PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 23 de abril de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 019

Fecha: 23-04-2020

Página: 2 de 10

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL Nombre de la alerta Vulnerabilidades zero-day en IBM Data Risk Manager

Tipo de ataque Explotación de vulnerabilidad día cero Abreviatura EVDO

Medios de propagación Red e internet

Código de familia H Código de Sub familia H01

Clasificación temática familia Intrusión Descripción

1. Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional advierte que especialistas en ciberseguridad han revelado el hallazgo de un conjunto de fallas de seguridad encontrados en el software IBM Data Risk Manager (IDRM, siglas en ingles). En el análisis de vulnerabilidades realizado al mencionado software, se encontraron cuatro (4) vulnerabilidades, de las cuales tres (3) de ellas con nivel de severidad críticas y una (1) alta.

2. Detalles de la vulnerabilidad:

IBM Data Risk Manager (IDRM), es un software de seguridad empresarial de IBM que agrega y proporciona una vista completa de todos los riesgos de seguridad empresarial, similar a un registro electrónico de riesgos.

Se han identificado cuatro (4) vulnerabilidades denominadas enumeración de debilidad común (CWE, siglas en inglés) CWE-287, CWE-77, CWE-798 y CWE-22. Asimismo, los productos y versiones afectados son IBM Data Risk Manager 2.0.1 a 2.0.3 y posiblemente las versiones 2.0.4 a 2.0.6. A continuación, se detalla las vulnerabilidades encontradas:

CWE-287: (Bypass de autentificación)

o Detalles: IDRM tiene un punto final de API en / albatross/saml/idpSelection que asocia una identificación proporcionada por el atacante con un usuario válido en el sistema.

o Gravedad: Critico. Vector de ataque: Remoto.

CWE-77: (Inyecciones de comandos)

o Detalles: IDRM expone una API en /albatross/ restAPI/v2/nmap/run/scan que permite a un usuario autenticado realizar escaneos nmap.

o Gravedad: Critico.

o Vector de ataque: Remoto. Restricción: Se requiere autentificación.

CWE-798: (Contraseña predeterminada insegura)

o Detalles: El software contiene credenciales codificadas, como una contraseña o clave criptográfica, que utiliza para su propia autenticación entrante, comunicación saliente a componentes externos o encriptación de datos internos.

o Gravedad: Critico.

o Vector de ataque: Remoto. Restricción: Ninguno.

CWE-22: (Descarga de archivos arbitrarios)

o Detalles: IDRM expone una API en /albatross/eurekaservice/fetchLogFiles que permite a un usuario autenticado descargar archivos de registro del sistema. Sin embargo, el parámetro logFileNameList contiene una falla transversal del directorio básico que permite a un atacante descargar cualquier archivo del sistema.

o Gravedad: Alto.

o Vector de ataque: Remoto. Restricción: Se requiere autentificación.

3. Recomendaciones:

Implementar y promover las mejores prácticas de ciberseguridad.

Actualizar los parches de seguridad en cuanto se encuentren disponibles.

Realizar concientización constante a los usuarios sobre este tipo de ciberamenaza.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N°019

Fecha: 23-04-2020

Página: 3 de 10

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Posible forma de evadir controles de seguridad al utilizar RDP

Tipo de ataque Malware Abreviatura Malware

Medios de propagación USB, disco, red, correo, navegación de internet Código de familia C Código de sub familia C03

Clasificación temática familia Código malicioso.

Descripción

1. El 23 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar que, los investigadores de seguridad de Cymulate, descubrieron una nueva técnica de evasión de defensa del malware oculto, que permite a los piratas informáticos ejecutar código malicioso utilizando el protocolo de escritorio remoto (RDP) de Microsoft, a través de la técnica de carga lateral de DLL.

2. Con la máquina de Windows para ejecutar RDP, se utiliza Microsoft Terminal Services Client (MSTSC) que se basa en un archivo DLL (mstscax.dll) como uno de sus recursos.

3. Cymulate identificó que «Microsoft Terminal Services Client (MSTSC) realiza la carga retardada de mstscax.dll con un comportamiento que puede provocar que los hackers pasen por alto los controles de seguridad. El ejecutable cargará explícitamente «mstscax.dll» sin verificaciones de integridad para validar el código de la biblioteca.

4. Un atacante podría usar este punto ciego para reemplazar el «mstscax.dll» que está presente en la carpeta C: \ Windows \ System32 o copiándolo en una carpeta externa que no requiere privilegios de administrador.

5. Según los investigadores, esto es posible ya que «mstsc.exe no carga explícitamente la DLL desde la carpeta system32, Este comportamiento lleva a la capacidad de un adversario para ejecutar código malicioso en el contexto de Mstsc.exe firmado digitalmente y, por lo tanto, omitir los controles de seguridad como AppLocker».

6. Cymulate ha informado sobre la vulnerabilidad a Microsoft, quien se negó a aplicar parches e informó que «System32 requiere privilegios de administrador y, por lo tanto, no es una amenaza percibida».

7. Las empresas deben ser informadas inmediatamente de esta amenaza para mitigar los ataques, ya que eludirá los controles de seguridad», dijo el director de tecnología de Cymulate, Avihai Ben-Yossef.

8. Los piratas informáticos pueden aprovechar el hecho de que la mayoría de los controles de seguridad no protegen mstsc.exe como lo firmó Microsoft.

9. Recomendaciones:

Mantener el sistema operativo actualizado.

Utilizar dos cuentas de uso del sistema, administrador para gestionar el sistema y otra para realizar trabajos rutinarios.

Instalar y mantener actualizado un antivirus.

Fuentes de información cybersecuritynews.com.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 23-04-2020

Página: 4 de 10

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad en el complemento Mappress-google-maps-for-wordpress Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, internet

Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de Intrusión

Descripción

1. El 23 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se encontró información publicada por VULDB (Base de datos de vulnerabilidades), sobre una vulnerabilidad en el complemento Mappress de Google Maps para Wordpress, que afecta a las versiones anteriores a la 2.53.9.

2. Vulnerabilidad clasificada por MITRE con el codigo (CVE-2020-12077) y existe debido a una validación insuficiente del origen de la solicitud http en las acciones de AJAX.

3. Un atacante remoto puede engañar a la víctima para que visite una página web especialmente diseñada y realice acciones arbitrarias en nombre de la víctima en el sitio web vulnerable, como la eliminación de mapas arbitrarios.

4. Recomendación:

Actualizar el complemento, a la ultima versión (2.53.9), disponible en el sitio web oficial de Wordpress.

Fuentes de información https://vuldb.com/?id.154257 https://www.tenable.com/cve/CVE-2020-12077

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 23-04-2020

Página: 5 de 10

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad de día cero que afecta a dispositivos iPhone y iPad Tipo de ataque Explotación de vulnerabilidades Abreviatura EVC

Medios de propagación Red, navegación de internet

Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de Intrusión

Descripción

1. El 23 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tomó conocimiento del informe realizado por los investigadores de ZecOps (compañía de análisis forense), sobre la vulnerabilidad de “día cero” en la app de correo electrónico de Apple presente en los dispositivos iOS. Esta permite al atacante ejecutar código remoto para el robo de datos del móvil. La información fue publicada el 20 de abril de 2020 por la web Bleepingcomputer.

2. Según ZecOps, el bug de día cero (software que ocasiona que el programa colapse), presente en la app Mail preinstalada por defecto en todos los dispositivos iOS a partir del 2018, es lo que permite a un atacante acceder al dispositivo, saltando todas las medidas de seguridad impuestas por Apple.

3. Este problema está presente en todas las versiones de iOS, incluso si tenemos el dispositivo actualizado somos vulnerables, es por eso que se conoce como un "bug de día cero" o "0-day"; una vulnerabilidad que no tiene aún solución y puede ser aprovechada por los ciberdelincuentes.

4. Recomendaciones:

Desinstalar o deshabilitar la app de correo electrónico del iPhone y iPad.

Tener actualizado el dispositivo móvil a la espera de un parche.

Fuentes de información

https://www.bleepingcomputer.com/news/security/new-ios-zero-days-actively-used-against-high-profile-targets/ https://www.elespanol.com/omicrono/software/20200422/iphone-llevarian-agujero-seguridad-permite-robar-datos/484452747_0.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 23-04-2020

Página: 6 de 10

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad “starblled” en chips FPGA Tipo de ataque Interrupción de servicios tecnológicos Abreviatura IntServTec

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia F Código de Subfamilia F02

Clasificación temática familia Disponibilidad del servicio

Descripción

1. El 23 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó la vulnerabilidad “Starbleed” publicada a través de una investigación del Instituto Horst Görtz de Alemania, la cual afecta las versiones de los chips FPGA de serie 6 y FPGA de serie 7 de la empresa XILINX, compañía de tecnología estadounidense, distribuidora de dispositivos lógicos programables, reconocida por inventar las matriz de puertas lógicas programable en campo o más conocido como FPGA.

2. Cuando la vulnerabilidad es explotada, los atacantes pueden obtener control completo sobre los chips y todas sus características debido a que la falla se encuentra en el hardware, los chips FPGA son ampliamente utilizados por muchas aplicaciones, desde centros de datos en la nube y estaciones base de telefonía móvil, hasta memorias USB cifradas y sistemas de control industrial, ocasionando un riesgo critico en la seguridad.

3. El atacante utiliza esta vulnerabilidad para reprogramar los chips, esto también permite reprogramar con total libertad los componentes básicos, la clave de esta vulnerabilidad es el flujo de bits es un proceso que puede ser utilizado para programar los chips FPGA durante de proceso de configuración y luego redirigir su contenido descifrado al registro de configuración de WEBSTAR (aplicación de servidor web).

4. Recomendación:

Reemplazar el chip FPGA.

Fuentes de información https://noticiasseguridad.com/vulnerabilidades/millones-de-servidores-y-dispositivos-afectados-vulnerabilidad-starbleed-en-chips-fpga/ https://www.xilinx.com/support/answers/73541.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 23-04-2020

Página: 7 de 10

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Perfil falso de Facebook, suplantando identidad de Actriz y Cantante Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico, videos de internet, entre otros

Código de familia G Código de Subfamilia G02

Clasificación temática familia Fraude

Descripción

1. El 23 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que en la red social Facebook, existe un perfil falso de la cantante y actriz “Thalía”, quien supuestamente en abril de 2020, elegirá al azar a personas de la red social, para regalarle dinero en efectivo, un vehículo y canastas de vivieres. Para ser ganador, el usuario debe dar clic en “me gusta” y compartir la publicación en 10 grupos de Facebook.

Imágenes:

Diferencias entre los perfiles:

CONTENIDO

Fotos de vehículos y canastas de vivieres. Videos y fotos de sus presentaciones

COMUNIDAD (SEGUIDORES)

2239 18,000 Mil

INFORMACIÓN

Negocio Local Se proporciona información con datos

generales

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La URL de dicha publicación no es detectada en los motores de análisis como sospechoso o malicioso.

IP. 157.240.18.35

o Servidor: edge-star-mini-shv-02- ort2.facebook.com

o ISP: Facebook, Inc.

o Latitud: 37.751

o Longitud: -97.822

Al analizar el IP. – Ha sido detectado como phishing.

Topología:

2. Recomendaciones:

Verifica el check azul del perfil (seguras)

No participes de sorteos que se publican en perfiles sospechosos

Analiza los detalles del perfil de facebook.

Fuentes de información Análisis propio en redes sociales y fuentes abiertas

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 019

Fecha: 23-04-2020

Página: 9 de 10

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Mensaje falso de whatsapp, regalando barriles de cerveza Tipo de ataque Adware Abreviatura Adware

Medios de propagación Enlaces de internet

Código de familia C Código de Subfamilia C07

Clasificación temática familia Código malicioso

Descripción

1. El 23 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, ESET Latinoamérica, compañía dedicada a la detección proactiva de amenazas, alertó por una nueva campaña de ingeniería social a través de WhatsApp, que aprovecha la situación del COVID 19 para engañar a los usuarios con una falsa promoción.

2. El engaño comienza con un mensaje en el que se suplanta la identidad de una popular marca de cerveza a nivel internacional, sobre una promoción que ofrece barriles de cerveza gratis, con envío a domicilio, durante los días de cuarentena.

Imagen N° 1.

3. En caso de que la víctima decida avanzar y haga clic en el enlace, se encontraría con una supuesta página de cupones de descuento.

Imagen N° 2.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

4. En el análisis de la URL en mención, no se detectó la intención de instalar Malware en el dispositivo de las víctimas, sino se trataría de una campaña que se monetiza desplegando publicidad no deseada a lo largo del proceso y al terminar de compartir con los contactos.

5. Asimismo, se informa que dicha estafa está siendo distribuida por diferentes países:

Lo que llama la atención es el uso de un servicio de acortado de enlace (bit.ly), estos suelen ser utilizados en engaños dado que se logra ocultar el nombre de la URL de destino final.

En estos tipos de engaños, al usuario se le podría descargar en sus dispositivos programas como Adware (es cualquier programa que automáticamente muestra u ofrece publicidad no deseada o engañosa, ya sea incrustada en una página web mediante gráficos, carteles, ventanas flotantes, o durante la instalación de algún programa al usuario, con el fin de generar lucro a sus autores.)

6. Recomendaciones:

Utilizar una solución de seguridad (antivirus) tanto en el dispositivo móvil como en la computadora.

Evitar acceder a enlaces que llegan ofreciendo oportunidades inesperadas, ya sea por una red social o por el correo electrónico.

No participes de sorteo de páginas falsas.

Comparar el enlace del mensaje con el del sitio oficial para corroborar que la URL es legítima.

Buscar en los sitios oficiales información acerca de la promoción para corroborar su veracidad.

Piensa siempre que los ciberdelincuentes quieren obtener información personal.

Fuentes de información hxxps://www.eset.com/py/acerca-de-eset/sala-de-prensa/comunicados-de-prensa/articulos-de-prensa/falsa-promocion-ofrece-cerveza-gratis-via-whatsapp/