Wind River VxWorks y URGENT/11: aplique ahora los parches

Aviso: Los dispositivos de firewall físico de SonicWall que ejecutan ciertas versiones de SonicOS utilizan código TCP/IP de terceros para la administración remota que contiene vulnerabilidades denominadas URGENT/11. En este momento, no existen indicios de que las vulnerabilidades detectadas estén siendo explotadas; sin embargo:

SonicWall recomienda ENCARECIDAMENTE aplicar de inmediato el parche de SonicOS. Hay parches disponibles para todas las versiones recientes de SonicOS. En Security Advisory (Asesoramiento de seguridad) se ofrecen instrucciones detalladas.

SonicWall proporciona las versiones parcheadas de SonicOS sin coste alguno, incluso para los clientes que no estén cubiertos actualmente por un contrato de soporte activo. SonicWall también recomienda actualizar a la última versión de SonicOS (6.5.4.4), que proporciona capacidades de firewall que ayudan a proteger otros dispositivos vulnerables a URGENT/11.


Vulnerabilidades de Wind River VxWorks y URGENT/11

Los investigadores de seguridad de Armis han descubierto y documentado de forma responsable 11 vulnerabilidades en la pila TCP/IP del sistema operativo en tiempo real VxWorks de Wind River, utilizado por millones de dispositivos de todo el mundo, así como en el espacio, en Marte y en ciertas versiones de SonicOS. La pila TCP/IP de Wind River VxWorks, denominada IPNET, contiene vulnerabilidades a las que se ha dado el nombre “URGENT/11”. El único tipo de vulnerabilidad importante que afectó a SonicOS se corrige con las nuevas versiones de parches.

No gestionable y no parcheable: el Salvaje Oeste de IoT

Wind River VxWorks es un sistema operativo en tiempo real que se usa ampliamente en el Internet de las cosas (IoT) y en aplicaciones integradas, como redes, telecomunicaciones, automoción, medicina, industria, electrónica de consumo, aeroespacial, etc.

Aunque los firewalls se encargan de proteger el perímetro de la organización, se trata de dispositivos que se gestionan y supervisan activamente, a menudo desde un punto central de la infraestructura. Por cada firewall, hay un administrador que se despierta cada mañana preguntándose: “¿Funciona mi firewall? ¿Estará actualizado?” En los días siguientes a la disponibilidad de una actualización, seprograma una ventana de mantenimiento y se cierra la brecha de seguridad.

Sin embargo, para la abrumadora mayoría de otros dispositivos conectados o expuestos a Internet, no existe tal administrador, y el número de dichos dispositivos “IoT” es mayor que el de firewalls en varios órdenes de magnitud. Es esta multitud de dispositivos conectados, que ni se gestionan ni se les aplican parches de forma activa, la que representa un riesgo similar a un iceberg para Internet. Con el tiempo, se descubren vulnerabilidades, incluso en el mejor software, y la seguridad de Internet y del ecosistema en línea depende de la capacidad de desplegar e implementar dichas correcciones.

En la actualización de mediados de año del Informe sobre ciberamenazas de SonicWall 2019, los investigadores de amenazas de SonicWall Capture Labs llevan ya registrados 13,5 millones de ataques contra el Internet de las Cosas (IoT), lo que supera en un 54,6 % los dos primeros trimestres de 2018.

Esta realidad está en la mente no solo de los profesionales de la seguridad, sino también de los organismos reguladores, ya que cientos de millones de dispositivos IoT no fueron diseñados para ser seguros, son vulnerables y siguen sin corregirse.

Este es uno de los puntos débiles peligrosos que subyace en Internet, encabezado por la explosión de dispositivos IoT, incluidos dispositivos para el hogar que se despliegan con frecuencia en la frontera de Internet y que luego se olvidan durante años. El amplio alcance de IoT debería resonar en diversos sectores como una llamada de atención para corregir problemas futuros.

“Nunca deje de aplicar los parches”

El aprovechamiento de las vulnerabilidades publicadas contra software antiguo sirve como recordatorio importante de que los clientes nunca deben aplazar las actualizaciones de software, ya que son uno de los pasos más importantes que puede dar para proteger su infraestructura contra el panorama actual de amenazas en constante evolución y malignidad.

No las ignore ni las aplace. Aplique ahora los parches. Y nunca deje de hacerlo. Por el bien de todos.

El apocalipsis del cryptojacking: cómo derrotar a los cuatro jinetes de la criptominería

A pesar de las fluctuaciones de los precios del bitcóin y otras criptomonedas, el cryptojacking sigue siendo una amenaza grave, y a menudo oculta, para los negocios, las pymes y los consumidores ordinarios.

Y la más encubierta de todas estas amenazas es la criptominería a través del buscador, donde algunas formas populares de malware intentan convertir su dispositivo en un bot de minería de criptomonedas a tiempo completo, lo que se denomina un cryptojacker.

Para ayudarlo a comprender esta tendencia de manera creativa, permítame recurrir a mi enseñanza clásica y ser un poco hiperbólico. Si usted considera que la ola del cryptojacking es una especie de apocalipsis, como muchas de sus víctimas lo hacen, los cuatro jinetes serían las cuatro amenazas para su endpoint o negocio.

  • El caballo blanco: la energía que consume o desperdicia.
  • El caballo rojo: la pérdida de productividad debido a la limitación de los recursos.
  • El caballo negro: el daño que puede provocarle al sistema.
  • El caballo bayo: las repercusiones en la seguridad a causa de las vulnerabilidades que se generan.

A diferencia del ransomware, que desea que lo encuentren (para demandar el pago), el trabajo de un cryptojacker es trabajar oculto en el fondo (si bien el gráfico de rendimiento de su CPU o el ventilador del dispositivo pueden indicar que algo se encuentra fuera de lo normal).

Los autores de ransomware cambiaron de estrategia en los últimos dos años y usan más el cryptojacking, ya que la efectividad y el rendimiento de la inversión (Return on Investment, ROI) de un tipo de ransomware disminuyen apenas aparece en fuentes públicas como VirusTotal.

Como cualquier persona que dirige un negocio altamente rentable, los ciberdelincuentes necesitan encontrar constantemente nuevas formas de alcanzar sus objetivos económicos. El cryptojacking se utiliza para resolver ese desafío.

En abril de 2018, SonicWall comenzó a hacer un seguimiento de las tendencias del cryptojacking, específicamente del uso de Coinhive en malware. En el transcurso del año, analizamos su flujo y reflujo. En ese momento, SonicWall registró cerca de 60 millones de ataques de cryptojacking, con un pico de 13,1 millones en septiembre de 2018. Según lo publicado en el Informe de ciberamenazas 2019 de SonicWall, el volumen disminuyó en el último trimestre de 2018.

Ataques mundiales de cryptojacking | Desde abril hasta septiembre de 2018

El encanto de la criptominería

Las operaciones de criptominería se han vuelto cada vez más populares y ahora consumen casi el 0,5 % del consumo de electricidad mundial. A pesar de las marcadas fluctuaciones de los precios, aproximadamente el 60 % del costo de la minería legal de bitcoines es el consumo de energía. De hecho, al momento de la redacción, el precio de un bitcóin es menor que el costo de minarlo de manera legal.

Con dichos costos y riesgos nulos en comparación con la compra y el mantenimiento de los equipos, los ciberdelincuentes tienen grandes incentivos para generar criptomonedas con los recursos de otros. Infectar 10 máquinas con un criptominero podría generar una ganancia de hasta $100/por día; por ende, el desafío de los cryptojackers es triple:

  1. Encontrar objetivos, principalmente organizaciones con muchos dispositivos en la misma red, en especial las escuelas o las universidades.
  2. Infectar la mayor cantidad posible de equipos.
  3. Mantenerse ocultos el mayor tiempo posible (a diferencia del ransomware y de manera similar al malware tradicional).

Los cryptojackers utilizan técnicas similares al malware para escabullirse en un endpoint: descargas ocultas, campañas de phishing, vulnerabilidades en el buscador y complementos del buscador, entre otros. Y, como es de esperarse, se enfocan en el punto más débil, las personas, mediante técnicas de ingeniería social.

¿Estoy infectado por criptomineros?

Los criptomineros están interesados en su poder de procesamiento y los cryptojackers tienen que sacrificar la sutileza para obtener más ganancias. La cantidad de recursos que tomen de su CPU depende de sus objetivos.

Absorber menos energía hace que sea más difícil que los usuarios desprevenidos lo noten. Robar más aumenta sus ganancias. En cualquiera de los casos, el rendimiento se verá afectado, pero si el umbral es lo suficientemente bajo, podría ser difícil distinguir al minero del software legítimo.

Los administradores de las empresas pueden buscar procesos desconocidos en sus entornos y los usuarios finales en Windows deben abrir Sysinternals Process Explorer para ver lo que están ejecutando. Los usuarios de Linux y macOS deben investigar mediante el uso de System Monitor y Activity Monitor, respectivamente, por el mismo motivo.

Cómo defenderse de los criptomineros

El primer paso para defenderse de los criptomineros es detener este tipo de malware en la puerta de acceso, ya sea a través de los firewalls o la seguridad del correo electrónico (seguridad perimetral), la cual es una de las mejores formas de eliminar amenazas conocidas basadas en archivos.

Dado que a las personas les gusta volver a utilizar códigos viejos, atrapar a los cryptojackers como Coinhive también fue un primer paso sencillo. Sin embargo, en febrero de 2019, Coinhive anunció públicamente el fin de sus actividades el 8 de marzo. El servicio comunicó que “ya no era económicamente viable” y que el “desplome” afectaba al negocio de manera considerable.

A pesar de estas noticias, SonicWall prevé que todavía habrá un aumento en nuevas variantes y técnicas de cryptojacking para llenar el vacío. El cryptojacking aún podría convertirse en un método de preferencia para agentes malintencionados gracias a su disimulo; los daños menores e indirectos a las víctimas reducen las posibilidades de exposición y extienden la valiosa vida útil de un ataque exitoso.

Si el tipo de malware es desconocido (nuevo o actualizado), entonces traspasará los filtros estáticos en el perímetro de seguridad. Si un archivo es desconocido, será redirigido a un sandbox para inspeccionar su naturaleza.

El sandbox multimotor Capture Advanced Threat Protection (ATP) de SonicWall está diseñado para identificar y detener el malware escurridizo que pueda evadir un motor pero no al resto.

Si tiene un endpoint que no se encuentra detrás de esta configuración habitual (p. ej., tiene itinerancia en un aeropuerto o un hotel), necesita desplegar un producto de seguridad de endpoints que incluya detección de comportamientos.

Los criptomineros pueden operar en el buscador o enviarse a través de un ataque sin archivos, por lo que las soluciones heredadas que obtiene de forma gratuita con una computadora no logran detectarlos.

Un antivirus que se basa en el comportamiento como SonicWall Capture Client detectaría que el sistema quiere minar monedas y luego desactivaría la operación. Un administrador puede poner al malware en cuarentena fácilmente y eliminarlo o, en caso de que dañe los archivos del sistema, revertir el sistema al último estado sano antes de que se ejecute el malware.

Mediante la combinación de defensas perimetrales y análisis de comportamientos, las organizaciones pueden luchar contra las formas más novedosas de malware sin importar cuáles sean las tendencias o las intenciones.

Los puertos no estándar están sujetos a los ciberataques

Si le gustan mirar películas de superhéroes, en algún momento escuchará a los personajes hablar de proteger sus identidades con el anonimato. A excepción de Iron Man, la ocultación de sus verdaderas identidades otorga a los superhéroes cierta forma de protección. En este sentido, la seguridad de la red es similar.

«Seguridad por oscuridad» es una frase que ha recibido elogios y críticas. Si conduce por carreteras secundarias en vez de conducir por autopista para evitar posibles accidentes, ¿se sentirá más seguro? ¿Puede llegar a su destino con la misma eficacia? Es posible, pero esto no significa que pueda eludir siempre las cosas negativas.

Diferencia entre puertos estándar y no estándar

La Autoridad de Números Asignados de Internet (IANA) asigna los puertos de los firewalls para responder a fines o servicios específicos.

Aunque existen más de 40 000 puertos registrados, solo se utilizan unos pocos. Se trata de los puertos «estándar». Por ejemplo, HTTP (páginas web) utiliza el puerto 80, HTTPS (sitios web con cifrado) utiliza el puerto 443 y SMTP (correo electrónico) utiliza el puerto 25.

Existen firewalls configurados para escuchar y recibir tráfico por estos puertos. Los ciberdelincuentes también lo saben, por lo que dirigen la mayoría de sus ataques a los puertos utilizados habitualmente. Por supuesto, las empresas suelen reforzar estos puertos frente a las amenazas.

Como respuesta al aluvión de ataques dirigidos a los puertos estándar, algunas organizaciones han pasado a utilizar puertos «no estándar» para sus servicios. Un puerto no estándar es el que se utiliza para un fin distinto del que tiene asignado de manera predeterminada. Un ejemplo sería utilizar el puerto 8080 en lugar del 80 para el tráfico web.

En esto consiste la estrategia de «seguridad por oscuridad». Aunque es posible confundir a los ciberdelincuentes durante un tiempo, no se trata de una solución de seguridad a largo plazo. Además, puede dificultar más la conexión con su servidor web a los usuarios porque su navegador está preconfigurado para utilizar el puerto 80.

Ataques contra puertos no estándar

Los datos recogidos en el Informe de ciberamenazas SonicWall 2019 indican un aumento del número de ataques dirigidos a puertos no estándar. En 2017 SonicWall descubrió que más del 17,7 % de ataques de malware se produjeron por puertos no estándar.

Comparativamente, ese número paso al 19,2 % en 2019, un incremento del 8,7 por ciento. Solo en diciembre de 2018 se alcanzó una cifra aún mayor: 23 %.

¿Cómo proteger los puertos no estándar?

La mejor defensa conta los ciberataques dirigidos a servicios a través de puertos estándar y no estándar consiste en disponer de una estrategia de seguridad por capas.

Utilizar la «seguridad por oscuridad» es solo una capa. No obstante, si se recurre a ella en exceso, no se obtiene el nivel de seguridad que se necesita. Es posible que ayude frente a los escaneos de puertos, pero no detendrá los ciberataques más selectivos.

Debería adoptar también otras medidas, como cambiar las contraseñas periódicamente, utilizar la autenticación de dos factores y aplicar parches y actualizaciones. Y debería utilizar un firewall que permita analizar artefactos específicos en lugar de todo el tráfico (es decir, un enfoque basado en proxy).

Informe de ciberamenazas 2019 de SonicWall: desenmascarando las amenazas dirigidas a empresas, gobiernos y pymes

El lanzamiento del Informe de ciberamenazas anual de SonicWall siempre nos hace recordar por qué estamos en este negocio.

Nuestros ingenieros e investigadores de amenazas dedican meses al proyecto para esclarecer cómo las personas, los negocios y las organizaciones en línea se ven afectados por la ciberdelincuencia.

Lo que han descubierto es importante. De modo generalizado, los ciberataques están aumentando. Los delincuentes no paran. Los piratas informáticos y otros grupos con intenciones fraudulentas están perpetrando ataques con niveles mayores de volumen y sofisticación. Y el Informe de ciberamenazas 2019 de SonicWall describe cómo lo están haciendo y a qué escala.

Para comprender la carrera armamentística cibernética, que está en constante cambio, descargue el Informe de ciberamenazas 2019 de SonicWall gratuito. La unificación, el análisis y la visualización de las ciberamenazas le habilitarán a usted y a su organización a luchar con más autoridad, determinación y veracidad que nunca antes. Por eso, eche un vistazo al contenido.

El volumen de malware sigue creciendo

En el año 2016, la industria fue testigo de un declive en el volumen de malware. Desde entonces, los ataques de malware han aumentado un 33,4%. A escala mundial, SonicWall registró 10.520 millones de ataques de malware en 2018, el nivel máximo registrado por la compañía.

Reino Unido e India endurecen su posición contra el ransomware

Los investigadores de SonicWall Capture Lab determinaron que el ransomware aumentó en casi todas las regiones geográficas, excepto en dos: Reino Unido e India. El informe indica dónde se produjo un cambio de volumen en el ransomware y qué regiones y ciudades se vieron más afectadas por el cambio.

Amenazas peligrosas de memoria, ataques de canal lateral identificados con anticipación

El informe explora cómo SonicWall Real-Time Deep Memory InspectionTM (RTDMI) mitiga los ataques peligrosos de canales laterales utilizando tecnología pendiente de patente. Los canales laterales son el vehículo fundamental utilizado para explotar y extraer datos de vulnerabilidades del procesador, como Foreshadow, PortSmash, Meltdown, Spectre y Spoiler.

Archivos PDF y Office maliciosos que golpean los controles de seguridad heredados

Los ciberdelincuentes están usando documentos PDF y de Office como armas para ayudar al malware a burlar los firewalls tradicionales e incluso algunas defensas de red modernas actuales. SonicWall informa cómo está afectando este cambio a la entrega de malware tradicional.

Ataques contra puertos no estándar

Los puertos 80 y 443 son puertos estándar para el tráfico de red, por lo que es donde la mayoría de los firewalls centran su atención. En respuesta, los ciberdelincuentes fijan como objetivo diversos puertos no estándar para garantizar que sus cargas útiles puedan desplegarse sin ser detectadas en un entorno objetivo. ¿El problema? Las organizaciones no están protegiendo este vector, dejando ataques sin revisar.

Los ataques de IoT aumentan

Hay una avalancha de dispositivos de Internet de las Cosas (IoT) lanzados al mercado sin unos controles de seguridad adecuados. De hecho, SonicWall descubrió un aumento del 217,5% interanual en el número de ataques de IoT.

El crecimiento de los ataques cifrados se mantiene constante

El crecimiento del tráfico cifrado coincide con más ataques bloqueados por el cifrado TLS/SSL. En 2018 se cifraron más de 2,8 millones de ataques, un aumento del 27% con respecto a 2017.

Aumento y caída del cryptojacking

En 2018, el cryptojacking desapareció casi tan rápido como había surgido. SonicWall registró decenas de millones de ataques de cryptojacking en todo el mundo entre abril y diciembre. El volumen alcanzó su máximo en septiembre, pero desde entonces ha experimentado una caída constante. ¿El crytojacking fue una moda pasajera o habrá más en el futuro?

Reducción del volumen global de phishing, ataques más selectivos

A medida que las empresas mejoran en el bloqueo de los ataques por correo electrónico y garantizan que los empleados puedan detectar y eliminar mensajes de correo electrónico sospechosos, los atacantes cambian de tácticas. Están reduciendo el volumen total de ataques y lanzando campañas de phishing más dirigidas. En 2018, SonicWall registró 26 millones de ataques de phishing en todo el mundo, una caída del 4,1% respecto a 2017.

Slide Anything shortcode error: A valid ID has not been provided