Boletín semanal de ciberseguridad, 13—20 de mayo

Telefónica Tech    20 mayo, 2022
Persona trabajando con un portátil

VMware corrige vulnerabilidades críticas en varios de sus productos

VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta a varios de sus productos. Identificado como CVE-2022-22972 y CVSSv3 9.8, el fallo consiste en una omisión de autenticación que afecta a usuarios del dominio local y permitiría a un atacante con acceso de red a la interfaz de usuario, obtener acceso de administrador sin necesidad de autenticarse.

Asimismo, VMware también ha lanzado parches para una segunda vulnerabilidad grave de escalada de privilegios locales (CVE-2022-22973 – CVSSv3 7.8) que podría permitir a un actor amenaza elevar sus permisos a ‘root’. Ambos errores afectan a los productos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manage.

Adicionalmente, la publicación de estos fallos ha provocado que entidades como la CISA hayan emitido durante esta semana directivas de emergencia a múltiples agencias federales, instando a actualizar o eliminar urgentemente los productos VMware de sus redes antes del próximo lunes, debido a un mayor riesgo de ataques.

Por su parte, VMware ha facilitado enlaces de descarga de parches e instrucciones de instalación en su sitio web de base de conocimiento, así como soluciones provisionales en caso de no ser posible actualizar de inmediato.

Más info: https://www.vmware.com/security/advisories/VMSA-2022-0014.html

​​Nueva campaña contra servidores SQL

El equipo de Security Intelligence de Microsoft ha compartido mediante su perfil de Twitter una nueva campaña que habrían descubierto recientemente, la cual estaría afectando a servidores SQL y destacaría por el uso del LOLBin sqlps.exe. Para el acceso inicial al servidor SQL, han observado el empleo de ataques de fuerza bruta.

Además, según describen, una vez comprometido el servidor, el actor de amenaza utiliza sqlps.exe, herramienta de Windows empelada para el inicio y uso de PowerShell en relación con instancias SQL, para lograr persistencia, ejecutando comandos de reconocimiento y modificando el modo de inicio del servidor a LocalSystem.

Asimismo, los atacantes usan sqlps.exe para tomar el control del servidor creando una nueva cuenta con permisos de administrador, lo que les permite inyectar payloads en el sistema.

URL:  https://twitter.com/MsftSecIntel/status/1526680337216114693

Incremento de actividad del malware XorDD

Investigadores de Microsoft han publicado un análisis del troyano dirigido contra sistemas Linux conocido como XorDDoS, donde exponen que habrían detectado un incremento de actividad durante los últimos 6 meses. XorDDoS, activo desde al menos 2014, debe su nombre al cifrado XOR utilizado para sus comunicaciones con el servidor Command & Control, así como a su tipo de ataque más característico, siendo este las denegaciones de servicio distribuidas (DDoS).

Para este fin, XorDDoS, suele centrar su actividad en el compromiso de dispositivos de Internet of Things (IoT) con los que generar su red de bots para emitir ataques de DDoS. Dentro de su análisis, Microsoft especifica que han observado que, dispositivos infectados con XorDDoS, más tarde son vulnerados con el backdoor Tsunami, que a su vez despliega el cripotominero XMRing. Dentro de las TTPs empleadas por XorDDoS, destaca el uso de la fuerza bruta contra servicios SSH accesibles como principal vector de entrada para conseguir permisos de root en la máquina vulnerada.

Además, cuenta con módulos destinados a la evasión de sistemas de seguridad, ocultando su actividad, lo que le hace más difícilmente detectable. Desde Microsoft aportan recomendaciones para tratar de combatir esta amenaza. 

Más info:  https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/

​CISA expone los vectores de entrada más utilizados

La CISA, en conjunto con autoridades de Estados Unidos, Canadá, Nueva Zelanda, Países Bajos y Reino Unido, ha publicado un aviso sobre controles y prácticas de seguridad que son habitualmente utilizados como acceso inicial durante los compromisos a posibles víctimas.

En este sentido destacan que los cibercriminales suelen aprovechar configuraciones de seguridad deficientes (mal configuradas o desprotegidas), controles débiles y otras malas prácticas como parte de sus tácticas para comprometer sistemas.

Algunas de las Tácticas, Técnicas y Procedimientos (TTPs) más utilizados serían: la explotación de una aplicación expuesta al público [T1190], servicios remotos externos [T1133], phishing [T1566], aprovechar una relación de confianza [T1199] o explotar cuentas válidas [T1078].

Con el objetivo de evitar estas técnicas, se resume dentro del aviso una serie de prácticas recomendadas para proteger los sistemas de estos posibles ataques, destacando el control de acceso, refuerzo de credenciales, establecer una gestión centralizada de registros, el uso de antivirus, herramientas de detección, operar los servicios expuestos con configuraciones seguras, así como mantener el software actualizado.

Más info: https://www.cisa.gov/uscert/ncas/alerts/aa22-137a

Te puede interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada.