Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de CCN

Publicado nuevo Esquema Nacional de Seguridad.

  • El Real Decreto 311/2022, de 3 de mayo, asigna al Centro Criptológico Nacional el papel de coordinador público a nivel estatal de la respuesta técnica de los equipos de respuesta a incidentes, a través del CCN-CERT; el desarrollo de programas de sensibilización, concienciación y formación dirigidos al personal de las entidades del sector público y la divulgación de buenas prácticas y avisos de ciberseguridad. 
  • Entre las novedades del nuevo ENS se encuentra la incorporación de la figura del perfil de cumplimiento, el establecimiento de un protocolo de actuación ante ciberincidentes y un nuevo sistema de codificación de los requisitos de las medidas de seguridad.

Consultalo en https://www.boe.es/boe/dias/2022/05/04/pdfs/BOE-A-2022-7191.pdf?idU=1

Resto del comunicado del CCN CERT en https://www.ccn-cert.cni.es/seguridad-al-dia/actualidad-ccn/11745-actualizado-el-esquema-nacional-de-seguridad-en-el-ambito-del-sector-publico.html

Para universidades ya se publicó el perfil de cumplimiento. Lo puedes ver en:

InfografiaNuevoENS

 

 

CCN: Infome de Ciberamenazas y Tendencias. Edicion 2021

Os dejo la publicacion del CCN sobre las tendencias de ciberamenazas.

La nueva realidad provocada por la COVID-19 centra el foco de las ciberamenazas
Fecha de publicación: 16/12/2021

  • El CCN-CERT presenta su Informe Ciberamenazas y Tendencias. Edición 2021.
  • El informe recoge los principales incidentes, agentes de las amenazas y métodos de ataque empleados a lo largo de 2020, así como las tendencias que han marcado y siguen marcando este 2021.
  • Los cambios en la forma de trabajar, estudiar, comunicarnos o acceder al ocio causados por la pandemia han centralizado multitud de ataques en el año de la pandemia.
  • El año 2021 sigue planteando amenazas constantes para el sector sanitario en materia de ciberseguridad sin olvidar los riesgos asociados a la nueva realidad del teletrabajo, la migración a la nube y la popularización de dispositivos IoT.

El CCN-CERT, del Centro Criptológico Nacional, ha presentado su nuevo Informe Ciberamenazas y Tendencias. Edición 2021, en el que recogen los principales incidentes, agentes de las amenazas y métodos de ataque empleados a lo largo tanto de este año como de 2020. Además, en el documento se exponen aquellas tendencias que han marcado y siguen marcando 2021.

En esta nueva edición del Informe se destaca el que ha sido indudablemente un elemento disruptivo para la vida cotidiana: la pandemia mundial de COVID-19. Esta situación, y los cambios que trajo consigo a nivel laboral, escolar, en las comunicaciones interpersonales e incluso en la forma de acceder al ocio ha sido aprovechada de forma maliciosa por los ciberdelincuentes para llevar a cabo operaciones disruptivas, propagación de fake news sobre la propia pandemia o para desprestigio de las instituciones, robo de información y las ya habituales campañas de phishing y ransomware.

Asimismo, otros elementos que destaca el informe son los siguientes:

  • El ransomware sigue siendo una de las amenazas con más recurrencia por su alta capacidad de monetización por parte de los actores maliciosos.
  • Las amenazas de botnet de IoT nuevas y modificadas son una de las categorías de amenazas que más rápido ha crecido en la primera mitad de 2020, entre las que destaca Dark Nexus.
  • Crecimiento del código dañino avanzado, donde destacan DLL side-loading, el uso de frameworks postexplotación y la tendencia hacia el desarrollo de malware en .NET.
  • Ataques a sistemas de acceso remoto (VPNs, servidores de correo o Sharepoint).
  • Ataques web del tipo XSS o de inyección SQL.
  • Ataques de ingeniería social aprovechando la incertidumbre general y la enorme cantidad de bulos circulando por el ciberespacio.
  • Ataques a la cadena de suministro. Se han confirmado las tendencias que se venían observando sobre todo en lo relacionado con tres líneas principales: el aprovechamiento de vulnerabilidades asociadas al acceso remoto, la elección de infraestructuras sanitarias y centros de investigación relacionados con la lucha contra la pandemia y los ataques de ransomware contra infraestructuras industriales con impacto en la producción.

Por otro lado, el traslado forzoso de empleados y estudiantes al hogar desde el inicio de la pandemia provocó un aumento cada vez mayor de dispositivos conectados, aplicaciones y servicios web que utilizamos en nuestra vida personal y profesional. Este cambio sigue muy presente en 2021 y supone un aumento de la superficie de ataque. En este entorno, y aprovechando la falta de medidas de seguridad, las políticas de privacidad débiles, las vulnerabilidades y la susceptibilidad del usuario a la ingeniería social, los atacantes dirigen sus actividades no solo al ámbito doméstico sino  también al de las empresas.

En cuanto a las tendencias previstas a corto plazo, tal y como señala el documento, la pandemia de COVID-19 sigue marcando las amenazas y riesgos, muchos de estos directamente relacionados con el aumento del teletrabajo. En este sentido, el mayor uso de soluciones en la nube, conexiones VPN, servicios de escritorio remoto virtual (VDI), redes de confianza cero y gestión de identidades, servicios y tecnologías para el acceso remoto, uso de herramientas colaborativas, aplicaciones de videoconferencia, entre otros, genera que los ataques a estos entornos, en especial a los sistemas públicamente expuestos, sigan creciendo.

Más información:

Atentamente,

Equipo CCN-CERT

ALERTA: Vulnerabilidad en Apache Log4j 2

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se  utilice herramientas Java. Literalmente nos dicen desde el CCN:» Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.»

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2
Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

  • Revisar si se está usando log4j
    • PowerShell
    • Linux
      • find / 2>/dev/null -regex «.*.jar» -type f | xargs -I{} grep JndiLookup.class «{}»
    • Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.
  • Revisar si se ha tenido un aumento de conexiones DNS.
    • Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
  • Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
  • Revisar en logs los siguientes IOC:
    https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
    En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
    https://github.com/Neo23x0/log4shell-detector/
  • Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
  • Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
  • La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema «log4j2.formatMsgNoLookups» en «true» o eliminando la clase JndiLookup del classpath.
  • En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
  • En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca  log4j-core jar. La eliminación de  JndiManager causara que no funcione JndiContextSelector y  JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

  • X-Api-Version
  • User-Agent
  • Referer
  • X-Druid-Comment
  • Origin
  • Location
  • X-Forwarded-For
  • Cookie
  • X-Requested-With
  • X-Forwarded-Host
  • Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT
Seguridad Informática
Powered by  GDPR Cookie Compliance
Resumen de privacidad

BlogsUGR utiliza cookies propias para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a BlogsUGR, haces algún comentario o seleccionas el idioma de un blog. Rechazar las cookies propias podría suponer la imposibilidad de acceder como usuario a BlogsUGR.

Algunos blogs de BlogsUGR utilizan cookies de terceros con fines analíticos para recabar estadísticas sobre la actividad del usuario en dicho blog y la actividad general del  mismo.