Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Inicio

CCN: Infome de Ciberamenazas y Tendencias. Edicion 2021

Os dejo la publicacion del CCN sobre las tendencias de ciberamenazas.

La nueva realidad provocada por la COVID-19 centra el foco de las ciberamenazas
Fecha de publicación: 16/12/2021

  • El CCN-CERT presenta su Informe Ciberamenazas y Tendencias. Edición 2021.
  • El informe recoge los principales incidentes, agentes de las amenazas y métodos de ataque empleados a lo largo de 2020, así como las tendencias que han marcado y siguen marcando este 2021.
  • Los cambios en la forma de trabajar, estudiar, comunicarnos o acceder al ocio causados por la pandemia han centralizado multitud de ataques en el año de la pandemia.
  • El año 2021 sigue planteando amenazas constantes para el sector sanitario en materia de ciberseguridad sin olvidar los riesgos asociados a la nueva realidad del teletrabajo, la migración a la nube y la popularización de dispositivos IoT.

El CCN-CERT, del Centro Criptológico Nacional, ha presentado su nuevo Informe Ciberamenazas y Tendencias. Edición 2021, en el que recogen los principales incidentes, agentes de las amenazas y métodos de ataque empleados a lo largo tanto de este año como de 2020. Además, en el documento se exponen aquellas tendencias que han marcado y siguen marcando 2021.

En esta nueva edición del Informe se destaca el que ha sido indudablemente un elemento disruptivo para la vida cotidiana: la pandemia mundial de COVID-19. Esta situación, y los cambios que trajo consigo a nivel laboral, escolar, en las comunicaciones interpersonales e incluso en la forma de acceder al ocio ha sido aprovechada de forma maliciosa por los ciberdelincuentes para llevar a cabo operaciones disruptivas, propagación de fake news sobre la propia pandemia o para desprestigio de las instituciones, robo de información y las ya habituales campañas de phishing y ransomware.

Asimismo, otros elementos que destaca el informe son los siguientes:

  • El ransomware sigue siendo una de las amenazas con más recurrencia por su alta capacidad de monetización por parte de los actores maliciosos.
  • Las amenazas de botnet de IoT nuevas y modificadas son una de las categorías de amenazas que más rápido ha crecido en la primera mitad de 2020, entre las que destaca Dark Nexus.
  • Crecimiento del código dañino avanzado, donde destacan DLL side-loading, el uso de frameworks postexplotación y la tendencia hacia el desarrollo de malware en .NET.
  • Ataques a sistemas de acceso remoto (VPNs, servidores de correo o Sharepoint).
  • Ataques web del tipo XSS o de inyección SQL.
  • Ataques de ingeniería social aprovechando la incertidumbre general y la enorme cantidad de bulos circulando por el ciberespacio.
  • Ataques a la cadena de suministro. Se han confirmado las tendencias que se venían observando sobre todo en lo relacionado con tres líneas principales: el aprovechamiento de vulnerabilidades asociadas al acceso remoto, la elección de infraestructuras sanitarias y centros de investigación relacionados con la lucha contra la pandemia y los ataques de ransomware contra infraestructuras industriales con impacto en la producción.

Por otro lado, el traslado forzoso de empleados y estudiantes al hogar desde el inicio de la pandemia provocó un aumento cada vez mayor de dispositivos conectados, aplicaciones y servicios web que utilizamos en nuestra vida personal y profesional. Este cambio sigue muy presente en 2021 y supone un aumento de la superficie de ataque. En este entorno, y aprovechando la falta de medidas de seguridad, las políticas de privacidad débiles, las vulnerabilidades y la susceptibilidad del usuario a la ingeniería social, los atacantes dirigen sus actividades no solo al ámbito doméstico sino  también al de las empresas.

En cuanto a las tendencias previstas a corto plazo, tal y como señala el documento, la pandemia de COVID-19 sigue marcando las amenazas y riesgos, muchos de estos directamente relacionados con el aumento del teletrabajo. En este sentido, el mayor uso de soluciones en la nube, conexiones VPN, servicios de escritorio remoto virtual (VDI), redes de confianza cero y gestión de identidades, servicios y tecnologías para el acceso remoto, uso de herramientas colaborativas, aplicaciones de videoconferencia, entre otros, genera que los ataques a estos entornos, en especial a los sistemas públicamente expuestos, sigan creciendo.

Más información:

Atentamente,

Equipo CCN-CERT

ALERTA: Vulnerabilidad en Apache Log4j 2

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se  utilice herramientas Java. Literalmente nos dicen desde el CCN:» Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.»

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2
Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

  • Revisar si se está usando log4j
    • PowerShell
    • Linux
      • find / 2>/dev/null -regex «.*.jar» -type f | xargs -I{} grep JndiLookup.class «{}»
    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
  • Revisar si se ha tenido un aumento de conexiones DNS.
    • Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
  • Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
  • Revisar en logs los siguientes IOC:
    https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
    En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
    https://github.com/Neo23x0/log4shell-detector/
  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
  • La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» en «true» o eliminando la clase JndiLookup del classpath.
  • En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
  • En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca  log4j-core jar. La eliminación de  JndiManager causara que no funcione JndiContextSelector y  JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

  • X-Api-Version
  • User-Agent
  • Referer
  • X-Druid-Comment
  • Origin
  • Location
  • X-Forwarded-For
  • Cookie
  • X-Requested-With
  • X-Forwarded-Host
  • Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

¿Cómo puedo compartir ahora archivos o carpetas a través de una red?

¿Cómo puedo compartir ahora archivos o carpetas a través de una red?

Para compartir un archivo o una carpeta en el Explorador de archivos, realiza una de las siguientes acciones:

  • Haga clic con el botón derecho o presione un archivo, seleccione Conceder acceso a > Personas específicas.Compartir un archivo con personas específicas de una red
  • Selecciona un archivo, selecciona la pestaña Compartir de la parte superior del Explorador de archivos y, a continuación, en la sección Compartir con, elige Usuarios específicos.Compartir un archivo con personas específicas de una red

Si seleccionas varios archivos a la vez, puedes compartirlos de la misma manera. También funciona para carpetas: comparte una carpeta y se compartirán todos los archivos.

!!!!! NO OLVIDES PONER UN USUARIO CON CLAVE EN TU ORDENADOR PARA COMPARTIR, si no le dejarías acceder a todo el mundo a tu ordenador, piensa que tu ordenador se puede ver desde cualquier parte del mundo, cuando tienes un ip pública.  !!!!!

Si es necesario crear un usuario en tu ordenador  para la comparticion de archivos hazlo.

Activar la auditoría de inicio de sesión en windows.

(Extracto de Vidatecno)

Qué es la auditoría de inicio de sesión

La auditoría de inicio de sesión es una configuración de directivas de grupo de Windows incorporada que permite a un administrador de Windows registrar y auditar cada instancia de actividades de inicio y cierre de sesión de usuarios en un equipo local o en una red. Junto con el inicio y cierre de sesión por eventos, esta función también es capaz de rastrear cualquier intento fallido de inicio de sesión. Esto es particularmente útil para determinar y analizar cualquier ataque a su equipo Windows.

Habilitar auditoría de inicio de sesión

Para habilitar la auditoría de inicio de sesión, necesitamos configurar la configuración de la directiva de grupo de Windows. Pulse «Win + R», escriba gpedit.msc y pulse el botón Intro para abrir el Editor de directivas de grupo de Windows.

Una vez que esté en el Editor de políticas de grupo, vaya a «Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Políticas locales» y, a continuación, seleccione «Política de auditoría» en el panel izquierdo.

La acción anterior le mostrará algunas políticas en el panel derecho. Aquí haga doble clic en la política «Eventos de inicio de sesión de auditoría» para abrirla. Por favor, no confunda «Eventos de inicio de sesión de auditoría» con «Eventos de inicio de sesión de cuenta de auditoría», ya que se trata de una configuración para un propósito completamente diferente.

Una vez abierta la ventana, seleccione las casillas de verificación «Éxito» y «Fallo». Ahora haga clic en los botones «Apply» y «Ok» para guardar los cambios.

Eso es todo lo que hay que hacer. A partir de este momento, todos los intentos de inicio de sesión, de cierre de sesión y de inicio de sesión fallido se registrarán en el Visor de eventos como eventos.

Ver Logon AuditEvents

Puede ver todos los eventos de intento de inicio de sesión, cierre de sesión y inicio de sesión fallido en el Visor de eventos de Windows. Puede iniciar el Visor de Eventos buscando en el menú de inicio. Si está usando Windows 8, puede iniciar lo mismo usando el menú Power User (Win + X).

Una vez que haya iniciado el Visor de eventos, vaya a Registros de Windows y luego a la ficha Seguridad.

Aquí encontrará todos los eventos relacionados con la seguridad que ocurrieron en su sistema Windows. Si hace doble clic en la palabra clave «Éxito de la auditoría», descubrirá los detalles como el usuario que ha iniciado o cerrado la sesión, la marca de tiempo, etc. Como consejo, puede filtrar los registros de eventos usando «Event ID» o «Task Category». Como puede ver en la siguiente imagen, Logon Auditing también realiza un seguimiento de los intentos de inicio de sesión fallidos.

Eso es todo lo que hay que hacer, y es así de simple rastrear los inicios de sesión de los usuarios en su sistema Windows.

Seguridad Informática
Powered by  GDPR Cookie Compliance
Resumen de privacidad

BlogsUGR utiliza cookies propias para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a BlogsUGR, haces algún comentario o seleccionas el idioma de un blog. Rechazar las cookies propias podría suponer la imposibilidad de acceder como usuario a BlogsUGR.

Algunos blogs de BlogsUGR utilizan cookies de terceros con fines analíticos para recabar estadísticas sobre la actividad del usuario en dicho blog y la actividad general del  mismo.