Boletín semanal de ciberseguridad, 28 de mayo — 3 de junioTelefónica Tech 3 junio, 2022 Rápida evolución de la botnet EnemyBot Desde su descubrimiento el pasado mes de marzo por parte de investigadores de Securonix, la botnet conocida como EnemyBot, centrada en la realización de ataques de DDoS, no ha cesado de expandirse gracias sobre todo a la incorporación de exploits para vulnerabilidades críticas recientes en servidores web, sistemas de gestión de contenido, dispositivos IOT o dispositivos Android. Ya en abril, las muestras analizadas por Fortinet evidenciaban la integración de la explotación de más de 12 vulnerabilidades para explotar fallos en la arquitectura de los procesadores. Ahora, un nuevo informe de AT&T Labs informa de la detección de una nueva variante en la que se han añadido exploits para 24 vulnerabilidades, la mayor parte de ellas críticas y, algunas de las cuales no cuentan ni siquiera con un CVE asignado. Entre los fallos cabe destacar la incorporación de exploits para fallos recientes destacados como los conocidos en VMWare mayo (CVE-2022-22954), Spring (CVE-2022-22947) o BIG-IP (CVE-2022-1388). Esta amenaza se ha atribuido al grupo Keksec, especializado en la construcción de botnets desde 2016. Además, el código del malware se ha publicado en un repositorio de GitHub haciéndolo accesible a otros actores amenaza. Gracias a su publicación se ha podido confirmar que se trata de una amenaza construida a partir del código de múltiples botnets (Mirai, Qbot o Zbot), lo que la convierte en una amenaza más potente y ajustable. La rápida evolución de EnemyBot plantea la necesidad de evaluar de cerca cómo progresan otros proyectos de este grupo como son Tsunami, Gafgyt, DarkHTTP, DarkIRC o Necro. Más info: https://cybersecurity.att.com/blogs/labs-research/rapidly-evolving-iot-malware-enemybot-now-targeting-content-management-system-servers Mozilla corrige vulnerabilidades en sus productos Mozilla ha lanzado una nueva actualización de seguridad para corregir varias vulnerabilidades que afectan a su gestor de correo Thunderbird y a los navegadores Firefox y Firefox ESR. Ninguno de los fallos corregidos ha sido identificado con severidad crítica, pero si se han corregido numerosas vulnerabilidades catalogadas con criticidad alta. Cabe indicar que el aprovechamiento de estos fallos por un agente amenaza remoto podría derivar en los siguientes impactos: ejecución remota de código, evasión de restricciones de seguridad, revelación de información sensible, falsificación, denegación de servicio y manipulación de datos. Desde Mozilla, se recomienda actualizar a las siguientes versiones de sus productos Firefox 101, Firefox ESR 91.10 y Thunderbird 91.10 para mitigar las vulnerabilidades. Más info: https://www.mozilla.org/en-US/security/advisories/ Killnet vuelve a amenazar a entidades italianas El CSIRT de Italia ha emitido una alerta en la que apunta a la existencia de riesgos de posibles ataques inminentes contra entidades públicas nacionales, entidades privadas que prestan un servicio de utilidad pública o entidades privadas cuya imagen se identifica con el país de Italia. Este aviso se produce tras el emitir el grupo hacktivista Killnet un comunicado en su canal de Telegram en el que incita a realizar ataques de forma masiva y sin precedentes contra Italia. No es la primera vez que el grupo muestra interés en este país, contra el que ya realizó ataques de denegación de servicio el pasado mes de mayo. Para la consecución de sus intenciones, Killnet ha anunciado el pasado 24 de mayo la operación Panopticon, en la que hacen un llamamiento a los usuarios para que formen parte del grupo y a los que facilitarán herramientas para la realización de los ataques. El nombre de la operación, según han indicado, hace referencia a un tipo de construcción cuyo diseño hace que se pueda observar la totalidad de una estructura desde su interior y desde un único punto. En relación con el nombre utilizado, el medio Bleeping Computer apunta a que es posible que los DDoS sean el objetivo principal pero que Killnet pueda querer que los esfuerzos se centren en paliar este tipo de ataques en lugar de en remediar otro tipo ciberataques, insinuando quizá algún tipo de fuga de información con el nombre utilizado. Finalmente, durante el día de ayer medios italianos informaban sobre la interrupción de los servicios de varias páginas de servicios como la policía estatal italiana y los Ministerios de Asuntos Exteriores y el de Defensa, aunque el grupo no ha reclamado la autoría de tales hechos por el momento. Más info: https://www.bleepingcomputer.com/news/security/italy-warns-organizations-to-brace-for-incoming-ddos-attacks/ 0-day en Confluence activamente explotado Atlassian ha publicado un aviso de seguridad para alertar de la explotación activa de una vulnerabilidad 0-day en Confluence para la cual no hay aun parches disponibles. Esta vulnerabilidad, catalogada como CVE-2022-26134 y con un riesgo crítico, permite la ejecución remota de código no autenticado en Confluence Server y Confluence Data Center (pendiente confirmar si en todas las versiones, pero posiblemente así sea). La explotación de esta vulnerabilidad fue detectada por el equipo de Volexity durante la investigación de un incidente de seguridad el pasado fin de semana en que observaron que, tras el acceso inicial mediante la explotación de este 0-day, los atacantes implementaron una copia en memoria de BEHINDER, un servidor web de código abierto que provee al atacante de capacidades como webshells en memoria y soporte integrado para la interacción con Meterpreter y Cobalt Strike. Una vez implementado BEHINDER, los atacantes utilizaron la webshell en memoria para implementar otras dos webshells adicionales en el disco: CHINA CHOPPER y otra shell de carga de archivos personalizada. Desde Atlassian recomiendan a los clientes restringir el acceso desde Internet a las instancias de los productos afectados, y deshabilitar las instancias tanto en Confluence Server como en Data Center. Asimismo, desde Atlassian señalan que aquellos que clientes que utilicen Confluence alojado en Atlassian Cloud no estarían afectados Más info: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html Diferencias entre cifrado, hashing, codificación y ofuscaciónBoletín semanal de ciberseguridad, 6 — 10 de junio
Telefónica Tech Boletín semanal de Ciberseguridad, 22 – 26 de mayo GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo...
David García ¿Salvará Rust el mundo? (II) Segunda entrega en la que descubrimos cómo Rust, el lenguaje de programación de código abierto centrado en la seguridad, mejora el panorama en cuanto a vulnerabilidades basadas en errores...
Sergio de los Santos Cuatro hitos en Ciberseguridad que marcaron el futuro del malware Un recorrido por los 15 años que ha dedicado Microsoft para consolidar una estrategia que ha repercutido en la Ciberseguridad a nivel global
Telefónica Tech Boletín semanal de Ciberseguridad, 15 – 19 de mayo Vulnerabilidades en plataformas cloud El equipo de investigadores de Otorio descubrió 11 vulnerabilidades que afectan a diferentes proveedores de plataformas de administración de cloud. En concreto, se tratan de Sierra...
Javier Martínez Borreguero Automatización, Conectividad e Inteligencia Aumentada al servicio de una reindustrialización competitiva, disruptiva y sostenible Por segundo año consecutivo vuelvo a participar en el Advanced Factories (AF 2023), la mayor exposición y congreso profesional dedicado a la Industria 4.0 del sur de Europa. Un...
Nacho Palou Passkey es otro clavo de Google en el ataúd de las contraseñas Passkey de Google ofrece a los usuarios la posibilidad de utilizar una llave de acceso para identificarse y acceder a sitios web o apps sin teclear su nombre de...
