Boletín semanal ciberseguridad 1 – 8 de abril

Telefónica Tech    8 abril, 2022
Ordenador portátil. Foto: Unsplash

Vulnerabilidad crítica en GitLab permite acceso a cuentas de usuario

GitLab ha publicado una actualización de seguridad que corrige un total de 17 vulnerabilidades entre las que destaca una vulnerabilidad crítica que afecta tanto a GitLab Community Edition (CE) como a Enterprise Edition (EE). Concretamente, se trata del fallo de seguridad CVE-2022-1162, puntuado con un CVSS de 9.1, que reside en el establecimiento de una contraseña codificada para las cuentas registradas con un proveedor de OmniAuth, posibilitando a actores maliciosos tomar el control de cuentas de usuarios utilizando estas contraseñas codificadas.

Por el momento, se indica que no se han detectado evidencias del compromiso de ninguna cuenta explotando este fallo de seguridad. No obstante, GitLab ha publicado un script para ayudar a identificar qué cuentas de usuario estarían afectadas y recomienda a los usuarios actualizar, a la mayor brevedad posible, todas las instalaciones de GitLab a las últimas versiones (14.9.2, 14.8.5 o 14.7.7) para prevenir posibles ataques.

Más info: https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/#script-to-identify-users-potentially-impacted-by-cve-2022-1162

Nuevas técnicas de Deep Panda: Log4Shell y rootkits Fire Chili firmados digitalmente

Investigadores de Fortinet han identificado que el grupo APT Deep Panda estaría explotando la vulnerabilidad Log4Shell en los servidores VMware Horizon para implementar una puerta trasera y un nuevo rootkit en máquinas infectadas.

El objetivo del grupo sería el robo de información de víctimas que pertenecen a industrias financiera, académica, cosmética y de viajes. En primer lugar, los investigadores evidencian que en la cadena de infección se aprovechó la falla de ejecución remota de código Log4j, en servidores VMware Horizon vulnerables para generar una cadena de etapas intermedias y, finalmente, implementar la puerta trasera denominada Milestone. Esta puerta trasera, también estaría diseñada para enviar información sobre las sesiones actuales en el sistema al servidor remoto.

Por otro lado, se ha detectado la utilización de un rootkit del kernel denominado como Fire Chili, el cual está firmado digitalmente con certificados robados de compañías de desarrollo de juegos, permitiéndoles evadir detección, así como ocultar operaciones de archivos maliciosos, procesos, adiciones de claves de registro y conexiones de red.

Asimismo, los investigadores también han atribuido el uso de Fire Chilli al grupo conocido como Winnti., indicando que es posible que los desarrolladores de estas amenazas hayan compartido recursos, como certificados robados e infraestructura Command&Control (C2).

Más info: https://www.fortinet.com/blog/threat-research/deep-panda-log4shell-fire-chili-rootkits

Campaña de phishing aprovecha supuestos mensajes de voz de WhatsApp

Investigadores de Armorblox han reportado una campaña de phishing que utiliza como señuelo el envío de mensajes de voz de la plataforma de mensajería WhatsApp, con el fin de implementar malware en los dispositivos de las víctimas.

Según la investigación, el ataque comienza con la distribución de correos electrónicos de phishing que simulan ser una notificación de WhatsApp que contiene un “mensaje privado” de audio, para lo que los actores maliciosos incluyen un botón de “Reproducir” incrustado en el cuerpo del correo junto a la duración del audio y su fecha de creación.

En el momento que el usuario objetivo presiona la opción “Reproducir”, se le redirige a un sitio web que ofrece un mensaje de permiso/bloqueo que, mediante técnicas de ingeniería social, terminará por instalar el troyano JS/Kryptic y el payload necesario para, finalmente, implementar un malware del tipo stealer.

Armorblox destaca que los envíos de los correos maliciosos se realizan desde cuentas legítimas previamente vulneradas, lo que dificulta en gran medida su posible detección por las diferentes herramientas de seguridad activas en la máquina objetivo.

El objetivo final de la campaña es principalmente el robo de credenciales almacenadas en navegadores y aplicaciones, así como en carteras de criptomonedas, claves SSH e incluso archivos almacenados en los equipos de las víctimas.

Más info: https://www.bleepingcomputer.com/news/security/whatsapp-voice-message-phishing-emails-push-info-stealing-malware/

Cicada: nueva campaña de espionaje

El equipo de investigadores de Symantec ha publicado una investigación en la que informa sobre una sofisticada campaña de espionaje de larga duración llevada a cabo por el grupo de cibercriminales denominado Cicada (aka APT10).

Según los expertos, dicha campaña estaría activa desde mediados de 2021 hasta febrero del presente año, habiendo centrado sus operaciones contra entidades gubernamentales y ONGs de Asia, América y Europa. No obstante, también se han impactado otros sectores como telecomunicaciones, entidades legales y farmacéuticas.

Se estima que el vector de entrada sería la explotación de una vulnerabilidad conocida en servidores de Microsoft Exchange sin parchear, sin especificarse ninguna en concreto. Tras el compromiso inicial, Cicada despliega software malicioso como el backdoor Sodamaster, herramienta asociada a este actor y que ha permitido su atribución, un loader personalizado a través del reproductor legítimo VLC que incluye una DLL maliciosa, haciendo uso de la técnica DLL Side-Loading, Mimikatz para obtener credenciales, WinVNC para el control remoto o WMIExec para le ejecución de comandos.

Más info: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-china-ngo-government-attacks

Nuevas vulnerabilidades críticas en WMware

VMware ha publicado un boletín donde corrige vulnerabilidades de severidad crítica, alta y media para sus productos VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager. Las vulnerabilidades más críticas son las siguientes:

  • CVE-2022-22954 CVSSSv3 9.8: vulnerabilidad de inyección de plantilla del lado servidor que puede derivar en ejecución remota de código.
  • CVE-2022-22955/22956 CVSSv3 9.8: vulnerabilidades que permiten evadir la autenticación en el framework OAuth2 ACS.
  • CVE-2022-22957/22958 CVSSv3 9.1: vulnerabilidades de ejecución remota de código a través de una URI JDBC maliciosa y que requieren acceso de administrador.

Se han corregido también otras vulnerabilidades de criticidad alta (CVE-2022-22959 CVSSv3 8.8 y CVE-2022-22960 CVSSv3 7.8) y media (CVE-2022-22961 CVSSv3 5.3). Según la compañía, no se han detectado evidencias de que ninguna de estas vulnerabilidades esté siendo activamente explotada. Adicionalmente, VMware ha publicado una serie de medidas que los usuarios pueden tomar para mitigar el impacto de estas vulnerabilidades en aquellos casos en los que actualizar el software no sea posible. 

Más info: https://www.vmware.com/security/advisories/VMSA-2022-0011.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada.