lima, 23 de setiembre de 2021
TRANSCRIPT
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la
Seguridad Digital del Estado Peruano.
El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las
empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar
la continuidad de sus servicios en favor de la población.
Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2021.
La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas.
Lima, 23 de setiembre de 2021
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Contenido Vulnerabilidad en Apache OpenOffice ........................................................................................................ 3
El nuevo error de día cero de macOS permite a los atacantes ejecutar comandos de forma remota......... 4
Actualización de seguridad de Cisco ............................................................................................................ 5
Múltiples vulnerabilidades críticas en productos de Cisco .......................................................................... 6
Múltiples vulnerabilidades críticas en los sistemas de administración de red de Nagios ............................ 8
Malware TangleBot, roba datos personales y financieros utilizando información de señuelos y vacunas
con el tema del COVID-19. .......................................................................................................................... 9
Avisos e información de seguridad digital ................................................................................................. 11
Índice alfabético ........................................................................................................................................ 12
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 245
Fecha: 23-09-2021
Página: 3 de 12
Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS
Nombre de la alerta Vulnerabilidad en Apache OpenOffice
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura ECV
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 23 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento de una vulnerabilidad en Apache OpenOffice, que permitiría que un atacante remoto ejecutar código arbitrario en la máquina de la víctima, el identificador asignado para esta vulnerabilidad es el CVE-2021-33035.
Apache OpenOffice, es un software muy popular de procesamiento de textos gratuito y de código abierto. Este software tiene una vulnerabilidad en su última versión 4.1.10, el CVE-2021-22035 fue descubierta por el investigador de seguridad Eugene Lim, el cual podría activarse a través de un documento específicamente diseñado.
Según el investigador, describe la falla como un desbordamiento de búfer causado por un archivo .dbf que anula un puntero de retorno con una evasión de DEP y ASLR, lo que desencadenaría la ejecución de comandos arbitrarios: “Un archivo malicioso abierto con este software podría derivar en el compromiso total del sistema afectado. Al respecto, el especialista recomienda a los usuarios mantenerse al tanto de cualquier actualización proveniente de los desarrolladores.
Se recomienda:
• Mantenerse al tanto de cualquier actualización proveniente de los desarrolladores.
• Mantener activas y actualizadas las herramientas de protección, como el antivirus, antimalware, etc.
• Mantener actualizado el sistema operativo.
• Instalar el parche de seguridad de la página oficial de Apache.
Fuentes de información hxxps://www.helpnetsecurity.com/2021/09/22/cve-2021-33035/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 245
Fecha: 23-09-2021
Página: 4 de 12
Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ
Nombre de la alerta El nuevo error de día cero de macOS permite a los atacantes ejecutar comandos de forma remota
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
Fecha del evento:
A través del monitoreo y búsqueda de amenazas en el ciberespacio el 23 de setiembre de 2021, se tomó conocimiento a través de la publicación realizada en la página web “Bleeping Computer” sobre la nueva vulnerabilidad encontrada en macOSFinder de Apple, el cual posibilita a un atacante ejecutar comandos arbitrarios en Mac que ejecutan cualquier versión de macOS, hasta la última versión.
Antecedentes:
El error, encontrado por el investigador de seguridad independiente Park Minchan, se debe a la forma en que macOS procesa los archivos “inetloc”, lo que inadvertidamente hace que ejecute cualquier comando incrustado por un atacante en el interior sin advertencias ni indicaciones.
Versiones afectadas: macOS Big Sur y anteriores.
Detalles:
Una vulnerabilidad en la forma en que macOS procesa los “inetloc” archivos hace que ejecute comandos integrados en el interior, los comandos que ejecuta pueden ser locales para macOS, lo que permite la ejecución de comandos arbitrarios por parte del usuario sin ninguna advertencia / solicitud.
Los archivos “inetloc” son accesos directos a una ubicación de Internet, como una fuente RSS o una ubicación de telnet; y contener la dirección del servidor y posiblemente un nombre de usuario y contraseña para conexiones SSH y telnet; se puede crear escribiendo una URL en un editor de texto y arrastrando el texto al escritorio.
“Inetloc” se refiere a un file://"protocolo" que permite ejecutar localmente (en la computadora del usuario) archivos almacenados.
Si “inetloc” esta adjunto un correo electrónico, hacer clic en el archivo adjunto activará la vulnerabilidad sin previo aviso.
Las versiones más nuevas de macOS (de Big Sur) han bloqueado el prefijo “file:// ” (en el “com.apple.generic-internet-location”), sin embargo, hicieron una coincidencia de casos provocando “ File:// ” o “ fIle:// ” para omitir la verificación.
La vulnerabilidad aún no tiene un número de identificación CVE, así mismo, no ha sido parcheada por Apple.
Recomendación:
Mantenga sus equipos actualizados de manera diaria a fin de asegurar la instalación de parches que corrijan vulnerabilidades de día cero.
Fuentes de información hxxps://www.bleepingcomputer.com/news/apple/new-macos-zero-day-bug-lets-attackers-run-commands-remotely/?traffic_source=Connatix
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 245
Fecha: 23-09-2021
Página: 5 de 12
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Actualización de seguridad de Cisco
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Correo electrónico, redes sociales, entre otros.
Código de familia H Código de subfamilia H01
Clasificación temática familia Intento de intrusión
Descripción
El 23 de setiembre de 2021, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la empresa de software Cisco publicó varias actualizaciones de seguridad:
• Software Cisco IOS XE SD-WAN y tenga la función SD-WAN habilitada
• Software Cisco IOS XE para controladores inalámbricos de la familia Cisco Catalyst 9000
• Cisco IOS XE
• Cisco IOS XE SD-WAN
• Software Cisco EWC
• Software Cisco IOS XE
• Productos de Cisco si están ejecutando una versión de software vulnerable con la función de administración SSH del punto de acceso habilitada
• Enrutadores de banda ancha convergente Cisco cBR-8
Recomendaciones:
• Mantener el conocimiento de las últimas amenazas y zonas vulnerables de la organización.
• Mantener los equipos protegidos, con el software actualizado.
Fuentes de información Comandancia de Ciberdefensa de la Marina, Osint
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 245
Fecha: 23-09-2021
Página: 6 de 12
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Múltiples vulnerabilidades críticas en productos de Cisco
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intrusión
Descripción
Resumen:
Cisco ha reportado múltiples vulnerabilidades de severidad CRÍTICA de tipo acceso de puntero no inicializado, desbordamiento de búfer clásico y basado en montón que afecta a varios de sus productos. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto causar un desbordamiento de búfer, ejecutar código arbitrario con privilegios de root, generar una condición de denegación de servicio (DoS) y modificar la configuración de los dispositivos afectados.
Detalles:
• La vulnerabilidad registrada como CVE-2021-34727 en el proceso vDaemon en el software Cisco IOS XE SD-WAN podría permitir que un atacante remoto no autenticado provoque un desbordamiento de búfer en un dispositivo afectado. La vulnerabilidad se debe a la comprobación de límites insuficiente cuando un dispositivo afectado procesa el tráfico. Un atacante podría aprovechar esta vulnerabilidad al enviar tráfico creado al dispositivo. Un exploit exitoso podría permitir al atacante causar un desbordamiento de búfer y posiblemente ejecutar comandos arbitrarios con privilegios de nivel root, o hacer que el dispositivo se recargue, lo que podría resultar en una condición de DoS.
• La vulnerabilidad registrada como CVE-2021-34770 en el procesamiento del protocolo de control y aprovisionamiento de puntos de acceso inalámbricos (CAPWAP) del software Cisco IOS XE para los controladores inalámbricos de la familia Cisco Catalyst 9000 podría permitir que un atacante remoto no autenticado ejecute código arbitrario con privilegios administrativos o genere una condición de DoS en un dispositivo afectado. La vulnerabilidad se debe a un error lógico que ocurre durante la validación de los paquetes CAPWAP. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete CAPWAP diseñado a un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario con privilegios administrativos o hacer que el dispositivo afectado se bloquee y se recargue, lo que resultará en una condición DoS.
• La vulnerabilidad registrada como CVE-2021-1619 en la función de autenticación, autorización y contabilidad (AAA) del software Cisco IOS XE podría permitir que un atacante remoto no autenticado omita la autenticación NETCONF o RESTCONF y pueda instalar, manipular o eliminar la configuración de un dispositivo afectado, causar daños en la memoria que resulten en una DoS en un dispositivo afectado. La vulnerabilidad se debe a una variable no inicializada. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de solicitudes NETCONF o RESTCONF a un dispositivo afectado. Un exploit exitoso podría permitir al atacante usar NETCONF o RESTCONF para instalar, manipular o eliminar la configuración de un dispositivo de red o dañar la memoria en el dispositivo, lo que resulta en un DoS.
Productos afectados:
Estas vulnerabilidades afectan a diversos productos de Cisco si ejecutan una versión vulnerable del software:
• Cisco IOS XE SD-WAN si tienen la función SD-WAN habilitada;
• Cisco IOS XE para los controladores inalámbricos de la familia Cisco Catalyst 9000;
• Cisco IOS XE si se ejecuta en modo autónomo o de controlador y al software Cisco IOS XE SD-WAN.
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Solución:
Cisco ha publicado actualizaciones de software que corrigen estas vulnerabilidades. También proporciona la herramienta Cisco Software Checker para determinar su nivel de exposición ante estas vulnerabilidades.
Fuentes de información
▪ hxxps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxesdwan-rbuffover-vE2OB6tp
▪ hxxps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ewlc-capwap-rce-LYgj8Kf
▪ hxxps://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaa-Yx47ZT8Q
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 245
Fecha: 23-09-2021
Página: 8 de 12
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre de la alerta Múltiples vulnerabilidades críticas en los sistemas de administración de red de Nagios
Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC
Medios de propagación Red, internet
Código de familia H Código de subfamilia H01
Clasificación temática familia Intrusión
Descripción
Resumen:
Los investigadores de Claroty Team82 han reportado múltiples vulnerabilidades de severidad CRÍTICA de tipo falsificación de solicitudes del lado del servidor (SSRF), escalada de privilegios locales mediante la asignación incorrecta de permisos para recursos críticos, inyección de comandos del sistema operativo, inyección de SQL y redireccionamiento abierto que afecta a varios productos de Nagios. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante la ejecución remota de código privilegios de root, provocar el robo de credenciales de inicio de sesión y realizar ataques de phishing.
Además, los atacantes también podrían combinar las fallas para soltar un shell web o ejecutar scripts PHP y elevar sus privilegios a root, logrando así la ejecución de comandos arbitrarios en el contexto del usuario root. Los sistemas de administración de redes son objetivos atractivos debido a su supervisión de los servidores centrales y los componentes críticos de la red.
Detalles:
• Las vulnerabilidades de severidad crítica registradas como CVE-2021-37344 y CVE-2021-37346 se deben por una neutralización inadecuada de los elementos especiales utilizados en comandos del sistema operativo que podría permitir a un atacante la ejecución remota de código;
• La vulnerabilidad crítica registrada como CVE-2021-37350 de saneamiento inadecuado de los datos de entrada podría permitir a un atacante la inyección SQL en la herramienta de modificaciones masivas;
• La vulnerabilidad crítica registrada como CVE-2021-37353 de saneamiento inadecuado en table_population.php podría permitir a un atacante realizar ataques de SSRF;
• Para el resto de las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-37343, CVE-2021-37345, CVE-2021-37347, CVE-2021-37348 y CVE-2021-37349;
• Para el resto de las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2021-37351 y CVE-2021-37352.
Productos afectados:
• Nagios XI, versiones anteriores a la 5.8.5;
• Nagios XI Docker Wizard, versiones anteriores a la 1.1.3;
• Nagios XI WatchGuard Wizard, versiones anteriores a la 1.4.8;
• Nagios XI Switch Wizard, versiones anteriores a la 2.5.7.
Solución:
Los investigadores recomiendan actualizar los productos afectados a las siguientes versiones disponibles que corrigen estas vulnerabilidades:
• Nagios XI, a la versión 5.8.5;
• Nagios XI Docker Wizard, a la versión 1.1.3;
• Nagios XI WatchGuard Wizard, a la versión 1.4.8;
• Nagios XI Switch Wizard, a la versión 2.5.7.
Fuentes de información
▪ hxxps://claroty.com/2021/09/21/blog-research-securing-network-management-systems-nagios-xi/
▪ hxxps://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-nagios
▪ hxxps://www.nagios.com/products/security/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
ALERTA INTEGRADA DE
SEGURIDAD DIGITAL N° 245
Fecha: 23-09-2021
Página: 9 de 12
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Malware TangleBot, roba datos personales y financieros utilizando información de señuelos y vacunas con el tema del COVID-19.
Tipo de ataque Malware Abreviatura Malware
Medios de propagación USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C03
Clasificación temática familia Código malicioso
Descripción
Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “Jioforme”, informa sobre la detección de un nuevo malware denominado "TangleBot", es dirigido a los usuarios de dispositivos móviles Android en EE. UU. Y Canadá, con la finalidad controlar una gran variedad de funciones de dispositivos entrelazadas, como contactos, SMS y capacidades telefónicas, grabación de llamadas, acceso a Internet, cámaras y micrófonos en varios niveles.
Detalles de la Malware TangleBot:
• El malware utiliza pantallas superpuestas para controlar las interacciones del dispositivo con los bancos y las aplicaciones financieras, diseñadas para saquear las credenciales de las cuentas de las actividades financieras iniciadas por el teléfono.
• El ataque se envia un mensaje SMS que afirma ser una "nueva regulación sobre COVID-19" o una "confirmación de la tercera cita".
• Solicita al usuario que haga clic en el enlace adjunto que informa a la víctima que el reproductor Adobe Flash está desactualizado y debe actualizarse cuando lo visite.
• Además, TangleBot recibirá una amplia gama de permisos para acceder a contactos, SMS, registros de llamadas, Internet, cámaras y micrófonos, y GPS, lo que permitirá a los operadores interceptar llamadas.
• A medida que crece el mercado de datos personales y de cuentas detallados en la web oscura, recopilar información personal y credenciales de esta manera puede resultar muy abrumador para los usuarios de dispositivos móviles.
Mensaje de texto que utilizan para distribuir el malware
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Indicadores de compromiso (IoC).
• Reglas de IDS de Colaboración Colectiva:
o TIPO: Androide
o TAMAÑO: 3,30 MB (3457984 bytes)
o MD5: ac773cd2c075d4ad82659d9eaa369155
o SHA-1: 6bc377e4a3e6e95ca74928837e3cced108cb625e
o SHA-256: 2b26c52922e8d4f07e948f13970025d62c0d96bd0fe6802d0567fd2c73b94392
Recomendaciones.
• Realizar copias de seguridad de sitio web, contenidos, documentos e información regularmente.
• Verificar la información o contendió en la empresa oficial.
• No hacer clic en enlaces sospechosos.
• Instalar una combinación de antivirus + antimalware en redes y dispositivos con acceso a ellas.
Fuentes de información hxxps://www.jioforme.com/new-android-malware-targeting-us-and-canadian-users-with-covid-19-lures/779017/
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
AVISOS E INFORMACION DE SEGURIDAD DIGITAL
Fecha: 23-09-2021
Página: 11 de 12
Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA
Nombre del reporte Avisos e información de seguridad digital
Descripción
Ciberseguridad: Gobierno brasileño difunde campaña de protección de datos
El gobierno brasileño publicó una guía de protección de datos como parte de los esfuerzos para crear conciencia entre la ciudadanía. La guía titulada "Cómo proteger sus datos personales" fue desarrollada por el Consejo Nacional de Defensa del Consumidor, y la Autoridad Nacional de Protección de Datos (ANPD).
Fuente: zdnet - Fecha Publicación: 22/09/2021
Ciberseguridad: NSA y CIA usan tecnología en línea para bloqueo de anuncios peligrosos
La NSA, la CIA y otras agencias de la Comunidad de Inteligencia de EE.UU. (IC) implementaron tecnología de bloqueo de anuncios potencialmente peligrosos que vulnera dispositivos o recopilan datos confidenciales. La IC, incluye al FBI, la DEA y el DHS.
Fuente: vice - Fecha Publicación: 23/09/2021
Ciberataque: Grupo APT ‘FamousSparrow’ apunta a espiar Gobiernos y hoteles
ESET, alertó que el grupo APT ‘FamousSparrow’, dirige sus acciones a hoteles, gobiernos y empresas privadas de todo el mundo. Los atacantes están usando un backdoor (puerta trasera) personalizado ‘SparrowDoor’, dirigido a vulnerabilidades de ProxyLogon.
Fuente: threatpost - Fecha Publicación: 23/09/2021
Ciberamenaza: Operación de suplantación de identidad ofrecida como servicio
Microsoft, descubrió una operación de comercialización de phishing como servicio (PhaaS) por los ciberdelincuentes ‘BulletProofLink’, que proporciona kit de phishing, plantillas de correo electrónico, alojamiento y otras herramientas que son puestas a disposición de aspirantes a ciberdelincuentes.
Fuente: threatpost - Fecha Publicación: 23/09/2021
Ciberseguridad: CISA alerta incremento de ataques del ransomware ‘Conti’
CISA, publicó una alerta centrada en el ransomware ‘Conti’, proporcionando información detallada a la comunidad de ciberseguridad sobre el grupo de ransomware y sus afiliados. CISA y el FBI confirman más de 400 ataques del ransomware de Conti contra organizaciones estadounidenses y empresas internacionales.
Fuente: zdnet - Fecha Publicación: 22/09/2021
Ciberseguridad: Retail, el sector más afectado por los ciberataques durante la pandemia
Sophos, informó que el sector minorista (Retail) se convirtió, desde el inició de la cuarentena del 2020 hasta la fecha, en el objetivo principal del ransomware a nivel mundial. El 44% de las organizaciones del sector del retail han sido afectadas a nivel mundial por este tipo de cibercrimen.
Fuente: seccionnoticias - Fecha Publicación: 22/09/2021
Ciberamenaza: Nuevo malware de Android dirigido a usuarios con señuelos COVID-19
Proofpoint, anunció sobre un nuevo malware de smishing SMS “insidioso” dirigido a dispositivos móviles Android en los EE.UU. Y Canadá que utiliza señuelos de mensajes de texto SMS relacionados con las regulaciones COVID-19 e información sobre vacunas para robar datos personales y financieros.
Fuente: thehackernews - Fecha Publicación: 23/09/2021
Fuentes de información Equipo de trabajo de Seguridad Digital DINI
CNSD│Centro Nacional de Seguridad Digital
www.gob.pe
Página: 12 de 12
Índice alfabético
Código malicioso ......................................................................................................................................................... 4, 9 Correo electrónico ........................................................................................................................................................... 5 Correo electrónico, redes sociales, entre otros ............................................................................................................... 5 Explotación de vulnerabilidades conocidas ......................................................................................................... 3, 5, 6, 8 Intento de intrusión .................................................................................................................................................... 3, 5 internet ........................................................................................................................................................................... 4 IoC ................................................................................................................................................................................. 10 malware .............................................................................................................................................................. 9, 10, 11 Malware ...................................................................................................................................................................... 4, 9 phishing ..................................................................................................................................................................... 8, 11 ransomware .................................................................................................................................................................. 11 Red, internet ........................................................................................................................................................... 3, 6, 8 redes sociales .................................................................................................................................................................. 1 servidor ....................................................................................................................................................................... 4, 8 servidores ........................................................................................................................................................................ 8 software .............................................................................................................................................................. 3, 5, 6, 7 URL .................................................................................................................................................................................. 4 USB, disco, red, correo, navegación de internet ......................................................................................................... 4, 9 Vulnerabilidad ................................................................................................................................................................. 3