Avisos de seguridad

1. Si utilizas Drupal como gestor de contenidos, este aviso te interesa

   Fecha de publicación: 02/08/2018

   Importancia: Media

   Recursos afectados:

   Versiones de Drupal 8.x anteriores a la 8.5.6.

   Descripción:

   Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos Drupal y que soluciona una vulnerabilidad relacionada con una librería externa de la que éste hace uso. 

   Solución:

   La solución a este problema de seguridad es actualizar a Drupal 8.5.6.

   Las versiones de Drupal anteriores a 8.5.x ya no cuentan con soporte técnico y no recibirán actualizaciones.

   Antes de realizar ninguna actualización del gestor de contenidos Drupal, es necesario realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Además, se recomienda comprobar que se ha realizado dicha copia de seguridad y que llegado el momento, se podría recuperar. 

   Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automáticas, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones. 

   Importante: Antes de hacer este tipo de acciones en entornos de producción es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
    

   Detalle:

   El núcleo del gestor de contenidos Drupal hace uso de una biblioteca externa llamada Symfony. Los desarrolladores de esta librería han publicado una actualización de seguridad que corrige una vulnerabilidad en las cabeceras que permitiría evadir las restricciones que ocultan información sensible. 

   Esta vulnerabilidad también se ha detectado en las bibliotecas Zend Feed y Diactoros, también incluidas en el núcleo de Drupal. Sin embargo, en este caso, Drupal no hace uso de la funcionalidad vulnerable. 

   Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del CERTSI.

   Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en estos casos reales:

   • ¿Mi web está en una lista negra?
   • El día que mi empresa atacó a otra por internet sin saberlo
   • Mi página web está suplantando a una web bancaria
   • Mi web está siendo atacada por un grupo Yihadista

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad

2. Campaña de phishing suplantando a Caja Rural, ten cuidado y no piques

   Fecha de publicación: 01/08/2018

   Importancia: Alta

   Recursos afectados:

   Cualquier empresa que sea cliente de Ruralvía y que realice habitualmente operaciones de banca electrónica. Potencialmente puede verse afectado cualquier empleado que reciba este correo electrónico y que gestione operaciones bancarias online.

   Descripción:

   Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria Caja Rural (multicanal Ruralvía), cuyo objetivo es dirigir a la víctima a una página falsa (phishing) para robar sus credenciales de acceso e información bancaria.

   Solución:

   Como en cualquier otro caso de phishing, extreme las precauciones y avise a sus empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

   Si algún empleado ha recibido un correo de estas características, ha hecho clic en el enlace y ha introducido las credenciales de acceso a la cuenta bancaria deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

   Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

   • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.

   • En caso de que el correo proceda de una entidad bancaria legítima nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.

   • No contestar en ningún caso a estos correos.

   • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.

   • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.

   • Asegúrese que las cuentas de usuario de sus empleados utilizan contraseñas robustas y sin permisos de administrador.

   Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

   Si necesita soporte o asistencia, y se ha visto afectado por este engaño, INCIBE te ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

   Lecturas recomendadas:

   • https://www.incibe.es/protege-tu-empresa/blog/caso-real-fraude-a-traves-de-correo-electronico
   • ¿Tu empresa ha sido víctima de un incidente? Repórtalo
   • Historias reales: «Soy tu nueva factura y te voy a secuestrar el ordenador»

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

   Detalle:

   Un empleado de una empresa o autónomo podría recibir en su correo un mensaje que parece provenir de Caja Rural cuyo campo “asunto” contiene «Asunto importante.».  Dentro del correo se informa al usuario que su cuenta ha sido cancelada por motivos de seguridad y que para restaurarla debe acceder a la página web que figura en el correo.

   El mensaje podría tener el siguiente aspecto:

   

   Al acceder al enlace el usuario será redirigido a una página web que suplanta la legítima, ésta no cuenta con certificado de seguridad, lo cual es imprescindible en la web de inicio de sesión de una entidad bancaria.

   

   Si el usuario introduce las credenciales de acceso será redirigido a dos páginas en que se solicita la «Clave de firma».

   

   Y por último, a otra web en el usuario debe introducir un código que habrá recibido por SMS en su teléfono.

   

   Una vez introducido ese código el usuario volverá a ser redirigido a la web de inicio de sesión fraudulenta.

   

   Etiquetas: Fraude, Phishing

3. Detectada campaña fraudulenta para registro de dominios

   Fecha de publicación: 26/07/2018

   Importancia: Media

   Recursos afectados:

   Cualquier empresa que posea una página web corporativa.

   Descripción:

   Se ha detectado una campaña de correos fraudulentos que insta al registro de un dominio .eu durante un periodo de 10 años mediante una oferta falsa. En este caso urgen al propietario de un dominio concreto con la amenaza de que un tercero pueda registrar un dominio muy similar al que ya posee nuestra empresa.

   Solución:

   Como en cualquier otro caso de fraude, se recomienda desconfiar de todos los mensajes recibidos por correo electrónico en los que se ofrezcan ofertas sospechosamente ventajosas sin ninguna justificación.

   Para evitar ser víctima de este tipo de fraudes además de aplicar las pautas recomendadas para un buen uso del correo electrónico, podemos seguir los siguientes pasos:

   1. Comprobar si la empresa que aparentemente envía el correo existe.
   2. Comprobar si la persona que envía el correo existe en la empresa en la que dice trabajar.
   3. Visitar la página web de la “empresa” desde la que aparentemente se envía el correo. Si el antivirus informa de algún problema, desconfía.
   4. Buscar el correo en Google a ver si aparece en páginas web especializadas en fraudes en correo electrónico.
   5. Comprueba la ortografía ya que a veces llegan con errores ortográficos y gramaticales propios de una traducción mediante alguna herramienta online.

   Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

   Si necesitas soporte o asistencia, y te has visto afectado por este engaño, INCIBE te ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

   Lecturas recomendadas:

   • ¿Tu empresa ha sido víctima de un incidente? Repórtalo
   • Caso real: fraude a través de correo electrónico
   • Historias reales: «Soy tu nueva factura y te voy a secuestrar el ordenador»

   Detalle:

   Un empleado o autónomo podría recibir en su correo un mensaje que parece ser una «exclusiva oferta» para registrar un dominio .eu durante 10 años. Es decir, si la organización tiene registrado un dominio como nombredemiempresa.com, el mensaje oferta la compra del dominio nombredemiempresa.eu ya que han recibido una solicitud de un tercero para adquirirlo.

   El mensaje podría tener el siguiente aspecto:

   Estimado señor / señora,

   Recientemente hemos intentado ponernos en contacto con usted por teléfono, sin éxito hasta la fecha. Por lo tanto le enviamos este correo electrónico con información sobre lo siguiente: Hemos recibido una solicitud para registrar el sitio web www.nombredominio.eu.

   Hemos podido constatar en nuestro sistema que usted es el propietario de www.nombredominio.com. Desafortunadamente, esto puede tener consecuencias de gran alcance para usted en el futuro. Por lo tanto, estamos legalmente obligados a ponernos en contacto con usted para ofrecerle el primer derecho de registro. Esto significa que rechazamos la solicitud del tercero interesado y que, después de su acuerdo, enlazaremos el sitio web:

   www.nombredominio.eu con: www.nombredominio.com

   Significa que usted tiene la primera opción para obtener en el nombre de dominio, esto es así para evitar cualquier problema en el futuro. La solicitud se ha realizado desde la región Madrid.

   Por lo general, se nos exige que registremos y protejamos el nombre de dominio por 10 años. El precio anual de la extensión .EU es de € 19,75 por año. Esto significa una cantidad única de € 197,50 Cuando se completa el enlace, todo el tráfico que vaya a la extensión .EU terminará automáticamente en su sitio web. El procesamiento requiere un máximo de 24 horas. Se podrá alcanzar este nombre de dominio en todo el mundo. El tercero interesado es rechazado y no puede hacer nada con su nombre de dominio.

   Otra información:

   Usted recibirá una factura única de € 197,50 sin IVA por una duración de 10 años. Después de un año, puede cancelar en cualquier momento. A continuación, se le reembolsará a su cuenta la cantidad de años restantes.

   Si está de acuerdo con lo anteriormente descrito, envíe su acuerdo por correo electrónico dentro de las 24 horas posteriores a la recepción de este mensaje con su nombre y los detalles de su factura: [email protected] Seguidamente, rechazaremos al tercero interesado y estableceremos el enlace. Recibirá el mismo día por correo toda la información que necesita.

   Un cordial saludo,

   Desde INCIBE hemos accedido a las páginas web asociadas al fraude y consultando la política de privacidad no se indica nada relativo al tratamiento de datos personales, ni al RGPD ni siquiera a la LOPD, quedando patente que se trata de páginas especialmente diseñadas para la práctica fraudulenta que hemos descrito.

   

   Etiquetas: Fraude

4. Nueva actualización de seguridad en la plataforma de formación Moodle

   Fecha de publicación: 16/07/2018

   Importancia: Baja

   Recursos afectados:

   Versiones de Moodle: 3.5, 3.4 a 3.4.3, 3.3 a 3.3.6, 3.2 a 3.2.9, 3.1 a 3.1.12 y versiones anteriores no compatibles.

   Descripción:

   Moodle ha publicado actualizaciones de seguridad para sus distintas versiones que solucionan tres vulnerabilidades.

   Solución:

   Se recomienda actualizar Moodle a las últimas versiones que corrigen dichas vulnerabilidades accediendo a los siguientes enlaces: 3.5.1, 3.4.4, 3.3.7, y 3.1.13.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

   Detalle:

   Estas actualizaciones corrigen los problemas de seguridad que se detallan a continuación:

   • En un cuestionario, cuando se importa un banco de preguntas, es posible que la vista previa de la pregunta que se muestra ejecute código JavaScript escrito en dicho banco de preguntas, pudiendo causar un mal funcionamiento de la plataforma.
   • Vulnerabilidad que permite que el servicio web core_course_get_categories devuelva las categorías ocultas, que deberían omitirse al recuperar las categorías de los cursos y en consecuencia se muestren a usuarios sin permisos para visualizarlas.
   • Vulnerabilidad que permite que no exista ninguna opción para omitir los registros de las exportaciones privadas de datos que pueden contener detalles de otros usuarios que interactuaron con el solicitante, y por lo tanto, permitir el acceso a usuarios sin los permisos necesarios.

   Es importante proteger tus servicios online para evitar que sean vulnerables. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes.

   

   Etiquetas: Actualización, Vulnerabilidad

5. Si utilizas Magento como gestor de contenidos de tu tienda online, ¡actualiza!

   Fecha de publicación: 28/06/2018

   Importancia: Crítica

   Recursos afectados:

   • Versiones de Magento Commerce desde 1.9.0.0 a 1.14.3.9
   • Versiones de Magento Open Source desde 1.5.0.0 a 1.9.3.9.
   • Versiones de Magento 2, tanto Commerce y Open Source anteriores a la 2.2.5

   Descripción:

   Se han publicado actualizaciones de seguridad para el gestor de contenidos de tiendas online Magento, que solucionan múltiples vulnerabilidades que permitirían, entre otras, que un atacante pueda acceder al sistema comprometido y ejecutar código malicioso.

   Solución:

   Se recomienda actualizar Magento a las últimas versiones, tanto de Commerce, como de Open Source.

   Importante: Antes de hacer este tipo de acciones en entornos de producción es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

   ¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. 

   Detalle:

   Esta actualización corrige problemas  de seguridad como vulnerabilidades del tipo Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) y ejecuciones remotas con permisos de administrador (RCE), entre otras.

   Es recomendable consultar la guía de buenas prácticas de seguridad donde obtendrá información adicional sobre cómo proteger su página web. 

   Para realizar la descarga de las últimas versiones publicadas, puedes acceder desde el siguiente enlace.
    

   

   Etiquetas: Actualización, Gestor de contenidos, Vulnerabilidad