Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y el Centro Nacional de Seguridad Digital de la Secretaría de Gobierno y Transformación Digital de la Presidencia del Consejo de Ministros, en el marco de la Seguridad Digital del Estado Peruano. El objetivo de esta alerta es informar a los responsables de la seguridad digital de las entidades públicas y las empresas privadas sobre las amenazas en el entorno digital para advertir las situaciones que pudieran afectar la continuidad de sus servicios en favor de la población. Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las personas y de las mismas empresas de acuerdo con lo establecido por el Decreto de Urgencia 007-2020. La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las áreas técnicas de entidades y empresas. 262-2023-CNSD Lima, 02 de noviembre de 2023 http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital Contenido Phishing para robar criptos en billeteras frías y calientes ............................................................................................................... 4 Múltiples vulnerabilidades en OpenShift API para protección de datos ......................................................................................... 6 Múltiples vulnerabilidades en ME RTU de INEA .............................................................................................................................. 7 Vulnerabilidad en el software Apache ActiveMQ ............................................................................................................................ 8 Vulnerabilidad de día cero en el servidor Microsoft Exchange ....................................................................................................... 9 Campaña de Phishing que suplanta la identidad del Banco de Crédito del Perú (BCP) ................................................................ 10 Índice alfabético ............................................................................................................................................................................ 12 http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°262 Fecha: 02-11-2023 Página: 4 de 12 Componente que reporta CENTRO NACIONAL DE SEGURIDAD DIGITAL Nombre de la alerta Phishing para robar criptos en billeteras frías y calientes Tipo de Ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de Sub familia G01 Clasificación temática familia Fraude Descripción 1. ANTECEDENTES: Cuanto más populares se hacen las criptomonedas en el mundo y más formas aparecen de almacenarlas, más diverso se vuelve el arsenal de los ciberdelincuentes que andan a la caza del dinero digital. Dependiendo de lo bien protegido que esté la billetera y de cuánto dinero puedan robar, los estafadores lanzarán sus ataques utilizando tecnologías más o menos sofisticadas y esforzándose para camuflarse como recursos legítimos. Una billetera caliente (hot wallet) es aquella que tiene acceso constante a Internet. En esencia, se trata de cualquier servicio en línea que proporcione servicios de almacenamiento de criptomonedas, desde bolsas de cambio, hasta aplicaciones especializadas. Las billeteras calientes son una forma muy común de almacenar criptomonedas. Su popularidad se debe a que, en primer lugar, son fáciles de crear: basta con registrar una cuenta en uno de los servicios y, en segundo lugar, es fácil retirar dinero de ellos y convertirlo a otras divisas. Debido a que son muy populares y simples, las billeteras calientes son un objetivo primordial para los atacantes. Una billetera fría (cold wallet o cold storage) no tiene conexión permanente a Internet. Puede ser un dispositivo aparte o incluso una clave privada escrita en un papel. El tipo más popular de billeteras frías son los monederos de hardware. Dado que estos dispositivos están desconectados la mayor parte del tiempo y no se puede acceder a ellos de forma remota, los usuarios almacenan mucho más dinero en ellos que en las billeteras calientes. Dicho esto, sería un error suponer que es imposible hackear una billetera de este tipo de forma remota, y que solo es posible robarla u obtener acceso físico a la misma. 2. DETALLES: Las billeteras calientes rara vez guardan grandes sumas. En consecuencia, los ataques por correo electrónico a este tipo de billeteras no se caracterizan por usar técnicas originales o métodos sofisticados. Por el contrario, tienen un aspecto bastante primitivo y están pensados sobre todo para el usuario poco preparado. Un típico ataque de phishing a usuarios de billeteras de este tipo se realiza así: los atacantes envían correos electrónicos en nombre de una empresa o exchange conocido, pidiéndoles que confirmen transacciones o que vuelvan a verificar su billetera. Tras hacer clic en el enlace, el usuario llega a una página en la que se le pide que introduzca una "frase semilla". Una frase semilla (seed phrase / recovery phrase) es una secuencia de 12, 18 o 24 palabras, y es necesaria para recuperar el acceso a una billetera. De hecho, es la contraseña principal de la misma. La frase semilla puede utilizarse para obtener o recuperar el acceso a la cuenta del usuario y realizar cualquier transacción. Si la pierde, el usuario corre el riesgo de quedarse sin acceso a su billetera para siempre, y si se la da a un estafador, su cuenta estaría comprometida de forma irreversible. Si el usuario introduce una frase semilla en la página falsa, los atacantes obtienen acceso irrestricto a su billetera y pueden vaciarla enviando todos los fondos a sus propias direcciones. Estas estratagemas suelen estar pensadas para el usuario común y corriente. Son bastante sencillas, sin técnicas complicadas ni trucos psicológicos. El formulario de entrada de frases semilla suele ser minimalista: la página no contiene ningún elemento adicional aparte del campo de entrada y el logotipo de la bolsa de cambio. http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital En cuanto a las billeteras frías, al igual que con las billeteras calientes, los atacantes utilizan la ingeniería social para acceder a los activos del usuario. Por ejemplo, no hace mucho vimos una lista de correo que apuntaba a los propietarios de billeteras frías de hardware. El ataque comienza con un mensaje similar a los correos masivos sobre criptodivisas: el usuario recibe un correo electrónico enviado en nombre de la bolsa de criptodivisas Ripple en el que se le invita a participar en un sorteo de tokens XRP, la criptodivisa interna del sitio. Ya en esta fase vemos una diferencia con respecto a los ataques masivos a billeteras calientes: en lugar de enviar un enlace a la página de phishing, los atacantes utilizaron un complejo esquema de sitios y blogs simulados. También copiaron con esmero el diseño del sitio web de Ripple y registraron un dominio casi idéntico al dominio oficialde la bolsa. El método utilizado para falsificar el nombre de dominio se denomina ataque punycode: a primera vista, el dominio de segundo nivel es exactamente igual que el dominio original, pero si lo examinamos con más atención, vemos que la letra "r" se ha sustituido por un carácter Unicode que utiliza el carácter cedilla. 3. RECOMENDACIONES: • Verificar detalladamente la URL, que corresponda al sitio web oficial. • Capacitar a los usuarios sobre las mejores prácticas de ciberseguridad. • Ingresar únicamente desde fuentes oficiales. • Utilizar una solución antivirus licenciada con protección en tiempo real y que te permita eliminar troyanos. • Evitar abrir archivos adjuntos o enlaces sospechosos en correos electrónicos no solicitados o mensajes de redes sociales. Fuente de Información: • hxxps://blog.segu-info.com.ar/2023/11/phishing-para-robar-criptos-en.html http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°262 Fecha: 02-11-2023 Página: 6 de 12 Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA Nombre de la alerta Múltiples vulnerabilidades en OpenShift API para protección de datos Tipo de Ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, Internet Código de familia H Código de Sub familia H01 Clasificación temática familia Intento de intrusión Descripción 1. ANTECEDENTES: Se ha reportado múltiples vulnerabilidades de severidad ALTA y MEDIA de tipo agotamiento de recursos, lectura fuera de límites, uso posterior a la liberación y desbordamiento de búfer en OpenShift. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto realizar un ataque de denegación de servicio (DoS) y obtener acceso a información confidencial. 2. DETALLES: La vulnerabilidad de severidad alta, identificada por MITRE como CVE-2023-44487 de tipo agotamiento de recursos, existe debido a un control inadecuado del consumo de recursos internos al manejar solicitudes HTTP/2 con marcos HEADERS comprimidos. Un atacante remoto puede enviar una secuencia de tramas HEADERS comprimidas seguidas de tramas RST_STREAM y realizar un ataque de DoS, también conocido como "Restablecimiento rápido". La vulnerabilidad de severidad media, identificada por MITRE como CVE-2023-39325 de tipo agotamiento de recursos, existe debido al consumo excesivo de recursos internos al manejar solicitudes HTTP/2. Un atacante remoto puede eludir la configuración “http2.Server.MaxConcurrentStreams” creando nuevas conexiones mientras las conexiones actuales aún se están procesando, desencadenar el agotamiento de recursos y realizar un ataque de DoS. La vulnerabilidad de severidad media, identificada por MITRE como CVE-2023-4527 de tipo lectura fuera de límites, existe debido a una condición de límite dentro de la función getaddrinfo() llamada con la familia de direcciones AF_UNSPEC. Un atacante remoto con control sobre el servidor DNS puede enviar una respuesta DNS a través de TCP de más de 2048 bytes, desencadenar una lectura fuera de límites y bloquear la aplicación u obtener acceso a información confidencial. La vulnerabilidad de severidad media, identificada por MITRE como CVE-2023-4806 de tipo uso posterior a la liberación, existe debido a un error de uso después de la liberación dentro de la función getaddrinfo(). Un atacante remoto puede realizar un ataque de DoS. La vulnerabilidad de severidad media, identificada por MITRE como CVE-2023-4813 de tipo uso posterior a la liberación, existe debido a un error de uso después de la liberación dentro de la función gaih_inet() cuando se llama a la función getaddrinfo() y la base de datos de hosts en /etc/nsswitch.conf está configurada con SUCCESS=continue o SUCCESS=merge. Un atacante remoto puede pasar datos especialmente diseñados a la aplicación y realizar un ataque de DoS. A. Productos afectados: − OpenShift API for Data Protection (OADP): 1.0.0 - 1.0.13. 3. RECOMENDACIONES: • Actualizar el producto afectado a la última versión de software disponible que aborda estas vulnerabilidades. Fuente de Información: • hxxp://access.redhat.com/errata/RHSA-2023:6116 http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°262 Fecha: 02-11-2023 Página: 7 de 12 Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA Nombre de la alerta Múltiples vulnerabilidades en ME RTU de INEA Tipo de Ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, Internet Código de familia H Código de Sub familia H01 Clasificación temática familia Intento de intrusión Descripción 1. ANTECEDENTES: Se ha reportado dos vulnerabilidades de severidad CRÍTICA de tipo neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (Inyección de comando OS) y autenticación incorrecta en ME RTU de INEA. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante la ejecución remota de código. 2. DETALLES: La vulnerabilidad de severidad crítica, identificada por MITRE como CVE-2023-35762, provoca que el firmware sea vulnerable a una inyección de comandos del sistema operativo. Esta vulnerabilidad, construye todo o parte de un comando del sistema operativo utilizando entradas influenciadas externamente desde un componente ascendente, pero no neutraliza o neutraliza incorrectamente elementos especiales que podrían modificar el comando del sistema operativo previsto cuando se envía a un componente descendente. La vulnerabilidad de severidad crítica, identificada por MITRE como CVE-2023-29155 de tipo autenticación incorrecta, no requieren de autenticación en la cuenta de 'root' en el sistema host del dispositivo. Esto podría permitir a un atacante obtener acceso de nivel de administrador al sistema host. A. Productos afectados: − ME RTU: versiones 3.36b y anteriores. 3. RECOMENDACIONES: • Actualizar el producto afectado a la última versión de firmware 337 disponible que aborda estas vulnerabilidades. Fuente de Información: • hxxps://www.cisa.gov/news-events/ics-advisories/icsa-23-304-02 http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°262 Fecha: 02-11-2023 Página: 8 de 12 Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA Nombre de la alerta Vulnerabilidad en el software Apache ActiveMQ Tipo de Ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, Internet Código de familia H Código de Sub familia H01 Clasificación temática familia Intento de intrusión Descripción 1. ANTECEDENTES: Se ha reportado una vulnerabilidad de severidad ALTA de tipo deserialización de datos que no son de confianza en el software Apache ActiveMQ. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema de destino. 2. DETALLES: La vulnerabilidad de severidad alta, identificada por MITRE como CVE-2023-46604, de tipo deserialización de datos que no son de confianza, existe debido a una validación de entrada insegura al procesar datos serializados en el protocolo OpenWire. Un atacante remoto puede pasar datos especialmente diseñados a la aplicación y ejecutar código arbitrario en el sistema de destino. Esta vulnerabilidad, deserializa datos que no son de confianza sin verificar suficientemente que los datos resultantes serán válidos. A. Productos afectados: − ActiveMQ: 5.0.0 - 5.18.2. 3. RECOMENDACIONES: • Actualizar el producto afectado a laúltima versión de software disponible que aborda esta vulnerabilidad. Fuente de Información: • hxxp://activemq.apache.org/security-advisories.data/CVE-2023-46604- announcement.txt • hxxp://www.openwall.com/lists/oss-security/2023/10/27/5 http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°262 Fecha: 02-11-2023 Página: 9 de 12 Componente que reporta DIRECCIÓN NACIONAL DE INTELIGENCIA Nombre de la alerta Vulnerabilidad de día cero en el servidor Microsoft Exchange Tipo de Ataque Explotación de vulnerabilidades conocidas Abreviatura EVC Medios de propagación Red, Internet Código de familia H Código de Sub familia H01 Clasificación temática familia Intento de intrusión Descripción 1. ANTECEDENTES: Se ha reportado una vulnerabilidad de día cero (0-Day) de severidad ALTA de tipo deserialización de datos que no son de confianza en el servidor Microsoft Exchange. La explotación exitosa de esta vulnerabilidad podría permitir a un usuario remoto ejecutar código arbitrario en el sistema de destino. 2. DETALLES: La vulnerabilidad de severidad alta, de tipo deserialización de datos que no son de confianza, existe debido a una validación de entrada insegura al procesar datos serializados dentro de la clase ChainedSerializationBinder. Un usuario remoto puede enviar una solicitud HTTP especialmente diseñada a la aplicación y ejecutar código arbitrario en el sistema de destino. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Microsoft Exchange. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la clase ChainedSerializationBinder. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos que no son de confianza. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. A. Productos afectados: - Microsoft Exchange Server: 2016 CU22 Nov22SU 15.01.2375.037 - 2019 RTM Mar21SU 15.02.0221.018. 3. RECOMENDACIONES: • Restringir la interacción con la aplicación. • Actualizar el producto afectado cuando el proveedor lance la versión de software que afronte esta vulnerabilidad, pues a la fecha no se conoce ninguna solución oficial. Fuente de Información: • hxxp://www.zerodayinitiative.com/advisories/ZDI-23-1578/ http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°262 Fecha: 02-11-2023 Página: 10 de 12 Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ Nombre de la alerta Campaña de Phishing que suplanta la identidad del Banco de Crédito del Perú (BCP) Tipo de Ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros Código de familia G Código de Sub familia G01 Clasificación temática familia Fraude Descripción 1. ANTECEDENTES: A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, los ciberdelincuentes vienen llevando a cabo ataques avanzados de Phishing, dirigidos a usuarios de la identidad del Banco de Crédito del Perú (BCP), con el objetivo robar credenciales de acceso, datos personales y bancarios. 2. DETALLES: Imagen 1: Para solicitar un préstamo el atacante le solicita a la víctima registrar el número del Documento Nacional de Identidad (DNI), el monto del préstamo solicitado y el número de Celular. Imagen 2: Luego de completar con lo requerido, le solicita a la víctima el número de tarjeta de crédito o débito y clave de seis dígitos (INTRANET), para luego dar clic en <Continuar>. Imagen 3: Una vez brindado los datos solicitados en el paso N.º 02, aparece una pantalla requiriendo información de la tarjeta bancaria como la fecha de vencimiento, el código de seguridad (CVV) y la clave de cuatro dígitos utilizado en el cajero automático, para luego dar clic en <Continuar>. Imagen 4: Luego, aparece una pantalla indicando que el proceso se ha completado con éxito y que un asesor de la entidad se comunicará con la víctima, para culminar con el desembolso del préstamo, para luego hacer clic en <Continuar>. http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital A. Comparación del sitio web oficial y sitio web falso del BCP: B. Proveedores de seguridad informática alertan como SUPLANTACIÓN DE IDENTIDAD – PHISHING: C. Indicadores de compromiso (IoC) • Dominio : solicitud-enlinea[.]top • SHA-256 : c60d1046baab26a1e90d87b1bf9d21f92252377de3a896559a148a2f40389a14 • IP : 104[.]21[.]29[.]55 3. RECOMENDACIONES: • Verificar detalladamente la URL, que corresponda al sitio web oficial. • Tener en cuenta que las entidades bancarias no solicitan actualización de datos confidenciales de manera online. • Ingresar desde fuentes oficiales. • No seguir las instrucciones de sitio web sospechoso. • Mantener el antivirus actualizado. • Evitar compartir la URL con amigos y/o familiares. Fuente de Información: Análisis propio de redes sociales y fuente abierta. SITIO WEB OFICIAL hxxps://loginunico.viabcp.com/#/tarjeta-sesion SITIO WEB FRAUDULENTO hxxps[:]//solicitud-enlinea[.]top • No existe una similitud entre el fondo y forma de cada sitio web. • Hay diferencia en el dominio, debido a que el sitio web fraudulento no coincide con el sitio oficial del BCP. • La URL posee el PROTOCOLO SEGURO DE TRANSFERENCIA DE HIPERTEXTO (HTTPS), esto hace que la víctima registre sus datos personales en dichos sitio web. http://www.gob.pe/ mailto:pecert@pcm.gob.pe www.gob.pe/cnsd alertas@cnsd.gob.pe CNSD│Centro Nacional de Seguridad Digital Página 12 de 12 Índice alfabético Explotación de vulnerabilidades conocidas ............................................................................................... 6, 7, 8, 9 Phishing ........................................................................................................................................................... 4, 10 http://www.gob.pe/ mailto:pecert@pcm.gob.pe
Compartir