PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el

Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea

del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y

la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de

Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades

públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que

pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que

los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las

personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las

áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

Lima, 1 de mayo de 2020

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Contenido Filtran archivos robados de la compañía farmacéutica de los Estados Unidos “ExecuPharm” .................... 3

Supuesta campaña de “bonos solidarios” que se hace pasar por Cáritas .................................................... 4

Alertan de un falso mensaje de la Seguridad Social comunicando sobre un reembolso para robar tu

cuenta ............................................................................................................................................................ 5

Fallo de seguridad en el complemento ninja forms de wordpress ............................................................... 6

Cibercriminales están utilizando Google ReCAPTCHA para ocultar ataques de phishing ............................. 7

Vulnerabilidad en el centro de datos de saltstack salt .................................................................................. 8

Ataque tipo phishing suplantando identidad del Banco Scotiabank ............................................................. 9

Actualización de seguridad para los firewalls de SOPHOS XG .....................................................................10

Troyano bancario grandoreiro.....................................................................................................................11

Vulnerabilidades en extensiones de WordPress .........................................................................................13

Modalidad robo de información (phishing) mediante mensajes de whatsapp ..........................................15

Índice alfabético ..........................................................................................................................................17

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 3 de 17

Componente que reporta PECERT│EQUIPO DE RESPUESTAS ANTE INCIDENTES DE SEGURIDAD DIGITAL NACIONAL

Nombre de la alerta Filtran archivos robados de la compañía farmacéutica de los Estados Unidos “ExecuPharm” Tipo de ataque Divulgación no autorizada de información Abreviatura DivNoActInfoPer

Medios de propagación Medios extraíbles, red e Internet

Código de familia A Código de Sub familia A01

Clasificación temática familia Acceso no autorizado

Descripción

Resumen:

El Equipo de Respuesta ante Incidentes de Seguridad Digital Nacional, informa que la compañía ExecuPharm de los Estados Unidos (EE. UU) sufrió la divulgación no autorizada de información confidencial, el cual fue cifrada y robada el pasado 13 marzo del presente año.

Detalles de la alerta:

ExecuPharm es una compañía de investigación por contrato (CRO, siglas en ingles) que brinda servicios de apoyo a la investigación clínica a empresas de la industria farmacéutica.

La compañía farmacéutica, comunico a través de una carta el día 17 abril del presente año a la oficina del fiscal general de Vermont, donde indica que sufrió un ciberataque producto de un ransomware el día 13 de marzo del presente. Por tal razón, advirtió que es posible que ciberdelincuentes hayan accedido a información privada de sus clientes y también de Parexel (compañía matriz), como el número del Seguro Social, información financiera, licencias de conducir, números de pasaporte y otros datos confidenciales. También se estima que robaron 163 GB de documentos financieros, contables, información de sus empleados, así como copias de seguridad SQL del sistema de gestión de documentos de la compañía.

Después de ocurrido el incidente, la compañía activo sus protocolos de seguridad para evitar futuros ciberataques, incluidos restablecimientos de contraseña forzados, autenticación multifactor para acceso remoto y herramientas de protección, detección y respuesta de punto final.

Por consiguiente, este tipo de incidente, podría ser utilizado por los ciberdelincuentes para el robo de identidad y así poder obtener créditos en los nombres de las víctimas.

Si bien ExecuPharm no mencionó el nombre del tipo o variante de ransomware utilizada para encriptar sus servidores durante el ciberataque, el grupo clop ransomware ha publicado los datos robados después de que la compañía se negara a pagar el rescate.

Cabe resaltar, que la compañía cuenta con más de 18,000 especialistas operativos clínicos globales en su red y es uno de los proveedores privados de servicios de desarrollo clínico más grandes de propiedad privada desde 1994.

Recomendaciones:

Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.

Realizar copias de seguridad de la información periódicamente.

Evitar abrir correos de dudosa procedencia e Informar a su oficial de seguridad o responsable de TI sobre su existencia, con el propósito de reducir el riesgo de ser víctima de un ciberataque.

En caso de que algún equipo este comprometido con algún tipo de ransomware, la recomendación es no pagar el rescate. Si lo hace, no hay garantía de recuperar el acceso a la información.

Fuentes de información Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 4 de 17

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Supuesta campaña de “bonos solidarios” que se hace pasar por Cáritas

Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, Facebook

Código de familia G Código de sub familia G02

Clasificación temática familia Fraude

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar en la red social de WhatsApp un enlace relacionado con bonos solidarios que se atribuye falsamente a la organización católica Cáritas. El mensaje que se comparte por las redes sociales usa además el mismo logo de la organización, creando más confusión.

Contamos con 800.472 ayudas disponibles para que puedas alimentar a tu familia», dice la página web fraudulenta. Mediante el cual, al hacer clic en este enlace engañoso, se llega a una página que pide indicar el nombre completo y la ciudad para poder acceder a una «contribución alimentaria hasta tu hogar». La URL o dirección real en internet oficial de Cáritas es www.caritas.es y no la que difunde.

Se recomienda:

Evitar ingresar a enlaces no confiables.

Verificar la información en páginas oficiales.

No ingresar tus datos en páginas sospechosas.

Tener presente que los ciberdelincuentes están tratando de obtener información personal.

Fuentes de información https://www.newtral.es/cuidado-con-la-supuesta-campana-de-bonos-solidarios-que-se-hace-pasar-por-caritas/20200501/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 5 de 17

Componente que reporta COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS ARMADAS

Nombre de la alerta Alertan de un falso mensaje de la Seguridad Social comunicando sobre un reembolso para robar tu cuenta

Tipo de ataque Phishing Abreviatura Phishing Medios de propagación Redes sociales, Facebook

Código de familia G Código de sub familia G02

Clasificación temática familia Fraude

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se pudo detectar un falso mensaje de la Seguridad Social que avisa de un reembolso de más de 300 euros. A través de esta estafa, los ciberdelincuentes pretenden hacerse con tus datos bancarios incitando a dar clic en un enlace que adjuntan al texto informativo. Las autoridades ya han alertado de que se trata de 'phishing' y recomiendan no hacer clic en el enlace y borrar el mensaje.

Si te ha llegado un mail aparentemente enviado por la Seguridad Social, donde te informan que eres beneficiario de un “reembolso” por varios cientos de euros, se trata de una estafa y no debes ingresar al enlace. El mensaje asegura que “Nuestro sistema de gestión de facturas detecta que tiene derecho a recibir este pago”. Continúa, señalando que “para aceptar pagos rápidos en línea, haga clic en el siguiente enlace y guarde la información de reembolso”.

Además, se da un plazo corto para el cobro, ya que el enlace caduco, transmitiendo una sensación de urgencia para incitar a ingresar al enlace. Este tipo de técnica es común en los casos de 'phishing' para que no te dé tiempo a reaccionar, este nuevo fraude es muy parecido a otros anteriores como timos durante la campaña de la renta, con mensajes de la Agencia Tributaria afirmando que se es beneficiario de una devolución.

Se recomienda:

Evitar ingresar a enlaces no confiables.

Verificar la información en páginas oficiales.

No ingresar tus datos en páginas sospechosas.

Fuentes de información https://elcierredigital.com/images/carpeta_gestor/archivos/2020/04/30/IMG-20200430-WA0049.jpg?r=6

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 6 de 17

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Fallo de seguridad en el complemento ninja forms de wordpress Tipo de ataque Ataque por Injection de scripts maliciosos Abreviatura AinjScmal

Medios de propagación Red, internet, redes sociales

Código de familia L Código de Subfamilia L01

Clasificación temática familia Vandalismo

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información publicada a través de la red social Twitter por el usuario “@cipherstorm”, sobre un nuevo fallo de seguridad en el complemento Ninja Forms de WordPress, que podría usarse para la adquisición del sitio web mediante la creación de nuevas cuentas de administrador, el cual afectaría a las versiones anteriores a la 3.4.24.2.

El complemento Ninja Forms, es un creador de formularios de contacto, arrastrar y soltar para sitios web que se ejecutan en WordPress Content Management System (CMS). Representa a más de un millón de instalaciones activas

Según el investigador de ciberseguridad Ramuel Gall, el error de alta gravedad, emitió un puntaje CVSS de 8.8, es una falsificación de solicitud de sitios cruzados (CSRF) a la vulnerabilidad de scripting de sitios cruzados (XSS) en el sistema de modo "heredado" de Ninja Forms.

Como es típico con los ataques XSS, un script malicioso ejecutado en el navegador de un administrador podría usarse para agregar nuevas cuentas administrativas, lo que llevaría a una toma de control completa del sitio, mientras que un script malicioso ejecutado en el navegador de un visitante podría usarse para redirigir a ese visitante a un malicioso sitio.

Se recomienda:

Descargar la última versión del complemento Ninja Forms (3.4.24.2), desde el sitio web oficial de WordPress.

Fuentes de información https://twitter.com/cipherstorm/status/1256168254025764865 https://www.zdnet.com/article/ninja-forms-wordpress-bug-exposed-over-a-million-users-to-website-hijacking/#ftag=RSSbaffb68

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 7 de 17

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Cibercriminales están utilizando Google ReCAPTCHA para ocultar ataques de phishing Tipo de ataque Robo de Información Abreviatura RobInfo

Medios de propagación Red, Internet, Redes Sociales.

Código de familia k Código de Subfamilia K01

Clasificación temática familia Uso Inapropiado de Recursos

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se ha encontrado información por Hot for Security, sobre ataques de phishing utilizando Google reCAPTCHA.

Los delincuentes están utilizando reCAPTCHA para bloquear el contenido de sus páginas de phishing para que no sean escaneados por los servicios de escaneo de URL. los sistemas automatizados de análisis de URL no pueden acceder al contenido real de la página de phishing y, por lo tanto, no pueden usar ninguna información que contiene al evaluar si es seguro hacer clic en un enlace o no.

El ataque reciente de phishing se hizo pasar por una nueva notificación de correo de voz, que alentó a los destinatarios a abrir un archivo adjunto para escuchar el mensaje de voz que habían perdido.

El archivo adjunto, era un archivo HTML que redirigía a los usuarios a una página web que no contenía más que un reCAPTCHA de Google.

Al completar el reCAPTCHA, los usuarios fueron redirigidos a una página de phishing, que en este caso pretendía ser la página de inicio de sesión genuina de Microsoft, pero diseñada para robar contraseñas.

Se recomienda:

Tener administradores de contraseñas, ya que son una fuerte defensa contra el phishing, un administrador de contraseñas no le pedirá que ingrese sus contraseñas en un dominio que no reconoce, lo que significa que incluso si un sitio de phishing parece una página web genuina, no le ofrecerá ingresar sus credenciales a menos que reconozca la URL en la barra del navegador .

Fuentes de información https://hotforsecurity.bitdefender.com/blog/cybercriminal-are-using-google-recaptcha-to-hide-their-phishing-attacks-23156.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 8 de 17

Componente que reporta CIBERDEFENSA Y TELEMÁTICA DEL EJÉRCITO DEL PERÚ

Nombre de la alerta Vulnerabilidad en el centro de datos de saltstack salt Tipo de ataque Interrupción de servicios tecnológicos Abreviatura IntServTec

Medios de propagación Usb, disco, red, correo, navegación de internet

Código de familia F Código de Subfamilia F02

Clasificación temática familia Disponibilidad del servicio

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se identificó a través de especialistas en seguridad en base de datos de la empresa F-Secure que detectaron una vulnerabilidad “CVE 2020-11651” al centro de datos de Saltstack Salt (es un software de código abierto basado en Python para la automatización de TI basada en eventos).

La vulnerabilidad puede ser explotada por el atacante para esquivar los controles de autenticación empleados por Saltstack Salt, que consisten en un “servidor maestro” y un “servidor minion”, el atacante al explotar estas fallas causa la ejecución de código remoto con privilegios de root en el servidor maestro y comprometiendo los servidores minions activos.

Un atacante podría usar el servidor maestro para obtener una gran capacidad de procesamiento y llevar a cabo una campaña de minado de criptomoneda, también podrían instalar backdoors para acceder a la red comprometida y robar datos confidenciales, así como desplegar ransomware o incluso amenazar a la víctima con revelar información confidencial.

La vulnerabilidad al ser explotada logra obtener un efecto critico al comprometer la información confidencial, lo que produce un impacto en la seguridad, disponibilidad e integridad del sistema de base de datos.

Se recomienda:

Actualizar dicho sistema a la versión más reciente.

Estar en constante monitoreo de los sistemas red, con las plataformas de seguridad perimetral.

Fuentes de información https://www.saltstack.com/vulnerability-management/ https://noticiasseguridad.com/vulnerabilidades/pasar-el-control-total-de-su-centro-de-datos-a-los-hackers-a-traves-de-cve-2020-11651-y-cve-2020-11652/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 9 de 17

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Ataque tipo phishing suplantando identidad del Banco Scotiabank Tipo de ataque Phishing Abreviatura Phishing

Medios de propagación Redes sociales, SMS, correo electrónico

Código de familia G Código de sub familia G02

Clasificación temática familia Fraude

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que ciberdelincuentes siguen aprovechándose del confinamiento social generado por la pandemia Covid-19 (Coronavirus), mediante una campaña de envío de mensajes de correos electrónicos fraudulentos, suplantando la identidad del Banco Scotiabank, indicando que la transferencia de fondos ha sido retenida, por lo que recomienda al usuario hacer clic en “Ir a mi estado de cuenta”. Al ingresar, redirige al usuario al siguiente enlace fraudulento: hxxps://ingresowportal-scotiarbarnk.xyz/, donde le solicitan que ingrese sus datos bancarios.

Por otro lado, se analizó el citado enlace en la página web “Virus Total” donde es catalogado como phishing.

Se recomienda:

Evitar ingresar a enlaces no confiables.

Evitar descargar y abrir archivos de fuentes no confiables.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 10 de 17

Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ

Nombre de la alerta Actualización de seguridad para los firewalls de SOPHOS XG Tipo de ataque Inyección SQL Abreviatura Inyección SQL

Medios de propagación Red, Internet

Código de familia M Código de sub familia M01

Clasificación temática familia Vulnerabilidad.

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se tuvo conocimiento que la empresa Sophos ha solucionado una vulnerabilidad de inyección SQL de día cero (0 day) en sus Firewalls XG.

Se determinó que el incidente era un ataque contra XG Firewall que afectó a los sistemas configurados con la administración (servicio HTTPS) o el portal del usuario expuesto en la zona WAN (red de área amplia).

Este ataque utilizó una vulnerabilidad de inyección SQL de día cero desconocidas, dependiendo de la configuración del firewall podría haber permitido a los atacantes robar datos, nombres de usuarios, hash de contraseñas para los administradores de dispositivos locales, administradores del portal y cuentas de usuarios utilizadas para acceso remoto.

Se recomienda:

Restablecer las cuentas de administrador del portal y administrador del dispositivo.

Reiniciar los dispositivos XG.

Restablecer contraseñas para todas las cuentas de usuarios locales.

Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas.

Fuentes de información Comandancia de Ciberdefensa de la Marina.

Interfaz de administración SOPHOS XG Firewall mostrando las alertas.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 11 de 17

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Troyano bancario grandoreiro Tipo de ataque Troyanos Abreviatura Troyanos

Medios de propagación USB, disco, red, correo, navegación de internet

Código de familia C Código de Subfamilia C01

Clasificación temática familia Código malicioso

Descripción

El 30 de abril de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web de ESET (compañía de seguridad informática), alerta sobre la existencia del malware grandoreiro un troyano bancario latinoamericano dirigido a Brasil, México, España y Perú.

La familia de malware Grandoreiro es el más reciente troyano bancario latinoamericano analizado por ESET. La cadena de infección comienza con un correo electrónico generado por una herramienta de spam personalizada que aprovecha el SDK de EASendMail (permite que las aplicaciones de .NET Framework envíen mensajes de texto / html basados en el protocolo SMTP / ESMTP), Los correos electrónicos contienen un enlace que, en la mayoría de los casos, dirige a los usuarios a una página web de actualización de Flash o Java falsa.

Imágenes:

Al ejecutar la carga útil de Grandoreiro que contiene. El malware de grandoreiro es capaz de manipular ventanas, capturar pulsaciones de teclas, robar las credenciales del navegador y más. Un algoritmo de generación de dominio (DGA) se utiliza para determinar la dirección C2, que está alojada en Google Sites. Una característica interesante de la comunicación C2 es que la primera respuesta del servidor remoto es una lista de otras víctimas e información del sistema asociado.

Indicadores de Compromiso:

SHA1:

hxxps://exchange.xforce.ibmcloud.com/malware/bced5d138aceada1ef11bfd22c2d6359cda183db

hxxps://exchange.xforce.ibmcloud.com/malware/42892df64f00f4c091e1c02f74c2bb8bad131fc5

hxxps://exchange.xforce.ibmcloud.com/malware/7905db9bbe2cb29519a5371b175551c6612255ef

hxxps://exchange.xforce.ibmcloud.com/malware/28d58402393b6bca73ff0eac319226233181edc9

hxxps://exchange.xforce.ibmcloud.com/malware/7c2ed8b4aa65befcc229a36ce50539e9d6a70ee3

hxxps://exchange.xforce.ibmcloud.com/malware/40fbc932bd45feb3d2409b3a4c7029ddde881389

hxxps://exchange.xforce.ibmcloud.com/malware/27a434d2ef4d1d021f283bcb93c6c7e50acb8ea6

hxxps://exchange.xforce.ibmcloud.com/malware/bd88a809b05168d6efdba4dc149653b0e1e1e448

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Diagrama de cómo actúa el Malware:

Mapa de calor que muestra las detecciones de grandoreiro

Grandoreiro, como cualquier otro troyano bancario latinoamericano, emplea la funcionalidad de puerta trasera, siendo capaz de:

Manipular ventanas

Capturar pulsaciones de teclas

Simular acciones de mouse y teclado

Dirigir el navegador de la víctima a una URL elegida

Desconecta a la víctima reiniciando la máquina

Bloquea el acceso a los sitios web elegidos.

Algunas Recomendaciones:

Asegúrese de que el software antivirus y los archivos asociados estén actualizados.

Busque signos existentes de los IOC indicados en su entorno.

Bloquee todos los IoC basados en URL e IP en el firewall, IDS, puertas de enlace web, enrutadores u otros dispositivos basados en el perímetro.

Mantenga las aplicaciones y los sistemas operativos en ejecución en el nivel de parche lanzado actual.

Siempre sospeche de correos electrónicos no solicitados.

Fuentes de información hxxps://www.welivesecurity.com/2020/04/28/grandoreiro-how-engorged-can-exe-get/

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 13 de 17

Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ

Nombre de la alerta Vulnerabilidades en extensiones de WordPress Tipo de ataque Explotación de vulnerabilidades conocidas Abreviatura EVC

Medios de propagación Red, Internet

Código de familia H Código de Subfamilia H01

Clasificación temática familia Intento de intrusión

Descripción

El 01 de mayo de 2020, a través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web Hispace (empresa de ciberseguridad), se informa sobre tres (03) vulnerabilidades encontradas en extensiones educativas de WordPress.

Las extensiones en cuestión son: LearnPress (la más popular del CMS), LearnDash y LifterLMS son empleadas por más de 100.000 sitios web. Sólo la primera cuenta con 80.000 instalaciones y es usada por 21.000 instituciones.

LearnPress. - Plugin que permite generar cursos y lecciones a medida con pruebas de nivel que permiten a los estudiantes ir avanzando niveles en el plan de estudios, se han encontrados dos vulnerabilidades, siendo la primera una inyección SQL basada en tiempo (CVE-2020-6010) y una segunda que permite a cualquier usuario adquirir los permisos de profesor (CVE-2020-11511).

o (CVE-2020-6010) Análisis en Proceso.

o CVE-2020-11511

o Vectores: / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: L / A: L / E: P / RL: O / RC: C

Detalles de la Vulnerabilidad:

Vector de ataque Red

Complejidad de ataque Bajo

Privilegio requeridos Ninguno

Interacción de Usuario Ninguno

Alance Bajo

Impacto de Confidencialidad

Alto

Impacto de Disponibilidad

Bajo

Impacto de Integridad Bajo

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

LeanDash. - Este plugin proporciona las herramientas necesarias para suministrar contenido, comercializar cursos, recompensar a los alumnos o poner en marcha actividades, se ha encontrado una vulnerabilidad crítica de tipo SQL-Injection sin necesidad de autenticación (CVE-2020-6009). No obstante, su explotación resulta bastante compleja, al realizarse durante una transacción de Paypal.

o Análisis:

o CVE-202-6009

o Vectores: AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H

LifterLMS. - Proporciona ejemplos de cursos y test de nivel, así como certificados y una página web totalmente

configurada, se ha encontrado una vulnerabilidad de escritura arbitraria de ficheros (CVE-2020-6008). El fallo se encuentra en la exportación a csv, de la cual puede cambiarse la extensión a usar, a otra como por ejemplo ‘.php’. Un alumno podría cambiar sus datos personales, como su nombre o apellidos (por ejemplo ‘BOBBY <?php phpinfo(); /*’) para ejecutar código PHP en el servidor.

Análisis:

CVE-2020-6008

Vectores: CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: H / I: H / A: H

Versiones Vulnerables:

LearnPress es vulnerable hasta la versión 3.2.6.7 (incluida)

LearnDash es vulnerable en anteriores a la versión 3.1.6

LifterLMS es vulnerable en anteriores a la versión 3.37.15

Algunas Recomendaciones

En caso de tener instalada alguna de estas extensiones se recomienda actualizar lo antes posible a la última versión disponible

Fuentes de información https://unaaldia.hispasec.com/2020/04/encontradas-vulnerabilidades-en-3-populares-extensiones-educativas-de-wordpress.html

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

ALERTA INTEGRADA DE

SEGURIDAD DIGITAL N° 027

Fecha: 01-05-2020

Página: 15 de 17

Componente que reporta DIVISIÓN DE INVESTIGACIÓN DE ALTA TECNOLOGÍA DE LA PNP - (DIVINDAT)

Nombre de la alerta Modalidad robo de información (phishing) mediante mensajes de whatsapp Tipo de ataque Robo de información Abreviatura Robinfo

Medios de propagación Mensajes

Código de familia K Código de Subfamilia K01

Clasificación temática familia Uso inapropiado de recursos

Descripción

El 01 de mayo de 2020, a través de la patrulla virtual se logró detectar una campaña de mensajes de texto (WhatsApp) donde hacen referencia a que el Supermercado Plaza Vea estaría regalando un cupón por un monto de $ 500, supuestamente por celebrar sus 27 años de aniversario, invitando al usuario a ingresar al link “hxxps://bit.ly/Plazavea-27-Aniversario”

Al ingresar al link, el usuario es redireccionado hacia la página web hxxp://www.plazavea.com.pe.coupon-asx.com/plaza/?delta#, donde solicita absolver una encuesta, para luego obligar al usuario a compartir el link a sus contactos de WhatsApp, de esta manera no romper la cadena.

Se realizó el análisis de la URL con la herramienta online Virus Total, observando que 1 de 73 antivirus lo reconocen como página falsa o maliciosa.

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

4. El dominio, se fue adquirido el 20MAR2020, alojado en la empresa Internet Domain Service BS.

Como acciones de prevención a fin de evitar víctimas, se reportó la URL a las empresas Domain Service BS y a Google Inc con la finalidad de ser bloqueado como página web maliciosa.

Se recomienda lo siguiente:

Evitar hacer clic en enlaces contenidos en los mensajes de WhatsApp, por razones que no provienen del Banco.

Ninguna página web requiere que el usuario actualice sus datos personales.

Mantener los equipos protegidos, con el software actualizado.

Fuentes de información Equipo de CiberPatrullaje - DIVINDAT

PECERT │Equipo de Respuestas ante Incidentes de Seguridad Digital Nacional

www.gob.pe

pecert@pcm.gob.pe

Página: 17 de 17

Índice alfabético

Ataque por Injection de scripts maliciosos, 6 Explotación de vulnerabilidades conocidas, 13 hxxp, 15 Interrupción de servicios tecnológicos, 8 Inyección SQL, 10 Malware, 12 Phishing, 4, 5, 7, 9 Red, internet, 6 Red, internet, redes sociales, 6 Redes sociales, 4, 5, 9 Robo de información, 15 Troyanos, 11 USB, disco, red, correo, navegación de internet, 11 Vulnerabilidad, 8, 10, 13 Vulnerabilidades, 13