Avisos de seguridad

1. Campaña de distribución de malware a través de factura falsa

   Fecha de publicación: 19/05/2022

   Importancia: Alta

   Recursos afectados:

   Cualquier empleado, autónomo o empresa que reciba un correo como el descrito a continuación o similar.

   Descripción:

   Se ha detectado una campaña de envío de correos electrónicos fraudulentos de tipo distribución de malware que tratan de suplantar a la entidad Endesa a través de una supuesta factura electrónica pendiente de pago.

   Solución:

   Es importante que ante la mínima duda, analices detenidamente el correo, tal y como explicamos en el artículo: '¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos'.

   Si has descargado y ejecutado el archivo, realiza un escaneo de todo el equipo con el antivirus y sigue las instrucciones marcadas por el mismo para eliminar el malware. También es recomendable que desconectes dicho equipo de la red principal de la empresa para evitar que otros dispositivos puedan verse infectados.

   Para evitar ser víctima de este tipo de engaños te recomendamos seguir estos consejos:

   • No abras correos de usuarios desconocidos o que no hayas solicitado; elimínalos directamente.
   • No contestes en ningún caso a estos correos.
   • Revisa los enlaces antes de hacer clic, aunque sean de contactos conocidos.
   • Desconfía de los enlaces acortados.
   • Desconfía de los ficheros adjuntos, aunque sean de contactos conocidos.
   • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
   • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de administrador.

   Además, es importante que realices periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente y que sabes recuperarlas. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

   • ¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos
   • Qué es el ransomware y cómo recupero mi información
   • Cómo evitar incidentes relacionados con los archivos adjuntos al correo
   • Día Mundial del Correo: cómo detectar correos fraudulentos
   • Antimalware. Políticas de seguridad para la pyme

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

   Detalle:

   La campaña maliciosa detectada suplantando a Endesa tiene como asunto ‘Se adjunta su factura electrónica para el mes de mayo/junio – (xxxxxxxxxxxx)’, aunque podría tener asuntos similares. El objetivo de esta campaña es infectar el dispositivo de la víctima con malware.

   En el cuerpo del correo se avisa al usuario de que tiene pagos pendientes cuya cantidad podría aumentar de no ser abonada como se muestra en la siguiente imagen:

   

   Al acceder al enlace se descarga un archivo con extensión .msi contenido en un .zip. Al ser ejecutado, automáticamente se descarga otro archivo malicioso comprimido en .zip. El análisis de estos archivos indica que están infectados con el troyano bancario Grandoreiro, el cual permitiría a los ciberdelincuentes realizar acciones como manipular ventanas, registrar pulsaciones de teclado y obtener direcciones del navegador de la víctima, entre otras.

   

    

    

   Etiquetas: Correo electrónico, Fraude, Ingeniería social, Malware, Suplantación de identidad

2. Si eres usuario de Zoom, actualiza para corregir las vulnerabilidades

   Fecha de publicación: 18/05/2022

   Importancia: Alta

   Recursos afectados:

   • Clientes de Zoom para reuniones anteriores a la versión 5.10.0 para Android, iOS, Linux, macOS, y Windows.
   • Salas de conferencia anteriores a la versión 5.10.0 para Windows.

   Descripción:

   Zoom ha solucionado dos vulnerabilidades de criticidad alta, que podrían permitir a un ciberdelincuente modificar las acciones que lleva a cabo el cliente de Zoom así como engañar a un usuario para que actualice a una versión menos segura.

   Solución:

   Zoom ha publicado actualizaciones para los productos afectados que solucionan estas vulnerabilidades:

   • Centro de descargas de Zoom.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

   Detalle:

   

    

   Las vulnerabilidades solucionadas en esta actualización:

   • El cliente de Zoom para reuniones para Windows y las salas de conferencias no comprueban correctamente la versión de instalación durante el proceso de actualización. Este problema podría ser utilizado por un ciberdelincuente en un ataque más sofisticado para engañar a un usuario y que actualice su cliente Zoom a una versión menos segura.
   • El cliente de Zoom para reuniones para Android, iOS, Linux, macOS y Windows no analiza correctamente el código XML en los mensajes XMPP (Extensible Messaging and Presence Protocol). Esto puede permitir a un ciberatacante salirse del contexto actual del mensaje XMPP y crear un nuevo contexto de mensaje para que el cliente del usuario realice una serie de acciones. Este problema podría utilizarse en un ataque más sofisticado para falsificar mensajes XMPP desde el servidor.

   

   Etiquetas: Actualización, Vulnerabilidad

3. Moodle corrige varías vulnerabilidades

   Fecha de publicación: 18/05/2022

   Importancia: Media

   Recursos afectados:

   • 4.0;
   • desde la versión 3.11, hasta la versión 3.11.6;
   • desde la versión 3.10, hasta la versión 3.10.10;
   • desde la versión 3.9, hasta la versión 3.9.13;
   • y todas las versiones anteriores sin soporte.

   Descripción:

   La plataforma de formación Moodle ha publicado actualizaciones de seguridad que corrigen varias vulnerabilidades.

   Solución:

   Se recomienda actualizar Moodle a la última versión disponible. Para ello, puedes acceder al siguiente enlace:

   • Moodle 4.0.1+

   Si utilizas otra versión de Moodle que continúa con soporte, puedes acceder a los enlaces de descarga que corrigen la vulnerabilidad.

   • Moodle 3.11.7+
   • Moodle 3.10.11+
   • Moodle 3.9.14+

   Importante: antes de actualizar en entornos de producción es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue esta checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

   • ¿Humano o bot? Protege tu web con sistemas captcha
   • Celebra el Día Mundial de las Contraseñas, la puerta de entrada a todos tus servicios
   • Qué es una DMZ y cómo te puede ayudar a proteger tu empresa
   • Historias reales: web segura cumpliendo la ley
   • 5 razones para hacer copias de seguridad de tu web

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

   Detalle:

   

   La actualización de seguridad corrige varias vulnerabilidades, las mas importantes son:

   • Existía un riesgo de inyección SQL en el código de badges(insignias) relacionado con la configuración de criterios.
   • Un problema en la lógica utilizada para contar los intentos fallidos de inicio de sesión podría dar lugar a que se salte el umbral de bloqueo de la cuenta.

   Etiquetas: Actualización, Vulnerabilidad

4. Actualiza tus dispositivos Apple y evita estas vulnerabilidades

   Fecha de publicación: 17/05/2022

   Importancia: Crítica

   Recursos afectados:

   • macOS Catalina, versiones anteriores a 2022-004.
   • macOS Big Sur versiones, anteriores a 11.6.6.
   • macOS Monterey, versiones anteriores a 12.4.
   • iOS e iPadOS, versiones anteriores a 15.5:
     • iPhone 6s y posteriores,
     • iPad Pro (todos los modelos),
     • iPad Air 2 y posteriores,
     • iPad 5th generation y posteriores,
     • iPad mini 4 y posteriores,
     • iPod touch (7th generation).
     • Safari, versiones anteriores a 15.5.

   Descripción:

   Apple ha identificado y corregido vulnerabilidades de lectura y escritura de memoria fuera de límites, ejecución arbitraria de código y elevación de privilegios que afectan a varios de sus sistemas, por lo que recomienda actualizar los sistemas afectados.

   Solución:

   Si en tu empresa utilizas dispositivos de Apple con estos sistemas operativos, actualízalos cuanto antes.

   Actualizar tu dispositivo móvil

   Si tienes activadas las actualizaciones automáticas, los dispositivos se actualizarán sin necesidad de hacer nada. Para activar las actualizaciones automáticas, ve a Ajustes > General > Actualización de software> Personalizar actualizaciones automáticas y, a continuación, activa «Instalar actualizaciones de iOS».

   

   Actualizar tu ordenador

   1. Elige ‘Preferencias del sistema’ en el menú Apple y, después, haz clic en ‘Actualización de software’ para comprobar si hay actualizaciones disponibles.
   2. Si hay actualizaciones disponibles, haz clic en el botón ‘Actualizar ahora’ para instalarlas o en ‘Más información’ para ver detalles sobre cada actualización y seleccionar cuáles se instalarán. Puede que tengas que introducir la contraseña de administrador.
   3. Cuando la actualización de softwarete indique que tu Mac está actualizado, la versión instalada de macOS y todas sus apps también estarán actualizadas. Esto incluye Safari, Música, Fotos, Libros, Mensajes, Mail, Calendario y FaceTime.
   4. Para instalar automáticamente futuras actualizaciones, incluso para las apps obtenidas en el App Store, selecciona ‘Mantener el Mac actualizado automáticamente’. El Mac te avisará cuando las actualizaciones requieran reiniciar el ordenador, de modo que puedas decidir si quieres instalarlas más adelante.

   Puedes consultar más información acerca de cómo actualizar tu dispositivo en la página de Apple.

   Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

   • Política de actualizaciones de software
   • Minimiza los riesgos de un ataque: ¡actualiza el software!
   • Buenas prácticas en el área de informática
   • Evalúa los riesgos de tu empresa en tan solo 5 minutos
   • Cómo prevenir incidentes en los que intervienen dispositivos móviles

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

   Detalle:

   

   Apple ha solucionado varios fallos de seguridad que afectan a sus sistemas. Estas vulnerabilidades podrían permitir a un ciberdelincuente la ejecución de código arbitrario con privilegios, la lectura de la memoria del Kernel, la corrupción de la memoria, causar la terminación inesperada de aplicaciones y provocar denegaciones de servicio. Algunos de estos fallos, que afectan a los dispositivos con macOS, se solucionan con la actualización de Apache a la versión 2.4.53.

   

   Etiquetas: Actualización, Apple, Vulnerabilidad

5. Vulnerabilidad en el sistema operativo de los cortafuegos de Zyxel

   Fecha de publicación: 16/05/2022

   Importancia: Alta

   Recursos afectados:

   • USG FLEX 100(W), 200, 500 y 700 con versiones de firmware ZLD V5.00 hasta ZLD V5.21 Patch 1.
   • USG FLEX 50(W) y USG20(W)-VPN con versiones de firmware ZLD V5.10 hasta ZLD V5.21 Patch 1.
   • ATP series con versiones de firmware ZLD V5.10 hasta ZLD V5.21 Patch 1.
   • VPN series con versiones de firmware ZLD V4.60 hasta ZLD V5.21 Patch 1.

   Descripción:

   Zyxel ha publicado el parche que soluciona una vulnerabilidad de inyección de comandos en el sistema operativo de los firewalls detallados en “Recursos afectados”.

   Solución:

   Instalar el parche ZLD V5.30 del proveedor lo antes posible. Si es posible, activar las actualizaciones automáticas del firmware y desactivar el acceso WAN a la interfaz web administrativa del sistema.

   Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

   • Política de actualizaciones de software
   • Minimiza los riesgos de un ataque: ¡actualiza el software!
   • Buenas prácticas en el área de informática
   • Evalúa los riesgos de tu empresa en tan solo 5 minutos
   • Cómo prevenir incidentes en los que intervienen dispositivos móviles

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

   Detalle:

   

    

   La vulnerabilidad reportada afecta a los firewalls de Zyxel que soportan Zero Touch Provisioning (ZTP). Esta vulnerabilidad permitiría a un atacante remoto no autenticado la ejecución de código arbitrario en el dispositivo afectado.

   

   Etiquetas: Actualización, Vulnerabilidad