Boletín semanal de ciberseguridad, 28 de mayo — 3 de junio

Telefónica Tech    3 junio, 2022
Mujer trabajando con un ordenador. Foto: Christina / Wocintechchat / Unsplash

Rápida evolución de la botnet EnemyBot

Desde su descubrimiento el pasado mes de marzo por parte de investigadores de Securonix, la botnet conocida como EnemyBot, centrada en la realización de ataques de DDoS, no ha cesado de expandirse gracias sobre todo a la incorporación de exploits para vulnerabilidades críticas recientes en servidores web, sistemas de gestión de contenido, dispositivos IOT o dispositivos Android.

Ya en abril, las muestras analizadas por Fortinet evidenciaban la integración de la explotación de más de 12 vulnerabilidades para explotar fallos en la arquitectura de los procesadores. Ahora, un nuevo informe de AT&T Labs informa de la detección de una nueva variante en la que se han añadido exploits para 24 vulnerabilidades, la mayor parte de ellas críticas y, algunas de las cuales no cuentan ni siquiera con un CVE asignado.

Entre los fallos cabe destacar la incorporación de exploits para fallos recientes destacados como los conocidos en VMWare mayo (CVE-2022-22954), Spring (CVE-2022-22947) o BIG-IP (CVE-2022-1388).

Esta amenaza se ha atribuido al grupo Keksec, especializado en la construcción de botnets desde 2016. Además, el código del malware se ha publicado en un repositorio de GitHub haciéndolo accesible a otros actores amenaza.

Gracias a su publicación se ha podido confirmar que se trata de una amenaza construida a partir del código de múltiples botnets (Mirai, Qbot o Zbot), lo que la convierte en una amenaza más potente y ajustable. La rápida evolución de EnemyBot plantea la necesidad de evaluar de cerca cómo progresan otros proyectos de este grupo como son Tsunami, Gafgyt, DarkHTTP, DarkIRC o Necro.

Más info: https://cybersecurity.att.com/blogs/labs-research/rapidly-evolving-iot-malware-enemybot-now-targeting-content-management-system-servers

Mozilla corrige vulnerabilidades en sus productos

Mozilla ha lanzado una nueva actualización de seguridad para corregir varias vulnerabilidades que afectan a su gestor de correo Thunderbird y a los navegadores Firefox y Firefox ESR.

Ninguno de los fallos corregidos ha sido identificado con severidad crítica, pero si se han corregido numerosas vulnerabilidades catalogadas con criticidad alta.

Cabe indicar que el aprovechamiento de estos fallos por un agente amenaza remoto podría derivar en los siguientes impactos: ejecución remota de código, evasión de restricciones de seguridad, revelación de información sensible, falsificación, denegación de servicio y manipulación de datos.

Desde Mozilla, se recomienda actualizar a las siguientes versiones de sus productos Firefox 101, Firefox ESR 91.10 y Thunderbird 91.10 para mitigar las vulnerabilidades.

Más info: https://www.mozilla.org/en-US/security/advisories/

​Killnet vuelve a amenazar a entidades italianas

El CSIRT de Italia ha emitido una alerta en la que apunta a la existencia de riesgos de posibles ataques inminentes contra entidades públicas nacionales, entidades privadas que prestan un servicio de utilidad pública o entidades privadas cuya imagen se identifica con el país de Italia.

Este aviso se produce tras el emitir el grupo hacktivista Killnet un comunicado en su canal de Telegram en el que incita a realizar ataques de forma masiva y sin precedentes contra Italia. No es la primera vez que el grupo muestra interés en este país, contra el que ya realizó ataques de denegación de servicio el pasado mes de mayo.

Para la consecución de sus intenciones, Killnet ha anunciado el pasado 24 de mayo la operación Panopticon, en la que hacen un llamamiento a los usuarios para que formen parte del grupo y a los que facilitarán herramientas para la realización de los ataques. El nombre de la operación, según han indicado, hace referencia a un tipo de construcción cuyo diseño hace que se pueda observar la totalidad de una estructura desde su interior y desde un único punto.

En relación con el nombre utilizado, el medio Bleeping Computer apunta a que es posible que los DDoS sean el objetivo principal pero que Killnet pueda querer que los esfuerzos se centren en paliar este tipo de ataques en lugar de en remediar otro tipo ciberataques, insinuando quizá algún tipo de fuga de información con el nombre utilizado.

Finalmente, durante el día de ayer medios italianos informaban sobre la interrupción de los servicios de varias páginas de servicios como la policía estatal italiana y los Ministerios de Asuntos Exteriores y el de Defensa, aunque el grupo no ha reclamado la autoría de tales hechos por el momento.

Más info: https://www.bleepingcomputer.com/news/security/italy-warns-organizations-to-brace-for-incoming-ddos-attacks/

0-day en Confluence activamente explotado

Atlassian ha publicado un aviso de seguridad para alertar de la explotación activa de una vulnerabilidad 0-day en Confluence para la cual no hay aun parches disponibles. Esta vulnerabilidad, catalogada como CVE-2022-26134 y con un riesgo crítico, permite la ejecución remota de código no autenticado en Confluence Server y Confluence Data Center (pendiente confirmar si en todas las versiones, pero posiblemente así sea).

La explotación de esta vulnerabilidad fue detectada por el equipo de Volexity durante la investigación de un incidente de seguridad el pasado fin de semana en que observaron que, tras el acceso inicial mediante la explotación de este 0-day, los atacantes implementaron una copia en memoria de BEHINDER, un servidor web de código abierto que provee al atacante de capacidades como webshells en memoria y soporte integrado para la interacción con Meterpreter y Cobalt Strike.

Una vez implementado BEHINDER, los atacantes utilizaron la webshell en memoria para implementar otras dos webshells adicionales en el disco: CHINA CHOPPER y otra shell de carga de archivos personalizada.

Desde Atlassian recomiendan a los clientes restringir el acceso desde Internet a las instancias de los productos afectados, y deshabilitar las instancias tanto en Confluence Server como en Data Center. Asimismo, desde Atlassian señalan que aquellos que clientes que utilicen Confluence alojado en Atlassian Cloud no estarían afectados

Más info: https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada.