Avisos de seguridad

  1. Fecha de publicación: 13/12/2018

    Importancia: Alta

    Recursos afectados:

    WordPress 3.7 y posteriores. 

    Descripción:

    WordPress ha publicado una actualización de seguridad que soluciona varios problemas de seguridad.

    Solución:

    Se recomienda que actualices tu WordPress a la versión 5.0.1. Para ello, descarga la última versión desde la página del gestor de contenidos o, dentro del propio gestor, en «Escritorio», «Actualizaciones» y en el área de administración de tu sitio, haz clic en «actualiza ahora».

    Instrucciones de actualización

    Para saber si existe una actualización de seguridad de WordPress deberás acceder a la consola de Administración del CMS. Automáticamente, al entrar aparecerán varios mensajes haciéndonos saber que existe una actualización de seguridad.

    Si hacemos clic en el botón superior «Por favor, actualiza ahora» o en el botón «Actualizar a 5.0.1», comenzará la actualización automática:

    Imagen que muestra los botones de actualización de WordPress, donde se indica que hay una versión disponible.

    A continuación, aparecerá una ventana en la cual se muestran todas las actualizaciones pendientes como son la versión de WordPress, los plugins y los temas instalados. Seleccionaremos el botón «Actualizar ahora». Este proceso puede tardar varios minutos durante los cuales la página se encontrará en modo mantenimiento.

    Imagen que muestra el botón actualizar ahora

    Una vez finalizado, visualizaremos una pantalla como la que se muestra en la siguiente imagen, informando que nuestro WordPress está actualizado a la versión 5.0.1.

    Imagen que muestra que el WordPress se ha actualizado correctamente

    Nota: recomendamos realizar esta actualización en un entorno de desarrollo o preproducción antes de aplicarla en el entorno de producción. Antes de corregir el problema, haz una copia de seguridad de tu web, tanto de la base de datos como de todos los archivos que componen el sitio.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117. 
     

    Detalle:

    Se han detectado una serie de fallos, mediante los cuales, un atacante podría llevar a cabo las siguientes acciones maliciosas:

    • alterar metadatos que permitan la eliminación de archivos sin autorización;
    • crear publicaciones para las cuales no se esté autorizado y que incluyan contenido específicamente diseñado;
    • modificación de metadatos que permitan la inyección de objetos php;
    • edición de comentarios mediante un usuario con los privilegios más altos, permitiendo la inclusión en los mismos de código malicioso. Esta vulnerabilidad se conoce con el nombre de cross-site scripting (XSS). También se ha comprobado que este tipo de vulnerabilidad podría afectar a algunas entradas URL específicamente diseñadas en los plugins de WordPress.
    • La pantalla de identificación de usuario, podría ser indexada por motores de búsqueda en algunas configuraciones poco comunes. Esto provocaría que las direcciones de correo quedaran expuestas y, en algunos casos raros, las contraseñas generadas por defecto;
    • páginas que estén alojadas con Apache, permitirían la carga archivos que evitasen la verificación MIME, permitiendo de nuevo una vulnerabilidad tipo cross-site scripting. Cualquier archivo que se suba a un servidor, debería pasar por una serie de validaciones que verifiquen que el fichero que se está cargando, no es malicioso. 

    Desde WordPress indican que estas vulnerabilidades han sido detectadas a tiempo y corregidas antes de que se hayas podido realizar este tipo de ataques. No lo dudes, actualiza tu WordPress a la versión 5.0.1.

    Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del INCIBE-CERT.
     

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

  2. Fecha de publicación: 29/11/2018

    Importancia: Alta

    Recursos afectados:

    • Versiones de Magento Commerce desde 1.9.0.0 a 1.14.4.0
    • Versiones de Magento Open Source desde 1.5.0.0 a 1.9.4.0

    Descripción:

    Se han publicado actualizaciones de seguridad para el gestor de contenidos de tiendas online Magento, que solucionan múltiples vulnerabilidades que permitirían, entre otras, que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.

    Solución:

    Se recomienda actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

    Importante: Antes de hacer este tipo de acciones en entornos de producción es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.

    Detalle:

    Esta actualización corrige problemas de seguridad como vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras.

    Estas vulnerabilidades podrían permitir a un ciberdelincuente ejecutar código malicioso y así hacerse con el control del gestor de contenidos.

    Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

  3. Fecha de publicación: 19/11/2018

    Importancia: Alta

    Recursos afectados:

    Versiones de Moodle: 3.5 a 3.5.2, 3.4 a 3.4.4, 3.3 a 3.3.8, 3.1 a 3.1.14 y versiones anteriores no compatibles.

    Descripción:

    Moodle ha publicado una actualización de seguridad para sus distintas versiones que soluciona una vulnerabilidad en el formulario de acceso.

    Solución:

    Se recomienda actualizar Moodle a las últimas versiones que corrigen dicha vulnerabilidad accediendo a los siguientes enlaces: 3.6, 3.5.3, 3.4.6, 3.3.9 y 3.1.15.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117

    Detalle:

    Esta actualización corrige el problema de seguridad que se detalla a continuación:

    • El formulario de inicio de sesión no está protegido para evitar la falsificación de las solicitudes de inicio de sesión. Esta vulnerabilidad podría permitir a un ciberdelincuente el acceso no autorizado a la plataforma mediante un ciberataque tipo CSRF (Cross-Site Request Forgery).

    Para evitar accesos ilegítimos así como otros problemas de seguridad, recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Vulnerabilidad

  4. Fecha de publicación: 15/11/2018

    Importancia: Crítica

    Recursos afectados:

    Cualquier empresa o autónomo que tenga una página web construida con el gestor de contenidos WordPress. Potencialmente puede verse afectado cualquier empleado o usuario que reciba este correo electrónico y que gestione la página web corporativa.

    Descripción:

    Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad WordPress. El objetivo del correo es dirigir a la víctima a una página web fraudulenta (Phishing), para robar las credenciales de acceso al panel de administración del gestor de contenidos.

    Solución:

    Como en cualquier otro caso de phishing, extreme las precauciones y avise a sus empleados para que estén alerta ante correos de origen sospechoso, especialmente si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas de inicio de sesión.

    Si algún empleado o usuario ha recibido un correo de estas características, ha accedido al enlace y ha introducido las credenciales de acceso al panel de administración de la web corporativa, deberá modificar lo antes posible la información de acceso. Además se recomienda modificar las credenciales de todos aquellos servicios en los que se utilice la misma.

    Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda:

    • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
    • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
    • No contestar en ningún caso a estos correos.
    • Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
    • Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
    • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
    • Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de Administrador.

    Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

    Si necesita soporte o asistencia, y se ha visto afectado por este engaño, INCIBE le ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad. También ponemos a disposición de las empresas una línea gratuita de ayuda en ciberseguridad: 900 116 117

    ¿Le gustaría estar a la última con la información de nuestros avisos? Anímese y suscríbase a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Será el primero en enterarse de los últimos avisos de seguridad para empresas.

    Detalle:

    Cualquier trabajador, ya sea miembro de la empresa o autónomo, podría recibir un correo electrónico que parece provenir de WordPress, y cuyo campo «asunto» es «Una nueva actualización por razones de seguridad». Dentro del correo, se informa al destinatario que por razones de seguridad y para evitar un uso fraudulento de su página web le recomiendan habilitar una capa extra de seguridad. Para activar la nueva capa de seguridad debe acceder al enlace que figura en el cuerpo del correo.

    Correo fraudulento

    Al acceder al enlace el usuario será redirigido a una página web que suplanta a la apariencia del panel de administración de WordPress. En esta página se insta a que el usuario introduzca su nombre de dominio y sus credenciales de acceso al panel de administración.

    Página web fraudulenta

    Una vez que el usuario introduce la información solicitada, es redirigido a la página web legítima de WordPress.

    Página web legítima de WordPress

    Etiquetas: Correo electrónico, Gestor de contenidos, Phishing

  5. Fecha de publicación: 18/10/2018

    Importancia: Crítica

    Recursos afectados:

    • Versiones de Drupal 7.x, 8.6.x, 8.5.x y versiones anteriores.

    Descripción:

    Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos Drupal y que soluciona múltiples vulnerabilidades.

    Solución:

    La solución para estos problemas de seguridad es la instalación de la versión más reciente de Drupal:

    • Si utiliza Drupal 7.x, actualice a la versión 7.60
    • Si utiliza Drupal 8.6.x, actualice a la versión 8.6.2
    • Si utiliza Drupal 8.5.x o anteriores, actualice a la versión 8.5.8

    Las versiones de Drupal anteriores a 8.5.x ya no cuentan con soporte técnico y no recibirán actualizaciones.

    Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla.

    Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

    Importante: Antes de hacer este tipo de acciones en entornos de producción es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

    Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.

    Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarse de los últimos avisos de seguridad para empresas.

    Detalle:

    Esta actualización de seguridad corrige los siguientes fallos de seguridad:

    • A los usuarios que no tenían acceso para usar las opciones de moderación de contenido se les concedía acceso para actualizar el contenido sin solicitar credenciales, siempre y cuando el estado del contenido no cambiara. Esto podría permitir que usuarios sin autorización realizasen cambios en el portal.
    • El módulo de direcciones permite a los administradores de este módulo crear redirecciones a sitios web maliciosos. Para explotar esta vulnerabilidad, el ciberdelincuente tendría que ser administrador del módulo de direcciones, lo que implica un bajo riesgo.
    • Al igual que en el anterior caso, pero dentro del módulo de enlaces contextuales, un atacante podría aprovechar esta vulnerabilidad para dirigir a los usuarios a páginas web maliciosas. Se necesitan privilegios de administrador por lo que también implica un riesgo bajo.
    • El núcleo de Drupal y los módulos añadidos utilizan frecuentemente un parámetro de cadena de consulta «destino» en las URLs para redirigir a los usuarios a un nuevo destino después de completar una acción en la página actual. Bajo ciertas circunstancias, los usuarios maliciosos pueden utilizar este parámetro para construir una URL que engañe a los usuarios para que sean redirigidos a un sitio web de terceros, exponiéndolos así a posibles ataques de ingeniería social.
    • Al enviar correos electrónicos, algunas variables no se gestionaban adecuadamente, lo que podía permitir a un atacante la ejecución remota de código de su elección para realizar cambios en el portal.

    Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en estos casos reales:

    Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad