Boletín semanal de ciberseguridad 2-8 octubre

Telefónica Tech    8 octubre, 2021
Boletín semanal

Vulnerabilidades en Apache activamente explotadas

A principios de esta semana, Apache corregía un 0-day (CVE-2021-41773) que afectaba a los servidores HTTP de Apache y que estaba siendo explotado activamente. Sin embargo, el jueves conocíamos que el parche publicado sobre la versión 2.4.50 fue insuficiente, dando lugar a una nueva vulnerabilidad, ya que un agente amenaza remoto puede seguir aprovechando el ataque de Path Traversal para mapear direcciones URL con ficheros fuera del directorio raíz del servidor web a través de directivas Alias-like. Además, sería también posible la ejecución remota de código si en dichos caminos o rutas con alias se han habilitado scripts CGI. Esta nueva vulnerabilidad, identificada como CVE-2021-42013 afecta a las versiones 2.4.49 y 2.4.50 y está siendo también activamente explotada. Desde Apache lanzaban una corrección para la nueva vulnerabilidad en la versión 2.4.51. Asimismo, CISA ha realizado una publicación instando a las organizaciones a aplicar los parches lo antes posible, ya que se están observando escaneos de forma masiva para aprovechar estos fallos.

Más detalles: https://blog.talosintelligence.com/2021/10/apache-vuln-threat-advisory.html

Vulnerabilidad en Azure AD permite ataques de fuerza bruta

Investigadores de seguridad de Secureworks han publicado el descubrimiento de una nueva vulnerabilidad en Microsoft Azure. Este fallo, que todavía no ha sido corregido por Microsoft, podría permitir a agentes amenaza realizar ataques de fuerza bruta contra el Directorio Activo de Azure sin ser detectados, ya que no se generarían eventos de inicio de sesión en el tenant de la compañía víctima. El fallo reside en la característica Seamless Single Sign-On (SSO) de Azure, que permite a los usuarios iniciar sesión automáticamente sin tener que introducir las credenciales. Sin embargo, la explotación de este fallo no se limita solo a las organizaciones que utilicen Seamless SSO. Desde Microsoft han comunicado a los investigadores que se estarían mejorando las características de Seamless SSO para mitigar la vulnerabilidad. A raíz de conocerse la vulnerabilidad, ya se han publicado en GitHub algunas pruebas de concepto para explotar el fallo.

Toda la info: https://www.secureworks.com/research/undetected-azure-active-directory-brute-force-attacks

Syniverse sufre accesos no autorizados en sus sistemas durante años

El pasado mes de septiembre, la compañía Syniverse señaló ante la Comisión Nacional de Mercado de Valores norteamericana haber descubierto en mayo del presente año haber sufrido un incidente de seguridad que afectó a su entorno de transferencias EDT mediante un acceso no autorizado a bases de datos internas en varias ocasiones desde el año 2016. Desde la propia empresa, indicaban que el incidente no llegó a afectar a su funcionamiento y que no se produjo ningún intento de extorsión. Desde el medio Motherboard han publicado un artículo donde tratan de evaluar el posible alcance real de estos hechos, destacando que Syniverse ofrece servicios a más de 300 compañías del sector de las telecomunicaciones, como AT&T, Verizon o T-Mobile. Además, en su artículo añaden que un exempleado de la compañía habría informado que los sistemas afectados contenían acceso a metadatos de registros de llamadas, datos de las personas, números de teléfono, ubicaciones, así como contenido de los mensajes de texto SMS. Según el investigador de seguridad, Karsten Nohl, Syniverse tendría acceso a la comunicación de miles de millones de personas de todo el mundo y estos hechos supondrían una afectación grave a la privacidad de los usuarios. Según el medio digital, desde Syniverse no se ha querido pronunciar a preguntas específicas sobre el alcance real de afectación.

Para saber más: https://www.vice.com/amp/en/article/z3xpm8/company-that-routes-billions-of-text-messages-quietly-says-it-was-hacked

Extraen 950GB de datos de un C2 de Agent Tesla

Investigadores de Resecurity, en colaboración con diversos ISP de la Unión Europea, Oriente Medio y América del Norte, habrían logrado exfiltrar 950GB de información de un servidor Command & Control (C2) del RAT Agent Tesla, activo desde finales de 2014 y conocido por el compromiso de información sensible mediante campañas de malspam. Tras el análisis de la información, habrían localizado credenciales de usuario y archivos confidenciales, entre otros, permitiendo a los investigadores establecer patrones de uso de Agent Tesla por los agentes amenaza. Entre estos patrones destacan la distribución geográfica de las víctimas, localizando regiones más afectadas como Estados Unidos, Canadá, Italia, España, Chile o Egipto, así como sectores más aquejados por este RAT, entre los que se encuentran el sector financiero, el retail y el gubernamental. Conforme exponen diferentes investigadores de seguridad que habrían estado haciendo un seguimiento de este malware, Agent Tesla seguirá siendo una amenaza para entornos Windows, sobre todo tras observarse que la nueva versión del RAT estaría atentando contra la interfaz ASMI de Microsoft para evitar ser detectado y alargar los tiempos de infección.

Todos los detalles: https://securityaffairs.co/wordpress/123039/malware/agent-tesla-c2c-dumped.html

TangleBot – Nuevo malware para Android

Investigadores de seguridad de Proofpoint han descubierto un nuevo malware para dispositivos móviles Android, que han bautizado como TangleBot y que de momento estaría dirigido a usuarios en Estados Unidos y Canadá. Este malware se distribuye mediante campañas de smishing donde se simula el envío de regulaciones sobre la COVID-19 o información relacionada con posibles cortes de energía. En los SMS se incita a las víctimas a hacer clic en un enlace que les solicita una actualización de Adobe Flash y se les invita a descargar la supuesta actualización. Lo que realmente se acaba instalando es ya TangleBot, un malware que otorga a los atacantes el control total de los dispositivos, lo que les permite monitorizar y registrar las actividades del usuario, activar un keylogger para interceptar todas las contraseñas tecleadas o también almacenar sin el conocimiento del usuario el audio y video usando el micrófono y la cámara del dispositivo. Además de sus capacidades de espionaje y registro de teclas, el malware puede bloquear y realizar llamadas, lo que provoca la posibilidad de que se habiliten otro tipo de servicios premium.

Info completa: https://www.proofpoint.com/us/blog/threat-insight/mobile-malware-tanglebot-untangled

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *