Alerta de Seguridad No 6/20: Aumento en los incidentes de desfiguración de Open Journal Systems (OJS)

  • 22/08/2020
  • 248
Alerta de Seguridad No 6/20: Aumento en los incidentes de desfiguración de Open Journal Systems (OJS)

15 de junio de 2020

Año 62 de la Revolución

 

 

 

 

 

Open Journal Systems es un sistema de manejo de contenidos y publicaciones que permite a sus usuarios publicar revistas, artículos, entre otros materiales. Este sistema es muy popular en universidades y centros de investigaciones en nuestro país pues una de sus bondades es que su código es libre.

En la última semana se ha observado en Cuba la desfiguración de varios sitios referidos a esta tecnología.

El resultado final de cualquier violación de seguridad de OJS es importante ya que los sitios de publicación que usan OJS poseen datos que contienen información detallada sobre los investigadores y resultados científicos que pueden ser utilizados para el robo de identidad, el fraude, el robo de manuscritos no publicados o incluso utilizar el sitio para publicar investigaciones falsas.

 

SOLUCIONES DE SEGURIDAD

Garantizar la seguridad de los servicios brindados es de vital importancia por lo que en este caso es necesario:

  • Actualizar a la última versión de Open Journal Systems;
  • Aplicar todos los parches de seguridad que posea la versión que se está utilizando: https://pkp.sfu.ca/ojs/ojs_download/;
  • Realizar una configuración correcta de la aplicación y sus permisos;
  • Permitir solo la carga de archivos con extensiones seguras (como .doc, .docx, odt, .pdf) y prohibir la carga de archivos con extensiones ejecutables del lado del servidor (como .phtml, .asp, .php, .rb, .py).
  • Si es una revista, sugerimos deshabilitar el registro de nuevos usuarios de manera automática, pues en las revistas no es necesario esta opción y sino notifique automáticamente al contacto del webmaster sobre cualquier nuevo registro en el sitio.
  • Realizar un monitoreo constante de los sitios web en general de las entidades mediante herramientas de monitoreo;
  • Realizar un escaneo profundo del sitio web para la identificación de vulnerabilidades, garantizando así el cumplimiento de requisitos básicos de seguridad.

 

Atentamente,

 

 

Equipo de Respuesta a Incidentes de Seguridad Informática de BioCubaFarma

CSIRT-BCF