Actualización de seguridad para WordPress

Fecha de publicación: 06/03/2017

Descripción: Tres de las vulnerabilidades corregidas podrían permitir la realización de ataques de Cross-Site Scripting (XSS) a través de metadatos de archivos de medios, a través de la URL del vídeo en incrustados de YouTube o a través de nombres de términos de taxonomías. Un Cross-site request forgery (CSRF) en Publicar Esto, que lleva a un consumo excesivo de recursos del servidor.

Por otra parte, los caracteres de control pueden engañar a la validación de redirección de la URL y un último problema que podría dar lugar a que administradores borren archivos sin querer al usar la funcionalidad de borrado de plugins.

Además está versión contiene la corrección de otros 39 fallos (desde la versión 4.7.2) no relacionados directamente con problemas de seguridad.

Recursos afectados: Todas las versiones de WordPress 4.7.2 y anteriores están afectadas

Solución: Se recomienda la actualización de los sistemas a la versión 4.7.3 disponible desde: https://wordpress.org/download/

O bien desde el escritorio de WordPress, Actualizaciones (Updates), Actualizar Ahora (Update Now). Los sitios que soporten actualizaciones automáticas ya han iniciado la actualización a WordPress 4.7.3.

Vulnerabilidad crítica en Apache Struts

Fecha de publicación: 10/03/2017

Descripción: una vulnerabilidad en el proyecto Apache Struts que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados. El problema se agrava por la existencia de una bprueba de concepto pública que se está aprovechando en ataques de forma activa.

En esta ocasión ha sido el equipo de Cisco Talos el que ha alertado de la existencia de ataques aprovechando esta vulnerabilidad de forma activa. El problema, considerado de gravedad alta (con CVE-2017-5638), es una ejecución remota de código que afecta al analizador Jakarta Multipart de Apache Struts. Si el valor de Content-Type no es válido se genera una excepción que se utiliza para mostrar un mensaje de error a un usuario, de esta forma el atacante puede modificar la cabecera Content-Header para inyectar comandos de sistema operativo en el servidor.

Se confirma la posibilidad de ejecución de comandos simples (como, whoami) de forma sencilla, pero también se pueden ejecutar comandos más sofisticados, incluyendo el despliegue de un ELF malicioso y su ejecución.

Recursos afectados: analizador Jakarta Multipart de Apache Struts

Solución: La forma más sencilla para evitar las vulnerabilidades es actualizar a Apache Struts versiones 2.3.32 o 2.5.10.1; disponibles desde: http://struts.apache.org/download.html#struts-ga

10 Maneras interesantes de observar ciberataques en tiempo real a nivel mundial

Resulta interesante poder observar quién está iniciando un ataque cibernético a nivel mundial. Hoy en día, existen distintos mapas que muestran ciberataques permitiendo visualizar en tiempo real, todo tipo de ataques informáticos que se están llevando a cabo, estos detallan los países de donde provienen logrando así identificar quiénes son “los malos”de esta guerra y cuáles son sus objetivos.

En este sentido, miles de sitios web son hackeados todos los días, esto se debe a vulnerablidades en los archivos, plugins, errores de configuración en los servidores entre otros. La mayoría de estos sistemas de visualización indican el origen y el destino de los ataques, detallando el tipo de ataque, la dirección IP y la geolocalizacion.

Por ende, a continuación se podrá encontrar algunas opciones para la visualización de los mismos:

1. Norse Map

2. Digital Attack Map

3. FireEye Cyber Threat Map

4. SUCURI

5. Wordfence

6. Cyberthreat Real-Time Map – Kaspersky

7. Threat Cloud

8. Trend Micro

9. AKAMAI

10. Sicherheitstacho

1. Norse Map

Es una herramienta desarrollada por la compañía Norse, muestra los orígenes de los ataques, los tipos de ataque, el objetivo del ataque, el IP del atacante, el geolocalización del atacante y los puertos. Puede filtrar el mapa siguiendo la geolocalización y los protocolos.

 1

Norse mantienen la red inteligente de amenazas más grande del mundo con más de 8 millones de sensores en más de 6000 aplicaciones.

Por geolocalización:

  • Global (predeterminado).

  • El sudeste de Asia.

  • Asia Occidental.

  • America latina.

  • Europa.

  • EE.UU. y China.

Por protocolos:

  • Telnet.

  • Netis.

  • RFB (Remote framebuffer).

  • Microsoft-DS.

  • HTTP.

  • MS WBT.

  • sorbo.

  • SSH.

  • Sistema de archivos XSAN.

2. Digital Attack Map

Digital Attack Map, es un servicio en tiempo real que muestra ataques de denegacion de servicio (DdoS) que ocurren diariamente en todo el mundo, es desarrollado por Arbor Networks. Puede filtrar el mapa con varias opciones.

Por tamaño de ataques:

  • Grande.

  • Raro.

  • Conjunto.

Por tipo de ataque:

  • Conexión TCP (conexiones de llenado).

  • Volumétrico (ancho de banda alimenticio).

  • Fragmentación (piezas de paquetes).

  • Solicitud.

  • Número de puerto de origen y destino.

  • Duración.

2

Los Ataques de Denegacion de Servicio (DdoS) son peligrosos ya que pueden dejar de forma inaccecible a un determinado recurso (generalmente un servidor web). Más de 2000 ataques DDoS están siendo observados a diario por Arbor Networks.

3. FireEye Cyber Threat Map

Desarollado por FireEye, el mapa FireEye Cyber Threat Map brinda un buen resumen de los ataques totales que ocurren en el momento con los siguientes datos.

  • Top 5 industrias reportadas.

  • Top atacante por país.

No es tan detallado como dos anteriores, pero sigue siendo útil si sólo está buscando datos en la industria y el país sabio.

3

4. SUCURI

SUCURI es una herramienta que muestra datos sobre los ataques de fuerza bruta de WordPress. Estos datos no son en tiempo real, sino actualizados diariamente.

La visualización se divide en cuatro secciones

A. Error global de inicio de sesión todos los días.

4.1

B. Origen de los Ataques por País.

4.2

C. Origen de los ataques de la ASN (Número de Sistema Autónomo).

4.3

D. Ataques por Hora.

4.4

En promedio, más de 1 millón de ataques están dirigidos a WordPress usando técnicas de fuerza bruta.

5. WordFence

Wordfence es uno de los populares plugins de seguridad de WordPress con más de 1 millón de activos instalados. Wordfence muestra en su portal web los ataques en tiempo real bloqueandolos por su complemento en los sitios web de WordPress.

5

6. Kaspersky

Cyberthreat Real-Time Map de Kaspersky, muestra el ataque en tiempo real detectado por diferentes sistemas de origen.

  • Escaner a accesos.

  • Escáner a pedido.

  • Antivirus de la Web.

  • Antivirus de correo.

  • Sistema de detección de intrusos.

  • Análisis de vulnerabilidades.

  • Kaspersky Anti-spam.

  • Detección de actividad Botnet.

Se pueden obtener datos en formatos de tabla en la página de estadísticas.

6

7. Threat Cloud

Threat Cloud, desarrollado por la empresa Check Point, muestra los datos de los ataques en tiempo real. Posee un Top de los países victimas y un top para los países atacados. También, una opción para ver los principales países de destino y de origen.

7

8. Trend Micro

El mapa de actividad de amenazas por bots realizado por Trend Micro muestra la actividad de la red maliciosa supervisada para identificar servidores de comando y control.

8

9. AKAMAI

El monitor web en tiempo real de AKAMAI muestra la visión general del tráfico de red y ataques que puede filtrar por regiones.

9

10. Sicherheitstacho.eu

Desarrollado por Deutsche Telekom, Sicherheitstacho.eu (Medidor de Seguridad), es un mapa interativo que permite detectar los ataques ciberneticos en tiempo real gracias al uso de sensores los cuales son operados por esta compañía y sus asociados. Este portal muestra:

  • Los ataques a la red de sensores (honeypots) mostrando graficamente el tiempo exacto, origen y destino.

  • Los países codificados por colores en función del número de ataques que se llevaron a cabo.

  • Top 15 de los países de origen de los ataques del mes anterior.

  • Graficas donde muestran las contraseñas mas comunes utilizadas en los ataques contra los sistemas Trampa.

  • Grafica que muestra la suma de atacantes distribuidos en cada mes.

  • Ataques totales al mes

10