Boletín semanal ciberseguridad 19 – 25 de marzo

Vulnerabilidad de elevación de privilegios en Western Digital

El investigador independiente de seguridad, Xavier Danest, ha reportado una vulnerabilidad de escalada de privilegios en EdgeRover. Cabe resaltar que EdgeRover es un software desarrollado por el fabricante de productos de almacenamiento Western Digital, destinado a la administración de contenido, mediante la unificación de múltiples dispositivos de almacenamiento, bajo una única interfaz. Identificada como CVE-2022-22988, la vulnerabilidad se ha calificado como crítica con un CVSSv3 de 9.1 ya que, debido a un error de cruce de directorios, permitiría a un atacante que previamente haya comprometido el sistema objetivo, conseguir acceso no autorizado a directorios y archivos restringidos, lo que adicionalmente podría conducir a una escala da de privilegios locales, divulgación de información confidencial o ataques de denegación de servicio (DoS). El fallo afecta a las versiones de escritorio de EdgeRover para Windows y Mac, y por el momento se desconoce si se estaría explotando activamente en la red. Por su parte, Western Digital ya ha corregido los permisos de archivos y directorios para evitar el acceso y la modificación no autorizada, y recomienda actualizar EdgeRover a la versión 1.5.1-594 o posterior, que resuelve esta vulnerabilidad.

Más información: https://www.westerndigital.com/support/product-security/wdc-22004-edgerover-desktop-app-version-1-5-1-594

Serpent: nuevo backdoor que apunta a organizaciones francesas

Investigadores de Proofpoint han descubierto un nuevo backdoor que estaría siendo dirigido contra entidades francesas de los sectores de la construcción y gubernamental. La campaña detectada hace uso de documentos de Microsoft Word habilitados para macros bajo el pretexto de información relacionada con el RGPD, con el fin de distribuir Chocolatey, un instalador de paquetes legítimo y de código abierto que, tras diferentes técnicas de ocultación como la esteganografía y bypass mediante tareas programadas, implementará la puerta trasera a la que Proofpoint ha denominado “Serpent”. Una vez que la cadena de infección concluye con éxito, el atacante estaría capacitado para administrar el host objetivo desde su servidor de Command & Control (C2), exfiltrar información confidencial o incluso distribuir nuevos payloads adicionales. Proofpoint destaca la posibilidad de que “Serpent” se trate de una amenaza avanzada y dirigida, atendiendo a sus comportamientos dirigidos y únicos como la esteganografía, si bien actualmente no existen evidencias que permitan su atribución a ningún grupo conocido específico.

Todos los detalles: https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain

Vulnerabilidades críticas en modelos de impresoras HP

HP ha publicado recientemente dos boletines de seguridad en donde informa sobre vulnerabilidades críticas que afectan a cientos de modelos de impresoras de la compañía de las marcas LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format y DeskJet. Por una parte, el pasado día 21 de marzo HP publicaba un aviso de seguridad (HPSBPI03780) aludiendo a la identificación del fallo de seguridad catalogado como CVE-2022-3942, CVSS 8.4. Según indican, se trata de un fallo de desbordamiento de búfer que podría desencadenar en ejecución remota de código. Por otra parte, el segundo boletín (HPSBPI03781) contiene otras tres vulnerabilidades, siendo dos de ellas catalogadas como críticas, concretamente VE-2022-24292 y CVE-2022-24293, CVSS 9.8. La explotación de estas vulnerabilidades podría permitir que actores maliciosos pudieran producir divulgación de información, ejecución remota de código o denegación de servicio. Todos estos fallos de seguridad fueron descubiertos por el equipo Zero Day Initiative de Trend Micro. Cabe indicar que HP ha lanzado actualizaciones de seguridad de firmware para la mayoría de los productos afectados, aunque no todos los modelos contienen parche por el momento.

Descubre más información: https://support.hp.com/us-en/document/ish_5948778-5949142-16/hpsbpi03780

Campaña de espionaje usando nueva variante del malware Korplug

Investigadores de seguridad de ESET han detectado una campaña maliciosa activa desde hace al menos ocho meses que estaría distribuyendo una nueva variante del troyano de acceso remoto (RAT) Korplug. Según la investigación, la distribución de este malware se estaría llevando a cabo mediante el envío de correos bajo señuelos asociados a eventos actuales como el COVID-19 o relacionados con temáticas institucionales europeas. Entre los objetivos detectados, ESET menciona que la campaña apunta a diplomáticos europeos, proveedores de servicios de internet e institutos de investigación en países como Grecia, Chipre, Sudáfrica, entre otros. Korplug es un troyano asociado anteriormente por su similitud a variantes del malware PlugX que, en función de la campaña o actor amenaza que lo utilice en sus operaciones, puede tener capacidades de enumerar unidades y directorios, leer y escribir archivos, ejecutar comandos en un escritorio oculto, iniciar sesiones remotas y comunicarse con el servidor Command & Control (C2) de los atacantes. No obstante, no se descarta que Korplug se encuentre en pleno desarrollo añadiendo nuevas funcionalidades de ocultación. ESET atribuye la autoría de esta campaña al actor amenaza vinculado a China Mustang Panda (aka TA416), conocido por su motivación principalmente enfocada al espionaje político.

Más: https://www.welivesecurity.com/2022/03/23/mustang-panda-hodur-old-tricks-new-korplug-variant/

Nuevas campañas de APTs norcoreanas explotando 0-day de Chrome

Investigadores de Google han identificado nuevas campañas atribuidas a dos grupos de cibercriminales vinculados a Corea del Norte en la que habrían explotado vulnerabilidades de ejecución remota de código en Chrome. La actividad de estos grupos ha sido denominada anteriormente, por un lado, como Operación Dream Job, y por otro lado como Operación AppleJesus. En concreto, estas APTs habrían explotado la vulnerabilidad CVE-2022-0609 durante algo más de un mes, antes de que el parche estuviera disponible el pasado 14 de febrero. La actividad se habría dirigido contra entidades norteamericanas entre las que habría medios de comunicación, organizaciones del sector tecnológico, criptomonedas y de la industria tecnológica financiera, no obstante, es posible que también se haya dirigido contra otros sectores y geografías.  En el análisis publicado se detallan las tácticas, técnicas y procedimientos (TTPs), indicadores de compromiso y detalles sobre el exploit utilizado por los atacantes, el cual podría ser aprovechado por otros grupos vinculados a Corea del Norte.

Todos los detalles: