Boletín semanal de ciberseguridad, 13—20 de mayoTelefónica Tech 20 mayo, 2022 VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta a varios de sus productos. Identificado como CVE-2022-22972 y CVSSv3 9.8, el fallo consiste en una omisión de autenticación que afecta a usuarios del dominio local y permitiría a un atacante con acceso de red a la interfaz de usuario, obtener acceso de administrador sin necesidad de autenticarse. Asimismo, VMware también ha lanzado parches para una segunda vulnerabilidad grave de escalada de privilegios locales (CVE-2022-22973 – CVSSv3 7.8) que podría permitir a un actor amenaza elevar sus permisos a ‘root’. Ambos errores afectan a los productos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manage. Adicionalmente, la publicación de estos fallos ha provocado que entidades como la CISA hayan emitido durante esta semana directivas de emergencia a múltiples agencias federales, instando a actualizar o eliminar urgentemente los productos VMware de sus redes antes del próximo lunes, debido a un mayor riesgo de ataques. Por su parte, VMware ha facilitado enlaces de descarga de parches e instrucciones de instalación en su sitio web de base de conocimiento, así como soluciones provisionales en caso de no ser posible actualizar de inmediato. Más info: https://www.vmware.com/security/advisories/VMSA-2022-0014.html Nueva campaña contra servidores SQL El equipo de Security Intelligence de Microsoft ha compartido mediante su perfil de Twitter una nueva campaña que habrían descubierto recientemente, la cual estaría afectando a servidores SQL y destacaría por el uso del LOLBin sqlps.exe. Para el acceso inicial al servidor SQL, han observado el empleo de ataques de fuerza bruta. Además, según describen, una vez comprometido el servidor, el actor de amenaza utiliza sqlps.exe, herramienta de Windows empelada para el inicio y uso de PowerShell en relación con instancias SQL, para lograr persistencia, ejecutando comandos de reconocimiento y modificando el modo de inicio del servidor a LocalSystem. Asimismo, los atacantes usan sqlps.exe para tomar el control del servidor creando una nueva cuenta con permisos de administrador, lo que les permite inyectar payloads en el sistema. URL: https://twitter.com/MsftSecIntel/status/1526680337216114693 Incremento de actividad del malware XorDD Investigadores de Microsoft han publicado un análisis del troyano dirigido contra sistemas Linux conocido como XorDDoS, donde exponen que habrían detectado un incremento de actividad durante los últimos 6 meses. XorDDoS, activo desde al menos 2014, debe su nombre al cifrado XOR utilizado para sus comunicaciones con el servidor Command & Control, así como a su tipo de ataque más característico, siendo este las denegaciones de servicio distribuidas (DDoS). Para este fin, XorDDoS, suele centrar su actividad en el compromiso de dispositivos de Internet of Things (IoT) con los que generar su red de bots para emitir ataques de DDoS. Dentro de su análisis, Microsoft especifica que han observado que, dispositivos infectados con XorDDoS, más tarde son vulnerados con el backdoor Tsunami, que a su vez despliega el cripotominero XMRing. Dentro de las TTPs empleadas por XorDDoS, destaca el uso de la fuerza bruta contra servicios SSH accesibles como principal vector de entrada para conseguir permisos de root en la máquina vulnerada. Además, cuenta con módulos destinados a la evasión de sistemas de seguridad, ocultando su actividad, lo que le hace más difícilmente detectable. Desde Microsoft aportan recomendaciones para tratar de combatir esta amenaza. Más info: https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/ CISA expone los vectores de entrada más utilizados La CISA, en conjunto con autoridades de Estados Unidos, Canadá, Nueva Zelanda, Países Bajos y Reino Unido, ha publicado un aviso sobre controles y prácticas de seguridad que son habitualmente utilizados como acceso inicial durante los compromisos a posibles víctimas. En este sentido destacan que los cibercriminales suelen aprovechar configuraciones de seguridad deficientes (mal configuradas o desprotegidas), controles débiles y otras malas prácticas como parte de sus tácticas para comprometer sistemas. Algunas de las Tácticas, Técnicas y Procedimientos (TTPs) más utilizados serían: la explotación de una aplicación expuesta al público [T1190], servicios remotos externos [T1133], phishing [T1566], aprovechar una relación de confianza [T1199] o explotar cuentas válidas [T1078]. Con el objetivo de evitar estas técnicas, se resume dentro del aviso una serie de prácticas recomendadas para proteger los sistemas de estos posibles ataques, destacando el control de acceso, refuerzo de credenciales, establecer una gestión centralizada de registros, el uso de antivirus, herramientas de detección, operar los servicios expuestos con configuraciones seguras, así como mantener el software actualizado. Más info: https://www.cisa.gov/uscert/ncas/alerts/aa22-137a Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internetVulnerabilidades, amenazas y ciberataques a sistemas industriales
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Telefónica Tech Boletín semanal de ciberseguridad, 25 de junio — 1 de julio Kaspersky investiga ataques a sistemas de control industrial Investigadores de Kaspersky han investigado una campaña de ataques que se centraba en diversos países del continente asiático, y que estaba dirigida...
Aarón Jornet Cómo funciona Lokibot, el malware que utiliza Machete para robar información y credenciales de acceso Machete es un grupo dedicado al robo de información y el espionaje. Utiliza distintas herramientas, entre las que se encuentra LokiBot.
Nacho Palou Lucía y Marina: #MujeresHacker que se lanzan a la piscina del campus 42 Lucía, experta tech, y Marina, estudiante de 42, comparten su experiencia e intercambian opiniones tras pasar por las Piscina del campus 42 de Telefónica
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...