WEB

Consejos para una navegación segura Web.

26 abril, 2023

Desde el CCN nos dejan algunos consejos para una navegación segura web. A modo de decálogo podemos consultar este cuadro:

Por otra parte también podemos ver el documento de Buenas Prácticas que ha elaborado el CCN https://www.ccn-cert.cni.es/informes/informes-de-buenas-practicas-bp/1801-ccn-cert-bp-06-navegadores-web/file.html

También tenemos esta guía que editó la OSI hace un tiempo, pero que está de total actualidad https://www.osi.es/sites/default/files/docs/guiaprivacidadseguridadinternet.pdf

¿Qué funciones de privacidad y seguridad tienes los navegadores web ? https://www.incibe.es/sites/default/files/docs/c13_pdf_rp-fichas-navegadores-web.pdf

¿Qué es el pharming? Como prevenirlo.

20 octubre, 2022

El pharming es una estafa que los ciberdelincuentes utilizan para instalar código malicioso en ordenadores personales o servidores. El término procede de las palabras inglesas “farming” (cultivo) y “phishing” y representa una técnica nueva y más complicada que los hackers utilizan para acceder a información sensible.

El código malicioso que se utiliza en los ataques de pharming cambia la información de la dirección IP, lo que redirige a los usuarios a sitios web falsos sin su conocimiento o consentimiento. Una vez redirigidos a estas webs falsas, se pide a los usuarios que introduzcan información personal, que luego se utiliza para cometer robos de identidad o fraudes financieros.

Cuando ejecutan ataques de pharming, los atacantes se dirigen principalmente a clientes de bancos u otros sistemas de intercambio monetario. Esta táctica tiene bastante éxito porque permite a los hackers infiltrarse en varios dispositivos a la vez. Además, los hackers no necesitan convencer a los usuarios para que hagan clic en un enlace de correo electrónico dudoso o en un anuncio sospechoso: el código malicioso se descarga automáticamente sin ninguna acción por parte del usuario.

Resto del artículo que nos deja Panda , pincha aquí.

Si usas Firefox o Thunderbird actualizalos. Nivel de peligrosidad crítico.

25 mayo, 2022

Mozilla ha publicado un aviso de seguridad (2022-19) para corregir una serie de vulnerabilidades en sus navegadores web Firefox, Firefox para Android, Firefox ESR (versión con ciclo de asistencia extendido diseñada para servir a grandes entornos empresariales) y el cliente de correo electrónico desarrollado por Mozilla, Thunderbird.

En el aviso publicado se incluyen 2 vulnerabilidades calificadas por el fabricante con una severidad crítica. Estos errores fueron descubiertos por el investigador Manfred Paul a través de la Iniciativa Zero-Day de Trend Micro. Estas vulnerabilidades permiten a un atacante la ejecución remota de código JavaScript en el sistema atacado.

Resto del aviso publicado por el CCN lo puedes ver aquí https://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/11790-ccn-cert-av-10-22-actualizaciones-de-seguridad-para-firefox-firefox-esr-firefox-para-android-y-thunderbird.html

ALERTA: Vulnerabilidad en Apache Log4j 2

15 diciembre, 2021

ALERTA: Desde el CCN nos avisan de esta vulnerabilidad y nos piden que hagamos todo lo posible por revisar nuestros servidores web Apache donde se utilice herramientas Java. Literalmente nos dicen desde el CCN:” Nos consta que esta vulnerabilidad esta operativa en el arsenal de más de 12 grupos de ataque y nos consta que esta siendo explotada desde, al menos, el 1 de diciembre.”

Por lo que es interesante revisarlo.

Os dejo contenido el mensaje de la alerta:

Actualización vulnerabilidad en Apache Log4j 2

Fecha de publicación: 14/12/2021
Nivel de peligrosidad: CRÍTICOEl Equipo de Respuesta a Incidentes del Centro Criptológico Nacional, CCN-CERT, informa sobre la publicación de actualizaciones de la vulnerabilidad que afecta a Apache Log4j 2.

Como se alertó el pasado viernes, 10 de diciembre, se ha hecho pública una vulnerabilidad que afecta a la librería de registro de Java Apache Log4j 2, herramienta desarrollada por Apache Foundation que ayuda a los desarrolladores de software a escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución, además, Log4j permite filtrar los mensajes en función de su importancia.

Nuevas recomendaciones:

Revisar si se está usando log4j
- PowerShell
  - https://github.com/crypt0jan/log4j-powershell-checker
  - gci ‘C:\’ -rec -force -include *.jar -ea 0 | foreach {select-string “JndiLookup.class” $_} | select -exp Path
- Linux
  - find / 2>/dev/null -regex “.*.jar” -type f | xargs -I{} grep JndiLookup.class “{}”
- Revisar ficheros de configuración buscando log4j2.formatMsgNoLookups y la variable de entorno LOG4J_FORMAT_MSG_NO_LOOKUPS. Deben estar a True.

- Revisar aplicaciones de Java
  - https://github.com/logpresso/CVE-2021-44228-Scanner (Observación: realiza la mitigación de forma automática)
  - https://github.com/hillu/local-log4j-vuln-scanner
  - https://github.com/mergebase/log4j-detector
- JAR file hashes
  - https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes
- Class file hashes (2.15.0 no es vulnerable, pero está incluida)
  - https://gist.github.com/olliencc/8be866ae94b6bee107e3755fd1e9bf0d
- JAR and Class hashes
  - https://github.com/nccgroup/Cyber-Defence/tree/master/Intelligence/CVE-2021-44228
- Escaneo de vulnerabilidad en Go
  - https://github.com/hillu/local-log4j-vuln-scanner
- Conjunto de reglas YARA para la detección de versiones de log4j vulnerables a CVE-2021-44228 by looking for the signature of JndiManager prior to 2.15.0.
  - https://github.com/darkarnium/CVE-2021-44228

Revisar si se ha tenido un aumento de conexiones DNS.
- Los intentos durante el fin de semana se han focalizado en el uso de las POC que explotan la vulnerabilidad conectando con servidores de DNS. Un aumento fuera de lo habitual en las conexiones salientes a DNS durante el pasado fin de semana puede ser indicativo de explotación exitosa
Aplicar listas blancas en la salida de internet en caso de duda de estar usando la librería log4j
- Revisar si tiene uno de los siguientes aplicativos:
  https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Revisar en logs los siguientes IOC:
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
En caso de sospechas revisar los logs de las aplicaciones para buscar “jndi”, se pueden apoyar en los siguientes scripts:
https://github.com/Neo23x0/log4shell-detector/
Revisar en Windows si se han creado tareas programadas, y en Linux en el Cron.
Actualizar a la versión versión de Log4j, se ha publicado la versión 2.16 https://github.com/apache/logging-log4j2/blob/cffe58f6a433ea1ab60ceb129d4c9b3377acda1d/RELEASE-NOTES.md
La vulnerabilidad también se puede mitigar en versiones anteriores (sólo versión 2.10 y posteriores) estableciendo la propiedad del sistema “log4j2.formatMsgNoLookups” en “true” o eliminando la clase JndiLookup del classpath.
En caso de no poder aplicar las medidas anteriores Deshabilitar JNDI si no se está usando
En caso de no poder aplicar las medidas anteriores eliminar las clases JndiLookup y JndiManager de la biblioteca log4j-core jar. La eliminación de JndiManager causara que no funcione JndiContextSelector y JMSAppender.

En caso de haber detectado la explotación de esta vulnerabilidad puede informar de ello en la siguiente dirección de correo electrónico: incidentes@ccn-cert.cni.es

Posibles vectores de entrada

La vulnerabilidad puede ser explotada fácilmente en múltiples aplicaciones y servidores, una recopilación de aplicaciones comerciales afectadas es la siguiente https://github.com/NCSC-NL/log4shell/blob/main/software/README.md

El exploit puede ser usado en campos propios de las aplicaciones de cada organismo usando los parámetros de comunicaciones o los datos de los formularios de la aplicación.

Se debe prestar especial atención a los siguientes parámetros de entrada de las aplicaciones con conexión a Internet:

X-Api-Version
User-Agent
Referer
X-Druid-Comment
Origin
Location
X-Forwarded-For
Cookie
X-Requested-With
X-Forwarded-Host
Accept

IOC

La lista de IOC se está ampliando según avanzan las investigaciones. Les sugerimos varios enlaces para actualizar listados de IPs que realizan escaneos activos e intentos de explotación de la vulnerabilidad:

Referencias:

Atentamente,

Equipo CCN-CERT

Consejos Redes Sociales y otros.

2 julio, 2021

Consejos para una navegación segura Web.

¿Qué es el pharming? Como prevenirlo.

Si usas Firefox o Thunderbird actualizalos. Nivel de peligrosidad crítico.

ALERTA: Vulnerabilidad en Apache Log4j 2

Consejos Redes Sociales y otros.

Compendio de recursos formativos gratuitos y divertidos en ciberseguridad.

Detectada campaña de suplantación a la FNMT y a la AEAT con la intención de infectar tu dispositivo con un ransomware

Campaña de phising haciéndose pasar por la Agencia Tributaria, !no piques!

¿Te han suplantado en RRSS?