Brecha de seguridad en Citrix expone 6 TB de datos confidenciales

Durante el mes de Marzo, el FBI ha confirmado que los sistemas de Citrix han sido vulnerados por ataques de origen Iraní, siendo expuestos más de 6 Terabytes de información de diferentes clientes.

Citrix Systems, comúnmente llamada Citrix, es una compañía multinacional que se encarga de ofrecer servicios relacionados con la virtualización de servidores, almacenamiento en la nube y conexiones de red creada en el año 1989 a quien presta servicio a más de 230.000 compañías en todo el mundo.

Según informan desde la compañía, se han tomado medidas para contener este incidente y cooperar con la investigación llevada a cabo por el FBI.

Desde la agencia, se menciona que no existen evidencias de ataque, por lo que se presume que utilizaron un tipo de ataque conocido como Password Spraying, que consiste en la utilización de un ataque contrario a lo que se conoce como fuerza bruta, accediendo a un gran número de cuentas (nombres de usuario) con contraseñas de uso común (los ataques tradicionales de fuerza bruta intentan obtener acceso no autorizado a una sola cuenta adivinando la contraseña). Una vez que lograron un punto de apoyo con acceso limitado, trabajaron para vulnerar capas adicionales de seguridad.

Entre los clientes de Citrix se encuentran reconocidas empresas como Walmart, Apple, Amazon y Deutsche Bank. Según números descriptos en la plataforma Shodan, existen cerca de 3100 máquinas de servicios virtuales ubicadas en diferentes países, encontrándose en el segundo puesto España con 161 y detrás de los Estados Unidos con 1403.

Recordamos que siempre pueden hacer uso de la plataforma desarrollada por Troy Hunt, Have I Been Pwned (https://haveibeenpwned.com), para verificar si sus cuentas han sido vulneradas en el último tiempo.

Empleado de Redbanc víctima de ingeniería social en LinkedIn

Redbanc es una empresa de Chile que presta servicios de procesamiento de transacciones a los principales bancos de ese país, cumpliendo un rol sumamente importante en el sector económico.

Durante los últimos meses, se ha revelado que un trabajador del sector informático de la compañía fue víctima de un ataque de ingeniería social al recibir una propuesta laboral a través de la red social LinkedIn.

Esta información llegó a las manos del senador Felipe Harbour quien le ha reclamado un comunicado oficial a la empresa mediante Twitter.

“Me informan que a fines de diciembre @redbanc sufrió ataque informático a su red de interconexión bancaria. Sería bueno que la empresa transparentara magnitud, riesgos y medidas de control de tal ataque.” – Felipe Harboe (@felipeharboe) 8 de enero de 2019

Los atacantes simularon ser reclutadores que buscaban talentos para desempeñarse como desarrolladores. Una vez que la víctima se puso en contacto con ellos, pactaron una video-llamada vía Skype. Durante la reunión, los atacantes le enviaron un archivo denominado ‘ApplicationPDF.exe’ el cual la victima debía completar para finalizar la postulación. Esto último término ocurriendo, dentro de la red corporativa.

De no ser por los sistemas de seguridad implementados por la compañía, los atacantes hubieran podido acceder a la red interna y perjudicar a la entidad de múltiples maneras. Robo de información de clientes (PII), robo de información de tarjetas de crédito (PCI), denegación de servicio, deterioro de la imagen corporativa, pudieron ser algunas consecuencias si este ataque se realizaba con éxito.

 

¿Cómo es posible que los propios empleados de IT caigan en esta trampa?

Los cibercriminales utilizando una forma de ingeniería social conocida como phishing, que en este caso involucra un engaño por medio de acciones en redes sociales los cuales son difíciles de detectar para cualquier persona. Este tipo de ataques no requieren de grandes conocimientos técnicos (no se lleva a cabo un penetration test, al menos en la primera etapa).

Por más de que el empleado se desempeñe en el área de IT, tiene las mismas necesidades y debilidades que cualquier persona (aspiraciones, actuar con confianza, etc.). Se requiere de un clima de concientización en seguridad a nivel corporativo para disminuir la probabilidad de ocurrencia ante esta amenaza.

Vulnerabilidad en plugin de WordPress permite control de sitio web

Se ha detectado una falla en un plugin de WordPress a la hora de incrustar botones para redes sociales, ocasionando ataques a diversos sitios web.

Los plugins son bloques de código que se utilizan como herramientas dentro de la plataforma de WordPress para ampliar su funcionamiento y capacidad, tal como los famosos complementos en navegadores como Chrome.

Recientemente, se relevó una vulnerabilidad en un plugin que permite agregar botones que funcionan como redireccionadores a redes sociales.

El nombre del plugin es “Simple Social Media Share Buttons” (by WpBrigade). La falla de seguridad fue encontrada por WebArx, viéndose afectadas las versiones desde la 2.0.4 hasta la 2.0.21. Posee más de 40.000 instalaciones de manera activa por lo que los propietarios de estos sitios web deberán actualizar este plugin a la versión 2.0.22, la cual ya se encuentra disponible.

Exponen más de 772 millones de cuentas de correo.

Recientemente, se ha publicado en internet una extensa colección de direcciones de correo y contraseñas denominada como Collection #1. Su nombre hace referencia a los más de 87GB de información que posee, con un total de 2,692,818,238 filas.

Esta colección es una recopilación de todas las credenciales que han sido reveladas en los últimos tiempos a causa de brechas de seguridad que los atacantes han logrado explotar en varias plataformas web (Adobe, LinkedIn, Dropbox y un centenar de sitios más).

El especialista en ciberseguridad Troy Hunt, quien dirige de hace tiempo el sitio Have I Been Pwned (https://haveibeenpwned.com), ha logrado descargar esta colección durante el breve tiempo que estuvo alojada en MEGA. Troy, luego de una exhaustiva depuración, logró añadir estos datos en su sitio a fin de que cualquier persona tenga la posibilidad de consultar si su dirección de correo electrónico se encuentra en este listado.

¿Cómo funciona?

Simplemente se debe ingresar la cuenta de correo a consultar.

El sitio también te brinda la posibilidad de conocer cuáles fueron las plataformas que han sido vulneradas y mediante la cual ha sido posible extraer la información de tu cuenta.

Recomendaciones:

  • Cambie la contraseña de todas las plataformas que usted considere importante.
  • No utilice contraseñas similares a las anteriores ni siga algún tipo patrón (por ejemplo, si su contraseña es Password190, no utilice Password191).
  • Utilice doble factor de autenticación cada vez que sea posible.