Import users from CSV with meta <= 1.12 – Import Cross-Site Scripting (XSS)
More info:
https://wpvulndb.com/vulnerabilities/9176
WordPress <= 5.0 – File Upload to XSS on Apache Web Servers
More info:
https://wpvulndb.com/vulnerabilities/9175
WordPress <= 5.0 – File Upload to XSS on Apache Web Servers
More info:
https://wpvulndb.com/vulnerabilities/9175
Baggage Freight Shipping Australia 0.1.0 – Unauthenticated Arbitrary File Upload
More info:
https://wpvulndb.com/vulnerabilities/9190
Baggage Freight Shipping Australia 0.1.0 – Unauthenticated Arbitrary File Upload
More info:
https://wpvulndb.com/vulnerabilities/9190
La policía ucraniana arresta a 6 hackers relacionados con DDoS y ataques financieros
La policía ucraniana ha arrestado esta semana a dos grupos de hackers implicados en la realización de ataques DDoS contra agencias de noticias y en el robo de dinero a ciudadanos ucranianos, respectivamente.
Según las autoridades, y tal y como recoge el medio The Hacker News, cuatro presuntos hackers que detuvieron la semana pasada (con edades comprendidas entre los 26 y los 30 años), robaron más de 5 millones de jrivnia (unos 178.380 USD) de las cuentas bancarias de los ciudadanos ucranianos.
Los sospechosos llevaron a cabo sus ataques escaneando ordenadores vulnerables en Internet e infectándolos con un malware troyano personalizado para tener un control remoto completo de los sistemas.
CCN-CERT (17/01/2019)
Un defecto en el sistema de reserva de vuelos afecta a clientes de 141 aerolíneas de todo el mundo
Casi la mitad de los vuelos del mundo fueron expuestos a una vulnerabilidad de seguridad crítica descubierta en el sistema de reserva de billetes de avión en línea. Noam Rotem, investigador israelí de seguridad de redes, descubrió la vulnerabilidad, que permitía a los hackers acceder en remoto y modificar sus detalles de viaje, mientras reservaba un vuelo en la aerolínea israelí ELAL.
La vulnerabilidad residía en el sistema de reservas de vuelos en línea, ampliamente utilizado, desarrollado por Amadeus, que actualmente utilizan cerca de 141 aerolíneas internacionales. Después de reservar un vuelo, el viajero recibe un número de PNR y un enlace único que permite a los clientes comprobar el estado de su reserva y la información relacionada con ese PNR.
Según informa The Hacker News, Rotem descubrió que, simplemente cambiando el valor del parámetro "RULE_SOURCE_1_ID" en ese enlace al número PNR de otra persona, se mostraba información personal y relacionada con la reserva de la cuenta asociada con ese cliente.
Utilizando la información revelada, es decir, la identificación de la reserva y el apellido del cliente, un atacante puede simplemente acceder a la cuenta de la víctima en el portal del cliente y "hacer cambios, reclamar millas de viajero frecuente a una cuenta personal, asignar asientos y comidas, y actualizar el correo electrónico y el número de teléfono del cliente, lo que podría utilizarse para cancelar/cambiar la reserva de vuelos a través del servicio de atención al cliente".
The Hacker News (16/01/2019)
La mayoría de ciudadanos no cree que sus países puedan afrontar ciberataques
Los ciudadanos por lo general no se sienten plenamente convencidos de que sus gobiernos estén preparados para protegerse ante posibles ciberataques, según un estudio publicado el pasado 9 de enero por el Centro de Investigación Pew que mostró resultados muy diferentes para cada uno de los 26 países analizados.
Mientras el ritmo y la magnitud de los ataques aumentan en todo el mundo, la encuesta mostró que en numerosos países sus habitantes creen que los datos gestionados por el gobierno, la infraestructura informática y los resultados de futuras elecciones serán el blanco de próximos ataques informáticos.
El porcentaje de ciudadanos que considera que sus gobiernos sabrían afrontar una gran amenaza cibernética apenas llega a la mitad del conjunto (47 %) de estados examinados, pero la percepción varía enormemente entre ellos.
Más del 70 % de los israelíes (73 %) y el 67 % de los rusos aseguraron que están listos para afrontar un incidente de gran magnitud.
En cambio, menos de uno de cada cinco brasileños (16 %) y argentinos (9 %) afirmaron lo mismo.
Para el 53 % de los estadounidenses su administración sabría defenderse ante un ataque cibernético, aunque en gran parte de las economías más importantes del planeta, como Alemania (52 %) y Japón (52%), la mayoría de los habitantes no se sienten protegidos ante una situación de vulnerabilidad informática.
Los europeos son, de media, los que menos confían en su capacidad para defenderse informáticamente, con sólo el 43 % de los encuestados que lo hace, un dato menor que el de Estados Unidos (53 %), Canadá (52 %) y países asiáticos o africanos como Indonesia (64 %), Filipinas (58 %) y Túnez (56 %).
La percepción pesimista en Europa contrasta con la de tres países subsaharianos en los que más de la mitad de sus ciudadanos se sienten protegidos informáticamente: Kenia (56 %), Nigeria (52 %) y Sudáfrica (50 %).
En muchos casos, argumenta Pew, la percepción sobre asuntos de ciberseguridad entre los habitantes varía según su apoyo al partido o líder en el gobierno.
Por ejemplo, el 61 % de los votantes republicanos en Estados Unidos, afines al actual presidente, Donald Trump, confía en la capacidad del país para afrontar un ataque, mientras que la opinión positiva se reduce hasta el 47 % entre los votantes de la oposición demócrata.
Al prestar atención a edades, la preocupación por la seguridad informática aumenta entre los habitantes mayor edad, señaló el informe.
Por otra parte, atendiendo a posibles escenarios lo que más preocupa a los ciudadanos de todos los países estudiados es que los agresores accedan a información sensible para la seguridad nacional (71 %) y dañen su infraestructura pública (69 %).
En tercer lugar, el 62 % de los ciudadanos ven "posible" que un ciberataque afecte a unas futuras elecciones de su país. EFE.
International Publics Brace for Cyberattacks on Elections, Infrastructure, National Security
La Vanguardia (11/01/2019)
La mayoría de ciudadanos no cree que sus países puedan afrontar ciberataques
Los ciudadanos por lo general no se sienten plenamente convencidos de que sus gobiernos estén preparados para protegerse ante posibles ciberataques, según un estudio publicado el pasado 9 de enero por el Centro de Investigación Pew que mostró resultados muy diferentes para cada uno de los 26 países analizados.
Mientras el ritmo y la magnitud de los ataques aumentan en todo el mundo, la encuesta mostró que en numerosos países sus habitantes creen que los datos gestionados por el gobierno, la infraestructura informática y los resultados de futuras elecciones serán el blanco de próximos ataques informáticos.
El porcentaje de ciudadanos que considera que sus gobiernos sabrían afrontar una gran amenaza cibernética apenas llega a la mitad del conjunto (47 %) de estados examinados, pero la percepción varía enormemente entre ellos.
Más del 70 % de los israelíes (73 %) y el 67 % de los rusos aseguraron que están listos para afrontar un incidente de gran magnitud.
En cambio, menos de uno de cada cinco brasileños (16 %) y argentinos (9 %) afirmaron lo mismo.
Para el 53 % de los estadounidenses su administración sabría defenderse ante un ataque cibernético, aunque en gran parte de las economías más importantes del planeta, como Alemania (52 %) y Japón (52%), la mayoría de los habitantes no se sienten protegidos ante una situación de vulnerabilidad informática.
Los europeos son, de media, los que menos confían en su capacidad para defenderse informáticamente, con sólo el 43 % de los encuestados que lo hace, un dato menor que el de Estados Unidos (53 %), Canadá (52 %) y países asiáticos o africanos como Indonesia (64 %), Filipinas (58 %) y Túnez (56 %).
La percepción pesimista en Europa contrasta con la de tres países subsaharianos en los que más de la mitad de sus ciudadanos se sienten protegidos informáticamente: Kenia (56 %), Nigeria (52 %) y Sudáfrica (50 %).
En muchos casos, argumenta Pew, la percepción sobre asuntos de ciberseguridad entre los habitantes varía según su apoyo al partido o líder en el gobierno.
Por ejemplo, el 61 % de los votantes republicanos en Estados Unidos, afines al actual presidente, Donald Trump, confía en la capacidad del país para afrontar un ataque, mientras que la opinión positiva se reduce hasta el 47 % entre los votantes de la oposición demócrata.
Al prestar atención a edades, la preocupación por la seguridad informática aumenta entre los habitantes mayor edad, señaló el informe.
Por otra parte, atendiendo a posibles escenarios lo que más preocupa a los ciudadanos de todos los países estudiados es que los agresores accedan a información sensible para la seguridad nacional (71 %) y dañen su infraestructura pública (69 %).
En tercer lugar, el 62 % de los ciudadanos ven "posible" que un ciberataque afecte a unas futuras elecciones de su país. EFE.
International Publics Brace for Cyberattacks on Elections, Infrastructure, National Security
La Vanguardia (11/01/2019)
Reunión del Consejo Nacional de Ciberseguridad
El Consejo de Ciberseguridad Nacional, presidido por el Secretario de Estado Director del Centro Nacional de Inteligencia, General D. Félix Sanz Roldán y cuya vicepresidencia la ocupa el Director del Departamento de Seguridad Nacional de la Presidencia del Gobierno, se reunió ayer, 9 de enero, en el Departamento de Seguridad Nacional y contó con la presencia de todos los Departamentos Ministeriales y organismos con responsabilidades y recursos en materia de ciberseguridad a nivel estatal.
La agenda
La reunión, se ha centrado en los temas que se trataran en la próxima reunión del Consejo de Seguridad Nacional, previsto para este mes de Enero. Entre ellos destacar: Informe sobre los avances realizados en la elaboración de la Estrategia de Ciberseguridad Nacional 2019; la aprobación de la guía nacional única de notificación de incidentes de ciberseguridad y la evaluación del proyecto de creación del Centro de Operaciones de Seguridad (SOC) de la AGE.
Sobre la elaboración de la Estrategia de Ciberseguridad Nacional 2019, recordar que según lo establecido en el artículo 21 de la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional relativo a las Funciones y composición del Consejo de Seguridad Nacional, le corresponde a este promover e impulsar la elaboración de las estrategias de segundo nivel que sean necesarias y proceder, en su caso, a su aprobación, así como a sus revisiones periódicas.
En esta línea, el Consejo de Seguridad Nacional en su reunión del 16 de julio aprobó el Acuerdo para la elaboración de una nueva Estrategia de Ciberseguridad Nacional. La Orden PCI/870/2018[1], de 3 de agosto, recoge el procedimiento y las directrices para la elaboración de la Estrategia.
El mecanismo de elaboración lo encuadra en el Consejo Nacional de Ciberseguridad, del que depende un Comité técnico, integrado por representantes de la Administración y un Comité de expertos independientes compuesto por representantes de los sectores públicos y privado y de la sociedad civil. El Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno dirigirá y coordinará el trabajo del Comité técnico y del Comité de expertos independientes.
Sobre la aprobación de la guía nacional única de notificación de incidentes de ciberseguridad durante el proceso de trasposición de la Directiva NIS y como consecuencia de la misma, se propuso realizar una guía única de notificación y gestión de ciberincidentes. Su elaboración ha sido coordinada por el Centro Nacional de protección de Infraestructuras y Ciberseguridad (CNPIC) del Ministerio del Interior y en ella han participado el Centro Criptológico Nacional, el Instituto Nacional de Ciberseguridad (INCIBE) y el Mando Conjunto de Ciberdefensa. La guía es fruto de las actuales guías 817 del Esquema Nacional de Seguridad, Notificación de incidentes de INCIBE y Notificación de incidentes del CNPIC.
Otro asunto importante tratado ha sido la evaluación de la situación del proyecto de creación del Centro de Operaciones de Seguridad (SOC) de la AGE, así como informe sobre el Convenio en materia de ciberseguridad entre el Ministerio de Política Territorial y Función Pública y el Centro Nacional de Inteligencia publicado el pasado martes 1 de enero en el BOE.
El objeto Centro de Operaciones de Seguridad (SOC) de la AGE será la prestación de servicios horizontales de ciberseguridad que aumenten la capacidad de vigilancia y detección de amenazas de los sistemas de información y comunicaciones de la Administración, así como la mejora de su capacidad de respuesta ante cualquier ataque. El ámbito será la Administración General del Estado (AGE) y sus organismos públicos.
En cuanto al Convenio en materia de ciberseguridad, se establece la constitución de un Centro de Operaciones de Ciberseguridad para el Ministerio de Política Territorial y Función Pública que operará como una extensión del Centro de Operaciones de Ciberseguridad de la Administración General del Estado (SOC de la AGE), siendo el alcance del proyecto el marco de SGAD.
Desde su primera reunión en 2014 el Consejo Nacional de Ciberseguridad ha conseguido diversos logros y ha realizado numerosos avances. En estos años, el Consejo ha seguido avanzando en sus esfuerzos de contribuir a la promoción de un ciberespacio seguro y fiable. Así hoy, España cuenta con organismos especializados en ciberseguridad y una posición destacada a nivel internacional y europeo, y seguirá avanzando en la misma dirección.
Departamento de Seguridad Nacional (10/01/2019)