Boletín semanal de ciberseguridad 19-25 de junio

Telefónica Tech    25 junio, 2021
Boletín semanal de ciberseguridad 19-25 de junio

SonicWall corrige una vulnerabilidad crítica que había sido solucionada parcialmente

En octubre del año pasado, SonicWall corregía una vulnerabilidad crítica de desbordamiento de búfer en SonicOS bajo el identificador CVE-2020-5135, que afectaba a más de 800.000 dispositivos VPN de SonicWall. Este fallo permitía a atacantes no autenticados la ejecución remota de código en el dispositivo afectado o causar una denegación de servicio mediante el envío de peticiones HTTP específicamente diseñadas al firewall. Sin embargo, el investigador de seguridad Craig Young desvela ahora que este parche dejó sin corregir un fallo de exposición de información de memoria, que ha sido identificado como CVE-2021-20019 y que no había sido solventado hasta la versión más reciente de SonicOS. 

Más info: https://www.tripwire.com/state-of-security/featured/analyzing-sonicwalls-unsuccessful-fix-for-cve-2020-5135/

Zyxel alerta a sus clientes de ataques contra sus dispositivos

Zyxel ha alertado a sus clientes, a través de correo electrónico, sobre una serie de ataques dirigidos contra sistemas VPN, firewall y balanceadores de carga que la compañía ofrece y que tienen habilitada la administración remota vía SSL-VPN. En concreto, estos ataques irían dirigidos contra dispositivos de red de las series USG, ZyWALL, USG FLEX, ATP y VPN que ejecutan el firmware ZLD en local. Según expone Zyxel, el atacante trata de acceder al dispositivo vía WAN y si lo consigue, intenta eludir los sistemas de autenticación y establecer una conexión VPN a través de un túnel SSL con un usuario desconocido (p.ej: «zyxel_slIvpn», «zyxel_ts», «zyxel_vpn_test») para manipular la configuración del dispositivo. Por el momento, se desconoce si el vector de entrada de estos ataques es una vulnerabilidad antigua presente en dispositivos sin parchear o si se trata de una nueva vulnerabilidad 0-day. Pese a ello, Zyxel ha compartido una serie de medidas de mitigación frente a esta amenaza.

Todos los detalles: https://therecord.media/zyxel-says-a-threat-actor-is-targeting-its-enterprise-firewall-and-vpn-devices/

Matanbuchus: nuevo Malware-as-a-Service

Investigadores de Unit 42 de Palo Alto han publicado los detalles de un nuevo Malware-as-a-Service (Maas) denominado Matanbuchus Loader. Este MaaS, fue visto por primera vez en febrero de este año en foros underground relacionado con el actor amenaza BelailDemon, quien establecía un precio de 2500 dólares por su adquisición. El vector inicial de distribución del artefacto es un documento Excel con macros maliciosas, el cual ejecutará un archivo descargado de un dominio externo. Matanbuchus cuenta con múltiples capacidades como ejecutar archivos .exe o .dll en memoria, aprovechar el servicio de tareas programadas schtasks.exe para lograr persistencia, ejecutar comandos en PowerShell o utilizar ejecutables del sistema para cargar librerías DLL. Desde Palo Alto han identificado varias organizaciones afectadas por este malware en Estados Unidos y Bélgica.

Información completa: https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/

DarkRadiation: nuevo ransomware dirigido a sistemas GNU/Linux con funcionalidades de gusano

Investigadores de Trend Micro han analizado el funcionamiento de un ransomware descubierto recientemente, el cual ha sido denominado DarkRadiation y está dirigido a sistemas GNU/Linux. Esta completamente implementado en Bash y la mayoría de sus componentes están dirigidos a las distribuciones Red Hat y CentOS, incluyendo también en menor medida a distribuciones basadas en Debian. Este ransomware utiliza la API de Telegram para comunicación con el servidor C&C y tiene funcionalidades de gusano mediante el protocolo SSH. Para evadir detecciones hace uso de la herramienta de ofuscación de código abierto «node-bash-ofuscate», con la cual los atacantes obtienen cero detecciones en VirusTotal. Los investigadores han observado que este ransomware está en continuo desarrollo, con múltiples versiones pertenecientes a distintas campañas.

Para saber más: https://www.trendmicro.com/en_us/research/21/f/bash-ransomware-darkradiation-targets-red-hat–and-debian-based-linux-distributions.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada.