logo nova
Search
logo nova

Etiqueta: vulnerabilidad

Publicado en

Las herramientas más antiguas tienen dificultades con la demanda actual de las organizaciones

Las herramientas de descubrimiento de activos antiguas precedieron a muchas de las cosas con las que los entornos de TI modernos operan a diario.

 Dos ejemplos: contenedores y nubes híbridas. 

Tabla de contenido.

Estas herramientas no pueden manejar la tasa de cambio que vemos ahora. Sin embargo, las organizaciones suelen permanecer apegadas a las herramientas con las que se sienten cómodas, muchas de las cuales no son fáciles de usar. De hecho, pueden enorgullecerse de dominar herramientas difíciles de usar. Tal vez escribieron scripts personalizados para que funcionen de manera más efectiva. No solo eso, todo un ecosistema de ha surgido para ayudar a los departamentos de TI a hacer precisamente eso.

Las consecuencias desafortunadas de esto son políticas y procesos de TI creados, no porque sean la mejor manera de abordar un problema, sino porque se ajustan a las capacidades de las herramientas actuales.

Es la versión informática de “si tienes un martillo, todo debe ser un clavo”. Las herramientas arraigadas se vuelven parte del ecosistema de TI, pero las mejores políticas, deberían ser independientes de las herramientas.

Para que no sea tu caso, acércate a nosotros, podemos ayudarte a escoger las opciones más innovadoras en el mercado para el descubrimiento de activos.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de éste y más temas donde podemos ayudarte a estar informado y protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Fuente: David Irwin, director de gestión de productos, Tanium

Publicado en

No tener visibilidad y sus consecuencias

La falta de visibilidad es importante. ¿Qué crees que pase si manejas con los ojos cerrados?

No saber con qué activos contamos es igual.

Una de las primeras cosas con las que chocarás son las vulnerabilidades. Si no puede administrar un activo, si no sabes que lo tienes, por tanto no puedes asegurarlo y por ende pueden existir vectores de ataque ocultos por completo.

Tabla de contenido.

También es posible que la falta de visibilidad te esté haciendo perder dinero. Como ejemplo tomemos la suite de Microsoft Office, si estás pagando 10.000 licencias y solo utilizas 5.000 entonces no estás usando eficientemente tus licencias, o peor, si utilizas 20.000 entonces estás fuera de cumplimiento, esto podría generar multas y sanciones legales, ¿cuánto cuesta eso?.

Encima, el cumplimiento no se trata solo de licencias de software. Y es otra área de operaciones que depende mucho de saber qué activos hay en su red. 

Tomemos como ejemplo el cuidado de la salud. Las empresas de atención médica deben demostrar el cumplimiento de las disposiciones de HIPAA y PCI que cubren la información médica protegida y los datos de tarjetas de crédito. ¿Te habías preguntado donde se guardan esos datos? Si un hospital no puede contestar esta pregunta, no puede probar el cumplimiento. La incapacidad de demostrar el cumplimiento tiene dos desventajas importantes: sanciones regulatorias y clientes insatisfechos.

¿Con qué debe contar una herramienta para brindar visibilidad al inventario de activos?

  • Precisión
  • Velocidad
  • Escala
  • Facilidad de uso

Estas características están estrechamente relacionadas. Si lleva dos semanas o un mes hacer un inventario (velocidad), cuando haya terminado, la red habrá cambiado y sin duda se habrá perdido algo de información (precisión), por más que el equipo haya trabajado duro, este inventario ya no es exacto.

La complejidad de hacer un inventario crece exponencialmente con el tamaño de la red, por eso la escala es muy importante.

Por último una herramienta difícil de configurar producirá errores y con el tiempo las personas no querrán usarla.

Visibiidad de activos
Conoce la antiguedad de cada activo.

Para ayudarte a tener una buena higiene de TI, contar con precisión, velocidad, escala y facilidad de uso es vital, contáctanos y conoce la mejor opción para alcanzar visibilidad completa y gestionar tus activos fácilmente.

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de éste y más temas donde podemos ayudarte a estar informado y protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos.

Fuente: David Irwin, director de gestión de productos, Tanium

Publicado en

Karakurt, un grupo cibercriminal que extrae información de organizaciones.

Esta operación maliciosa se caracteriza por no usar malware durante sus intrusiones, contrario a prácticamente cualquier otro grupo de extorsión. Los rescates exigidos por Karakurt van desde los $25,000 hasta los $13 millones, y siempre se debe realizar el pago a través de bitcoin. Karakurt había comenzado como una agrupación de filtraciones y subastas en la dark web, aunque el dominio utilizado para sus operaciones fue desconectado hace un par de meses. Para inicios de mayo, el nuevo sitio web de Karakurt contenía varios terabytes de datos presuntamente pertenecientes a víctimas en América del Norte y Europa, además de una lista de supuestas víctimas.

Otro rasgo característico de Karakurt es que no se enfocan solamente en un tipo específico de víctima, ya que simplemente basan sus ataques en la posibilidad de acceder a las redes comprometidas. Para sus ataques, los hackers pueden usar mecanismos poco protegidos y debilidades de infraestructura, o bien colaborar con otros grupos cibercriminales para obtener acceso inicial al objetivo. Acorde a CISA, comúnmente los hackers obtienen acceso a las redes comprometidas explotando dispositivos SonicWall VPN o Fortinet FortiGate sin actualizaciones u obsoletos, empleando fallas populares como Log4Shell o errores en Microsoft Windows Server.

Según un informe, Karakurt es parte de la red Conti, que opera como un grupo autónomo junto con Black Basta y BlackByte, otros dos grupos que dependen del robo de datos y la extorsión con fines de monetización.

Recomendación.

El mantener los aplicativos actualizados a últimas versiones recomendadas por el fabricante puede garantizar una cobertura más amplia ante ataques, debido a que en nuevas actualizaciones o parches los fabricantes suelen añadir nuevas características para evitar vulnerabilidades.

Con Deep Discovery Inspector de Trend Micro al ser un aplicativo de red física o virtual, nos proporciona visibilidad, inspección de tráfico, detección de amenazas avanzadas y un análisis en tiempo real. Esto gracias a que algunos de sus métodos de detección son:

  • Simulación de aislamiento personalizado.
  • Análisis heurístico basado en reglas.
  • Análisis de malware.
  • Supervisa el tráfico de red conectándose al puerto espejo de un conmutador para una interrupción mínima o nula de la red.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí.

#NovaRecomienda

Publicado en

Avance de la conferencia RSA: ¿Cómo los gobiernos pueden combatir el Ransomware?

La Conferencia RSA ha sido el evento de ciberseguridad líder en el mundo durante muchos años. Ofrece una amplia gama de oportunidades para aprender sobre las mejores prácticas de seguridad cibernética, hacer demostraciones de productos de seguridad de próxima generación y establecer contactos con colegas de la industria y proveedores y socios con los que quizás desee trabajar.

Ahí se presentan algunas de las siguientes problemáticas a las que se enfrentan gobiernos y organizaciones privadas como el Ransomware.

El Ransomware es un problema creciente. Sólo considere algunos datos:

  • La violación promedio de ransomware cuesta $ 4.52 millones en daños y costos de resolución.
  • La cantidad de incidentes de ransomware informados creció un 37 % año tras año y los costos de un incidente aumentaron un 147 %.
  • Se produce un ataque de ransomware cada 11 segundos, y se proyectó que el ransomware causó $ 20 mil millones en daños globales en 2021.

El ransomware es un problema de todos. En los últimos años, grupos de todos los sectores han experimentado infracciones de ransomware de alto perfil, y eso incluye al sector público y privado.

El 30 de marzo de 2022, el FBI publicó una notificación de que los ataques de ransomware están poniendo a prueba a los gobiernos locales de EE. UU. y otras entidades del sector público. La notificación destacó varios casos en los que el ransomware cerró oficinas públicas, desconectó sistemas y servicios y provocó el robo de gigabytes de datos.

Afortunadamente, el ransomware no es una fuerza imparable. Los gobiernos y las organizaciones pueden construir defensas efectivas que reduzcan el riesgo y el impacto de las infracciones de ransomware.

Un marco práctico para luchar contra el ransomware

El ransomware es un patrón de ataque complejo y multifacético. Comienza mucho antes de que el atacante envíe una nota de rescate y puede continuar mucho después de que la víctima pague el rescate o intente desalojar al atacante.

Para luchar contra el ransomware, debe crear una defensa que sea tan compleja y multifacética como el propio ataque. Debe desplegar una amplia gama de capacidades defensivas en cada etapa de la campaña del atacante.

Aquí hay un marco práctico que describe algunas de las principales capacidades y pasos necesarios para protegerse contra el ransomware. Esta descripción general le dará una buena idea de lo que realmente se necesita para combatir eficazmente el ransomware antes, durante y después de un ataque.

Antes del ataque, el atacante desarrolla inteligencia, control y apalancamiento para colocarlo en una posición desafiante. Para evitar esto, debe levantar una barrera de entrada a su red.

  • Establezca visibilidad continua de sus endpoints y sus actividades
  • Elimine las vulnerabilidades conocidas en sus activos a través de una fuerte higiene cibernética
  • Busque de forma proactiva indicadores de compromiso (IOC) que sugieran que se está produciendo un ataque no detectado

Durante el ataque, el atacante crea tantos problemas como sea posible antes de enviar la nota de rescate. Para luchar contra ellos, debe remediar el ataque y desalojar al atacante lo más rápido posible.

  • Descubra la causa raíz del ataque, la propagación lateral y los activos comprometidos
  • Cierre otras vulnerabilidades en su entorno para contener la propagación del ataque
  • Desaloje a los atacantes y recupere el control de sus sistemas sin pérdida significativa de datos

Después del ataque, el atacante puede lanzar ataques adicionales, ya sea desde un punto de apoyo oculto restante o desde una nueva brecha. Para detenerlos, debe fortalecer su entorno contra el atacante. Específicamente debe:

  • Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
  • Encontrar cualquier punto de apoyo restante que los atacantes aún puedan tener y desalojarlos
  • Mejorar continuamente la salud y la seguridad general de su entorno

Cómo usar Tanium para combatir el ransomware

En nuestro portafolio contamos con la solución Tanium, que proporciona una plataforma de gestión convergente de herramientas, de la operación y seguridad de TI y de nuestros endpoints. La plataforma proporciona visibilidad y control en tiempo real sobre endpoints en redes distribuidas modernas y encaja perfectamente en una estrategia de seguridad más amplia y un ecosistema más grande de herramientas anti-ransomware.

Por sí solo, Tanium puede ayudarlo a combatir el ransomware en cada etapa de un ataque.

Antes del ataque, Tanium hace una higiene cibernética casi perfecta que reduce su superficie de ataque, reduce la posibilidad de sufrir una infracción y limita la posible propagación de cualquier ataque de ransomware que experimente. Con Tanium, puedes:

  • Crear un inventario completo y en tiempo real de sus endpoints
  • Parchar, actualizar, configurar y controlar sus endpoints en horas o días
  • Realizar escaneos continuos y búsquedas puntuales en tiempo real para IOC específicos

Durante el ataque, Tanium puede investigar incidentes casi en tiempo real y aplicar controles rápidamente para desalojar al atacante. Con Tanium, puedes:

  • Mapear toda la cadena de ataque e identifique que activos se vieron comprometidos
  • Identificar otros activos vulnerables al ataque y protegerlos proactivamente
  • Negociar con confianza, sabiendo que puede desalojar al atacante sin compromiso

Después del ataque, Tanium puede aprender del ataque y endurecer el entorno contra un segundo ataque o un patrón de ataques similares. Con Tanium, puedes:

  • Encontrar y cerrar las instancias restantes de las vulnerabilidades que explotó el ataque
  • Escanear en busca de rastros restantes de los atacantes y desalojarlos por completo
  • Mejorar la higiene cibernética fundamental para reducir la posibilidad de cualquier violación

Te invitamos a seguir las redes sociales de Nova, Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

#NovaInforma

Publicado en

Foxconn confirma que el ataque de ransomware interrumpió las operaciones en una fábrica con sede en México.

El gigante de fabricación de teléfonos inteligentes Foxconn ha confirmado que un ataque de ransomware a fines de mayo interrumpió las operaciones en una de sus plantas de producción con sede en México.

La planta de producción afectada es Foxconn Baja California, ubicada en la ciudad de Tijuana en la frontera con California, la cual se especializa en la producción de dispositivos médicos, electrónica de consumo y operaciones industriales. La compañía dijo que, si bien las operaciones en la planta se vieron interrumpidas como resultado del ataque de ransomware, la fábrica está “volviendo gradualmente a la normalidad”.

Foxconn se negó a decir si se accedió a algún dato como resultado del ataque, ni proporcionó información sobre quién fue el responsable. Sin embargo, los operadores de LockBit, una destacada operación de ransomware como servicio (RaaS), se responsabilizaron del ataque del 31 de mayo y amenazan con filtrar los datos robados a menos que se pague un rescate antes del 11 de junio. Las demandas de LockBit siguen siendo desconocidos y Foxconn se negó a comentar si había pagado la demanda de rescate.

Esto ya había pasado.

Esta no es la primera vez que Foxconn ha sido atacado por ransomware. En diciembre de 2020, la empresa dijo que algunos de sus sistemas con sede en EE. UU. habían sido atacados por los operadores del ransomware DoppelPaymer, quienes exigieron un pago de 34 millones de dólares en bitcoins.

El ransomware LockBit surgió por primera vez como el “ransomware ABCD” en septiembre de 2019, que se mejoró para convertirse en una de las familias más prolíficas de la actualidad.

A través de sus operaciones profesionales y su sólido programa de afiliados, los operadores de LockBit demostraron que estaban en esto a largo plazo. Por lo tanto, familiarizarse con sus tácticas ayudará a las organizaciones a fortalecer sus defensas contra los ataques de ransomware actuales y futuros.

LockBit utiliza un modelo de ransomware como servicio (RaaS) y constantemente concibe nuevas formas de mantenerse por delante de sus competidores. Sus métodos de doble extorsión también agregan más presión a las víctimas, aumentando las apuestas de sus campañas.

Operando como un RaaS, las cadenas de infección de LockBit muestran una variedad de tácticas y herramientas empleadas, dependiendo de los afiliados involucrados en el ataque. Los afiliados suelen comprar el acceso a los objetivos de otros actores de amenazas, que normalmente lo obtienen a través de phishing, explotando aplicaciones vulnerables o cuentas de protocolo de escritorio remoto (RDP) de fuerza bruta. 

Recomendación.

Acronis Cyber Protect incluida dentro del portafolio de soluciones de seguridad de Nova, es una solución que nos ayuda a gestionar la ciberprotección en un panorama de amenazas que evolucionan continuamente. Podemos proteger los datos frente a cualquier amenaza con Acronis Cyber Protect, la única solución de ciberprotección que integra de forma nativa protección de datos y ciberseguridad.

Los datos se han convertido en el recurso más importante del mundo y los ciberdelincuentes extorsionan a diario a empresas de todos los países para conseguir los suyos. El ransomware pone en riesgo los datos de sus clientes y sus empleados, sus secretos comerciales e incluso la propia existencia de su empresa. Las soluciones de Acronis utilizan ciberprotección de próxima generación para frenar el ransomware de raíz, incluso las variantes que no se habían detectado nunca antes.

Dentro de las funcionalidades que Acronis Cyber Protect son las siguientes:

  • Copia de seguridad y recuperación líderes del mercado

Elimina las brechas en su seguridad con tecnologías integradas de copia de seguridad y antiransomware.

  • Ciberseguridad para vencer a cualquier amenaza

Defiende cada bit de datos contra las ciberamenazas nuevas y en evolución, con protección contra el malware basada en inteligencia automática.

  • Administración de protección integrada

Simplifica la protección de los endpoints con filtrado de URL integrado y automatizado, evaluaciones de vulnerabilidades, administración de parches y otras funciones.

Una vez implementado Acronis Cyber Protect tendremos las herramientas de protección con Ciberseguridad la cual con métodos integrados elimina los desafíos de complejidad y entrega mejor protección contra las amenazas actuales y maximiza la eficiencia en tiempo y dinero con la completa protección anti-malware y la administración de endpoints, para simplificar las operaciones de los equipos de TI.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la fuente de este artículo aquí:

#NovaRecomienda

Publicado en

Emotet está de vuelta después de 10 meses, con nuevas técnicas para propagar malware.

La botnet parece utilizar un nuevo método de entrega para comprometer los sistemas Windows después de que Microsoft deshabilita las macros de VBA de forma predeterminada.

Los ataques de malware de Emotet están de vuelta después de un “spring break” de 10 meses. Ese nuevo enfoque incluye ataques de phishing más específicos, diferentes de las campañas anteriores.

Analistas vincularon esta actividad con el actor de amenazas conocido como TA542, que desde 2014 ha aprovechado el malware Emotet con gran éxito.

Emotet, una vez apodado “el malware más peligroso del mundo” está siendo aprovechado en su campaña más reciente para entregar ransomware. Los responsables de la distribución del malware han estado en la mira de las fuerzas del orden durante años. En enero de 2021, las autoridades de Canadá, Francia, Alemania, Lituania, los Países Bajos, Ucrania, el Reino Unido y los Estados Unidos trabajaron juntos para derribar una red de cientos de servidores de botnets que soportan Emotet, como parte de la “Operación LadyBird”.

Nueva fase de Emotet

Los atacantes detrás del malware han enviado millones de correos electrónicos de phishing diseñados para infectar los dispositivos con malware y pueden ser controlados por botnets.

Esta nueva prueba de correos electrónicos de phishing podría ser el resultado de las acciones de Microsoft para deshabilitar macros específicas asociadas con las aplicaciones de Office en febrero de 2022. En ese momento, Microsoft dijo que estaba cambiando los valores predeterminados para cinco aplicaciones de Office que ejecutan macros. Esto evita que los atacantes se dirijan a documentos con servicios de automatización para ejecutar el malware en los sistemas de las víctimas.

Las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Las nuevas campañas utilizan cuentas de correo electrónico comprometidas para enviar correos electrónicos de spam-phishing con un título llamativo de una palabra. Los términos comunes en los ataques de phishing incluyen “salario” se utilizan para alentar a los usuarios a hacer clic por curiosidad, las nuevas técnicas observadas en campañas recientes parecían probarse a menor escala, como una prueba de potencial para una campaña más grande.

Según los investigadores, el uso de URL de OneDrive y XLL hace que esta campaña sea distinta de las anteriores. Anteriormente, Emotet intentó propagarse a través de archivos adjuntos de Microsoft Office o URL de phishing. Esas cargas maliciosas incluían documentos de Word y Excel que contenían scripts o macros de Visual Basics para Aplicaciones (VBA).

Recomendación

Trend Micro Email Security, incluido dentro del portafolio de NOVA nos ayuda a detener ataques de phishing, ransomware y BEC. Con tecnología de seguridad XGen™, nuestra solución utiliza una combinación óptima de técnicas de amenazas intergeneracionales, como machine learning, análisis en sandbox, prevención de pérdida de datos (DLP) y otros métodos para detener todo tipo de amenazas de correo electrónico.

También cuenta con autenticación basada en el dominio, SPF, DKIM y DMARC son tres sistemas de autenticación de correo electrónico que protegen contra el falseamiento del correo electrónico.

El marco de directivas de remitente (SPF) es un estándar abierto para evitar la falsificación de direcciones de remitente. El SPF protege el remite, que se usa para entregar los mensajes de correo electrónico. Email Security le permite comprobar la autenticidad del remitente mediante la configuración de SPF.

DomainKeys Identified Mail (DKIM) es un sistema de validación de correo electrónico que detecta el falseamiento del correo electrónico validando la identidad del nombre de dominio asociada con un mensaje mediante la autenticación criptográfica. Asimismo, DKIM se usa para garantizar la integridad de los mensajes entrantes y para comprobar que un mensaje no se ha alterado durante la transferencia.

La autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un sistema de validación de correo electrónico que permite detectar y evitar el falseamiento de correo electrónico. Está diseñado para luchar contra determinadas técnicas que se utilizan en el phishing y el spam, como mensajes de correo electrónico con direcciones de remitentes falsos que parecen proceder de organizaciones legítimas. Permite autenticar mensajes de correo electrónico para dominios específicos, enviar información a los remitentes y ajustarse a una política publicada.

Una vez implementado Trend Micro Email Security los administradores de correo pueden configurar reglas para detectar y eliminar malware de los mensajes entrantes antes de que lleguen a la red corporativa Email Security puede poner en cuarentena el spam detectado y otros mensajes inadecuados. 

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta a fuente de la noticia aquí.

#NovaRecomienda

Publicado en

Formatear un disco duro no es suficiente

borrado seguro

Formatear un disco duro o vaciar la papelera de reciclaje no es suficiente para garantizar la eliminación total de la información.

La correcta eliminación de información de un dispositivo es una tarea sensible. Por ejemplo, cuando EUA decidió la retirada de Afganistán, el departamento de defensa emitió un informe con las directrices que se debían seguir para evitar que los datos cayesen en manos de los talibanes.

Es normal que las empresas particulares reciclen dispositivos, los cedan o regalen para otro uso o incluso los venden para recuperar algo de dinero, estas prácticas no son las mejores si hablamos de ciberseguridad, pues en estos casos se suele formatear los discos y esto solo quita la indexación del contenido, sin embargo, todo sigue ahí y estos datos pueden ser recuperados por herramientas cero complejas y de fácil acceso; al mismo tiempo, si se trata de información sensible de la empresa, constituye un riesgo enorme para la organización.

Para ejemplificar mejor esto, piensa en cuando eliminas algo de tu ordenador y va a la papelera, aunque el espacio de memoria ahora aparece como disponible, el archivo aún puede restaurarse.

Recomendación

Blancco es una herramienta que se encuentra en la cartera de soluciones de Nova, dicha herramienta nos permite realizar borrados completos y seguros, dándonos la garantía de que la información será completamente eliminada, sin la posibilidad de poder recuperarla.

Los borrados pueden realizarse a todos los sectores de un disco duro ya sea SSD o HSSD (internos externos), puede ser ejecutado a cierta información (carpetas, documentos, multimedia, etc.) dentro del equipo, usb y también a dispositivos móviles.

El borrado es certificado una vez es completado, lo cual nos ayuda a cumplir con normativas de seguridad de la información.

Te invitamos a seguirnos en nuestras redes sociales Instagram, FacebookLinkedin para encontrar éstas y demás soluciones que Nova ofrece para mantener tu infraestructura de red segura y libre de ciberamenazas.

Publicado en

Vulnerabilidad en las Pymes, uno de los principales objetivos en tiempos de pandemia.

“En la ciberseguridad hay toda una serie de aspectos en los que las pymes deben de tener cierto criterio para controlar todas las posibles vías a través de las que puede quedar afectada la privacidad, seguridad e integridad de los datos.”

El pensamiento de que los ciberataques son cosa de las grandes instituciones es una corriente de pensamiento bastante extendida en la sociedad. Sin embargo, la pandemia ha contribuido en este sentido, a romper estas falsas creencias, demostrando que cualquiera puede ser un objetivo atractivo para los ciberdelincuentes. Por tanto, las pymes, también son un objetivo potencial, y como tal, necesitan reforzar su ciberseguridad.

Los ciberataques más comunes suelen ser los que buscan la suplantación de identidad, generalmente gracias a las nuevas técnicas que han adquirido los hackers para explotar el fenómeno del phishing. También sea puesto en práctica últimamente el smishing, que son SMS que llegan a nuestros teléfonos móviles con algún llamamiento para que se sigan sus pasos y así caer en la trampa. Por lo tanto, ante tanta amenaza posible, es necesario aumentar la ciberseguridad en las pymes, primero observando los factores que favorecen su aparición, y segundo, buscando como detenerlos.

Riesgos de las Pymes

  • Falta de capacidad de seguridad y madurez ante las amenazas
  • Presupuesto de ciberseguridad limitado
  • Teletrabajo o trabajo híbrido
  • Aceleración de la digitalización
  • Creencia en que no son lo suficientemente importantes para los ciberdelincuentes

El gran problema de tener escasez de recursos en materia de ciberseguridad es que, en caso de existir un ataque o una brecha de seguridad, tarde en ser detectado y subsanado. En ese lapso, ya se podría haber perdido información muy sensible del negocio, parar o afectar la operación y las consecuencias, a niveles económicos, podrían ser desastrosas. Por eso, traemos una recomendaciones, para ser más eficaces a la hora de aumentar la seguridad de los negocios.

  • Crear contraseñas fuertes, seguras y cambiarlas frecuentemente
  • Contar con la autenticación de doble factor
  • Limitar el acceso al software y a los servicios
  • Cerrar los puertos y detener los servicios que no se utilizan
  • Probar y hacer test con las distintas copias de seguridad
  • Tener actualizados los distintos programas y soluciones de ciberseguridad

Recomendación.

Proactivanet herramienta disponible en el portafolio de Nova, nos ofrece todo lo necesario para lograr tener una mejor estrategia de seguridad ante cualquier tipo de ataque o amenaza que se pueda presentar.

Como herramienta ITAM permite conocer con total certeza y fiabilidad el inventario de todo el parque informático de nuestra organización en cualquier momento, en cualquier lugar, así como sus licencias de software y su configuración automática.

De igual forma ayuda para reducir la superficie de ataque, así como en auditorías de hardware y software pues también permite saber el número de licencias de todos los productos instalados en los equipos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda

Publicado en

Vulnerabilidades que no se pueden desinstalar y son indetectables

Más de 100 modelos de portátiles de Lenovo, utilizados por millones de personas en todo el mundo, contienen vulnerabilidades a nivel de firmware que ofrecen a los atacantes una forma de lanzar malware que puede persistir en un sistema incluso después de sustituir el disco duro o reinstalar el sistema operativo.

Eso pues se aloja en la memoria UEFI del equipo, una memoria flash situada en la placa madre de los equipos que es completamente independiente del sistema operativo, por lo que no puede ser manipulada.

Esto hace que aun formateando el equipo o cambiando el disco duro las vulnerabilidades sigan presentes haciéndolas prácticamente imposibles de eliminar e incluso detectar.

Dos de las vulnerabilidades (CVE-2021-3971 y CVE-2021-3972) afectan a los controladores de la Interfaz de Firmware Extensible Unificada (UEFI), que debían utilizarse únicamente durante el proceso de fabricación, pero que, por error, acabaron formando parte de la imagen de la BIOS que se suministraba con los ordenadores. El tercero (CVE-2021-3970) es un fallo de corrupción de memoria en una función de detección y registro de errores del sistema.

Recomendación

Para estos casos es actualizar lo antes posible aplicando los parches correspondientes de firmware y actualizando el BIOS de los equipos.

Es muy importante conocer cuántos equipos tienes en tu infraestructura, Proactivanet es una herramienta de gestión de activos de TI capaz de descubrir por completo los endpoints en tu parque informático, además te permite conocer cuántos de esos endpoints están bien parcheados y actualizados y en cuales necesitas tomar acciones.

Proactivanet también te brinda la información necesaria para saber si existen otras vulnerabilidades en tus equipos y a cuáles afecta, donde están y quién es el propietario, de esta forma puedes remediar todo tipo de amenazas de forma sencilla y mantener siempre la mejor visibilidad.

Proactivanet está presente en el portafolio de soluciones de Nova. Si te interesa la solución o requieres más información. Contáctanos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Publicado en

CVE-2022-22965: Análisis sobre explotación de la vulnerabilidad Spring4Shell en el armado y ejecución del malware Mirai Botnet

Trend Micro Threat Research observó la explotación activa de la vulnerabilidad Spring4Shell asignada como CVE-2022-22965, que permite a los actores malintencionados armar y ejecutar el malware de botnet Mirai. La explotación permite a los actores de amenazas descargar la muestra de Mirai a la carpeta “/tmp” y ejecutarlos después del cambio de permiso usando “chmod”.

Comenzó a ver actividades maliciosas a principios de abril de 2022. También logró localizar el servidor de archivos de malware con otras variantes de la muestra para diferentes arquitecturas de CPU.

¿Qué es Spring Framework?

Spring Framework es parte del ecosistema Spring, que comprende otros componentes para la nube, datos y seguridad, entre otros.

Spring Framework se utiliza para desarrollar aplicaciones de nivel empresarial en Java. Es una plataforma que proporciona una infraestructura completa para admitir aplicaciones basadas en modelo, vista, controlador o MVC desarrolladas para reducir la configuración manual y mejorar la gestión de la memoria. También hace que el código sea más reutilizable y más fácil de mantener al implementar algunos patrones de diseño universalmente.

Dependencias, software y versiones afectadas

En el momento de escribir este artículo, la mayoría de las configuraciones vulnerables se generaron para las siguientes dependencias:

  • Versiones de Spring Framework anteriores a 5.2.20, 5.3.18 y Java Development Kit (JDK) versión 9 o superior
  • Apache Tomcat
  • Dependencia de spring-webmvc o spring-webflux
  • Usar el enlace de parámetros Spring que está configurado para usar un tipo de parámetro no básico, su acrónimo en inglés Plain Old Java Objects (POJO)
  • Desplegable, empaquetado como un archivo de aplicación web (WAR)
  • Sistema de archivos grabable como aplicaciones web o ROOT

En general, esta vulnerabilidad ocurre cuando se exponen objetos o clases especiales bajo ciertas condiciones. Es bastante común que los parámetros de solicitud estén vinculados a un POJO que no está anotado con @RequestBody, lo que ayuda a extraer parámetros de solicitudes HTTP. La variable de clase contiene una referencia al objeto POJO al que se asignan los parámetros HTTP.

Los actores de amenazas pueden acceder directamente a un objeto especificando la variable de clase en sus solicitudes. Los actores malintencionados también pueden acceder a todas las propiedades secundarias de un objeto a través de los objetos de clase. Como resultado, pueden acceder a todo tipo de otros objetos valiosos en el sistema simplemente siguiendo las cadenas de propiedades.

En Spring Core para “class.classLoader” y “class.protectionDomain”, la lógica evita el acceso malicioso a las propiedades secundarias del objeto de clase. Sin embargo, la lógica no es infalible y, de hecho, puede omitirse utilizando el selector “class.module.classLoader”.

Riesgos asociados si no se repara

La vulnerabilidad RCE brinda a los actores de amenazas acceso total a los dispositivos comprometidos, lo que la convierte en una vulnerabilidad crítica y peligrosa. Los actores maliciosos pueden lograr varios objetivos a través de ataques RCE. A diferencia de otros exploits, un ataque RCE suele dar como resultado lo siguiente:

  • Creación de una ruta para permitir el acceso inicial a un dispositivo que permite a los actores de amenazas instalar malware o lograr otros objetivos
  • Provisión de medios para propagar malware que extrae y extrae datos de un dispositivo, o habilitación de comandos que instalan malware diseñado para robar información
  • Denegación de servicio que interrumpe el funcionamiento de los sistemas u otras aplicaciones en el sistema
  • Despliegue y ejecución de malware de cryptomining o cryptojacking en dispositivos expuestos mediante la explotación de la vulnerabilidad RCE
  • Despliegue de ransomware que encripta archivos y retiene el acceso hasta que las víctimas paguen el rescate

Parches y mitigaciones disponibles

Se han lanzado parches para esta vulnerabilidad, se recomienda la actualización de:

  • Spring Framework a las versiones 5.3.18+ y 5.2.20+.
  • Spring Boot a las versiones 2.6.6+ y 2.5.12+.

Trend Micro también ha lanzado reglas y filtros para detección y protección en algunos de sus productos. Estos proporcionan protección adicional y detección de componentes maliciosos asociados a esta amenaza.

Workload Security y Deep Security IPS

  • Regla 1011372 – Spring Framework “Spring4Shell” Remote Code Execution Vulnerability (CVE-2022-22965)

Network Security y TippingPoint

  • Filtro 41108: HTTP: Spring Core Code Execution Vulnerability

Reglas inspección de contenido de red Trend Micro Deep Discovery Inspector

  • Regla 4678: CVE-2022-22965 – Spring RCE Exploit – HTTP(Request)
  • Regla 4679: Possible Java Classloader RCE Exploit – HTTP(Request)

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos incluyendo Trend Micro.

Consulta la fuente de este artículo aquí:

#NovaInforma