SERVICIO DE INTELIGENCIA CONTRA AMENAZAS SIA

(1)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

servicio de inteligencia sobre amenazas [sia]

año 01 edición 2.87

www.coreoneit.com

@coreoneit

(2)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

¿Qué es EL Servicio de Inteligencia sobre Amenazas [SIA]?

Es una combinación de información de amenazas existentes en la red con el aná-lisis e inteligencia del grupo de especialistas de CORE ONE IT, quienes analizan exhaustivamente todo tipo de amenazas informáticas y desarrollan una serie de recomendaciones adaptadas a cada tipo de cliente.

Alcance

Se personaliza de acuerdo al tipo de infraestructura y entorno de red del cliente basado en los tipos de dispositivos, modelos y fabricantes, con el fin de recibir solo información relevante y que pudiera afectar de manera directa o indirecta, la continuidad del negocio.

Definiciones

•Riesgo: Probabilidad que una amenaza particular explote una vulnerabilidad particular de un sistema.

•Amenaza: Es la causa potencial de un incidente no deseado, el cual puede re-sultar en un daño a un sistema de información u organización.

•Ataque: Acción de tratar de traspasar controles de seguridad en un sistema. Un ataque puede ser activo, resultando en la modificación de datos, o pasivo, resul-tando en la divulgación de información. El hecho de que un ataque sea realizado no significa que será exitoso, el grado de éxito depende de la vulnerabilidad del sistema o actividad y de la eficiencia de las medidas existentes.

•Vulnerabilidad: Debilidad en los procedimientos de seguridad de un sistema, en el diseño del sistema, en la implementación, en los controles internos, y que puede ser explotada para violar la política de seguridad del sistema.

•API: Interfaz de Programación de Aplicaciones (Application Programming Interfa-ce, por sus siglas en inglés). Conjunto de subrutinas, funciones y procedimientos de una biblioteca para ser utilizado por otro software.

•Malware: también llamado badware, código maligno, software malicioso, sof-tware dañino o sofsof-tware malintencionado, es un tipo de sofsof-tware que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el con-sentimiento de su propietario.

•Ransomware: Es un tipo especial de malware que amenaza con destruir los docu-mentos y otros archivos de las víctimas.

•Troyano: Software malicioso que se presenta al usuario como un programa apa-rentemente legítimo e inofensivo.

•ISP: Proveedor de servicios de Internet (Internet Service Provider, por sus siglas en inglés).

•Keylogger: Software de vigilancia, el cual cuenta con la capacidad de grabar cada tecla pulsada en el sistema en un archivo, usualmente cifrado.

•BSOD: Blue Screen Of Death, “pantalla azul de la muerte”; se refiere a la panta-lla mostrada por el sistema operativo de Windows cuando éste no puede recupe-rarse de un error del sistema.

(3)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Los tuits antiguos revelan secretos

ocultos

Los tuits antiguos revelan más de lo que crees, según un nuevo informe publicado este mes. Los tuits pueden revelar los lugares que visitaste y las cosas que hiciste, incluso si no lo mencionaste explícitamente.

Investigadores de la Fundación para la Investigación y Tecnología de Grecia y la Uni-versidad de Illinois descubrieron todo esto después de desarrollar una herramienta llamada LPAuditor. El software recopila información pública de Twitter que cualquie-ra puede descargar vía el API.

Utilizando la herramienta, analizaron el metadata (la información oculta de un tuit) para identificar los hogares de los usuarios, lugares de trabajo y sitios que han visi-tado. En decenas de casos, fueron capaces de identificar a los usuarios detrás de las cuentas anónimas de Twitter.

En el informe titulado “Please Forget Where I Was Last Summer: The Privacy Risks of Public Location (Meta)Data”, los investigadores dicen:

Incluso si los usuarios tienen cuidado y no hay nada confidencial en las publicaciones, la información sobre ubicación que se obtiene con nuestro método puede significar una pérdida significativa de privacidad.

El problema proviene de datos históricos de Twitter publicados antes de abril de 2015. Antes de esa fecha, si un usuario se geolocalizaba en un área amplia como una ciudad, la red social incorporaba sus coordenadas GPS exactas en el metadata del Tweet. Los usuarios que simplemente accedieran a la app de Twitter o a su web no se darían cuenta de esto ya que solo muestra los datos obtenidos del API. Aunque Twitter paró de incluir estos datos en abril de 2015, la información histórica aún está disponible a través de su API.

Los investigadores cogieron los datos de GPS históricos y utilizaron servicios públicos de geolocalización para mapearlos y obtener una dirección. Después agruparon los tuits que procedían de la misma dirección para obtener horarios y saber cuando el usuario publicaba desde localizaciones específicas.

En la investigación se emplearon premisas básicas sobre la vida en EEUU para iden-tificar las direcciones particulares, como la tendencia de marcharse por la mañana y regresar por la noche y estar allí mucho en los fines de semana. También utilizaron premisas similares para identificar donde trabajaban, e incluso tenían en cuentas variaciones como los turnos de noche.

También coordinaron las direcciones de los tuits con otras direcciones obtenidas de otras webs como Foursquare. Esto les decía desde que otras localizaciones los usua-rios podrían tuitear, creando zonas que los usuausua-rios probablemente visitarían.

(4)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

El cierre del gobierno americano

afec-ta a sus webs al expirar los

certifica-dos

El cierre de gobierno americano está afectando a más que sitios físicos como parques nacionales y monumentos. Las webs gubernamentales están comenzando a cerrar debi-do a que expiran sus certificadebi-dos TLS, según la empresa de seguridad y estadísticas de internet Netcraft. En una entrada en su blog afirman que más de 80 webs con el domi-nio .gov han caído o son inseguras debido a que han expirado los certificados.

Los certificados TLS se utilizan en las comunicaciones cifradas basadas en conexiones HTTPS. Sirven para asegurar que la comunicación con una web es privada y segura, confirmar con quien estás hablando y que nadie está escuchando.

Los certificados los extiende una autoridad de certificación (CA, por sus siglas en in-glés) en la que confía el navegador. Los dueños de las webs tienen que renovar los cer-Realizaban todo esto sin mirar el contenido de los tuits, por lo que relacionando el

con-tenido con los datos que obcon-tenidos podían obtener una idea más clara de lo que hace el usuario. Simplemente comprobando frases como “en casa” o “en el trabajo”, podría confirmar que la localización es realmente su casa o lugar de trabajo.

De la misma manera, buscando palabras relacionadas con la medicina, religión o vida nocturna podrían tener una visión clara de la vida del usuario.

Los investigadores no se que quedaron ahí, ya que creen que muchas empresas podrían identificar a gran cantidad de las personas que están detrás de muchas cuentas anóni-mas. Estas compañías podrían ser aseguradoras que estén comprobando problemas de salud de clientes o una empresa comprobando las actividades de un posible trabajador. Twitter permite a los usuarios borrar tuits antiguos o eliminar sus datos de ubicación. El problema es que los datos ya son públicos, terceras personas pueden haber guardado una copia de ellos, por lo que eliminarlos no significa que terceros puedan seguir mo-nitorizándote.

Resumiendo, lo que pasa en Las Vegas no siempre se queda en Las Vegas. Si has tuiteado sobre ello, podría estar en cualquier lugar.

Fuentes:

Sophos Security, N. (2019). Los tuits antiguos revelan secretos ocultos. Retrieved from https://news.sophos.com/es-es/2019/01/14/los-tuits-antiguos-revelan-secre-tos-ocultos/

(5)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Si visitas un sitio web con un certificado caducado, el navegador se dará cuenta y emi-tirá un mensaje de alerta.

El gobierno de EEUU solo realiza acciones que considera esenciales durante el actual cierre, y parece que eso no incluye el renovar los certificados TLS. Al expirar, las webs muestran avisos de seguridad y en muchos casos dejan de funcionar.

Un ejemplo es la web de la NASA para testear cohetes https://rockettest.nasa.gov, que muestra una advertencia intersticial, lo que significa que el certificado ha expirado pero el navegador te da la opción de ignorar el aviso y visitar la web bajo tu responsa-bilidad. Otra web que sufre del mismo problema es https://ecf-test.ca6.uscourts.gov, una web utilizada por el tribunal de apelaciones americano.

Otros sitios no dan la opción de saltarse las advertencias de certificado expirado, debi-do a que están incluidas en la lista HSTS (HTTP Strict Transport Security). Esta es una lista de sitios, mantenida por la mayoría de los navegadores, que prohíbe todas las conexiones que no sean vía HTTPS.

Muchos sitios se apuntan a la lista HSTS como un seguro. El argumento es que es mejor bloquear las visitas en el supuesto que expire un certificado, a que las comunicaciones puedan ser espiadas o redirigidas.

Por ejemplo, el certificado de la web del Departamento de Justicia https://ows2.us-doj.gov expiró el 5 de enero, por lo que las personas que lo visitan reciben una aviso. Dado que está en la lista HSTS, sus usuarios no tienen la opción de saltarse el aviso y acceder a la web.

¿Puede empeorar la situación de las webs del gobierno de EEUU? Es muy posible que más certificados expiren si la situación continúa, pero puede que algunos estén confi-gurados con autorenovación, por lo que no se verían afectados.

Fuentes:

Security, N. (2019). El cierre del gobierno americano afecta a sus webs al expirar los certificados. Retrieved from https://news.sophos.com/es-es/2019/01/16/el-cie-rre-del-gobierno-americano-afecta-a-sus-webs-al-expirar-los-certificados/

¿Y qué ocurrirá cuando sí expiren los propios dominios? La situación puede que no sea tan preocupante para los dominios .gov ya que solo pueden ser registrados por los de-partamentos autorizados. Esto complica las cosas para que alguien se pueda hacer con una de estas webs.

Dicho esto, manipular los resultados de las búsquedas es mucho más sencillo si las webs están caídas. Es muy sencillo mejorar los resultados para webs fraudulentas con el mis-mo nombre que las gubernamentales si estas no funcionan.

El otro problema es que se pueda acceder a las webs pero estas no estén actualiza-das. Muchas webs ya han advertido que no estarán actualizadas durante el cierre, por ejemplo: https://www.data.gov, https://www.selectusa.gov, https://www.nist.gov y https://www.iat.gov.

Ten cuidado cuando visites las webs del gobierno de EEUU que muestren un mensaje de advertencia sobre el certificado TLS. Solo porque puedas saltarte el aviso no significa que debas. Mejor estar seguro que lamentarlo.

(6)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Una brecha de seguridad récord

expo-ne 773 milloexpo-nes de cuentas de correo y

23 millones de contraseñas

Al principio, estuvo alojada un corto período de tiempo en MEGA, disponible para quien quisiera acceder a los datos, y más tarde pasó a un foro de hacking. Collection #1 era el nombre de la carpeta que alojaba 12.000 archivos, cuyo almacenamiento suponía más de 87 GB.

No es una brecha gigante, sino la recopilación de muchas (con cuentas y contraseñas nuevas)

Contrasenas

No hay confirmación de que todos estos datos vengan de una sola brecha de un servicio, sino que parece que se trata de una brecha que acumula 2.000 bases de datos que con-tienen contraseñas hackeadas.

Aun así, tras analizar toda la información disponible, Hunt ha concluido que 140 mi-lloness de cuentas de correo electrónico y más de 10 millones de contraseñas, es decir, casi la mitad de claves del total, sí son nuevas en su base de datos. Y no es decir poco, porque su web es un referente en la recopilación de datos de brechas, de cara a ayudar a los usuarios.

Cómo saber si te afecta la brecha y qué hacer en cualquier caso

Como hemos dicho, Hunt administra Have I Been Pwned, por lo que sus datos de la brecha Collection #1 ya están incorporados en la base de datos de su web. Así, la mejor manera de saber si tus datos estaban entre los expuestos es buscar en ella tanto tus direcciones de correo electrónico como tus contraseñas para saber si han sido “Pwned”. Si están entre ellos, repetimos los consejos que hemos dado mil veces. No repitas contraseñas cuanto te registres en webs y servicios, y utiliza claves complejas que no repliquen los típicos “123456” o “abcdefg”, que cada año están entre la lista de más populares.

Pasan los años, y las brechas de seguridad, en lugar de reducirse en cuanto a número de usuarios afectados, aumentan. Por mucho que se dan consejos y que las compañías se tomen en serio el asunto, este ámbito parece como el de los récords deportivos: está llamado a ver cada vez cifras más grandes.

Según informa Wired, Troy Hunt, administrador de Have I Been Pwned, ha desvelado una brecha de seguridad que afecta a 772.904.991 direcciones únicas de correo electró-nico, a las que se suman más de 21 millones de contraseñas únicas.

A diferencia de la brecha de seguridad récord, que se localizó en un servicio, Yahoo, lo que Hunt ha encontrado es una colección o base de datos llamada Collection #1. La diferencia con Yahoo es que sus datos no son públicos, mientras que esto a estado a

disposición de hackers y usuarios corrientes. Fuentes:

Una brecha de seguridad récord expone 773 millones de cuentas de correo y 23 mi-llones de contraseñas

https://www.genbeta.com/seguridad/brecha-record-expone-773-millones-cuen-tas-correo-23-millones-contrasenas

(7)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Cuando la copia del sitio es creada, las víctimas interactúan con contenido auténtico del sitio web, sin embargo, cualquier interacción será registrada en el servidor de Modlishka.

Una vez que el sitio haya sido suplantado, la víctima interactuará con contenido au-téntico del sitio web legítimo. La víctima puede comprar en línea, sin embargo, todas las interacciones, entradas de formularios, que la víctima complete se registrarán en el servidor Modlishka, esto podría derivar en alguna variante de fraude de identidad y otras actividades maliciosas.

Cualquier usuario (sin importar sus intenciones) que desee utilizar esta herramienta, simplemente debe configurar el dominio en el que desee alojar su campaña de phi-shing, así como un certificado TLS válido. Asimismo, debe permitir que el sitio web suplantado que la víctima visite opere con una conexión HTTPS ‘segura’; de lo contra-rio, el usuario será alertado sobre la ausencia de una conexión HTTPS, reduciendo las posibilidades de que el ataque tenga éxito.

Finalmente, se requerirá que los usuarios ejecuten un archivo de configuración en el dominio de phishing que redirige a la víctima al sitio web legítimo al final de la ope-ración de phishing. Modlishka está actualmente disponible en GitHub bajo una licencia de código abierto.

Acorde al experto en seguridad en redes, usar esta herramienta es tan fácil como “apuntar y hacer clic”, además, tratándose de un software de código abierto, es posi-ble que múltiples usuarios malintencionados comiencen a probar esta herramienta en diversas campañas de phishing.

Fuentes:

Nueva herramienta permite esquivar autenticación de dos factores https://noticiasseguridad. com/seguridad-informatica/nueva-herramienta-permite-esquivar-autenticacion-de-dos-factores/

Nueva herramienta permite esquivar

autenticación de dos factores

Piotr Duszynski, investigador experto en seguridad en redes originario de Polonia, anun-ció recientemente el lanzamiento de una herramienta llamada “Modlishka” (mantis en polaco), la cual, según el experto, es una herramienta para pruebas de penetración que permite a los usuarios automatizar campañas de phishing, por ejemplo. Incluso se menciona que esta herramienta podría comprometer cuentas de diferentes servicios que tengan activada la autenticación de dos factores (2FA).

Modlishka opera entre el usuario y el proveedor de correo electrónico de la elección del usuario, como Gmail, Outlook o Yahoo, menciona Duszynski. Posteriormente, la víctima se conecta al servidor de Modlishka, que genera solicitudes a los sitios web que desea suplantar para que la víctima no encuentre diferencias entre el sitio legítimo y la copia. El experto en seguridad en redes mencionó que Modlishka toma el contenido directamente del sitio suplantado, por lo que un usuario malicioso no tendría que de-dicar tiempo a crear nuevas plantillas.

(8)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Los atacantes hacen creer a las víctimas que están recaudando dinero para organizacio-nes contra el cáncer infantil

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Ciberné-tica afirman que el ransomware sigue siendo una de las variantes de ciberataque más utilizadas por los criminales. Cepas de malware de encriptación, como Ryuk, SamSam o el servicio de GandCrab, continúan afectando a miles de organizaciones de todo el mundo.

Además, algunos grupos criminales han estado reciclando algunas tácticas de ataque. Los criminales que usan la variante de ransomware conocida como CryptoMix, por ejemplo, infectan los dispositivos de las víctimas para posteriormente asegurarles que los rescates serán usados para financiar tratamientos para niños muy enfermos, lo que

obviamente es mentira. Fuentes:

https://noticiasseguridad.com/hacking-incidentes/un-ransomware-que-asegura-usara-el-dine-ro-para-financiar-tratamientos-de-cancer-infantil/

UN RANSOMWARE QUE ASEGURA USARÁ EL

DINERO PARA FINANCIAR TRATAMIENTOS DE

CÁNCER INFANTIL

Un reciente análisis de esta campaña menciona que las notas de rescate que incluye el ataque de CryptoMix omite la exigencia del pago de rescate. En su lugar, los atacantes afirman que el pago será donado a una organización para niños con cáncer ficticia. Para darle mayor credibilidad a su farsa, los atacantes incluyen información tomada de si-tios de financiamiento colectivo legítimos para niños enfermos.

“Identificamos algunas notas de rescate que incluían fotos e información robada de sitios de crowdfunding legítimos”, mencionan los expertos en seguridad en redes. “He-mos notificado a los familiares de los niños cuyas imágenes podrían haber sido roba-das”.

Cuando una víctima de CryptoMix envía un email a los atacantes usando la información de contacto contenida en la nota de rescate, se recibe un mensaje a través de un sitio llamado OneTimeSecret, que comparte la billetera de Bitcoin a la que la víctima debe enviar su pago del rescate.

“Suponemos que esta táctica está diseñada para que la víctima no considere los riesgos de pagar por el rescate”, mencionan los expertos en seguridad en redes. “No obstante, es demasiado obvio que la supuesta organización contra el cáncer es falsa y que la in-formación de los niños enfermos fue obtenida de forma ilícita.

La ciudad Del Río, en Texas, es una de las más recientes víctimas de esta clase de cam-paña. En días recientes, un grupo de funcionarios de la ciudad emitió un comunicado advirtiendo a los habitantes que la ciudad había sido víctima de un brote de ransomwa-re que bloqueó los servidoransomwa-res del gobierno local.

“Nuestro departamento de seguridad en redes aisló el ransomware, operación que re-quería desactivar la conexión a Internet de todos los departamentos del gobierno de la ciudad, por lo que los empleados no pudieron iniciar ninguno de nuestros sistemas. El ayuntamiento está llevando a cabo algunas de sus labores de forma manual.

(9)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Vulnerabilidades críticas de seguridad para tomar las medidas preventivas y correctivas

frente a las amenazas tecnológicas

Junos OS: series EX y QFX: el filtro de firewall sin

esta-do ignora los encabezaesta-dos de extensión IPv6 (CVE-2019- [firewall family inet6 filter <filter-name> term <term-name> from extension-hea-_{ders-except <header-type> ]}

[firewall family inet6 filter <filter-name> term <term-name> from next-header-except <header-type> ]

Juniper SIRT no tiene conocimiento de ninguna explotación maliciosa de esta vulnera-bilidad.

Este problema fue visto durante el uso de producción.

Criticidad: Medio Impacto: Medio Vulnerabilidad: Ejecución: Remota Plataforma(s)

Afectada(s): Junos OS 14.1X53, 15.1, 15.1X53, 16.1, 17.1, 17.2, 17.3, 17.4, 18.1. Pla-taformas afectadas: EX2300 / EX3400, series EX2300 / EX3400, EX4600, series QFX3K, series QFX5200 / QFX5110, series QFX5.

Referencia:

CVE-2019-0005 Descripción:

En las series EX2300, EX3400, EX4600, QFX3K y QFX5K, la configuración del filtro de firewall no puede realizar la coincidencia de paquetes en ningún encabezado de exten-sión IPv6.

Este problema puede permitir que se reenvíen los paquetes IPv6 que deberían haberse bloqueado.

El filtrado de paquetes IPv4 no se ve afectado por esta vulnerabilidad.

Las versiones afectadas son Junos Networks Junos OS en las series EX y QFX ;: • 14.1X53 versiones anteriores a 14.1X53-D47;

• 15.1 versiones anteriores a 15.1R7;

• Versiones de 15.1X53 anteriores a 15.1X53-D234 en las series QFX5200 / QFX5110; • Versiones de 15.1X53 anteriores a 15.1X53-D591 en las series EX2300 / EX3400; • 16.1 versiones anteriores a 16.1R7; • 17.1 versiones anteriores a 17.1R2-S10, 17.1R3; • 17.2 versiones anteriores a 17.2R3; • 17.3 versiones anteriores a 17.3R3; • 17.4 versiones anteriores a 17.4R2; • 18.1 versiones anteriores a 18.1R2. Fuentes:

Junos OS: series EX y QFX: el filtro de firewall sin estado ignora los encabezados de extensión IPv6 (CVE-2019-0005) enero 2019 de Juniper Networks, Sitio Web:

(10)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Impacto: Alto Vulnerabilidad: Ejecución: Remota Plataforma(s) Afectada(s): Junos OS 12.1X46, 12.3, 12.3X48, 14.1X53, 15.1, 15.1X49, 15.1X53, 16.1, 16.2, 17.1, 17.2, 17.3, 17.4, 18.1. Referencia: CVE-2019-0012 Descripción:

Una vulnerabilidad de denegación de servicio (DoS) en BGP en Junos Networks El sistema operativo Junos configurado como VPLS PE permite que un atacante cree un mensaje BGP específico para provocar que el proceso del demonio de protocolo de enrutamiento (rpd) se bloquee y se reinicie. Mientras rpd se reinicia después de un bloqueo, los bloqueos repetidos pueden dar como resultado una condición DoS extendida.

Este problema solo afecta a los enrutadores PE configurados con BGP Auto descubri-miento para LDP VPLS. Otras configuraciones de BGP no se ven afectadas por esta vulnerabilidad.

Las liberaciones afectadas son Juniper Networks Junos OS: • Versiones 12.1X46 anteriores a 12.1X46-D81; • 12.3 versiones anteriores a 12.3R12-S12; • Versiones 12.3X48 anteriores a 12.3X48-D76; • 14.1X53 versiones anteriores a 14.1X53-D48; • 15.1 versiones anteriores a 15.1F6-S12, 15.1R7-S2; • Versiones de 15.1X49 anteriores a 15.1X49-D150;

Junos OS: bloqueo de rpd en VPLS PE al recibir un men-saje BGP específico (CVE-2019-0012)

• 17.4 versiones anteriores a 17.4R1-S5, 17.4R2; • 18.1 versiones anteriores a 18.1R2-S3, 18.1R3.

Este problema solo ocurre cuando BGP Auto Discovery for LDP VPLS está configurado: set protocols bgp group <name> family l2vpn auto-discovery-only

set routing-instances <name> instance-type vpls set routing-instances <name> l2vpn-id l2vpn-id:<id>

Juniper SIRT no tiene conocimiento de ninguna explotación maliciosa de esta vulnera-bilidad.

Este problema fue visto durante el uso de producción:

Fuentes:

Junos OS: bloqueo de rpd en VPLS PE al recibir un mensaje BGP específico (CVE-2019-0012) Enero 2019, de Juniper Networks Sitio web:

(11)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Impacto: Medio Vulnerabilidad: Ejecución: Local Plataforma(s)

Afectada(s): Junos OS 15.1X53, 18.1, 18.2. Plataformas afectadas: series EX2300 y EX3400.

Referencia: CVE-2019-0011. Descripción:

El kernel de Junos OS se bloquea después de procesar un paquete entrante especí-fico a la interfaz de administración fuera de banda (como fxp0, me0, em0, vme0) destinado a otra dirección.

Al enviar continuamente este tipo de paquete, un atacante puede bloquear repeti-damente el kernel y provocar una Denegación de Servicio sostenida.

Las liberaciones afectadas son Juniper Networks Junos OS: • 17.2 versiones anteriores a 17.2R1-S7, 17.2R3; • 17.3 versiones anteriores a 17.3R3-S3;

• 17.4 versiones anteriores a 17.4R1-S4, 17.4R2; • 17.2X75 versiones anteriores a 17.2X75-D110; • 18.1 versiones anteriores a 18.1R2.

Juniper SIRT no tiene conocimiento de ninguna explotación maliciosa de esta vul-nerabilidad.

Este problema fue visto durante el uso de producción

Sistema operativo Junos: Bloqueo del kernel después de procesar el paquete entrante específico a la

inter-faz de administración fuera de banda (CVE-2019-0011)

Impacto: Alto Vulnerabilidad: Ejecución: Remota Plataforma(s)

Afectada(s): Junos OS 12.1X46, 12.3X48, 15.1X49. Plataformas afectadas: Serie SRX.

Referencia: CVE-2019-0010.

Descripción:

Una puerta de enlace de servicio de la serie SRX configurada para Unified Threat Management (UTM) puede experimentar una denegación de servicio debido a la re-cepción de tráfico HTTP diseñado. Cada paquete HTTP diseñado inspeccionado por UTM consume mbufs que pueden identificarse a través de los siguientes mensajes de registro:

all_logs.0:Jun 8 03:25:03 srx1 node0.fpc4 : SPU3 jmpi mbuf stall 50%. all_logs.0:Jun 8 03:25:13 srx1 node0.fpc4 : SPU3 jmpi mbuf stall 51%. all_logs.0:Jun 8 03:25:24 srx1 node0.fpc4 : SPU3 jmpi mbuf stall 52%.

Finalmente, el sistema se queda sin mbufs y activa una conmutación por error en un entorno agrupado de alta disponibilidad (HA), o provoca que el reenvío de tráfico se detenga en un dispositivo independiente.

Este problema solo ocurre cuando se configura la inspección HTTP AV. Los dispositivos configurados solo para el filtrado web no se ven afectados por este problema.

Las versiones afectadas son Junos OS en la serie SRX: • Versiones 12.1X46 anteriores a 12.1X46-D81; • Versiones 12.3X48 anteriores a 12.3X48-D77;

• 15.1X49 versiones anteriores a 15.1X49-D101, 15.1X49-D110.

Este problema puede ocurrir cuando la política UTM se configura y aplica a la política de seguridad que inspecciona el tráfico HTTP:

Fuentes:

Sistema operativo Junos: Bloqueo del kernel después de procesar el paquete entrante específico a la interfaz de administración fuera de banda (CVE-2019-0011), Enero 2019, de Juniper Networks Sitio web:

https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10911&cat=SIRT_1&actp=LIST

Junos OS: Serie SRX: el tráfico HTTP diseñado puede ha-cer que UTM consuma todos los mbufs, lo que lleva a

(12)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

[security utm feature-profile anti-virus] en combinación con:

[security policies from-zone to-zone … then permit application-services utm-policy <policy-name>]

Juniper SIRT no tiene conocimiento de ninguna explotación maliciosa de esta vul-nerabilidad.

Este problema fue visto durante el uso de producción.

Impacto: Medio Vulnerabilidad: Ejecución: Remota Plataforma(s) Afectada(s): Remota Referencia: CVE-2016-2176. Descripción:

El proceso del daemon del protocolo de enrutamiento (RPD) se bloqueará y se reini-ciará cuando se reciba un paquete de unión PIM IPv4 no válido. Mientras que el RPD se reinicia después de un bloqueo, los bloqueos repetidos pueden dar como resultado una condición extendida de Denegación de Servicio (DoS).

Este problema solo afecta a los dispositivos con IPv4 PIM habilitado. Los dispositivos con PIM desactivado o con IPv6 PIM solo habilitado no se ven afectados por esta vulne-rabilidad.

Las liberaciones afectadas son Juniper Networks Junos OS: • Versiones 12.1X46 anteriores a 12.1X46-D77; • Versiones 12.3X48 anteriores a 12.3X48-D77; • 15.1 versiones anteriores a 15.1F6-S10, 15.1R6-S6, 15.1R7; • Versiones de 15.1X49 anteriores a 15.1X49-D150; • 15.1X53 versiones anteriores a 15.1X53-D233, 15.1X53-D59; • 16.1 versiones anteriores a 16.1R3-S8, 16.1R4-S8, 16.1R7; • 16.2 versiones anteriores a 16.2R2-S6; Fuentes:

Junos OS: Fallo del RPD al recibir un paquete PIM con formato incorrecto (CVE-2019-0013). Enero 2019, de Juniper Networks Sitio web:

Fuentes:

Junos OS: Una actualización BGP de Flowpec con un orden de plazo específico hace que el proceso del demonio de protocolo de enrutamiento (rpd) se bloquee con un núcleo. (CVE-2019-0003. Ene-ro 2019, de Juniper Networks Sitio web:

Junos OS: Fallo del RPD al recibir un paquete PIM con formato incorrecto (CVE-2019-0013)

(13)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Tipo: Permisos, privilegios y/o control de acceso Gravedad: Media

Fecha publicación: 08/01/2019 Última modificación: 16/01/2019 Descripción

Existe una vulnerabilidad de elevación de privilegios en la clase Microsoft XmlDo-cument que podría permitir a un atacante escapar del sandbox AppContainer en el navegador. Esto también se conoce como “Microsoft XmlDocument Elevation of Privilege Vulnerability”. Esto afecta a Windows Server 2012 R2, Windows RT 8.1, Windows Server 2012, Windows Server 2019, Windows Server 2016, Windows 8.1, Windows 10, Windows 10 Servers.

Descripción:

Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Content Security Management Appliance (SMA) podría permitir que un atacante remoto no autenticado realice un ataque de scripts entre sitios (XSS) contra un usuario de la interfaz de administración basada en web.

Impacto

Vector de acceso: Local

Complejidad de Acceso: Media

Autenticación: No requerida para explotarla

Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema

Vulnerabilidad en clase Microsoft XmlDocument (CVE-2019-0555)

Productos y versiones vulnerables • Microsoft Windows Server 2019 • Microsoft Windows Server 2012 R2 • Microsoft Windows Server 2012 • Microsoft Windows Server 1803 • Microsoft Windows Server 1709 • Microsoft Windows Server 2016 • Microsoft Windows RT 8.1

• Microsoft Windows 8.1 for x64-based Systems • Microsoft Windows 8.1 for 32-bit Systems

• Microsoft Windows 10 Version 1809 for x64-based Systems • Microsoft Windows 10 Version 1809 for ARM64-based Systems • Microsoft Windows 10 Version 1809 for 32-bit Systems

• Microsoft Windows 10 version 1709 for x64-based Systems • Microsoft Windows 10 Version 1709 for ARM64-based Systems • Microsoft Windows 10 version 1709 for 32-bit Systems

• Microsoft Windows 10 version 1703 for x64-based Systems • Microsoft Windows 10 version 1703 for 32-bit Systems • Microsoft Windows 10 Version 1607 for x64-based Systems • Microsoft Windows 10 Version 1607 for 32-bit Systems • Microsoft Windows 10 for x64-based Systems

• Microsoft Windows 10 for 32-bit Systems

Fuentes:

(14)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Tipo: Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria

Gravedad: Crítica

Fecha publicación: 08/01/2019 Última modificación: 16/01/2019 Descripción

Existe una vulnerabilidad de ejecución remota de código cuando el motor de Win-dows Jet Database gestiona indebidamente los objetos en la memoria. Esto tam-bién se conoce como “Jet Database Engine Remote Code Execution Vulnerability”. Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de 2019-0538, 2019-0576, 2019-0577, 2019-0578, 2019-0579, 2019-0580, 2019-0581, 2019-0582, CVE-2019-0583 y CVE-2019-0584.

Impacto

Vector de acceso: A través de red Complejidad de Acceso: Media

Autenticación: No requerida para explotarla

Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema

Vulnerabilidad en Windows Jet Database Engine (CVE-2019-0575)

Productos y versiones vulnerables • Microsoft Windows Server 2019 • Microsoft Windows Server 2016 • Microsoft Windows Server 2012 R2 • Microsoft Windows Server 2012

• Microsoft Windows Server 2008 R2 for x64-based Systems SP1 • Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 • Microsoft Windows Server 2008 for x64-based Systems SP2

• Microsoft Windows Server 2008 for Itanium-based Systems SP2 • Microsoft Windows Server 2008 for 32-bit Systems SP2

• Microsoft Windows Server 1803 • Microsoft Windows Server 1709 • Microsoft Windows RT 8.1

• Microsoft Windows 8.1 for x64-based Systems • Microsoft Windows 8.1 for 32-bit Systems • Microsoft Windows 7 for x64-based Systems SP1 • Microsoft Windows 7 for 32-bit Systems SP1

• Microsoft Windows 10 version 1703 for x64-based Systems • Microsoft Windows 10 version 1703 for 32-bit Systems

Fuentes:

(15)

SERVICIO DE INTELIGENCIA

(23)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Tipo: Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria

Existe una vulnerabilidad de ejecución remota de código cuando el motor de Win-dows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como “Jet Database Engine Remote Code Execution Vulnerability”. Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Win-dows Server 2008 R2, WinWin-dows 10 y WinWin-dows 10 Servers. El ID de este CVE es diferente de CVE-2019-0538, CVE-2019-0575, CVE-2019-0576, CVE-2019-0577, CVE-2019-0578, CVE-2019-0579, CVE-2019-0580, CVE-2019-0582, CVE-2019-0583 y CVE-2019-0584. Impacto

Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del siste-ma

Fuentes:

(24)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Tipo: Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria

Existe una vulnerabilidad de ejecución remota de código cuando el motor de Win-dows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como “Jet Database Engine Remote Code Execution Vulnerability”. Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Win-dows Server 2008 R2, WinWin-dows 10 y WinWin-dows 10 Servers. El ID de este CVE es diferente de CVE-2019-0538, CVE-2019-0575, CVE-2019-0576, CVE-2019-0577, CVE-2019-0578, CVE-2019-0579, CVE-2019-0580, CVE-2019-0581, CVE-2019-0583 y CVE-2019-0584. Impacto

Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del siste-ma

Vulnerabilidad en Windows Jet Database Engine

(CVE-2019-0582) Productos y versiones vulnerables

• Microsoft Windows Server 2019 • Microsoft Windows Server 2016 • Microsoft Windows Server 2012 R2 • Microsoft Windows Server 2012

Fuentes:

(25)

SERVICIO DE INTELIGENCIA

CONTRA AMENAZAS “SIA”

Criticidad: Critico

Impacto: Acceso no autorizado Vulnerabilidad:

Ejecución: Remota Plataforma(s)

Afectada(s):

Esta vulnerabilidad afecta a las siguientes familias de productos Cisco Small Busi-ness que ejecutan cualquier versión de software si no hay cuentas de usuario con privilegios de acceso establecidos en el nivel 15 configuradas en el dispositivo: Descripción:

Una vulnerabilidad en el software Cisco Small Business Switches podría permitir a un atacante remoto no autenticado eludir el mecanismo de autenticación de usuario de un dispositivo afectado.

La vulnerabilidad existe porque en circunstancias específicas, el software afectado habilita una cuenta de usuario privilegiada sin notificar a los administradores del sis-tema. Un atacante podría aprovechar esta vulnerabilidad utilizando esta cuenta para iniciar sesión en un dispositivo afectado y ejecutar comandos con todos los derechos de administrador.

Vulnerabilidad de acceso privilegiado de Cisco Small

Business Switches Cisco no ha lanzado actualizaciones de software que aborden esta vulnerabilidad. Este

aviso se actualizará con información de software fija una vez que el software fijo esté disponible. Hay una solución para abordar esta vulnerabilidad.

Fuentes:

Vulnerabilidad de acceso privilegiado de Cisco Small Business Switches

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181107-sbsw-privacc