Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
Algunas versiones de FortiOS son potencialmente vulnerables a un desbordamiento del buffer overflow.
Resumen
Una vulnerabilidad de desbordamiento de búfer basada en un alto número de procesamiento de mensajes del Protocolo de control de enlace en FortiOS puede permitir que un atacante remoto con credenciales VPN SSL válidas bloquee el demonio VPN SSL enviando un paquete LCP grande, cuando el modo túnel está habilitado. La ejecución de código arbitrario puede ser teóricamente posible, aunque prácticamente muy difícil de lograr en este contexto.
Impacto
Negación de servicio
Productos afectados
Versiones de FortiOS 5.6.12 y anteriores.
Versiones de FortiOS 6.0.10 y anteriores.
Versiones de FortiOS 6.2.4 y anteriores.
Versiones de FortiOS 6.4.1 y anteriores.
¿Cómo solucionamos el problema?
Para versiones 6.0: Actualice a la versión 6.0.11 o superior de FortiOS.
Para versiones 6.2: Actualice a la versión 6.2.5 o superior de FortiOS.
Para versiones 6.4: Actualice a la versión 6.4.2 o superior de FortiOS.
Workaround: Desactive el modo de túnel.
Soporte
Contá con nosotros!
Comunicate con nuestro equipo para ayudarte en la actualización del sistema operativo o si necesitás actualizar tus equipos Fortinet.
Recientemente se anunció que el Ransomware Cuba ha comprometido a varias compañías en América Latina. Uno de los métodos de distribución es el correo electrónico con archivos adjuntos que contienen macros maliciosos.
Desde NextVision hemos notado un crecimiento de este ataque en los últimos días, por eso enviamos esta alerta a todos nuestros clientes.
Es FUNDAMENTAL trabajar en una estrategia de seguridad para prevenir y recuperarse ante este tipo de Ransomware.
Servicios Afectados:
• Sistema operativo Windows
Características:
Cuba cifra los documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, música, vídeos, archivos de imágenes, entre otros. Al momento de cifrarlos les agrega la extensión .cuba o FIDEL.CA y crea un archivo de texto con el nombre !!!FAQ for Decryption!!.txt, el cual es una nota de rescate dejada por los atacantes.
En la nota de rescate los atacantes dejan un correo de contacto y advertencia como:
• No cambiar de nombre a los archivos encriptados.
• No tratar de desencriptar los datos usando algún software.
Los atacantes advierten que realizar cualquiera de las dos acciones anteriores puede provocar la pérdida permanente de información comprometida por el Ransomware. Por otro lado, los operadores de esta amenaza afirman que la información de sus víctimas se descarga en sus propios servidores.
Vectores y métodos de infección/propagación:
· Por puertos RDP expuestos y mal configurados/desactualizados
· Malspam – correos de falsas facturaciones
· Malversting – actualizaciones e instalación de software malicioso
· Explotando CVE-2018-8174
Ejemplo de carta de Ransomware
Víctima Nombre: !!FAQ for Decryption!!.txt
MD5: 355cef917441d509c1432aac5ba9e23d Mensaje:
“””
Good day. All your files are encrypted. For decryption contact us.
Write here iracomp4@protonmail.ch [ mailto:iracomp4@protonmail.ch ]
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
“””
¿Qué recomendaciones hacemos desde NextVision?
· Mantener equipos y servidores con las firmas del antivirus actualizadas.
· Segmentar redes con servidores críticos.
· Utilizar contraseñas fuertes y políticas de expiración de ellas.
· Utilizar el principio del menor privilegio.
· Eliminar/Bloquear emails sospechosos.
. Se recomienda bloquear las siguientes direcciones de IP, remitentes y URLs en la soluciones perimetrales de antispam y proxy:
– SMTP Host:
– 212.24.111.24
– 194.135.88.52
– 185.5.54.34
– 195.181.242.207
– 194.135.84.68
– 195.181.244.195
– 212.24.99.29
• Sender:
– apache@2tgp.l.serverhost.name
– apache@2th0.l.serverhost.name
– apache@2tgx.l.serverhost.name
– apache@2tf8.l.serverhost.name
– apache@2sq7.l.serverhost.name
– apache@2tgw.l.serverhost.name
• URLs:
– hxxps://www.ausy.fr
– hxxps://scotiportalenlinea-cl.com
. Programas de Educación y Concientización a empleados: es fundamental que todos los miembros de tu organización conozcan qué es el Ransomware y cómo actúa mientras trabajan y navegan por Internet. Construir una cultura cibersegura es primordial para evitar este tipo de ataques. Conocé más en NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas.
Si su equipo se infecta, ¿cuáles son los pasos debe seguir?:
No hay herramienta de eliminación de Ransomware. Si sus equipos se infectan y sus datos se cifran, siga estos pasos:
1. No pague el rescate.
Si paga el rescate:
• No hay garantía de que el atacante vaya a suministrar un método para desbloquear su equipo o para descifrar sus archivos.
• El atacante usa el dinero del rescate para financiar ataques adicionales contra otros usuarios.
2. Aísle el equipo infectado antes de que el Ransomware pueda atacar las unidades de red a las cuales tiene acceso.
3. Restaure archivos dañados de una copia de seguridad de buena reputación
4. Envíe el software malicioso a NextVision. Si puede identificar el correo electrónico o el archivo ejecutable malicioso, envíelo a nuestro equipo de soporte. Nuestra comunicación directa con los partners proveedores de productos de seguridad permiten crear nuevas firmas y mejorar las defensas contra el Ransomware.
El Ransomware hay que prevenirlo. Te invitamos a descargar y leer nuestro e-book para evitar ser víctima de unataque de Ransomware.
Por cualquier duda o consulta sobre este u otros temas de ciberseguridad, escribinos a info@nextvision.es
Departamento de Tecnología de NextVision
Usamos cookies en nuestro sitio web para brindarle la experiencia más relevante recordando sus preferencias y visitas repetidas. Al hacer clic en "Aceptar", acepta el uso de TODAS las cookies.
Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Esta categoría solo incluye cookies que garantizan funcionalidades básicas y características de seguridad del sitio web. Estas cookies no almacenan ninguna información personal.
Las cookies que pueden no ser particularmente necesarias para que el sitio web funcione y se utilizan específicamente para recopilar datos personales del usuario a través de análisis, anuncios y otros contenidos integrados se denominan cookies no necesarias. Es obligatorio obtener el consentimiento del usuario antes de ejecutar estas cookies en su sitio web.
