, interpretación inconsistente de las solicitudes HTTP, restricción inadecuada de operaciones dentro de los límites de un búfer de memoria y validación de entrada incorrecta que afecta al sistema de mensajería Apache Pulsar. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto ejecutar Código arbitrario, obtener acceso a información confidencial, escalar privilegios, provocar una condición de denegación de servicio (DoS) y realizar un ataque de falsificación de solicitudes HTTP.
Detalles:
• La vulnerabilidad registrada como CVE-2020-26238 se debe a una validación de entrada incorrecta. Un atacante remoto podría enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema de destino.
• La vulnerabilidad registrada como CVE-2020-15250 se debe a que la aplicación está utilizando la regla de prueba “TemporaryFolder” que almacena información confidencial en archivos temporales en el directorio temporal del sistema y accesible para otros usuarios del sistema. Un usuario local podría leer archivos temporales y obtener información sensible relacionada con la aplicación.
• La vulnerabilidad registrada como CVE-2020-8908 se debe a permisos predeterminados incorrectos para archivos ubicados en el directorio temporal establecido por Guava “com.google.common.io.Files.createTempDir()”. Un usuario local con acceso al sistema podría ver el contenido de archivos y directorios o modificarlos.
• La vulnerabilidad registrada como CVE-2018-10237 se debe a la asignación de memoria ilimitada. Un atacante remoto podría hacer que el servicio se bloquee y deserialice los datos proporcionados por el atacante, porque la clase AtomicDoubleArray (cuando se serializa con serialización Java) y la clase CompoundOrdering (cuando se serializa con serialización GWT) realizan una asignación rápida sin verificaciones apropiadas sobre lo que un cliente ha enviado y si el tamaño de los datos es razonable.
• La vulnerabilidad registrada como CVE-2021-21409 se debe a una validación incorrecta de las solicitudes HTTP en io.netty: netty-codec-http2 en Netty, si la solicitud solo usa un solo Http2HeaderFrame con la secuencia final establecida verdadera. Un atacante remoto podría enviar una solicitud HTTP especialmente diseñada al servidor y contrabandear encabezados HTTP arbitrarios. La explotación exitosa de la vulnerabilidad podría permitir que un atacante envenene la caché HTTP y realice ataques de phishing.
• La vulnerabilidad registrada como CVE-2018-12541 se debe a un error de límite en la implementación de la actualización HTTP de WebSocket. Un atacante autenticado de forma remota podría provocar daños en la memoria y provocar una condición de DoS en el sistema de destino.
• La vulnerabilidad registrada como CVE-2021-28169 se debe a un problema de doble decodificación al analizar URI con ciertos caracteres. Un atacante remoto podría enviar peticiones a ConcatServlet, WelcomeFilter y ver su contenido de recursos protegidos en el directorio WEB-INF.
Productos afectados:
Apache Pulsar, versión: 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.4.2, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.7.0, 2.7.1, 2.7.2.
Solución:
Apache recomienda actualizar su producto afectado a la última versión disponible.
Fuentes de información ▪ hxxps://www.cybersecurity-help.cz/vdb/SB2021061815 ▪ hxxps://github.com/apache/pulsar/releases/tag/v2.8.0
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 150
Fecha: 18-06-2021
Página: 7 de 9
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Detección de una nueva campaña de phishing a Microsoft Office 365
Tipo de ataque Phishing Abreviatura Phishing
Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros
Código de familia G Código de subfamilia G02
Clasificación temática familia Fraude
Descripción
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes se encuentran desarrollando una nueva campaña de Phishing, a través de los diferentes navegadores web, quienes vienen suplantando la identidad del sitio oficial de Microsoft Office 365, con el objetivo de robar las credenciales de inicio de sesión de las posibles víctimas.
Detalles del proceso de phishing.
Comparación del sitio web oficial y fraudulento.
Imagen 1: Sitio web fraudulento; donde los ciberdelincuentes
incitan a las víctimas a ingresar sus credenciales de acceso.
SITIO WEB OFICIAL SITIO WEB FRAUDULENTO
➢ Existe una diferencia entre la URL original y la URL fraudulenta.
➢ El dominio (sophistiqueparfum.com.br) del sitio web fraudulento, se encuentra reportado como phishing.
No existe ninguna similitud entre ambos sitios web; encontrando diferencia en el color y la forma
Imagen 2: Una vez ingresada las
credenciales de acceso la página web
redirige Microsoft online, solicitando
ingresar un e-mail y contraseña.
Imagen 3: Una vez ingresada el e-mail y
contraseña, redirige a un mensaje en la
que indica que la cuenta se encuentra
bloqueada; dando por concluida la estafa.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La URL Maliciosa, fue analizada en las diferentes plataformas virtuales de seguridad digital, obteniendo la siguiente información:
• URL Malicioso: hxxps://sophistiqueparfum[.]com[.]br/ssl-654/ssl-offcert/office365/off[.]html
• Dominio: sophistiqueparfum.com.br
• Código: 200
• Longitud: 292.92 KB
• SHA-256: 914df825c6a7334a8be16e619d65b76f13f2c8c85bf68c22995342ef61ce00da
• Sitio Web catalogado como PELIGROSO.
Apreciación de la información:
• Microsoft 365 (también conocido como Office 365) es la herramienta creada por Microsoft que permite crear, acceder y compartir documentos online entre distintos usuarios en Word, Excel, PowerPoint y OneNote, entre otros. Para ello, solo necesitas tener acceso a internet y disponer del programa OneDrive.
• La presente campaña de phishing permite a los ciberdelincuentes acceder u obtener credenciales de acceso, incitando a las víctimas a brindar su e-mail y su contraseña.
Algunas Recomendaciones
• No abrir correos ni mensajes de dudosa procedencia.
• Ser escépticos (desconfiado) frente ofertas, promociones o premios increíbles que se ofrecen por internet.
• Prestar atención en los detalles de los mensajes o redes sociales.
• No introducir datos confidenciales en sitios web sospechosas o de dudosa procedencia.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Visualizar los sitios web que se ingresen sean los oficiales.
Fuentes de información Análisis propio de redes sociales y fuente abierta.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Página: 9 de 9
Índice alfabético
Explotación de vulnerabilidades conocidas ........................................................................................................... 3, 4, 5, 6 Fraude ................................................................................................................................................................................ 7 Intento de intrusión ............................................................................................................................................... 3, 4, 5, 6 internet .......................................................................................................................................................................... 3, 8 IoT ...................................................................................................................................................................................... 3 malware ............................................................................................................................................................................. 4 phishing ..................................................................................................................................................................... 6, 7, 8 Phishing.............................................................................................................................................................................. 7 Red, internet .......................................................................................................................................................... 3, 4, 5, 6 redes sociales ................................................................................................................................................................. 1, 8 Redes sociales .................................................................................................................................................................... 7 Redes sociales, SMS, correo electrónico, videos de internet, entre otros ........................................................................ 7 servidor ...................................................................................................................................................................... 4, 5, 6 servidores .......................................................................................................................................................................... 3 software ............................................................................................................................................................................. 3 URL ..................................................................................................................................................................................... 8 Vulnerabilidades ................................................................................................................................................................ 4
