Avisos de seguridad

1. Drupal soluciona una vulnerabilidad crítica de ejecución de código remoto. ¡Actualiza cuanto antes!

   Fecha de publicación: 19/11/2020

   Importancia: Crítica

   Recursos afectados:

   Versiones de Drupal anteriores a:

   • Drupal 7.74.
   • Drupal 8.8.11.
   • Drupal 8.9.19
   • Drupal 9.0.8.

   Descripción:

   Se ha detectado una nueva vulnerabilidad crítica que afecta al núcleo de Drupal en cuanto a la gestión de nombres de ficheros cuando estos son subidos al servidor.

   Solución:

   Se recomienda actualizar Drupal a la última versión disponible, para ello puedes acceder a los siguientes enlaces:

   • Si utilizas Drupal 7.x, actualiza a Drupal 7.74.
   • Si utilizas Drupal 8.8.x, actualiza a Drupal 8.8.11.
   • Si utilizas Drupal 8.9.x, actualiza a Drupal 8.9.9.
   • Si utilizas Drupal 9.x, actualiza a Drupal 9.0.8.

   Si utilizas una versión de Drupal 8, anterior a la 8.8, debes actualizar a la última versión disponible, ya que las anteriores ya no cuentan con soporte.

   Importante: Recuerda hacer una copia de seguridad de los archivos de tu servidor y de la base de datos, antes de proceder a actualizar tu gestor de contenidos. Además, es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

   • ¿Humano o bot? Protege tu web con sistemas captcha
   • Celebra el Día Mundial de las Contraseñas, la puerta de entrada a todos tus servicios
   • Qué es una DMZ y cómo te puede ayudar a proteger tu empresa
   • Historias reales: web segura cumpliendo la ley
   • 5 razones para hacer copias de seguridad de tu web

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 017.

   Detalle:

   

   Esta actualización corrige una vulnerabilidad considerada crítica, que podría permitir a un ciberdelincuente ejecutar código remoto en el servidor, aprovechando una interpretación incorrecta de las extensiones de archivo cuando se suben ficheros al gestor de contenidos.

   Drupal recomienda además, comprobar todos los archivos subidos con anterioridad en busca de extensiones de archivos maliciosos, haciendo especial hincapié en aquellos ficheros que incluyen más de una extensión como “nombrearchivo.php.txt” sin un (_) en la extensión y poniendo especial atención en las siguientes terminaciones cuando van seguidas de una o más extensiones de archivo:

   • phar,
   • php,
   • pl,
   • py,
   • cgi,
   • asp,
   • js,
   • html,
   • htm,
   • phtml.

   Esta lista no es excluyente, por lo que se recomienda prestar especial atención a otras extensiones no nombradas que podrían encontrarse igualmente afectadas.

   Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

   

   Etiquetas: Actualización, CMS, Vulnerabilidad

2. Nueva versión de Prestashop, actualiza tu comercio online

   Fecha de publicación: 17/11/2020

   Importancia: Alta

   Recursos afectados:

   • Prestashop 1.7.6.8 y versiones anteriores.

   Descripción:

   Prestashop ha publicado una actualización de seguridad que corrige una vulnerabilidad de criticidad alta, por lo que se recomienda actualizar a la última versión disponible cuanto antes.

   Solución:

   Se recomienda actualizar Prestashop a la última versión, en este caso, 1.7.6.9 a través de la página de administración de la tienda.

   Importante: antes de actualizar en entornos de producción, es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

   Instrucciones de actualización

   Se recomienda tener instalado el módulo de actualizaciones 1-Click Upgrade, que nos permitirá actualizar de forma sencilla la tienda a la última versión disponible de Prestashop.

   A través del panel de administración de la tienda, y una vez hemos accedido con nuestras credenciales, nos dirigiremos dentro del menú a la opción «Improve > Modules > Modules Manager > 1-Click Upgrade > Configure».

   En caso de que no lo tuvieras instalado, accede al catálogo de módulos e instálalo. Para ello, dirígete a «Improve > Modules > Module Catalog > 1-Click Upgrade > Install».

   

   Para comprobar si hay una nueva actualización disponible, nos dirigiremos al apartado «Start your upgrade» y en este apartado, se mostrará la última versión disponible del programa.

   

   Antes de realizar la actualización, el programa nos notificará una serie de requisitos previos que deben tenerse en cuenta a la hora de actualizar.

   

   Para poder continuar con el proceso de actualización, todos los requisitos previos deben estar señalados en verde. Es recomendable realizar una copia de seguridad de la base de datos y de los archivos de la tienda, ya que en caso de que haya alguna incidencia con el proceso de actualización, se puede recuperar la versión previa de la tienda. Una vez se hayan realizado las copias de seguridad, la tabla de requisitos se actualizará.

   

   A continuación, haremos clic en el botón «Upgrade Prestashop Now!» y comenzará el proceso de actualización.

   

   Una vez que ha finalizado el proceso, se visualizará la siguiente pantalla junto con unas instrucciones a realizar.

   

   Tras actualizar la página en el navegador, deberemos acceder al panel de administración de nuevo, eliminar la caché de la página y tras comprobar que los cambios se han efectuado correctamente, reactivaremos la tienda para que vuelva a estar operativa. Si se accede de nuevo a la herramienta 1-Click Upgrade, observaremos el siguiente mensaje:

   

   También se puede realizar la actualización manual de la tienda, siguiendo las instrucciones que encontrarás en la página web de Prestashop.

   Es importanteproteger el gestor de contenidos para evitar que sea vulnerable. Sigue estechecklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

   • E-skimming, qué es y cómo proteger tu tienda contra esta técnica maliciosa;
   • Aspectos clave para proteger tu tienda online;
   • Medidas de prevención contra ataques de denegación de servicio;
   • 5 razones para hacer copias de seguridad de tu web;
   • Historias reales: copiaron las imágenes de mi web para realizar ventas falsas.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

   Detalle:

   

   La versión 1.7.6.9 soluciona un fallo de seguridad, de criticidad alta, que permitiría a un ciberdelincuente visualizar todos los pedidos realizados en el sitio web, sin estar registrado dentro de la tienda, debido a un fallo que permite crear de nuevo un carro de la compra a partir de un pedido ya realizado.

   

   Etiquetas: Actualización, CMS, Vulnerabilidad

3. Sigue la campaña de malware que usa como señuelo a la DGT

   Fecha de publicación: 13/11/2020

   Importancia: Alta

   Recursos afectados:

   Cualquier empleado o autónomo que haya recibido un correo electrónico con las características descritas en este aviso.

   Descripción:

   Desde INCIBE se advierte de la campaña de envío de correos electrónicos fraudulentos que tratan de suplantar a la Dirección General de Tráfico (DGT) para difundir malware. Dada la duración de esta campaña, que ha sido denunciada en ocasiones anteriores, se pide a los usuarios que estén alerta ante este tipo de fraude.

   En la campaña detectada, el correo tiene como asunto: «Multa no pagada - bloque de vehiculos - [ id (números aleatorios) ]». Los ciberdelincuentes, haciendo uso de técnicas de ingeniería social, usan como señuelo una supuesta multa emitida por la Dirección General de Tráfico (DGT) para forzar a la víctima a la descarga y posterior ejecución del archivo malicioso. No se descarta que circulen otros correos con asuntos diferentes al detectado.

   Para dar credibilidad al correo, suplantan la dirección del remitente haciendo que parezca que proviene de una entidad legítima cuando en realidad no lo es. Esta técnica se conoce como email spoofing.

   El correo contiene un enlace que simula ser de la sede electrónica de la DGT y, una vez que el usuario ha clicado en el mismo, este es redirigido a una página web maliciosa donde se descargará el malware. Los nombres de los archivos maliciosos son:

   • MULTA_000000_XXX.zip

   Cada vez que se descarga el archivo tiene un nombre aleatorio, aunque sigue el mismo patrón, “MULTA_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias”.

   Solución:

   Es importante que ante la mínima duda, analices detenidamente el correo, tal y como explicamos en el artículo:

   • ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos.

   Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

   Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

   • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
   • No contestes en ningún caso a estos correos.
   • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
   • Desconfía de los enlaces acortados.
   • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
   • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
   • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

   Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de verte afectado por algún incidente de seguridad, podrás recuperar la actividad de tu empresa de forma ágil.

   • Qué es el ransomware y cómo recupero mi información;
   • Cómo evitar incidentes relacionados con los archivos adjuntos al correo;
   • Día Mundial del Correo: cómo detectar correos fraudulentos;
   • Antimalware. Políticas de seguridad para la pyme.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

   Detalle:

   En la campaña detectada, los ciberdelincuentes tratan de distribuir un tipo de malware conocido como Trojan Downloader, en este caso concreto, descarga un troyano bancario cuyo propósito es conseguir información confidencial de la víctima, así como información del equipo infectado. Este troyano bancario también ha sido distribuido en otras campañas anteriormente detectadas.

   Para lograrlo, los ciberdelincuentes usan la técnica de email spoofing, con la que tratan de hacer creer que el remitente del correo electrónico es el Ministerio del Interior de quién depende la Dirección General de Tráfico (DGT), cuando en realidad no es así. El mensaje que suplanta al organismo oficial es el siguiente:

   

   Realizando una serie de comprobaciones, en el cuerpo del mensaje se pueden detectar múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que una entidad legítima nunca cometería.

   Al clicar en el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «MULTA_168284_PYS.zip», como puede observarse en la siguiente imagen:

   

   El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

   Recuerda que si recibes una notificación por parte del Ministerio del Interior, de la DGT u otro organismo público, debes acceder a través de la sede electrónica para comprobar las notificaciones o avisos que te envíen. Además, nunca accedas a través del enlace contenido en el cuerpo del mensaje.

   

   Etiquetas: Correo electrónico, Fraude, Malware

4. Vulnerabilidades críticas en varios productos de Microsoft. ¡No dejes que tu empresa se pare, actualiza!

   Fecha de publicación: 11/11/2020

   Importancia: Crítica

   Recursos afectados:

   • Microsoft Windows:
     • Windows 10 (versiones 20H2, 1607, 2004, 1903, 1909, 1809 y 1803);
     • Windows Server (versiones 2012, 2012 R2, 2012 Server Core, 2016, 2016 Server Core, 2019, 2019 Server Core);
     • Windows 8 (versiones 8.1 y RT 8.1).
   • Internet Explorer 11:
     • En todas las versiones de Windows citadas anteriormente.
   • Microsoft Edge (EdgeHTML-based):
     • Solamente afectadas las versiones de Windows 10 (20H2, 1607, 2004, 1903, 1909, 1809 y 1803).

   Descripción:

   El boletín mensual de noviembre de Microsoft® detalla hasta 104 vulnerabilidades, de las cuales 16 son críticas y afectan a varias familias de productos del fabricante, algunos de los cuales son ampliamente utilizados en el entorno empresarial.

   Solución:

   En la mayor parte de los casos, el software afectado se actualizará automáticamente por defecto, pero en el caso de que no se realizase dicha actualización de forma automática, Microsoft pone a disposición de los usuarios un portal web con toda la información relacionada, así como los parches de los productos afectados para descarga y que se puede consultar aquí: Guía de actualizaciones de seguridad de Microsoft. Noviembre 2020.

   Se recomienda actualizar lo antes posible el software afectado a la última versión y activar las actualizaciones automáticas en caso de que no se estén aplicando por defecto.

   Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

   • Política de actualizaciones de software;
   • Minimiza los riesgos de un ataque: ¡actualiza el software!;
   • Buenas prácticas en el área de informática;
   • Evalúa los riesgos de tu empresa en tan solo 5 minutos;
   • Cómo prevenir incidentes en los que intervienen dispositivos móviles.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

   Detalle:

   

   Algunas de las principales vulnerabilidades críticas, podrían permitir a un ciberdelincuente realizar una escalada de privilegios y provocar fallos de memoria en Internet Explorer 11 y Edge (HTML-based), así como realizar ejecuciones de código maliciosos de manera remota en el sistema de ficheros en red de Windows 10. Las vulnerabilidades también pueden provocar denegación de servicio, divulgación de información, elusión de las medidas de seguridad, suplantación de identidad (spoofing) y manipulación (tampering).

   También existen otros productos afectados de Microsoft cuya valoración no es crítica, pero que requieren igualmente atención por ser especialmente sensibles a ser utilizados por los ciberdelincuentes. Estos serían:

   • Microsoft Edge (Chromium-based),
   • ChakraCore,
   • Microsoft Exchange Server,
   • Microsoft Dynamics,
   • Microsoft Windows Codecs Library,
   • Azure Sphere,
   • Windows Defender,
   • Microsoft Teams.

   Por el momento, Microsoft no ha revelado ningún detalle de las vulnerabilidades críticas para evitar su utilización por parte de ciberdelincuentes.

   Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE CERT.

   

   Etiquetas: Actualización, Microsoft, Vulnerabilidad

5. Campaña de infección con malware suplantando al Banco Santander

   Fecha de publicación: 11/11/2020

   Importancia: Alta

   Recursos afectados:

   Cualquier empleado o autónomo que haya recibido un correo electrónico con las características descritas en este aviso.

    

   Descripción:

   Desde INCIBE se advierte de una campaña de envío de correos electrónicos fraudulentos que tratan de suplantar al Banco Santander para difundir malware.

   En la campaña identificada, el correo tiene como asunto: «Comprobante de Transferencia Bancaria. - (id números aleatorios)». En el cuerpo de los mensajes se solicita al usuario que descargue un archivo comprimido en formato ZIP indicando que es el comprobante de la supuesta transferencia.

   Dicho archivo simula ser un ZIP, pero en realidad es un enlace que redirige al usuario a una página web maliciosa donde se descargará el malware. El nombre del archivo malicioso es «COMPROBANTE_000000_XXX.zip».

   Cada vez que se descarga el archivo, tiene un nombre aleatorio, aunque sigue el mismo patrón: «Archivo_ + 5 o 6 números aleatorios + _ + 3 letras aleatorias».

   Solución:

   Es importante que ante la mínima duda analices detenidamente el correo, tal y como explicamos en el artículo:

   • ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos

   Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware.

   Para evitar ser víctima de este tipo de engaños te recomendamos seguir estos consejos:

   • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínalos directamente.
   • No contestes en ningún caso a estos correos.
   • Revisa los enlaces antes hacer clic, aunque sean de contactos conocidos.
   • Desconfía de los enlaces acortados.
   • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
   • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
   • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

   Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente. Verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

   • Qué es el ransomware y cómo recupero mi información
   • Cómo evitar incidentes relacionados con los archivos adjuntos al correo
   • Día Mundial del Correo: cómo detectar correos fraudulentos
   • Antimalware. Políticas de seguridad para la pyme

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

   Detalle:

   En la campaña denunciada, el correo electrónico trata de distribuir un tipo de malware identificado como Trojan Downloader o Dropper, diseñado para tomar el control del equipo de la víctima y realizar multitud de acciones maliciosas, como robar datos personales, infectar nuevamente el equipo con otros tipos de malware o lanzar ataques de denegación de servicio contra otros usuarios.

   Para dotar de más credibilidad a la campaña maliciosa, los ciberdelicuentes hacen uso de la técnica de email spoofing, con la que tratan de hacer creer a la víctima que el remitente del correo electrónico es el Banco Santander, cuando en realidad no es así. El mensaje que suplanta a la entidad estatal es el siguiente:

   

   Observando detenidamente el cuerpo del mensaje se pueden detectar múltiples errores gramaticales y ortográficos junto con otras incongruencias, algo que una entidad legítima nunca cometería.

   Una vez se ha pulsado sobre el enlace adjunto, se abre el navegador para descargar el archivo malicioso, en este caso concreto «COMPROBANTE_873654_YVB.zip», como puede observarse en la siguiente imagen:

   

   El archivo descargado contiene el malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.

   Recuerda que si recibes una notificación por parte de entidad bancaria, debes acceder a través de su página web oficial, nunca a través del enlace contenido en el cuerpo del mensaje.

   

   Etiquetas: Correo electrónico, Fraude, Malware