admin

¿Debe pagarse el rescate tras un ciberataque de Ransomware?

La empresa de ciberseguridad S2 Grupo ha destacado que el 99% de los ciberataques de Ransomware se activan por la interacción de las personas, es decir, por hacer click o descargar algún archivo infectado.

Expertos de la compañía han elaborado un decálogo para evitar ser víctima de este tipo de malware o minimizar su impacto.

Valencia, 27 de octubre de 2022.- Desde hace diez años, octubre ha sido declarado el “Mes Europeo de la Ciberseguridad” como parte de una iniciativa puesta en marcha por las instituciones de la UE, la Agencia de Ciberseguridad de la UE y los Estados miembros. En este contexto, desde la empresa valenciana S2 Grupo se ha querido contribuir advirtiendo sobre una de las amenazas de ciberseguridad más comunes como es el Ransomware. Se trata de un tipo de malware que secuestra los datos e impide el acceso a determinadas partes del equipo infectado y por el que se pide un rescate a cambio de liberarlo.

Expertos de esta empresa de ciberseguridad y gestión de sistemas críticos han señalado que una de las peculiaridades de este tipo de ciberataques es que el 99% de éstos dependen de la interacción humana para activarse.

“Una cifra tan elevada como ésta, constata la importancia que cada uno de nuestros clicks pueden tener en nuestra seguridad. Por esto, lo más revolucionario y esencial que podemos hacer para estar ciberprotegidos es conocer e incorporar buenas prácticas digitales en el uso de la tecnología. Esta medida es la principal barrera de protección que podemos utilizar”, ha explicado José Rosell, socio-director de S2 Grupo.

“Es fundamental que prestemos muchísima atención a todos los documentos que descargamos o instalamos porque, por muy inofensivos que parezcan, pueden contener este tipo de malware que pasa de forma desapercibida al principio, hasta que cifra los ficheros y puede llegar, incluso, a las copias de seguridad”, ha asegurado Miguel A. Juan, socio-director de S2 Grupo.

“La duda que surge cuando somos víctimas de este tipo de ciberataque es si debe pagarse el rescate o no. La respuesta es clara: nunca. Si cedemos a este tipo de chantaje, estamos favoreciendo que se continúen desarrollando este tipo de delitos y, encima, pagar no garantiza que podamos volver a acceder a los archivos ni que no hayan sido dañados”, ha continuado José Rosell.

Decálogo para evitar ser víctima del Ransomware y/o minimizar su impacto:

1.Mucha precaución a la hora de descargar archivos.- el Ransomware puede estar oculto en una gran diversidad de archivos de descarga en Internet principalmente en páginas relacionadas con la descarga de música, series o videojuegos.

2. Cuidado con el email.- el camino más frecuente utilizado para realizar este tipo de ciberdelitos es el email a través de una acción de phising. En este tipo de acciones de suplantación de identidad suelen pedir claves de acceso, datos de autenticación u otro tipo de información sensible. Si nos llega un email de este tipo, lo primero que tenemos que hacer es desconfiar y confirmar que la URL que aparece es oficial.

3. No instalar apps no oficiales, es la vía principal para la infección de smartphones y tablets.

4. Es fundamental disponer de copias de seguridad, que se realicen periódicamente y protegerlas en discos duros extraíbles o en la nube para poder acceder a ellos en caso de robo, pérdida o cifrado.

5.Mantener siempre actualizados todos los sistemas operativos porque los fabricantes incluyes en las nuevas versiones parches de ciberseguridad para evitar que sean vulnerables a ciberamenazas.

6.Actualizar también el antivirus.

7.Concienciarnos sobre la importancia de la ciberseguridad y establecer hábitos ciberseguros, como los mencionados anteriormente.

Imagen: Imagen de rawpixel.com en Freepik

Más información:

prensa@s2grupo.es

Vulnerabilidad de hijacking de DLL de Cisco AnyConnect Secure Mobility Client para Windows

INTRODUCCIÓN

Una vulnerabilidad en el canal de comunicación entre procesos (IPC) de Cisco AnyConnect Secure Mobility Client para Windows podría permitir a un atacante local autentificado realizar un ataque de hijacking de DLL. Para explotar esta vulnerabilidad, el atacante necesitaría tener credenciales válidas en el sistema Windows.(CVE-2020-3433)

ANÁLISIS

Esta vulnerabilidad se debe a una validación insuficiente de los recursos que carga la aplicación en tiempo de ejecución. Un atacante podría explotar esta vulnerabilidad enviando un mensaje IPC manipulado al proceso AnyConnect. Una explotación exitosa podría permitir al atacante ejecutar código arbitrario en la máquina afectada con privilegios de SISTEMA. Para explotar esta vulnerabilidad, el atacante necesitaría tener credenciales válidas en el sistema Windows. Cisco ha publicado actualizaciones de software que abordan esta vulnerabilidad, pero no hay soluciones que solucionen esta vulnerabilidad.Puntuación general de CVSSv3: 7,8

Versiones afectadas:

Esta vulnerabilidad afecta a las versiones de Cisco AnyConnect Secure Mobility Client para Windows anteriores a la versión 4.9.00086.

RECOMENDACIONES

Se recomienda actualizar a la versión 4.9.00086 o posteriores de Cisco AnyConnect Secure Mobility Client para Windows.

REFERENCIAS

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-F26WwJW

VMware parchea vulnerabilidades de Cloud Foundation en XStream Open Source Library

INTRODUCCIÓN

VMware publica parches para las versiones finales de Cloud Foundation Network Security Virtualization for vSphere (NSX-V) para solucionar una vulnerabilidad crítica en una biblioteca de código abierto (CVE-2021-39144) . Y una vulnerabilidad de entidad externa XML (XXE) (CVE-2021-31678)

ANÁLISIS

El 25 de octubre, VMware publicó VMSA-2022-0027, un aviso sobre múltiples vulnerabilidades en su solución VMware Cloud Foundation.

CVE-2021-39144 es una vulnerabilidad de ejecución remota de código en XStream, una biblioteca de código abierto utilizada para la serialización de objetos. Esta vulnerabilidad fue parcheada originalmente el 22 de agosto de 2021 en la versión 1.4.18 de XStream. VMware Cloud Foundation utiliza XStream para la serialización de entradas en su solución Network Security Virtualization for vSphere (NSX-V). Un atacante podría explotar esta vulnerabilidad apuntando a un punto final no autenticado en NSX-V para obtener privilegios de ejecución de código remoto como root. CVSSv3: 9,8

CVE-2022-31678 es una vulnerabilidad XXE en VMware Cloud Foundation NSX-V. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para provocar una condición de denegación de servicio o causar una divulgación de información no intencionada. Se trata de una vulnerabilidad de calificación moderada, con una puntuación CVSSv3 de 5,3.

Versiones afectadas:

VMware Cloud Foundation anterior a 3.9.1
VMware Cloud Foundation 3.9.1 y superior

RECOMENDACIONES

Para VMware Cloud Foundation anterior a 3.9.1 : Actualice a VMware Cloud Foundation 3.11.0.1 y superior y aplique las instrucciones de solución

Para VMware Cloud Foundation 3.11.0.1 y superior y aplique las instrucciones de solución

Instrucciones de solución:

Seguir el apartado «Workaround» del último link.

REFERENCIAS

https://www.tenable.com/blog/cve-2021-39144-vmware-patches-critical-cloud-foundation-vulnerability-in-xstream-open-source
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
https://kb.vmware.com/s/article/89809

Múltiples vulnerabilidades en ArubaOS

Aruba ha publicado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad. Una de ellas es crítica, Esta vulnerabilidad fue descubierta y reportada por Erik de Jong (bugcrowd.com/erikdejong) a través del programa Bug Bounty de Aruba.

ANÁLISIS

Hay 16 vulnerabilidades confirmadas, sólo una de ellas tiene un impacto crítico.

Existe una vulnerabilidad de inyección de comandos (CVE-2022-37897) que podría conducir a la ejecución remota de código sin autenticación mediante el envío de paquetes especialmente diseñados destinados al puerto UDP de PAPI (protocolo de gestión de AP de Aruba Networks) (8211). La explotación exitosa de esta vulnerabilidad resulta en la capacidad de ejecutar código arbitrario como un usuario privilegiado en el sistema operativo subyacente. Puntuación general de CVSSv3: 9,8

Versiones afectadas:

ArubaOS 6.5.4.22 y anteriores
ArubaOS 8.6.0.17 y anteriores
ArubaOS 8.7.1.9 y anteriores
ArubaOS 10.3.0.0
SD-WAN 8.7.0.0-2.3.0.6 y anteriores

RECOMENDACIONES

Para minimizar la probabilidad de que un atacante explote estas vulnerabilidades, Aruba recomienda que la comunicación entre el Controlador/Gateways y los Access-Points se restrinja teniendo un segmento/VLAN de capa 2 dedicado o, si el Controlador/Gateways y los Access-Points cruzan los límites de la capa 3, tener políticas de firewall que restrinjan la comunicación de estos dispositivos autorizados.

Además, la activación de la función de seguridad mejorada de PAPI evitará que se exploten las vulnerabilidades específicas de PAPI mencionadas anteriormente. Contacte con el Soporte de Aruba para obtener asistencia en la configuración.

Además, actualice Mobility Controllers y Gateways a una de las siguientes versiones de ArubaOS:

ArubaOS 6.5.4.23 y superiores
ArubaOS 8.6.0.18 y superiores
ArubaOS 8.7.1.10 y superiores
ArubaOS 8.10.0.0 y superiores
ArubaOS 10.3.0.1 y superiores
SD-WAN 8.7.0.0-2.3.0.7 y superiores

REFERENCIAS

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-016.txt

Vulnerabilidad de Ejecución Remota de Código en Apache Commons Text

INTRODUCCIÓN

El CVE-2022-42889 (CVSS 9.8), descubierto por el equipo de Github y, que algunos han comenzado a llamar «Text4Shell», es una vulnerabilidad en la popular biblioteca Apache Commons Text que puede resultar en la ejecución de código al procesar entradas maliciosas.

ANÁLISIS

Apache Commons Text realiza la interpolación de variables, permitiendo que las propiedades sean evaluadas y expandidas dinámicamente. El formato estándar para la interpolación es «${prefix:name}», donde «prefix» se utiliza para localizar una instancia de org.apache.commons.text.lookup.StringLookup que realiza la interpolación. El conjunto de instancias de Lookup por defecto incluía interpoladores que podían dar lugar a la ejecución de código arbitrario o al contacto con servidores remotos. Estos lookups son: – «script» – ejecuta expresiones utilizando el motor de ejecución de scripts de la JVM (javax.script) – «dns» – resuelve registros dns – «url» – carga valores de urls, incluso de servidores remotos las aplicaciones que utilizan los valores predeterminados de interpolación en las versiones afectadas pueden ser vulnerables a la ejecución remota de código o al contacto involuntario con servidores remotos si se utilizan valores de configuración no fiables.

Versiones afectadas:

Desde la 1.5 hasta la 1.9

RECOMENDACIONES

Se recomienda a los usuarios que actualicen a Apache Commons Text 1.10.0, que desactiva los interpoladores problemáticos por defecto.

REFERENCIAS

https://blog.segu-info.com.ar/2022/10/cve-2022-42889-vulnerabilidad-en.html
https://www.cve.org/CVERecord?id=CVE-2022-42889

Sector Alimentación

El sector de la alimentación está inmerso en un proceso de digitalización y de optimización de procesos, como muchas otras industrias. ¿Somos conscientes del impacto que podría tener un ciberincidente en este sector?

En S2 Grupo somos expertos en ciberseguridad OT y queremos acercaros un caso real en el que nuestros especialistas trabajan mano a mano con la empresa y ayudan a la organización a mejorar su ciberseguridad. Si te gustaría conocer más, haz clic aquí y echa un vistazo.

PAN-OS: Authentication Bypass en la interfaz web

INTRODUCCIÓN

Palo Alto ha notificado una vulnerabilidad en PAN-OS que permite la suplantación del administrador.

ANÁLISIS

CVE–2022-0030 Una vulnerabilidad de omisión de autenticación en la interfaz web de PAN-OS 8.1 de Palo Alto Networks permite a un atacante basado en la red con conocimientos específicos del cortafuegos o dispositivo Panorama de destino hacerse pasar por un administrador de PAN-OS existente y realizar acciones privilegiadas. CVSS 8.1

Versiones afectadas:

PAN-OS 8.1< 8.1.24

RECOMENDACIONES

Los clientes con una suscripción a Prevención de amenazas pueden bloquear los ataques conocidos para esta vulnerabilidad activando el ID de amenaza 92720 (actualización de contenido de aplicaciones y amenazas 8630-7638).

Una actualización a la versión 8.1.24 elimina esta vulnerabilidad.

REFERENCIAS

https://security.paloaltonetworks.com/CVE-2022-0030
https://vuldb.com/es/?id.210718

Omisión de autenticación en FortiOS y FortiProxy

INTRODUCCIÓN

Fortinet ha parcheado un bypass de autenticación crítico en sus productos FortiOS y FortiProxy que podría dar lugar a un acceso como administrador.

ANÁLISIS

CVE-2022-40684 es una vulnerabilidad crítica de omisión de autenticación que recibió una puntuación CVSSv3 de 9,6. Al enviar solicitudes HTTP o HTTPS especialmente diseñadas a un objetivo vulnerable, un atacante remoto con acceso a la interfaz de gestión podría realizar operaciones de administrador.

En este momento, no hay información sobre si esta vulnerabilidad ha sido explotada en ataques. Pero, dada la inclinación de los actores de las amenazas por atacar las vulnerabilidades de FortiOS, la recomendación de Fortinet es remediar esta vulnerabilidad «con la mayor urgencia».

Versiones afectadas:

FortiOS: 7.0.0 hasta 7.0.6 y 7.2.0 hasta 7.2.1
FortiProxy: 7.0.0 hasta 7.0.6 y 7.2.0

RECOMENDACIONES

Actualizar a las versiones parcheadas:
FortiOS: 7.0.7 o 7.2.2
FortiProxy: 7.0.7 o 7.2.1

Si no puede aplicar los parches inmediatamente, Fortinet afirma que el uso de una política local para limitar el acceso a la interfaz de gestión ayudaría a mitigar esta vulnerabilidad.

REFERENCIAS

https://infosecwriteups.com/cve-2022-40684-new-authentication-bypass-affecting-fortigate-and-fortiproxy-c9bd36112949
https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy

Actualización de vulnerabilidades de Día Cero en Microsoft Exchange Server

INTRODUCCIÓN

Debido a la criticidad y alcance de la vulnerabilidad y de manera excepcional se emite una actualización de la vulnerabilidad.

Microsoft ha revisado sus medidas de mitigación para los fallos de día cero recientemente revelados y activamente explotados en Exchange Server, aunque aún no ha dado una solución definitiva a las vulnerabilidades. (CVE-2022-41040) y (CVE-2022-41082).

ANÁLISIS

El fabricante de Windows, que aún no ha publicado una solución para los fallos, ha reconocido que un único actor de amenazas vinculados con el estado podría haber estado utilizando los fallos desde agosto de 2022 en ataques dirigidos limitados.

Mientras tanto, la compañía ha puesto a disposición soluciones temporales para reducir el riesgo de explotación restringiendo los patrones de ataque conocidos a través de una regla en el Administrador de IIS.

Se espera una actualización definitiva en el parche del 11 de octubre, aunque no está confirmado.

Sin embargo, según el investigador de seguridad Jang (@testanull), el patrón de URL puede ser fácilmente burlado, y el analista de vulnerabilidades senior Will Dormann señaló que las mitigaciones de bloqueo son «innecesariamente precisas, y por lo tanto insuficientes.»

Versiones afectadas:
Todas

RECOMENDACIONES

Para reducir el riesgo de explotación se deben restringuir los patrones de ataque conocidos a través de una regla en la Administración de IIS.

REFERENCIAS

https://thehackernews.com/2022/10/mitigation-for-exchange-zero-days.html
https://securityaffairs.co/wordpress/136596/hacking/microsoft-exchange-0day-mitigations-bypass.html
https://www.bleepingcomputer.com/news/security/microsoft-exchange-server-zero-day-mitigation-can-be-bypassed/

S2 Grupo prevé cerrar 2022 con un volumen de negocio de 30 millones de euros

La compañía ha abierto un nuevo centro de ciberseguridad en Madrid que ha sido inaugurado hoy por el Consejero de Administración Local y Digitalización de la Comunidad de Madrid, Carlos Izquierdo Torres.

S2 Grupo ha asegurado que en estos momentos es esencial para nuestro país perseguir el objetivo de la soberanía digital para ser más independientes tecnológicamente y ser uno de los líderes mundiales en el ámbito de la ciberseguridad.

La compañía ha conseguido que la tecnología de una empresa española sea presentada al mundo como parte esencial del modelo de seguridad español impulsado y defendido por el Centro Criptológico Nacional dependiente del Centro Nacional de Inteligencia.

Valencia, 4 de octubre de 2022.- La empresa S2 Grupo ha anunciado hoy que tiene previsto cerrar el presente ejercicio con un facturación alrededor de los 30 millones de euros. Este dato lo ha ofrecido en la inauguración de sus nuevas instalaciones de ciberseguridad en Madrid que ha contado con la presencia del Consejero de Administración Local y Digitalización, Carlos Izquierdo Torres, y los socios-directores de S2 Grupo Miguel A. Juan y José Rosell, entre otras personalidades.

”El crecimiento que hemos vivido en los últimos años se debe, principalmente, a que desde la pandemia ha habido un incremento muy alto de los ciberataques tanto en cantidad como en impacto, cada vez son más sofisticados y complejos. Esto ha obligado a que las empresas y las Administraciones Públicas hayan hecho los deberes en este ámbito y reclaman trabajar con especialistas en ciberseguridad, como son las personas que forman parte del equipo de S2 Grupo, porque son conscientes de los riesgos a los que nos enfrentamos”, ha afirmado José Rosell, socio-director de S2 Grupo.

Importancia de la soberanía digital para la ciberseguridad de España

En este contexto, uno de los puntos donde se ha puesto la atención, por lo que se refiere a la ciberseguridad de nuestro país, es en la importancia de perseguir el objetivo de la soberanía digital.

“Para continuar avanzando un mundo ciberseguro y minimizar los riesgos de ciberespionaje, entre otros, necesitamos dejar de ser dependientes tecnológicamente de otros países como puede ser EEUU, China o Israel. Necesitamos tener soberanía digital. Por ello, desde S2 Grupo continuaremos invirtiendo en I+D+i y en el desarrollo de tecnología propia, porque es el único camino que permitirá crear soluciones que permitan a Europa ser independiente tecnológicamente en el ámbito de la ciberseguridad”, ha declarado Miguel A. Juan, socio-director de S2 Grupo.

Junto a su centro de Madrid, S2Grupo cuenta con instalaciones en Valencia, Sevilla, Barcelona, San Sebastián, Bruselas, Bogotá, Brindisi, Santiago de Chile, México, Róterdam y Lisboa.

Desde su nacimiento en 2004, S2 Grupo se ha convertido en una compañía referente en el entorno de la seguridad a escala internacional y ha vivido un crecimiento continuo. La empresa cerró 2021 con una facturación de alrededor de 25 millones de euros, lo que supuso un crecimiento de más del 30% con respecto al año anterior. Además, ha apostado por la creación de empleo de calidad y,actualmente, cuenta con una plantilla de más de 580 personas.

Entre sus clientes destacan la mayor parte de las compañías líderes de los sectores de distribución, energía, banca y seguros, sanidad, industria y organismos de la Administración Pública.

S2 Grupo referente mundial en ciberseguridad

S2 Grupo ha conseguido que la tecnología de una empresa española sea presentada al mundo como la pieza fundamental del modelo de seguridad español impulsado y defendido por el Centro Criptológico Nacional dependiente del Centro Nacional de Inteligencia. En este sentido. la tecnología desarrollada por S2 Grupo está actualmente desplegada en empresas privadas de todo el mundo, en más de 200 organismos de la Administración General del Estado, en distintas Comunidades Autónomas y comienza a desplegarse también en entidades locales.

Esta misma tecnología se está usando para garantizar también la seguridad en procesos electorales de ayuntamientos, de Comunidades Autónomas, y del estado español, así como para garantizar la ciberseguridad en procesos electorales internacionales. GLORIA y CARMEN son los productos estrella de cibervigilancia y ciberinteligencia desarrollados en Valencia con proyección nacional e internacional.

El objetivo de S2 Grupo es continuar creciendo, abriendo distintos centros de trabajo en otros puntos de España, Europa y Latinoamérica, e invirtiendo en I+D+i, con el ﬁn de desarrollar soluciones que permitan a Europa ser independiente tecnológicamente en ciberseguridad y ciberinteligencia. En este sentido, S2 Grupo apuesta por trabajar para que España sea uno de los líderes mundiales en este campo y Madrid se convierta en la capital mundial de la ciberinteligencia.

Más información:

prensa@s2grupo.es

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.