Autor: netsec3

Un incidente de ciberseguridad reciente ha impactado a IFX Networks, una empresa de telecomunicaciones que ofrece servicios en la nube en varios países de América Latina. Este evento afectó la operación de ministerios en Colombia, así como empresas en Chile, durante el transcurso de la semana pasada. El ciberataque también tuvo repercusiones en un grupo de pequeñas y grandes empresas en Argentina que eran clientes de IFX y dependían de sus servicios para atender a sus clientes.

El ataque, según lo informado por la propia empresa, se trató de un ransomware, una forma de software malicioso que cifra los datos de las víctimas para exigir un rescate en criptomonedas a cambio de la clave de descifrado. Si la víctima se niega a pagar, los ciberdelincuentes amenazan con publicar los datos robados en la dark web como una segunda forma de extorsión, lo que podría dañar la reputación de la empresa afectada.

El problema principal radica en la amplia gama de servicios, tanto gubernamentales como privados, que están alojados en los servidores de IFX. La empresa se dedica a lo que se conoce como MSP (Proveedor de Servicios Gestionados), que implica la administración remota de infraestructura bajo un modelo de suscripción. En este momento, su sitio web está inaccesible, y solo se puede acceder a una página que actualiza información sobre el estado del incidente, donde el día de ayer (24 de septiembre) anunciaron que “todos sus clientes “informamos que todos nuestros clientes ya están en línea y estamos ahora trabajando con ciertos de ellos en últimos detalles“

En Colombia, se estima que alrededor de 65 entidades gubernamentales y ministerios han experimentado problemas en sus sistemas debido a este incidente, incluyendo el Consejo Superior de la Judicatura, el órgano encargado de la administración de la justicia en el país.

En Chile, sitios web importantes como Mercado Público y Chile Compra, que son similares a Mercado Libre en términos de comercio electrónico, siguen sin estar operativos hasta la fecha de esta publicación.

En Argentina, varias pequeñas y grandes empresas, que se dedican al desarrollo de software para terceros y dependen de los servicios de IFX, están enfrentando dificultades para operar debido a este ransomware que afectó a los sistemas de la empresa proveedora.

“El 12 de septiembre pasado, IFX Networks experimentó una incidencia en algunas de nuestras máquinas virtuales como resultado de un ciberataque externo conocido como ransomware”, explicó la compañía en un comunicado oficial.

Algunas empresas de la región utilizan sus soluciones de ERP y CRM en nubes tercerizadas. ¿Qué pasaría si tu sistema de facturación, gestión de clientes y ventas se viera afectado por algo similar?

Conclusión. Es importante tener mecanismos de seguridad en su infraestructura, pero también es importante que toda su data no esté en una misma canasta y disponer de planes de contingencia y de recuperación de desastres para que su operación no se vea afectada.

Agende una llamada para conocer como Network Secure puede ayudarle a desarrollar un plan de contingencia, recuperación de desastres y proteger sus datos e infraestructura.

Otro caso similar sucedió en Las Vegas.

Un grupo de atacantes que previamente había vulnerado la seguridad de Caesars Entertainment logró infiltrarse en MGM Resorts International, según información proporcionada por cuatro fuentes familiarizadas con el incidente.

De acuerdo con dos de las fuentes, los hackers exigieron un rescate a MGM, aunque no quedó claro de inmediato cuánto dinero solicitaron ni si utilizaron ransomware para cifrar los archivos de la empresa.

MGM optó por no responder preguntas sobre el ataque. En un comunicado emitido hace unas semanas, MGM declaró que la investigación sigue en curso. Además, la compañía afirmó su compromiso de implementar medidas adicionales de seguridad para proteger sus operaciones comerciales.

Hasta cuatro días después del inicio del ciberataque, MGM seguía trabajando para resolver el caos causado por el grupo de hackers conocido como Scattered Spider. Este ataque había perturbado los sitios web de la compañía, su sistema de reservas e incluso algunas máquinas tragamonedas en sus casinos en todo el país, según dos de las fuentes.

Es importante destacar que el mismo grupo de hackers, Scattered Spider, había atacado previamente a Caesars Entertainment en un ciberataque unas semanas antes. Según informantes que solicitaron el anonimato debido a la naturaleza delicada de la información, Caesars finalmente pagó un cuantioso rescate, que ascendió a decenas de millones de dólares, a los hackers. La primera brecha se produjo a través de un proveedor externo de tecnología de la información antes de que los hackers obtuvieran acceso a la red de la empresa, según fuentes y noticias publicadas.

Un devastador ataque de ransomware que tuvo lugar el 8 de febrero afectó gravemente a la Ciudad de Oakland, causando interrupciones en los sistemas de red de la ciudad. Como resultado, el administrador de la ciudad se vio obligado a declarar un estado de emergencia para acelerar el proceso de restauración de los sistemas.

Temporalmente, se cerró la línea de atención telefónica 311 de la municipalidad, encargada de coordinar las solicitudes de servicios municipales. Esta línea de llamadas es vital para contratar y financiar proveedores externos, gestionar los permisos para el desarrollo local y procesar los pagos de impuestos comerciales y tarifas de estacionamiento.

Desde la primera violación, el grupo de ransomware denominado Play ha estado filtrando en la web oscura archivos personales y financieros robados durante el ataque. Los funcionarios municipales han confirmado que este grupo de hackers, que ya había publicado información personal confidencial en febrero, también es responsable de una filtración de datos de 600 gigabytes en la web oscura. Entre los datos filtrados se encuentran números de seguridad social, direcciones de domicilio y registros médicos de miles de empleados actuales y anteriores de la municipalidad.

La Ciudad de Oakland no es el primer objetivo de este grupo de ransomware, también conocido como PlayCrypt, ya que ha atacado a varios gobiernos locales y empresas alrededor del mundo.

Medidas para prevenir este tipo de ataques

Existe una diferencia fundamental entre la detección y respuesta cibernética y la protección y eliminación. La detección y respuesta cibernética son medidas reactivas que se implementan después de que las amenazas ya han ingresado a la red para explotar los sistemas y filtrar datos.

Por otro lado, la protección y eliminación son medidas proactivas que buscan eliminar las vulnerabilidades antes de que los actores maliciosos las descubran y las aprovechen.

El ataque de ransomware a la Ciudad de Oakland podría haberse evitado si se hubieran seguido algunas prácticas básicas de ciberseguridad, tales como:

1. Realizar pruebas de penetración automatizadas.
2. Mantener actualizado el software.
3. Utilizar contraseñas fuertes y autenticación de dos factores.
4. Realizar copias de seguridad de los datos regularmente en un lugar externo.
5. Capacitar a los empleados para reconocer correos electrónicos de phishing y otras tácticas de ingeniería social.
6. Restringir el acceso a datos y sistemas sensibles.
7. Utilizar firewalls y software de seguridad de punto final.

Las pruebas de penetración automatizadas han demostrado ser bastante efectivas. Si bien no existe una solución definitiva para prevenir los ataques de ransomware, las pruebas de penetración automatizadas se han revelado como una medida proactiva de seguridad eficaz que permite a las agencias gubernamentales y a las empresas comerciales cambiar su rol de víctimas a cazadores.

Si tu empresa busca minimizar el riesgo y reducir la brecha de seguridad, en Network Secure podemos ayudarte con nuestro servicio de seguridad de Pentesting junto con herramientas de clase mundial bajo una modalidad de proyecto o como Servicio Administrado.

Agenda una llamada gratuita con uno de nuestros especialistas.

¡Cuidado con los cargadores públicos gratuitos! Recientemente, el FBI ha advertido a los consumidores sobre los peligros de utilizar estaciones de carga públicas gratuitas, ya que los delincuentes han logrado tomar el control de los cargadores públicos y pueden infectar tus dispositivos con malware o software que puede dar a los hackers acceso a tu teléfono, tableta o computadora.

El FBI de Denver dijo en un tweet: “Evita utilizar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Los malhechores han encontrado formas de utilizar puertos USB públicos para introducir malware y software de monitoreo en los dispositivos. Lleva tu propio cargador y cable USB y utiliza un enchufe eléctrico en su lugar”.

El FBI ofrece recomendaciones similares en su sitio web para evitar cargadores públicos. Aunque el boletín no mencionó ningún caso reciente de daño al consumidor por “juice jacking“, el FBI de Denver dijo que el mensaje estaba destinado como una advertencia general y que no hubo un caso específico que lo motivara.

La Comisión Federal de Comunicaciones también ha advertido sobre el “juice jacking” desde 2021. Los dispositivos de los consumidores con cables USB comprometidos pueden ser secuestrados a través del software, que puede entonces robar nombres de usuario y contraseñas, advirtió la comisión. Por lo tanto, se recomienda a los consumidores que eviten esas estaciones públicas.

En conclusión, la próxima vez que necesites cargar tus dispositivos mientras estás fuera de casa, es mejor llevar tu propio cargador y cable USB y utilizar un enchufe eléctrico. Mantener tus dispositivos seguros y protegidos es esencial en un mundo en el que los delincuentes están siempre buscando formas de aprovecharse de la tecnología.

De acuerdo a una reciente publicación de Trellix Advanced Research Center, Trellix Encontró una nueva clase de errores que permiten saltarse la firma de código para ejecutar código arbitrario en varios programas de la plataforma, lo que lleva a la escalada de privilegios y al escape de la sandbox en macOS e iOS. Esto significa que los hackers pueden acceder a información confidencial como mensajes, ubicación, historial de llamadas y fotos de un usuario.

Descubriendo una nueva clase de errores
En septiembre de 2021, Citizen Lab reveló FORCEDENTRY, un exploit de ejecución remota de código iOS sin clics que apuntaba a un activista saudí para infectar su iPhone con el malware Pegasus. Luego, colaboraron con Google Project Zero para analizar los exploits, lo que llevó a un par de publicaciones que detallaban los métodos utilizados en el ataque. La Parte 1 describió la explotación inicial del código de análisis de PDF y la Parte 2 expuso la evasión del sandbox.
Si bien se prestó mucha atención al primer exploit, nos interesó mucho más el segundo, ya que describía una manera de ejecutar dinámicamente código arbitrario en otro proceso que evitaba por completo la firma de código. Se utilizó NSPredicate, una clase que parece inocente y que permite a los desarrolladores filtrar listas de objetos arbitrarios. En realidad, la sintaxis de NSPredicate es un lenguaje de secuencias completo. La capacidad de generar y ejecutar código dinámicamente en iOS había sido una función oficial todo este tiempo.
Sin embargo, esto era solo el comienzo, ya que esta función reveló una clase completamente nueva de errores que rompe por completo la seguridad entre procesos en macOS e iOS.

El Sandbox Escape de FORCEDENTRY no fue la primera exploración de este comportamiento. CodeColorist, un prolífico investigador de seguridad del espacio de usuarios de iOS, diseñó un desafío para Real World CTF 2019 que involucraba la explotación de la mecánica de NSPredicate. Luego dio una charla y publicó el post de blog “See No Eval” en enero de 2021, que detallaba cómo usarlos para ejecutar código arbitrario. La esencia de esta investigación fue que los objetos NSExpression, los bloques de construcción de un NSPredicate, se podían usar para llamar a métodos arbitrarios en clases y objetos arbitrarios. Usando clases existentes en los marcos privados de Apple, era posible evitar la autenticación de punteros (PAC) y cualquier otra mitigación para llamar a cualquier función.

Sin embargo, el post también describe formas en que Apple ha mitigado la peligrosidad de estos objetos, a través de un protocolo llamado NSPredicateVisitor. Las clases que implementan este protocolo se pueden usar para verificar cada expresión y asegurarse de que sean seguras para evaluar. CodeColorist señala al final de su post que “Sin una validación adecuada, podría ser una superficie de ataque entre procesos para evitar TCC”.

Aunque se han implementado mitigaciones para evitar que se produzcan estas vulnerabilidades, se descubrió que estas medidas de seguridad pueden ser eludidas. La solución de seguridad más reciente de Apple, por ejemplo, utiliza una gran lista de denegación para prevenir el uso de clases y métodos específicos que podrían comprometer la seguridad.

Sin embargo, Trellix ha descubierto que estos nuevos mecanismos de seguridad pueden ser eludidos mediante el uso de métodos que aún no han sido restringidos. De este modo, se pueden eliminar todas las restricciones existentes, lo que permite el uso de los mismos métodos que antes. Este tipo de elusión fue asignado el número CVE-2023-23530 por Apple.

Además, se descubrió que casi todas las implementaciones de NSPredicateVisitor podían ser eludidas, lo que llegó a descubrir numerosas vulnerabilidades potenciales que aún se están explorando. Es importante tener en cuenta que estos problemas son graves, pero ya se están tomando medidas para solucionarlos.

Se encontraron varias vulnerabilidades en una nueva clase de errores de seguridad.
La primera de ellas se encuentra en coreduetd, un proceso que recopila datos sobre el comportamiento del dispositivo. Un atacante con ejecución de código en un proceso con los permisos adecuados, como Mensajes o Safari, puede enviar un NSPredicate malicioso y ejecutar código con los privilegios de ese proceso. Este proceso se ejecuta como root en macOS y da al atacante acceso al calendario, la libreta de direcciones y las fotos del usuario.

También se encontró un problema muy similar con impacto similar en contextstored, un proceso relacionado con CoreDuet. Este resultado es similar al de FORCEDENTRY, donde el atacante puede usar un servicio XPC vulnerable para ejecutar código desde un proceso con mayor acceso al dispositivo.

Los daemons appstored (y appstoreagent en macOS) también tienen servicios XPC vulnerables. Un atacante con control sobre un proceso que pueda comunicarse con estos daemons podría explotar estas vulnerabilidades para obtener la capacidad de instalar aplicaciones arbitrarias, potencialmente incluso aplicaciones del sistema.

También se detectaron vulnerabilidades de esta clase en servicios que pueden ser accedidos por cualquier aplicación, sin necesidad de permisos especiales. La primera está en OSLogService, un servicio XPC que puede usarse para leer información potencialmente sensible del syslog. Además, un atacante puede explotar una vulnerabilidad de NSPredicate en UIKitCore en el iPad. Al establecer reglas maliciosas de activación de escenas, una aplicación puede lograr la ejecución de código dentro de SpringBoard, una aplicación altamente privilegiada que puede acceder a datos de ubicación, la cámara y el micrófono, el historial de llamadas, fotos y otros datos sensibles, así como borrar el dispositivo.

Conclusión
Las vulnerabilidades mencionadas anteriormente representan una importante violación del modelo de seguridad de macOS y iOS, el cual se basa en que las aplicaciones individuales tengan acceso detallado a un subconjunto de recursos y que consulten servicios de mayor privilegio para obtener cualquier otra cosa.

Los servicios que aceptan argumentos NSPredicate y los verifican con insuficientes NSPredicateVisitors permiten que aplicaciones maliciosas y códigos de explotación derroten el aislamiento de procesos y accedan directamente a muchos más recursos de los que deberían permitirse. Estos problemas se abordaron en macOS 13.2 e iOS 16.3. Por lo tanto, sugerimos que todos los usuarios de iOS y macOS actualicen su software a las últimas versiones.

Trellix agradece a Apple por trabajar rápidamente con ellos para solucionar estos problemas.

Fuente: Trellix Advanced Research Center

Si desea asegurarse de que su empresa está protegida al máximo, le recomendamos agendar una llamada con uno de nuestros especialistas para conocer sobre nuestro servicio de consultoría de seguridad IT.

Nuestro equipo de expertos en seguridad informática estará encantado de ayudarlo a implementar las medidas necesarias para garantizar la seguridad de su negocio.

¡No dude en ponerse en contacto con nosotros hoy mismo para obtener más información sobre cómo podemos ayudarlo a proteger su empresa!

Toad es una herramienta de administración de bases de datos que ha existido desde hace más de una década. En este blog post, se mencionan las 10 razones principales por las que una empresa debería implementar Toad en su empresa.

1. Toad ofrece una amplia gama de características para los usuarios finales. Esto incluye el acceso a una amplia variedad de herramientas en línea y fuera de línea para realizar tareas como la administración de bases de datos, la administración de consultas y la masificación de datos.
   
   Esto significa que los usuarios finales pueden realizar una amplia gama de tareas sin tener que aprender un lenguaje de programación completo. Además, Toad ofrece una amplia gama de herramientas de automatización, lo que significa que los usuarios finales pueden realizar tareas repetitivas en un período de tiempo mucho más corto.
   

2. Toad ofrece una plataforma de administración de bases de datos altamente segura. Esto se debe a que la herramienta ofrece una amplia gama de características de seguridad, desde la autenticación de usuario hasta el cifrado de datos. Esto significa que los datos de la empresa estarán a salvo de cualquier intento de violación de seguridad.
   
   
3. Toad es una herramienta de administración de bases de datos altamente escalable. Esto significa que se puede implementar fácilmente en cualquier tamaño de empresa, desde pequeñas empresas hasta grandes corporaciones. Además, la herramienta ofrece una amplia gama de características de administración y escalabilidad, lo que significa que se puede escalar fácilmente para satisfacer las necesidades de la empresa.
   
   
4. Toad ofrece una amplia gama de características de soporte técnico. Esto incluye una amplia gama de documentación, tutoriales en línea, foros de usuarios y soporte telefónico. Esto significa que la empresa tendrá la capacidad de recibir un soporte técnico eficaz y oportuno en caso de que se presenten problemas con la herramienta.
   
   
5. Toad es una herramienta de administración de bases de datos altamente compatible. Esto significa que se puede utilizar con una amplia variedad de sistemas operativos, como Windows, Linux, Mac OS X y otros. Esto significa que la herramienta se puede implementar fácilmente en cualquier entorno de tecnología de la información.
   
   
6. Toad es una herramienta de administración de bases de datos altamente personalizable. Esto significa que se puede personalizar la herramienta para satisfacer las necesidades de la empresa. Esto incluye la capacidad de crear scripts personalizados, personalizar la interfaz de usuario y mucho más.
   
   
7. Toad ofrece una amplia gama de características de rendimiento. Esto incluye la capacidad de mejorar el rendimiento de las bases de datos, optimizar el uso de memoria y optimizar el uso de recursos. Esto significa que los usuarios finales pueden obtener un rendimiento óptimo de su base de datos con Toad.
   
   
8. Toad es una herramienta de administración de bases de datos altamente rentable. Esto se debe a que la herramienta ofrece una amplia gama de características y funciones a un precio competitivo. Además, la herramienta es fácilmente escalable y se puede implementar fácilmente en cualquier entorno, lo que significa que la empresa no tendrá que gastar de más en la implementación.
   
   
9. Toad es una herramienta de administración de bases de datos altamente eficiente. Esto significa que los usuarios finales pueden realizar tareas complejas y avanzadas en un período de tiempo mucho más corto. Esto significa que los usuarios finales pueden obtener resultados mucho más rápido y con menos esfuerzo.
   
   
10. Toad es una herramienta de administración de bases de datos altamente confiable. Esto significa que los usuarios finales pueden contar con la herramienta para realizar tareas complejas y avanzadas sin fallas. Esto significa que los usuarios finales pueden confiar en la herramienta para obtener resultados confiables y consistentes.
    

En conclusión, Toad es una herramienta de administración de bases de datos altamente potente y versátil. Esto significa que la empresa tendrá la capacidad de realizar una amplia gama de tareas con la herramienta sin tener que aprender un lenguaje de programación completo.

Además, la herramienta ofrece una amplia gama de características de seguridad, rendimiento, escalabilidad y soporte técnico que la hacen ideal para cualquier empresa.

Por lo tanto, implementar Toad en una empresa es una excelente forma de mejorar la administración de bases de datos.

Si estás interesado en mejorar la gestión de tus bases de datos, no dudes en contactarnos para agendar una llamada y demostración de Toad. Juntos podemos evaluar cómo Toad puede ayudar a tu empresa a lograr sus objetivos.

Si tu empresa está pensando adquirir o renovar licenciamiento de Toad®, contáctanos o conoce más sobre Toad en nuestra página de producto.