Boletín semanal ciberseguridad 18-27 de diciembre

Telefónica Tech    27 diciembre, 2021
último boletín ciberseguridad 2021

Vulnerabilidad Log4Shell (actualización)

A lo largo de esta semana han continuado conociéndose más novedades y repercusión relacionadas con la vulnerabilidad conocida como Log4Shell. En primer lugar, cabe destacar la detección de una nueva vulnerabilidad que afecta a Log4j2 en versiones 2.0-alpha1 a 2.16.0, y que podría permitir una denegación de servicio. La corrección de esta vulnerabilidad, catalogada como CVE-2021-45105 CVSSv3 7.5, ha dado lugar al lanzamiento de la versión 2.17.0.

Por otro lado, se han conocido nuevas explotaciones activas de Log4Shell por parte de los ransomware TellYouThePass y Conti. También se ha detectado su explotación para la distribución de los troyanos Dridex y Meterpreter. Cabe destacar la publicación de un estudio llevado a cabo por Netlab, donde exponen los resultados observados en sus honeypots, exponiendo el hecho de que habrían detectado muestras de más de 30 familias distintas de malware distribuyéndose desde direcciones IP de más de 54 países distintos, destacándose muestras de mineros como Kinsing y Xmrig, así como binarios de familias como Dofloo, Tsunami (aka Mushtik) o la botnet Mirai. En relación a la explotación activa de la vulnerabilidad, el Ministerio de Defensa de Bélgica ha confirmado esta semana haber sufrido un ciberataque, el cual habría tenido como vector inicial la explotación de Log4Shell, si bien por el momento se desconoce la atribución de este. Finalmente, esta semana el equipo de Blumira ha informado acerca de un nuevo vector de ataque que permitiría explotar la vulnerabilidad de Log4Shell en servidores de forma local empleando una conexión Websocket de JavaScript, aunque por el momento no se ha detectado su explotación activa.

En otro orden de cosas, desde la alianza conocida como Five Eyes, formada por agencias gubernamentales de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, han publicado un aviso de seguridad conjunto donde incluyen una serie de recomendaciones para los afectados por esta vulnerabilidad. También la CISA estadounidense ha lanzado “log4j-scanner” una nueva herramienta para escanear e identificar servicios web vulnerables a los dos fallos de ejecución remota de código identificados en Log4j (CVE-2021-44228 y CVE-2021-45046). En relación a las agencias gubernamentales, esta semana se ha conocido que el Ministerio de Industria y Tecnología de la Información (MIIT) de China habría suspendido durante seis meses su acuerdo de colaboración con Alibaba Cloud Computing en materia de ciberamenazas y plataformas de intercambio de información, el motivo es que fueron investigadores de Alibaba los autores del descubrimiento de la vulnerabilidad Log4j (CVE-2021-44882), y no habrían informado de las mismas al regulador de las telecomunicaciones chino de forma previa a su divulgación a Apache.

Toda la información: https://logging.apache.org/log4j/2.x/download.html

Meta toma acciones contra empresas de vigilancia bajo demanda

Meta, la compañía matriz de Facebook, ha anunciado que tras meses de investigación ha eliminado siete compañías dedicadas a la industria de la vigilancia bajo demanda (“surveillance-for-hire”) de sus plataformas por apuntar contra víctimas de más de 100 países, con el objetivo de recopilar información, manipular y comprometer sus dispositivos y cuentas. Esta actividad habría impactado contra aproximadamente 50.000 usuarios que han sido notificados de actividades maliciosas. Las compañías eliminadas proceden de diferentes países como China, Israel, India y Macedonia del Norte, y estarían operando contra sus objetivos en tres fases: el reconocimiento, mediante software automatizado, el compromiso, en la que buscan ganarse la confianza de sus víctimas, y, la explotación, a través de la distribución de phishing con el objetivo de conseguir credenciales. Desde Meta inciden en que, aunque habitualmente se suelen atajar estas campañas en la fase de explotación, es fundamental interrumpir el ciclo de vida del ataque en sus primeras fases para evitar que posteriormente se lleguen a comprometer dispositivos y cuentas de usuarios. Dada la gravedad de sus infracciones, Meta ha reportado que además de eliminar estas empresas de sus plataformas, han bloqueado su infraestructura relacionada, han emitido notificaciones de ceses y desistimiento, notificándoles que su actividad no tiene cabida en las plataformas de la firma, y han compartido sus hallazgos con investigadores, otras plataformas y autoridades para que tomen las medidas oportunas.

Descubre más: https://about.fb.com/wp-content/uploads/2021/12/Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf

Google publica un análisis en profundidad del exploit FORCEDENTRY de NSO

Recientemente, el equipo Project Zero de Google ha publicado un análisis en profundidad del exploit FORCEDENTRY de NSO Group, al que consideran uno de los exploits más sofisticados que han analizado desde este equipo, poniendo a las herramientas de NSO al nivel de sofisticación de grupos de Amenazas Persistentes Avanzadas (APTs) apoyados por Estados. La muestra, analizada en colaboración con el equipo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple, ha sido distribuida, a lo largo del año, de manera selectiva contra activistas, disidentes y periodistas de diferentes regiones. FORCEDENTRY utiliza una técnica de zero-click o no interacción, lo que significa que las víctimas no necesitan acceder a un enlace, ni conceder permisos específicos para que el ataque avance. Además, este exploit utiliza una serie de tácticas contra la plataforma iMessage de Apple para eludir las protecciones del dispositivo, tomar el control e instalar Pegasus, el conocido spyware de NSO. La vulnerabilidad aprovechada por este exploit (CVE-2021-30860 CVSSv3 7.8) se encuentra corregida desde septiembre de 2021, en la versión de iOS 14.8. Este mismo exploit ha sido observado por Citizen Lab siendo utilizado en un ataque contra un activista saudita en el que habrían utilizado Pegasus junto con Predator, un software desarrollado por Cytrox, una de las compañías de “vigilancia bajo demanda” reportadas por el equipo de Meta y que han sido eliminadas de sus plataformas.

Más información: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

Campañas de encuestas con regalos reportan 80 millones mensuales a actores maliciosos

El equipo de investigadores de Group-IB ha publicado una investigación en la que analiza que el cibercrimen genera, aproximadamente, 80 millones de dólares al mes como consecuencia de los esquemas de fraude empleando encuestas con regalos, con el fin de recolectar información personal y bancaria. Actores maliciosos captan a sus víctimas utilizando publicidad en sitios web, SMS, correos y/o notificaciones emergentes bajo el pretexto de ganar un premio de una conocida marca mediante la participación en una encuesta. Entre lo característico de estas campañas es que la infraestructura empleada permite a actores maliciosos mostrar contenido diferente a distintos usuarios, en función de ciertos parámetros. Esto es debido a que se realizan varias redirecciones en el momento de acceder a estos enlaces, durante las cuales se recopila información del usuario que finalizará en mostrar contenido adaptado a la víctima. Asimismo, el enlace final está personalizado para el usuario concreto, siendo accesible solo una vez, complicando la detección de estos sitios maliciosos. En último lugar, se destaca que estas campañas se dirigen a más de 90 países, siendo Europa la región más afectada y que el número de empresas suplantadas supera las 120.

Toda la info: https://www.group-ib.com/media/target-links-2021/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *