Boletín semanal de ciberseguridad, 18 — 24 de junio

Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial

A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen de estos incidentes residía, por un lado, en Microsoft Office 365 y por otro, en Cloudflare.

En la madrugada de ayer martes, múltiples usuarios manifestaron problemas de acceso a servicios de Microsoft Office 365, entre ellos Exchange, Teams o SharePoint; desde Microsoft informaron en su cuenta oficial de Twitter acerca de estos problemas, así como de que estos radicarían en que la infraestructura de gestión del tráfico no estaría funcionando.

Por otro lado, Cloudflare también sufrió una interrupción masiva en el día de ayer, afectando a sitios webs conocidos como Amazon, Telegram, Twitch, o Gitlab, entre otros.

El origen de este incidente fue causado por un cambio en la configuración de la red enmarcado dentro de un proyecto interno para aumentar la resiliencia de sus ubicaciones más concurridas, dando lugar a que 19 de sus centros de datos se vieran afectados. Actualmente ambos incidentes se encuentran solventados y todos los servicios funcionan con normalidad.

Más información →

Vulnerabilidad crítica afecta a dispositivos NAS de QNAP

QNAP ha publicado un aviso de seguridad sobre una vulnerabilidad que afecta a sus dispositivos NAS (Network Attached Storage). Según indica el fabricante, algunos de sus modelos de servidores serían vulnerables a posibles ataques a través de una vulnerabilidad crítica de PHP que se remonta tres años atrás, siempre y cuando su configuración no sea por defecto.

La vulnerabilidad, que fue identificada como CVE-2019-11043 y con un CVSS3 de 9.8, permite la ejecución de código remoto para las versiones de PHP 7.1.x inferiores a 7.1.33, 7.2.x inferiores a 7.2.24 y 7.3.x inferiores a 7.3.11. La empresa indica que, para poder explotar esta vulnerabilidad, se requiere que tanto Nginx como PHP-FPM estén instalados en el servidor NAS.

En el caso de que se cumplan estas condiciones, dicho fallo afectará a las siguientes versiones de sus sistemas operativos: QTS 5.0.X y posteriores, QTS 4.5.X y posteriores, y las posteriores a las versiones siguientes QuTS hero h5.0.x, QuTS hero h4.5.X, QuTSCloud c5.0.x. Asimismo, QNAP indica a sus clientes que, por el momento, hay parches para los sistemas operativos QTS 5.0.1.2034 build 20220515 y posteriores y QuTS hero h5.0.0.2069 build 20220614 y posteriores.

Más información →

Quantum: nueva herramienta para la creación de archivos LNK maliciosos

Los investigadores de Cyble han identificado una nueva herramienta basada en la creación de archivos .LNK maliciosos que estaría siendo cada vez más utilizada en las fases iniciales de un ataque.

El uso de archivos .LNK con código malicioso no es algo nuevo, ya que se viene utilizando para manipular herramientas legítimas de sistemas Windows en infecciones con malware como Emotet, Bumblebee, Qbot y IcedID.

Con esta nueva herramienta, denominada Quantum, los atacantes pueden realizar con facilidad técnicas como la evasión del control de cuentas de usuario o del componente SmartScreen, la carga de varios payloads mediante un único .LNK, la construcción de archivos HTA e ISO o la ejecución de malware de forma retardada, entre otras.

Asimismo, los desarrolladores de esta herramienta destacan que los archivos generados son evadidos por las correspondientes soluciones de seguridad. En último lugar, cabe destacar que algunas versiones de Quantum incluyen también exploits para la vulnerabilidad «dogwalk», y desde Cyble estarían vinculando su uso a la conocida APT Lazarus.

Más información →

Cisco anuncia que no corregirá una vulnerabilidad en routers Small Business RV

Desde Cisco han advertido a los usuarios que aún utilizan routers Small Business RV que la empresa no tiene planeado corregir una nueva vulnerabilidad de ejecución remota de código, a la que se ha asignado un CVSS de 9.8.

La vulnerabilidad, catalogada como CVE-2022-20825, es fruto de una validación insuficiente de paquetes HTTP en los routers Small Business: 110W Wireless-N VPN Firewall, RV130 VPN, RV130W Wireless-N Multifunction VPN, y RV215W Wireless-N VPN, siempre y cuando la interface web de gestión remota esté habilitada en conexiones WAN.

De acuerdo con la compañía, pese a la gravedad del fallo, no se está preparando ningún parche o corrección de la vulnerabilidad, ya que estos dispositivos están actualmente fuera de soporte, y ha dejado claro que la única mitigación posible es desactivar la interfaz de gestión remota.

Por lo tanto, la compañía ha recomendado a sus usuarios que migren su operación a routers Cisco Small Business RV132W, RV160 y RV160W.

Más información →

Vulnerabilidad crítica en TheHive y Cortex

La empresa de seguridad StrangeBee ha publicado un aviso de seguridad para informar sobre una vulnerabilidad crítica de omisión de autenticación descubierta en TheHive y Cortex.

TheHive es una plataforma de respuesta a incidentes de seguridad de código abierto, ampliamente utilizada por empresas de todo el mundo, mientras que Cortex es un motor de análisis independiente, desarrollado también por StrangeBee.

La vulnerabilidad, que fue descubierta por Przemysław Mazurek, permite suplantar cualquier cuenta en la plataforma, incluidas las cuentas de administrador, siempre y cuando el módulo de autenticación de Active Directory (AD) esté habilitado y se utilice para autenticar a los usuarios en estas plataformas.

Esto se debe a que AD acepta conexiones anónimas, dando lugar a que, si alguien envía una solicitud de autenticación para una cuenta existente sin contraseñas mediante la API de TheHive/Cortex, la respuesta de AD a la solicitud permite autenticarse como “anónimo”.

Esta vulnerabilidad, que aún no dispone de identificador, afecta a las versiones de TheHive 3 a 5 y Cortex 3, por lo que se recomienda actualizar lo antes posible a la última versión.

Más información →