Lo bueno, lo malo y lo feo en ciberseguridad – Semana 34

08:39 13/09/2021 | 3 Lượt xem

Lo bueno

Esta semana, CISA (Agencia de Infraestructura y Seguridad Cibernética) publicó una guía actualizada sobre “Violaciones de datos causadas por ransomware”. A medida que las apuestas continúan aumentando, junto con los montos de reembolso, CISA espera que las organizaciones “adopten un estado de conciencia elevado” e implementen una variedad de recomendaciones proporcionado en las pautas.

En términos de prevención específicamente, la guía toca las copias de seguridad, BCP (planificación de la continuidad del negocio) y mitigación de la exposición técnica (auditoría de RDP expuesta, realización de análisis de vulnerabilidades regulares). La sección de prevención también cubre la higiene cibernética, el parcheo, el pentesting, etc.

Para las organizaciones que necesitan responder a una infracción relacionada con el ransomware, la sección final de la guía incluye la planificación operativa, las prácticas de clasificación, la experiencia y los planes de comunicación internos y externos. Además, el nuevo documento proporciona enlaces a varios recursos relacionados.

Libro electrónico: Comprensión del ransomware en la empresa

Esta guía lo ayudará a comprender, planificar, responder y protegerse contra esta amenaza que ahora prevalece. Ofrece ejemplos, recomendaciones y consejos para garantizar que no se vea afectado por la amenaza de ransomware en constante evolución.

La guía actualizada de CISA sirve como una buena “hoja de consejos” o punto de partida para mejorar su ransomware y sus habilidades de respuesta a brechas. Alentamos a todos a que revisen las pautas y apliquen estas prácticas seguras cuando sea necesario.

El mal

No hace mucho, circularon historias sobre cámaras de seguridad, monitores para bebés y dispositivos “inteligentes” similares que fueron pirateados y utilizados para asustar, espiar o algo peor. FireEye descubrió e informó recientemente una falla de impacto similar en otro servicio de videovigilancia como plataforma..

La vulnerabilidad, CVE-2021-28372, afecta a los dispositivos asociados con la plataforma Kalay IoT (ThroughTek). La falla es específica del SDK (kit de desarrollo de software) y, por lo tanto, afecta potencialmente a un número ilimitado de dispositivos. Este error permite a los atacantes secuestrar la conexión entre los dispositivos y la nube Kalay de una manera muy sencilla. Los atacantes pueden disfrazarse como un dispositivo ThroughTek presentando un Identificador Único (UID) válido de 20 bytes. Armados con este conocimiento (y las ID correctas), los atacantes pueden abrirse camino en el flujo de comunicación e interceptar las credenciales o forzar desafíos en los dispositivos para que los usuarios las proporcionen.

FireEye y CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) publicaron una alerta conjunta el 17 de agosto. El proveedor, ThroughTek, proporcionó varias soluciones basadas en varias versiones de SDK. Se recomiendan las versiones 3.1.10 y superiores para habilitar AuthKey y DTLS. Para versiones anteriores, se recomiendan los mismos pasos, pero precedidos por una actualización al SDK 3.1.10 o superior.

Los dispositivos de IoT solo se volverán más frecuentes y es vital que los consumidores, tanto profesionales como personales, sean conscientes de la seguridad (o la falta de ella) de algunos de estos dispositivos. Tómese siempre el tiempo para familiarizarse con el proveedor y cualquier posible parche para cualquier cosa que planee conectar a su red.

El feo

La semana pasada trajo el último capítulo de la saga en curso revelado a través de los esfuerzos conjuntos del investigador. Tsai naranja (Equipo de investigación DEVCORE) y ZDI (Iniciativa Día Cero). Anteriormente, cubrimos ProxyLogon y ProxyOracle. La falla de ProxyLogon fue ampliamente aprovechada como parte de ataques generalizados a servidores Exchange a principios de este año. Para agregar a esas vulnerabilidades anteriores, ahora tenemos los detalles de seguimiento, ProxyShell. Técnicamente hablando, ProxyShell consta de tres fallas separadas, rastreadas por CVE de la siguiente manera:

CVE-2021-31207 – Vulnerabilidad de omisión de la característica de seguridad de Microsoft Exchange Server
CVE-2021-34473: vulnerabilidad de ejecución remota de código de Microsoft Exchange Server
CVE-2021-34523: vulnerabilidad de elevación de privilegios de Microsoft Exchange Server

Agrupar estos tres defectos en entornos expuestos permitirá a un atacante establecer persistencia y ejecutar rápidamente comandos maliciosos de PowerShell. Después de una explotación exitosa, un atacante podría tomar el control completo de los servidores Microsoft Exchange expuestos.

El código de prueba de concepto está disponible actualmente para ProxyShell junto con la documentación completa. Aunque Microsoft ha publicado parches para todos estos CVE en las versiones mensuales de abril y mayo, el investigador señala que “Exchange Server es un tesoro esperando a que encuentre errores … Puedo garantizar que Microsoft solucionará más vulnerabilidades de Exchange en el futuro”.

Se trata de fallas de alta gravedad, y las oleadas que llevan estas fallas a nuestros centros de datos son cada vez más grandes y más difíciles de predecir y controlar. El conocimiento es una herramienta poderosa, y alentamos a todos a mantenerse actualizados específicamente sobre este estilo de vulnerabilidad. Una buena higiene y preparación, junto con una plataforma de seguridad de punto final moderna y correctamente configurada, mantendrán su entorno a salvo de estos ataques.


¿Te gustó este artículo? Síguenos en LinkedIn, Gorjeo, YouTube o Facebook para ver el contenido que publicamos.

Leer más sobre seguridad cibernética

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang