Boletín semanal de ciberseguridad 20–26 de marzo

ElevenPaths    26 marzo, 2021
Boletín semanal de ciberseguridad 20–26 de marzo

Análisis del nuevo grupo de ciberespionaje SilverFish

El equipo de PRODAFT Threat Intelligence (PTI) ha descubierto un grupo muy sofisticado de ciberdelincuentes llamado SilverFish, que opera exclusivamente contra grandes empresas e instituciones públicas de todo el mundo, centrándose en la Unión Europea y Estados Unidos. SilverFish utilizaría métodos de gestión modernos, herramientas sofisticadas e incluso su propio sandbox para probar malware contra sistemas, empleando diferentes soluciones AV y EDR empresariales. El grupo estaría usando dominios vulnerados, que en su mayoría utilizan WordPress, para redirigir el tráfico a su servidor de Command & Control (C2). Para ello, SilverFish crea nuevos subdominios para  dificultar que el propietario del dominio averigüe que este está siendo explotado. Según la investigación, se ha podido relacionar al grupo SilverFish con los ataques a la cadena de suministro que sufrió SolarWinds. Por otro lado, la infraestructura del grupo habría revelado enlaces a múltiples IoCs previamente atribuidos a TrickBot. Finalmente, los investigadores afirman que es probable que los principales objetivos de SilverFish sean realizar un reconocimiento y filtrar datos de los sistemas víctimas de sus operaciones.

Más: https://www.prodaft.com/m/uploads/SilverFish_TLPWHITE.pdf

La energética Shell afectada por el incidente de Accellion FTA

La petrolera holandesa Shell, presente en 70 países y miembro de la lista Fortune 500, emitió un comunicado la pasada semana donde admitía haber sufrido un incidente de seguridad que ha resultado en la filtración de documentación y archivos confidenciales. Este incidente deriva del compromiso de un tercero acaecido en diciembre de 2020, en concreto, del colaborador IT Accellion. Varias vulnerabilidades del tipo Zero-Day en el software de intercambio de archivos de la firma, llamado Accellion FTA, fueron activamente explotadas por actores amenaza para distribuir malware y exfiltrar los documentos alojados en el sistema. Según Shell, los atacantes no lograron acceder a la infraestructura digital de la entidad al encontrarse el software de intercambio aislado de sus servidores principales. Entre los archivos filtrados se incluye información relativa a las filiales del grupo y a sus socios, así como información personal. Estos datos todavía no han sido divulgados públicamente en la web mantenida por los operadores del ransomware Cl0p, donde otras víctimas del incidente como Kroger o Singtel vieron expuestos sus archivos comprometidos.

Toda la info: https://www.shell.com/energy-and-innovation/digitalisation/news-room/third-party-cyber-security-incident-impacts-shell.html

Vulnerabilidades en MobileIron MDM

El investigador de seguridad Matt Burch de Optiv ha publicado tres vulnerabilidades en MobileIron MDM que, si se encadenan, podrían dar lugar a la vulneración de cuentas de usuario.

  • El primer fallo (CVE-2020-35137) podría permitir a los atacantes descubrir el endpoint de autenticación de MobileIron de una organización ya que la aplicación para dispositivos móviles Mobile@Work almacena la API hardcodeada. 
  • La segunda vulnerabilidad (CVE-2020-35138) permitiría construir solicitudes de autenticación de MobileIron y, en determinadas circunstancias, capturar las credenciales mediante un ataque MITM. 
  • El último de ellos (CVE-2021-3391), permitiría a los atacantes realizar ataques de enumeración de usuario. 

Si bien MobileIron todavía no ha publicado actualizaciones que corrijan estos fallos, sí ha proporcionado una serie de recomendaciones para mitigarlos. Asimismo, Optiv ha publicado en GitHub una herramienta para probar estos fallos de seguridad en MobileIron.

Más detalles: https://www.optiv.com/explore-optiv-insights/source-zero/mobileiron-mdm-contains-static-key-allowing-account-enumeration

Purple Fox adquiere capacidades de gusano e infecta servidores Windows a través de SMB

Los investigadores de Guardicore han publicado un informe sobre la capacidad de gusano recientemente adquirida por el malware Purple Fox, con la que infectaría servidores Windows mediante ataques de fuerza bruta contra servicios SMB vulnerables expuestos a Internet a través del puerto 445. Si la autenticación es exitosa, Purple Fox crea un servicio con nombre AC0X (donde X es un número entero del 0 al 9) que descarga el paquete de instalación de MSI de uno de los servidores HTTP de su botnet, la cual cuenta con más de dos mil servidores vulnerados. Este nuevo vector de entrada, observado desde finales de 2020, convive con técnicas de infección anteriores de Purple Fox como la explotación de vulnerabilidades del navegador web o la utilización de campañas de phishing a través de correo electrónico.

Info completa: https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/

​Vulnerabilidades graves en OpenSSL

El equipo de OpenSSL ha emitido un aviso sobre dos vulnerabilidades de gravedad alta, catalogadas como CVE-2021-3449 y CVE-2021-3450. OpenSSL es una librería de software ampliamente utilizada para crear aplicaciones de red y servidores que necesitan establecer comunicaciones seguras. Por un lado, la vulnerabilidad CVE-2021-3449 podría provocar un fallo de denegación de servicio (DoS), debido a la desviación de un puntero NULL que sólo afecta a las instancias de servidor, no a los clientes. Este problema fue reportado a la entidad el 17 de marzo de 2021 por Nokia, siendo la solución desarrollada por Peter Kästle y Samuel Sapalski de la misma firma. Por otro lado, la vulnerabilidad CVE-2021-3450 trata de un error en la validación de certificados de la Autoridad de Certificación (CA), que afecta tanto a las instancias del servidor como de cliente. El fallo fue descubierto el 18 de marzo por el equipo de Akamai y la solución fue desarrollada por Tomáš Mráz. Ambas vulnerabilidades están corregidas en la versión 1.1.1k de OpenSSL, siendo la versión 1.0.2 no afectada por este problema.

Todos los detalles: https://www.openssl.org/news/secadv/20210325.txt


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *