Boletín semanal de Ciberseguridad, 15-21 de octubre

Grupo Noname057(16) ataca al Ministerio de Defensa

Durante el pasado fin de semana, el actor malicioso Noname057(16) habría realizado un ataque contra las páginas del Ministerio de Defensa español, dejándolas inaccesibles durante un breve periodo de tiempo. 

Noname057(16) se trata de un grupo con objetivos políticos y que suele realizar ataques de denegación de servicio contra sus víctimas, instituciones y empresas pertenecientes a países miembros de la Unión Europea y de la OTAN, especialmente en los sectores públicos, de transporte y de telecomunicaciones.

Este grupo llevaría realizando este tipo de ataques desde mediados de marzo de este año, fecha en la que se crea su canal de Telegram, pero habría ganado notoriedad desde el verano.

Adicionalmente, el grupo habría reclamado en los últimos días que no se le confunda con el grupo Killnet, que tiene un perfil y modus operandi parecido.

Más info →    

* * *

Microsoft informa acerca de un endpoint propio mal configurado

Microsoft Security Response Center ha informado acerca de la corrección de un endpoint mal configurado, que podría haber dado lugar a un acceso no autorizado a los datos contenidos en este.

La información que podría haber sido expuesta, correspondería con transacciones comerciales entre Microsoft y clientes, incluyéndose información confidencial como nombres propios, direcciones de correo electrónico, contenido de correos electrónicos, nombres de empresas, números de teléfono, o documentos adjuntos.

Microsoft tuvo conocimiento de este endpoint mal configurado el pasado 24 de septiembre gracias a un aviso de SOCRadar, procediendo entonces a solventar el riesgo.

De acuerdo con la información publicada por Microsoft, no se habría detectado por el momento indicios de que las cuentas o sistemas de los clientes estuvieran comprometidas, y han señalado que habrían avisado directamente a todos los clientes afectados.

Más info →

* * *

Vulnerabilidad crítica en Apache Commons Text

Recientemente se ha revelado una vulnerabilidad crítica en Apache Commons Text que permitiría a un atacante no autenticado la ejecución remota de código (RCE) en servidores que ejecutan aplicaciones con el componente afectado.

Identificada con el CVE-2022-42889 y un CVSS de 9.8, el fallo afecta a las versiones 1.5 a 1.9 de Apache Commons Text y se ubica en los valores predeterminados inseguros en el momento que Apache Commons Text realiza la interpolación de variables, lo que podría conducir a una ejecución de código arbitrario en servidores remotos.

Según la propia fundación Apache, la librería Commons Text de Apache estaría presente en más de 2.500 proyectos y recomienda actualizar cuanto antes a la versión Apache Commons Text 1.10.0, que desactiva los interpoladores que presentan problemas de forma predeterminada.

Por otra parte, diversos investigadores de seguridad han señalado la disponibilidad de forma pública de una prueba de concepto (PoC) para esta vulnerabilidad, hecho que agrava el riesgo considerablemente, y otras fuentes han llegado a comparar este error con la conocida vulnerabilidad Log4j, aunque parece probable que su impacto sea menos generalizado y por el momento no se conocen reportes sobre su posible explotación activa en la red.

Más info →      

* * *

BlackLotus: malware de alta sofisticación a la venta en foros clandestinos

Diferentes investigadores de seguridad habrían detectado a un actor amenaza vendiendo una herramienta denominada BlackLotus en foros clandestinos, con capacidades que, hasta el momento, solo se habrían observado en grupos y actores patrocinados por estados.

Esta herramienta, un tipo de UEFI bookit, se instalaría en el firmware del equipo y permitiría evadir su detección por parte de las soluciones de seguridad al cargarse en las fases iniciales de la secuencia de arranque del dispositivo.

Según indica el autor de la herramienta en su publicación, BlackLotus contaría con características para detectar actividad en máquinas virtuales y presenta protecciones contra su eliminación, de esta manera se trata de dificultar el análisis del malware.

En último lugar, cabe indicar que, según el investigador de seguridad Scheferman, hasta que no se analice por completo una muestra de este malware, no se podría descartar la posibilidad que Blacklotus pudiese ser utilizado para realizar ataque Bring Your Own Driver (BYOVD).

Más info →

* * *

PoC disponible para vulnerabilidad crítica de Fortinet

Durante los últimos días, se ha publicado en GitHub una prueba de concepto (PoC) que aprovecha el fallo de seguridad crítico que afecta a los productos Fortinet FortiOS, FortiProxy y FortiSwitchManager y que fue reportado durante la pasada semana bajo la codificación CVE-2022-40684.

En concreto, la explotación de esta vulnerabilidad podría permitir a un atacante remoto realizar una omisión de autenticación, derivando sus acciones en la realización de operaciones maliciosas en la interfaz administrativa a través de solicitudes HTTP(S).

Además, según Horizon3.ai, tras un análisis de la PoC, indican que FortiOS expondría un portal web de gestión, permitiendo al usuario configurar el sistema.

Cabe destacar que, cuando la PoC se publicó en fuentes abiertas, Fortinet ya había notificado la explotación activa de la vulnerabilidad.

Sin embargo, el viernes Fortinet publicó un aviso en el que se incluye una guía de mitigación, así como actualizaciones y soluciones para los clientes.

Finalmente, cabe destacar que investigadores de GreyNoise y Wordfence han publicado la detección de intentos de explotación.

Más info →