Avisos de seguridad

  1. Fecha de publicación: 18/10/2018

    Importancia: Crítica

    Recursos afectados:

    • Versiones de Drupal 7.x, 8.6.x, 8.5.x y versiones anteriores.

    Descripción:

    Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos Drupal y que soluciona múltiples vulnerabilidades.

    Solución:

    La solución para estos problemas de seguridad es la instalación de la versión más reciente de Drupal:

    • Si utiliza Drupal 7.x, actualice a la versión 7.60
    • Si utiliza Drupal 8.6.x, actualice a la versión 8.6.2
    • Si utiliza Drupal 8.5.x o anteriores, actualice a la versión 8.5.8

    Las versiones de Drupal anteriores a 8.5.x ya no cuentan con soporte técnico y no recibirán actualizaciones.

    Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla.

    Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

    Importante: Antes de hacer este tipo de acciones en entornos de producción es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

    Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.

    Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarse de los últimos avisos de seguridad para empresas.

    Detalle:

    Esta actualización de seguridad corrige los siguientes fallos de seguridad:

    • A los usuarios que no tenían acceso para usar las opciones de moderación de contenido se les concedía acceso para actualizar el contenido sin solicitar credenciales, siempre y cuando el estado del contenido no cambiara. Esto podría permitir que usuarios sin autorización realizasen cambios en el portal.
    • El módulo de direcciones permite a los administradores de este módulo crear redirecciones a sitios web maliciosos. Para explotar esta vulnerabilidad, el ciberdelincuente tendría que ser administrador del módulo de direcciones, lo que implica un bajo riesgo.
    • Al igual que en el anterior caso, pero dentro del módulo de enlaces contextuales, un atacante podría aprovechar esta vulnerabilidad para dirigir a los usuarios a páginas web maliciosas. Se necesitan privilegios de administrador por lo que también implica un riesgo bajo.
    • El núcleo de Drupal y los módulos añadidos utilizan frecuentemente un parámetro de cadena de consulta «destino» en las URLs para redirigir a los usuarios a un nuevo destino después de completar una acción en la página actual. Bajo ciertas circunstancias, los usuarios maliciosos pueden utilizar este parámetro para construir una URL que engañe a los usuarios para que sean redirigidos a un sitio web de terceros, exponiéndolos así a posibles ataques de ingeniería social.
    • Al enviar correos electrónicos, algunas variables no se gestionaban adecuadamente, lo que podía permitir a un atacante la ejecución remota de código de su elección para realizar cambios en el portal.

    Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en estos casos reales:

    Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

  2. Fecha de publicación: 17/10/2018

    Importancia: Alta

    Recursos afectados:

    • Oracle Java SE, versiones 6u201, 7u191, 8u182, 11
    • Oracle Java SE Embedded, versiones 8u18, 8u181
    • Oracle JRockit, versión R28.3.19

    Descripción:

    Oracle publica periódicamente actualizaciones que solucionan fallos críticos de seguridad de sus productos. El aviso de actualización de este mes de octubre incluye la solución a doce fallos de seguridad de JAVA SE, once de los cuales podrían ser explotados remotamente sin autenticación, es decir, a través de una red sin requerir credenciales de usuario.

    Solución:

    Las actualizaciones están formadas por parches que solucionan los distintos fallos de seguridad detectados. Se recomienda aplicar esta actualización de seguridad lo antes posible.

    NOTA: Para activar Java, configurarlo o realizar la actualización tienes que entrar en el ordenador con un usuario que tenga permisos de administrador.

    Si necesitas activar Java puedes realizarlo de dos formas:

    También puedes configurar las actualizaciones automáticas en Windows y en OSx.

    Si no tienes activadas las actualizaciones automáticas recomendamos:

    1. Comprobar la versión de Java que tiene instalada desde el navegador.

    Al aceptar, comprobará la versión que tienes instalada y, si fuera necesario, te recomendará la actualización más conveniente para tu sistema.

    1. También puedes actualizar directamente Java en tu ordenador a la última versión.
    2. Para realizar otras acciones de seguridad relativas a java tales como: eliminar versiones antiguas, configurar el nivel de seguridad o rechazar aplicaciones de origen desconocido, consulta estos consejos de seguridad.

    Recuerda que tener actualizados todos los productos que utilizas es una buena práctica para evitar ser objeto de ataques.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarse de los últimos avisos de seguridad para empresas.

    Detalle:

    Java es un software que es necesario activar en los navegadores para utilizar ciertos programas integrados en los sitios webs. Este tipo de programas se utilizan en las aplicaciones de la Agencia tributaria (IVA, impuesto sociedades,…), Seguridad Social, Registro Mercantil y en algunas webs de banca online.

    Antes de actualizar aquellos equipos que interactúen con estas páginas, revisa previamente los requisitos técnicos, por ejemplo en estos enlaces de la Agencia tributaria y la sede de la Seguridad Social.

    Los fallos críticos detectados en los productos afectados podrían permitir a un usuario remoto conseguir privilegios de administrador, acceder y modificar datos del sistema y dejar inactivo o no accesible el servicio. También permitirían a un usuario en local conseguir privilegios de administrador.

    Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Java

  3. Fecha de publicación: 11/10/2018

    Importancia: Alta

    Recursos afectados:

    Cualquier empresa que sea cliente del Banco Santander y que realice habitualmente operaciones de banca electrónica. Potencialmente puede verse afectado cualquier empleado que reciba este correo electrónico y que gestione operaciones bancarias online.

    Descripción:

    Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad Banco Santander, cuyo objetivo es dirigir a la víctima a una página falsa (phishing) para robar sus credenciales de acceso e información bancaria.

    Solución:

    Como en cualquier otro caso de phishing, extreme las precauciones y avise a sus empleados para que estén alerta ante correos de origen sospechoso, especialmente si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas de inicio de sesión.

    Si algún empleado ha recibido un correo de estas características, ha accedido al enlace y ha introducido las credenciales de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

    Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

    • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
    • En caso de que el correo proceda de una entidad bancaria legítima nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
    • No contestar en ningún caso a estos correos.
    • Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
    • Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
    • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
    • Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de Administrador.

    Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

    Si necesita soporte o asistencia, y se ha visto afectado por este engaño, INCIBE le ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

    Lecturas recomendadas:

    ¿Le gustaría estar a la última con la información de nuestros avisos? Anímese y suscríbase a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Será el primero en enterarse de los últimos avisos de seguridad para empresas.

    Detalle:

    Un empleado de una empresa o autónomo podría recibir en su correo un mensaje que parece provenir del Banco Santander, cuyo campo “asunto” contiene el nombre de la propia entidad.  Dentro del correo se informa al usuario que se ha detectado varios intentos de acceso fraudulentos y que por motivos de seguridad se deben verificar los datos bancarios, en caso de no hacerlo antes de 12 horas la cuenta será suspendida temporalmente.

    El mensaje podría tener el siguiente aspecto:

    Al acceder al enlace, el usuario será redirigido a una página web que suplanta la legítima, esta no cuenta con certificado de seguridad, lo cual es imprescindible en la web de inicio de sesión de una entidad bancaria y cualquier página web en la que se introduzcan datos confidenciales.

    Si el usuario introduce las credenciales de acceso, será redirigido a otra página en la que se solicita información personal y bancaría.

    Y por último, será redirigido a otra web en la que el usuario debe introducir su firma electrónica, la cual permite realizar operaciones y contrataciones en línea. Cabe destacar que la propia página fraudulenta cuenta con un aviso de seguridad  indicando que no se deben atender solicitudes de firma electrónica o claves de acceso que provengan de SMS, llamadas telefónicas, o como es nuestro caso, correo electrónico.

    Una vez introducido ese código, el usuario será redirigido a la página web legítima del Banco Santander, en la que se puede observar que la URL y el certificado coinciden con el sitio original.

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Correo electrónico, Phishing

  4. Fecha de publicación: 10/10/2018

    Importancia: Baja

    Recursos afectados:

    Versiones de Joomla! 1.5.0 a 3.8.12

    Descripción:

    Se han publicado nuevas actualizaciones de seguridad del gestor de contenidos web Joomla! para dar solución a varias vulnerabilidades que afectan a su núcleo (core).

    Solución:

    Si tienes instalada cualquier versión de las citadas anteriormente, te recomendamos que actualices a la última versión 3.8.13, la cual podrás encontrar en la web oficial de Joomla! o actualizar desde el panel de gestión del propio gestor de contenidos. 

    Si cuentas con un proveedor externo, remítele esta información para que pueda aplicar la actualización de seguridad, a través de los siguientes pasos:

    En primer lugar, habrá que acceder a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»

    Imagen de introducción de credenciales de Joomla

    Una vez hayas accedido, podrás comprobar cómo el propio gestor avisa, a través de un mensaje situado en la parte superior de la pantalla, sobre la existencia de una nueva versión de Joomla! En este caso, la 3.8.13:

    Imagen que muestra el aviso de actualización disponible

    Al pulsar sobre el botón «Actualizar ahora», iremos a una segunda pantalla donde únicamente deberemos hacer clic en el botón «Instalar la actualización». El resto del texto es meramente informativo:

    Imagen que muestra el botón de iniciar la actualización

    En el último paso, arrancará el proceso de instalación y al finalizar se mostrará el siguiente mensaje: «Su sitio ha sido actualizado correctamente». En este momento, el gestor de contenidos ya estará actualizado a la última versión disponible. 

    Imagen que muestra la barra de progreso del proceso de instalación

    Imagen que muestra que el proceso ha finalizado correctamente

    Importante: Antes de hacer este tipo de acciones en entornos de producción es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

    ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
     

    Detalle:

    La actualización está relacionada con las siguientes mejoras y resolución de vulnerabilidades:

    • Aumento del nivel de seguridad ante ataques tipo CSRF (Cross-Site Request Forgery). Se trata de un tipo de ataque que obliga al usuario a ejecutar acciones maliciosas sobre la aplicación web en la que se encuentran autenticados. Esta actualización va dirigida a aquellas acciones que el módulo de administración «com_installer» realiza en el backend
    • Vulnerabilidad que permitiría a un atacante con acceso a una cuenta de correo con capacidad de otorgar permisos de administración en el proceso de registro, activarse a sí mismo. 
    • Vulnerabilidad en los campos de búsqueda de etiquetas que podrían producir una violación del nivel de acceso. En Joomla! los niveles de acceso se utilizan para controlar el acceso a los contenidos de nuestro sitio web. 
    • Vulnerabilidad detectada en la configuración predeterminada de las listas de control de acceso (en inglés ACL o access control list), que permitiría una ejecución de código para usuarios administradores de la web, en el módulo «com_joomlaupdate».
    • Vulnerabilidad relacionada con verificaciones inadecuadas en el módulo «com_contact», que permitirían el envío de correos en formularios deshabilitados. 

    Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklistpara evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

    • ¿Mi web está en una lista negra?
    • El día que mi empresa atacó a otra por internet sin saberlo
    • Mi página web está suplantando a una web bancaria
    • Mi web está siendo atacada por un grupo Yihadista

    Si aplica: Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del INCIBE-CERT.

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

  5. Fecha de publicación: 01/10/2018

    Importancia: Media

    Recursos afectados:

    Cualquier organización, pyme o autónomo que cuente con perfiles en esta red social y gestione páginas de empresa, ya que han sido afectadas casi 50 millones de cuentas. 

    Descripción:

    En la tarde del pasado martes 25 de septiembre se descubrió una vulnerabilidad en la red social Facebook que expuso la información de 50 millones de cuentas. Esta información ha sido confirmada a través de una nota de seguridad

    Se trata de un problema de seguridad que afecta a la característica “Ver como”, mediante la cual un atacante podría obtener el identificador único o clave digital de acceso automático a las cuentas («token»), utilizados para no introducir las credenciales cada vez que se quiere acceder a las mismas. 
     

    Solución:

    Para solucionarlo, Facebook ha restablecido los «tokens» de acceso a la aplicación de todas las cuentas de las que se tiene certeza que fueron afectadas por esta vulnerabilidad. Además, se han tomado medidas preventivas en otras cuentas que han sido objeto de la opción de búsqueda “Ver como…” en el último año.

    Aunque desde Facebook indican que no es necesario realizar el cambio de contraseña, se recomienda llevar a cabo esta medida. Si se tiene problemas para realizar el inicio de sesión, Facebook recomienda seguir los pasos que marca su Servicio de ayuda para reestablecer la contraseña:

    1. Ve a la página Recupera tu cuenta (facebook.com/login/identify).
    2. Escribe el correo electrónico, número de teléfono móvil, nombre completo o nombre de usuario asociado a la cuenta y, a continuación, haz clic en Buscar.
    3. Sigue las instrucciones que aparecen en la pantalla.

    ¿Le gustaría estar a la última con la información de nuestros avisos? Anímese y suscríbase a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Será el primero en enterarse de los últimos avisos de seguridad para empresas.
     

    Detalle:

    La función de privacidad «Ver como…», permite comprobar cómo es el aspecto de tu perfil para el resto de usuarios. 

    La vulnerabilidad detectada en esta función fue provocada por una combinación de tres tipos de errores:

    -    En primer lugar, desde el cuadro que permite desear a amigos feliz cumpleaños, se proporcionó incorrectamente la oportunidad de publicar un vídeo.
    -    En segundo lugar, ese cargador de vídeos generó incorrectamente un «token» de acceso con los permisos de la aplicación móvil de Facebook.
    -    Por último, cuando el cargador de vídeos apareció como parte del «Ver como…», se generó un «token» de acceso para un usuario que realizara la búsqueda. 

    Esta combinación convirtió a la función «Ver como…» en una vulnerabilidad. Cuando usas la característica «Ver como…» para ver el perfil de un amigo, el código no eliminó la posibilidad de cargar vídeos en el cuadro de felicitación de cumpleaños, generando un «token» de acceso para la persona que estaba haciendo esa búsqueda. De esta forma, estaban disponibles en el HTML de la página las credenciales de acceso que generan ese «token», quedando visibles para el atacante. 

    Imagen decorativa de aviso de seguridad de facebook

    Además, esta vulnerabilidad permitía pivotar de una cuenta comprometida con ese «token» a otras, realizando las mismas acciones y obteniendo credenciales de acceso a las mismas. 

    Por lo tanto, Facebook ha reiniciado los «tokens» de acceso de las casi 50 millones de cuentas de las que se tiene constancia que han sido afectadas y como medida de precaución, de otros casi 40 millones, lo que obligará a los usuarios a volver a iniciar sesión. 

    Finalmente, la opción «Ver como…», ha sido deshabilitada, ya que el proceso de investigación permanece abierto. Esto implica que no se sabe si se han realizado usos fraudulentos o malintencionados de aquellas cuentas cuyos «tokens» fueron robados o si se ha accedido a información confidencial. 

    Mejoramos contigo. Participa en nuestra encuesta

    Etiquetas: Actualización, Vulnerabilidad