Boletín semanal ciberseguridad 19 – 25 de marzoTelefónica Tech 25 marzo, 2022 Vulnerabilidad de elevación de privilegios en Western Digital El investigador independiente de seguridad, Xavier Danest, ha reportado una vulnerabilidad de escalada de privilegios en EdgeRover. Cabe resaltar que EdgeRover es un software desarrollado por el fabricante de productos de almacenamiento Western Digital, destinado a la administración de contenido, mediante la unificación de múltiples dispositivos de almacenamiento, bajo una única interfaz. Identificada como CVE-2022-22988, la vulnerabilidad se ha calificado como crítica con un CVSSv3 de 9.1 ya que, debido a un error de cruce de directorios, permitiría a un atacante que previamente haya comprometido el sistema objetivo, conseguir acceso no autorizado a directorios y archivos restringidos, lo que adicionalmente podría conducir a una escala da de privilegios locales, divulgación de información confidencial o ataques de denegación de servicio (DoS). El fallo afecta a las versiones de escritorio de EdgeRover para Windows y Mac, y por el momento se desconoce si se estaría explotando activamente en la red. Por su parte, Western Digital ya ha corregido los permisos de archivos y directorios para evitar el acceso y la modificación no autorizada, y recomienda actualizar EdgeRover a la versión 1.5.1-594 o posterior, que resuelve esta vulnerabilidad. Más información: https://www.westerndigital.com/support/product-security/wdc-22004-edgerover-desktop-app-version-1-5-1-594 Serpent: nuevo backdoor que apunta a organizaciones francesas Investigadores de Proofpoint han descubierto un nuevo backdoor que estaría siendo dirigido contra entidades francesas de los sectores de la construcción y gubernamental. La campaña detectada hace uso de documentos de Microsoft Word habilitados para macros bajo el pretexto de información relacionada con el RGPD, con el fin de distribuir Chocolatey, un instalador de paquetes legítimo y de código abierto que, tras diferentes técnicas de ocultación como la esteganografía y bypass mediante tareas programadas, implementará la puerta trasera a la que Proofpoint ha denominado “Serpent”. Una vez que la cadena de infección concluye con éxito, el atacante estaría capacitado para administrar el host objetivo desde su servidor de Command & Control (C2), exfiltrar información confidencial o incluso distribuir nuevos payloads adicionales. Proofpoint destaca la posibilidad de que “Serpent” se trate de una amenaza avanzada y dirigida, atendiendo a sus comportamientos dirigidos y únicos como la esteganografía, si bien actualmente no existen evidencias que permitan su atribución a ningún grupo conocido específico. Todos los detalles: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain Vulnerabilidades críticas en modelos de impresoras HP HP ha publicado recientemente dos boletines de seguridad en donde informa sobre vulnerabilidades críticas que afectan a cientos de modelos de impresoras de la compañía de las marcas LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format y DeskJet. Por una parte, el pasado día 21 de marzo HP publicaba un aviso de seguridad (HPSBPI03780) aludiendo a la identificación del fallo de seguridad catalogado como CVE-2022-3942, CVSS 8.4. Según indican, se trata de un fallo de desbordamiento de búfer que podría desencadenar en ejecución remota de código. Por otra parte, el segundo boletín (HPSBPI03781) contiene otras tres vulnerabilidades, siendo dos de ellas catalogadas como críticas, concretamente VE-2022-24292 y CVE-2022-24293, CVSS 9.8. La explotación de estas vulnerabilidades podría permitir que actores maliciosos pudieran producir divulgación de información, ejecución remota de código o denegación de servicio. Todos estos fallos de seguridad fueron descubiertos por el equipo Zero Day Initiative de Trend Micro. Cabe indicar que HP ha lanzado actualizaciones de seguridad de firmware para la mayoría de los productos afectados, aunque no todos los modelos contienen parche por el momento. Descubre más información: https://support.hp.com/us-en/document/ish_5948778-5949142-16/hpsbpi03780 Campaña de espionaje usando nueva variante del malware Korplug Investigadores de seguridad de ESET han detectado una campaña maliciosa activa desde hace al menos ocho meses que estaría distribuyendo una nueva variante del troyano de acceso remoto (RAT) Korplug. Según la investigación, la distribución de este malware se estaría llevando a cabo mediante el envío de correos bajo señuelos asociados a eventos actuales como el COVID-19 o relacionados con temáticas institucionales europeas. Entre los objetivos detectados, ESET menciona que la campaña apunta a diplomáticos europeos, proveedores de servicios de internet e institutos de investigación en países como Grecia, Chipre, Sudáfrica, entre otros. Korplug es un troyano asociado anteriormente por su similitud a variantes del malware PlugX que, en función de la campaña o actor amenaza que lo utilice en sus operaciones, puede tener capacidades de enumerar unidades y directorios, leer y escribir archivos, ejecutar comandos en un escritorio oculto, iniciar sesiones remotas y comunicarse con el servidor Command & Control (C2) de los atacantes. No obstante, no se descarta que Korplug se encuentre en pleno desarrollo añadiendo nuevas funcionalidades de ocultación. ESET atribuye la autoría de esta campaña al actor amenaza vinculado a China Mustang Panda (aka TA416), conocido por su motivación principalmente enfocada al espionaje político. Más: https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/ Nuevas campañas de APTs norcoreanas explotando 0-day de Chrome Investigadores de Google han identificado nuevas campañas atribuidas a dos grupos de cibercriminales vinculados a Corea del Norte en la que habrían explotado vulnerabilidades de ejecución remota de código en Chrome. La actividad de estos grupos ha sido denominada anteriormente, por un lado, como Operación Dream Job, y por otro lado como Operación AppleJesus. En concreto, estas APTs habrían explotado la vulnerabilidad CVE-2022-0609 durante algo más de un mes, antes de que el parche estuviera disponible el pasado 14 de febrero. La actividad se habría dirigido contra entidades norteamericanas entre las que habría medios de comunicación, organizaciones del sector tecnológico, criptomonedas y de la industria tecnológica financiera, no obstante, es posible que también se haya dirigido contra otros sectores y geografías. En el análisis publicado se detallan las tácticas, técnicas y procedimientos (TTPs), indicadores de compromiso y detalles sobre el exploit utilizado por los atacantes, el cual podría ser aprovechado por otros grupos vinculados a Corea del Norte. Todos los detalles: Boletín semanal ciberseguridad 12 – 18 de marzoBoletín semanal ciberseguridad 26 de marzo-1 de abril
Mercedes Núñez España, pionera en la UE en implantar el reconocimiento de voz con inteligencia artificial entre jueces y magistrados Ayer un compañero escribía del reconocimiento de voz con inteligencia artificial como una tecnología consolidada, que permite convertir el dictado en texto escrito. Es decir, “escribir a viva voz”. Todos...
Open Future Estas son las 8 profesiones del futuro El gran desarrollo tecnológico de los últimos años ha modificado el escenario laboral, haciendo que las empresas requieran de personas con nuevas competencias y habilidades, sobre todo en el...
Carlos Rebato Qué es el Edge Computing, explicado de manera sencilla El Edge Computing es una de las tecnologías que definirá y revolucionará la manera en la que humanos y dispositivos se conectan a internet. Afectará a industrias y sectores...
Blanca Montoya Gago El papel de los PERTE en la sociedad del futuro Los proyectos estratégicos para la recuperación y transformación económica (PERTE) son una nueva figura dentro del Plan de Recuperación, Transformación y Resiliencia. Se definen como iniciativas que suponen un...
Blanca Montoya Gago Claves para comprender qué es un IPCEI Cuando hablamos de IPCEI nos referimos a Proyectos Importantes de Interés Común Europeo, que son diseñados para agrupar a los sectores público y privado con el objetivo iniciar proyectos...
Telefónica Tech Boletín semanal ciberseguridad 5 – 11 de marzo Mozilla parchea dos vulnerabilidades 0-day Mozilla ha emitido un aviso de seguridad donde corrige dos vulnerabilidades 0-day que estarían siendo activamente explotadas y que afectan a Firefox, Focus y Thunderbird....