Boletín semanal de ciberseguridad, 1 — 8 de julioTelefónica Tech 8 julio, 2022 Raspberry Robin: gusano detectado en múltiples redes Windows Microsoft ha emitido un aviso privado dirigido a los suscriptores de Microsoft Defender para Endpoint, informando sobre la detección del malware Raspberry Robin en múltiples redes del sector industrial principalmente. Este gusano se creó en 2019 y fue detectado por primera vez en septiembre del pasado año 2021, siendo su principal método de propagación a través de dispositivos USB infectados. Algunas de sus características son el uso de dispositivos NAS de QNAP como servidores de comando y control (C2) y la utilización de conexiones a la red Tor. Además, Raspberry Robin abusa de herramientas legítimas de Windows como el proceso msiexec para infectar nuevos dispositivos, ejecutar cargas útiles maliciosas y, finalmente, entregar malware. No está confirmada la explotación activa de los accesos que los operadores de este malware ya habrían obtenido a las redes de sus víctimas y no ha sido posible atribuir esta campaña a ningún actor malicioso específico, si bien Microsoft la ha calificado como de alto riesgo, dado que los atacantes podrían implementar malware adicional en las redes de las víctimas y escalar sus privilegios en cualquier momento. Más info → * * * Vulnerabilidad crítica en Spring Data para MongoDB El investigador Zewei Zhang, de NSFOCUS TIANJI Lab, ha reportado una vulnerabilidad crítica de ejecución remota de código (RCE) en Spring Data MongoDB, proyecto para la integración de documentos en bases de datos MongoDB. El error se ha identificado con el CVE-2022-22980 y ha recibido una criticidad de 9.8 (CVSSv3). En concreto la vulnerabilidad consiste en la posibilidad de realizar una inyección SpEL (Spring Expression Language) maliciosa que permitiría a un atacante ejecutar código arbitrario de forma remota con privilegios heredados. El fallo afecta a las versiones 3.4.0, 3.3.0 a 3.3.4, y versiones anteriores no compatibles, por su parte, Spring ya lanzó las correspondientes versiones parcheadas de Spring Data MongoDB, 3.4.1 y 3.3.5 a finales del pasado mes de junio. No obstante, en caso de no ser posible implementar estas nuevas versiones, existen medidas de mitigación que pueden consultarse en el aviso publicado por VMware, las cuales se recomienda aplicar de inmediato teniendo en cuenta la disponibilidad de forma pública de pruebas de concepto sobre esta vulnerabilidad. Más info → * * * Versión maliciosa de Brute Ratel C4 Investigadores de Palo Alto Networks han publicado acerca de una muestra maliciosa del software legítimo Brute Ratel C4 (BRc4). Esta herramienta ha surgido como una alternativa a Cobalt Strike para los red team a la hora de hacer pruebas de penetración. Al igual que Cobalt Strike deja balizas en los ordenadores infectados, Brute Ratel instala badgers que llevan a cabo una función similar, establecen persistencia y se conectan a los servidores de comando y control para recibir órdenes y ejecutar código en los ordenadores infectados. Adicionalmente, esta herramienta fue diseñada específicamente para evadir la detección por Endpoints (EDR) y antivirus. Según los investigadores es muy probable que antiguos miembros de Conti ransomware hayan creado empresas fantasmas para poder pasar una parte del proceso de verificación necesario para conseguir este software. Por último, instan a que los proveedores de seguridad actualicen sus protecciones para detectar este software y que las organizaciones tomen medidas proactivas para defenderse. Más info → * * * Vulnerabilidad crítica en OpenSSL El investigador de seguridad Xi Ruoyao ha descubierto una vulnerabilidad en la librería criptográfica de OpenSSL que podría derivar en ejecución remota de código bajo ciertas circunstancias. El fallo, identificado como CVE-2022-2274, radica en la implementación de RSA para las CPU X86_64 compatibles con las instrucciones AVX512IFMA. La vulnerabilidad podría derivar en una corrupción de memoria durante la computación, que un atacante podría utilizar para desencadenar en último término una ejecución remota de código en la máquina que realiza la computación. El fallo afecta a la versión 3.0.4 de OpenSSL que se lanzaba el 21 de junio de 2022, y ha sido corregida con la versión 3.0.5 de OpenSSL. Las versiones OpenSSL 1.1.1 y Open SSL 1.0.2 no se ven afectadas por esta vulnerabilidad. Más info → * * * Campaña del nuevo ransomware HavanaCrypt Investigadores de TrendMicro han analizado una campaña de la nueva familia de ransomware denominada como HavanaCrypt, que estaría haciéndose pasar por la aplicación Google Software Update para su distribución. HavanaCrypt está compilado en .NET y utiliza Obfuscar, un ofuscador de código abierto para securizar el código .NET. Asimismo, se ha identificado que estaría haciendo uso de una dirección IP de un servicio de hosting de Microsoft como C&C (Command&Control) para eludir la detección, algo poco habitual en este tipo de amenazas. Desde TrendMicro se ha detectado además, el uso de múltiples herramientas anti-virtualización para evadir el posible análisis dinámico en máquinas virtuales. Por último, cabe destacar la función QueueUserWorkItem, empleada para distribuir otros payloads y herramientas de cifrado. Tras el proceso de cifrado, durante el cual utiliza módulos legítimos de KeePass Password Safe y la función CryptoRandom, este ransomware no deja ninguna nota de rescate, por lo que los investigadores creen que es posible que todavía se encuentre en fase de desarrollo. Más info → ¿Es hora de empezar a plantar semillas digitales para el futuro?Comprendiendo los certificados digitales
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...
Telefónica Tech Boletín semanal de Ciberseguridad, 7 – 13 de enero Microsoft corrige 98 vulnerabilidades en su Patch Tuesday Microsoft ha publicado su boletín de seguridad correspondiente con el mes de enero, donde corrige un total de 98 vulnerabilidades. Entre estas...
Daniel Pous Montardit Observabilidad: qué es y qué nos ofrece ¿Qué es la observabilidad? El término «observabilidad» proviene de la teoría de control de Rudolf Kalman y se refiere a la capacidad de inferir el estado interno de un sistema...