Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Noticias

¿Sabes que es el vishing?

Si alguna vez hemos recibido una llamada de teléfono sospechosa, donde el supuesto operador que se identifica como un trabajador de una empresa conocida, nos solicita datos personales o incluso acceso remoto a alguno de nuestros dispositivos, es posible que hayamos sido víctimas del fraude conocido como vishing.

Os animo a ver este artículo que nos deja la OSI (Oficina de Seguridad del Internauta) https://www.osi.es/es/actualidad/blog/2021/11/17/que-es-el-vishing

CCN: Infome de Ciberamenazas y Tendencias. Edicion 2021

Os dejo la publicacion del CCN sobre las tendencias de ciberamenazas.

La nueva realidad provocada por la COVID-19 centra el foco de las ciberamenazas
Fecha de publicación: 16/12/2021

  • El CCN-CERT presenta su Informe Ciberamenazas y Tendencias. Edición 2021.
  • El informe recoge los principales incidentes, agentes de las amenazas y métodos de ataque empleados a lo largo de 2020, así como las tendencias que han marcado y siguen marcando este 2021.
  • Los cambios en la forma de trabajar, estudiar, comunicarnos o acceder al ocio causados por la pandemia han centralizado multitud de ataques en el año de la pandemia.
  • El año 2021 sigue planteando amenazas constantes para el sector sanitario en materia de ciberseguridad sin olvidar los riesgos asociados a la nueva realidad del teletrabajo, la migración a la nube y la popularización de dispositivos IoT.

El CCN-CERT, del Centro Criptológico Nacional, ha presentado su nuevo Informe Ciberamenazas y Tendencias. Edición 2021, en el que recogen los principales incidentes, agentes de las amenazas y métodos de ataque empleados a lo largo tanto de este año como de 2020. Además, en el documento se exponen aquellas tendencias que han marcado y siguen marcando 2021.

En esta nueva edición del Informe se destaca el que ha sido indudablemente un elemento disruptivo para la vida cotidiana: la pandemia mundial de COVID-19. Esta situación, y los cambios que trajo consigo a nivel laboral, escolar, en las comunicaciones interpersonales e incluso en la forma de acceder al ocio ha sido aprovechada de forma maliciosa por los ciberdelincuentes para llevar a cabo operaciones disruptivas, propagación de fake news sobre la propia pandemia o para desprestigio de las instituciones, robo de información y las ya habituales campañas de phishing y ransomware.

Asimismo, otros elementos que destaca el informe son los siguientes:

  • El ransomware sigue siendo una de las amenazas con más recurrencia por su alta capacidad de monetización por parte de los actores maliciosos.
  • Las amenazas de botnet de IoT nuevas y modificadas son una de las categorías de amenazas que más rápido ha crecido en la primera mitad de 2020, entre las que destaca Dark Nexus.
  • Crecimiento del código dañino avanzado, donde destacan DLL side-loading, el uso de frameworks postexplotación y la tendencia hacia el desarrollo de malware en .NET.
  • Ataques a sistemas de acceso remoto (VPNs, servidores de correo o Sharepoint).
  • Ataques web del tipo XSS o de inyección SQL.
  • Ataques de ingeniería social aprovechando la incertidumbre general y la enorme cantidad de bulos circulando por el ciberespacio.
  • Ataques a la cadena de suministro. Se han confirmado las tendencias que se venían observando sobre todo en lo relacionado con tres líneas principales: el aprovechamiento de vulnerabilidades asociadas al acceso remoto, la elección de infraestructuras sanitarias y centros de investigación relacionados con la lucha contra la pandemia y los ataques de ransomware contra infraestructuras industriales con impacto en la producción.

Por otro lado, el traslado forzoso de empleados y estudiantes al hogar desde el inicio de la pandemia provocó un aumento cada vez mayor de dispositivos conectados, aplicaciones y servicios web que utilizamos en nuestra vida personal y profesional. Este cambio sigue muy presente en 2021 y supone un aumento de la superficie de ataque. En este entorno, y aprovechando la falta de medidas de seguridad, las políticas de privacidad débiles, las vulnerabilidades y la susceptibilidad del usuario a la ingeniería social, los atacantes dirigen sus actividades no solo al ámbito doméstico sino  también al de las empresas.

En cuanto a las tendencias previstas a corto plazo, tal y como señala el documento, la pandemia de COVID-19 sigue marcando las amenazas y riesgos, muchos de estos directamente relacionados con el aumento del teletrabajo. En este sentido, el mayor uso de soluciones en la nube, conexiones VPN, servicios de escritorio remoto virtual (VDI), redes de confianza cero y gestión de identidades, servicios y tecnologías para el acceso remoto, uso de herramientas colaborativas, aplicaciones de videoconferencia, entre otros, genera que los ataques a estos entornos, en especial a los sistemas públicamente expuestos, sigan creciendo.

Más información:

Atentamente,

Equipo CCN-CERT

ALERTA: Vulnerabilidad en Apache Log4j 2

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se  utilice herramientas Java. Literalmente nos dicen desde el CCN:” Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2
Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

  • Revisar si se está usando log4j
    • PowerShell
    • Linux
      • find / 2>/dev/null -regex “.*.jar” -type f | xargs -I{} grep JndiLookup.class “{}”
    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
  • Revisar si se ha tenido un aumento de conexiones DNS.
    • Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
  • Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
  • Revisar en logs los siguientes IOC:
    https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
    En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
    https://github.com/Neo23x0/log4shell-detector/
  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
  • La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema “log4j2.formatMsgNoLookups” en “true” o eliminando la clase JndiLookup del classpath.
  • En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
  • En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca  log4j-core jar. La eliminación de  JndiManager causara que no funcione JndiContextSelector y  JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

  • X-Api-Version
  • User-Agent
  • Referer
  • X-Druid-Comment
  • Origin
  • Location
  • X-Forwarded-For
  • Cookie
  • X-Requested-With
  • X-Forwarded-Host
  • Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

¿Cómo puedo compartir ahora archivos o carpetas a través de una red?

¿Cómo puedo compartir ahora archivos o carpetas a través de una red?

Para compartir un archivo o una carpeta en el Explorador de archivos, realiza una de las siguientes acciones:

  • Haga clic con el botón derecho o presione un archivo, seleccione Conceder acceso a > Personas específicas.Compartir un archivo con personas específicas de una red
  • Selecciona un archivo, selecciona la pestaña Compartir de la parte superior del Explorador de archivos y, a continuación, en la sección Compartir con, elige Usuarios específicos.Compartir un archivo con personas específicas de una red

Si seleccionas varios archivos a la vez, puedes compartirlos de la misma manera. También funciona para carpetas: comparte una carpeta y se compartirán todos los archivos.

!!!!! NO OLVIDES PONER UN USUARIO CON CLAVE EN TU ORDENADOR PARA COMPARTIR, si no le dejarías acceder a todo el mundo a tu ordenador, piensa que tu ordenador se puede ver desde cualquier parte del mundo, cuando tienes un ip pública.  !!!!!

Si es necesario crear un usuario en tu ordenador  para la comparticion de archivos hazlo.