Boletín semanal de ciberseguridad 22-28 de mayoElevenPaths 28 mayo, 2021 Vulnerabilidad en el stack del protocolo HTTP de Windows también afecta a WinRM Investigadores de seguridad han descubierto que la vulnerabilidad que afectaba al servidor web Windows IIS (CVE-2021-31166, CVSS 9.8), que residía en el stack del protocolo HTTP -http.sys- encargado de procesar peticiones, también puede ser aprovechada para atacar sistemas que exponen el servicio WinRM (Windows Remote Management), permitiendo a atacantes no autenticados ejecutar código arbitrario. Esta vulnerabilidad únicamente afecta a las versiones 2004 y 20H2 de Windows 10 y Windows Server. Cabe destacar que mientras este servicio viene desactivado en las versiones de Windows 10, está activado por defecto en las versiones de Windows Server. A pesar de que no existe públicamente una prueba de concepto para ejecutar código arbitrario haciendo uso de esta vulnerabilidad, investigadores han publicado una prueba para realizar ataques de denegación de servicio con el envío de un único paquete. Para saber más: https://www.bleepingcomputer.com/news/security/wormable-windows-http-vulnerability-also-affects-winrm-servers/ Vulnerabilidad zero-day en Apple Apple ha publicado un boletín de seguridad donde corrige múltiples fallos de seguridad, entre ellos uno de tipo zero-day, que afectan a su sistema operativo de escritorio macOS. Entre las vulnerabilidades abordadas, destaca la zero-day, descubierta por la firma de seguridad Jamf y catalogada como CVE-2021-30713, que hace referencia a un fallo de bypass en el framework de TCC de macOS y que estaría siendo explotada desde hace al menos un año por el grupo que opera el malware XCSSET. Para la distribución de la muestra, los operadores de XCSSET ocultarían el código malicioso en proyectos Xcode de Github, simulando ser scripts legítimos de Apple para conseguir eludir el control de transparencia y control (TCC) de macOS. Asimismo, cabe destacar otra vulnerabilidad corregida, descubierta por el equipo de investigadores de ZecOps e identificada como CVE-2021-30741, cuyo impacto afecta a sistemas iOS permitiendo el procesamiento de código malicioso. Desde Apple se recomienda la actualización de los sistemas afectados a las últimas versiones para solucionar los problemas de seguridad. Toda la información: https://support.apple.com/en-us/HT201222 Actualización: nueva campaña de espionaje basada en la explotación de vulnerabilidades en Pulse Secure El pasado 20 de abril investigadores de FireEye publicaban el descubrimiento y análisis de una campaña de espionaje a través de la explotación de vulnerabilidades en dispositivos Pulse Secure VPN, llevada a cabo por presuntos actores amenaza de origen chino. Actualmente, un mes más tarde, los investigadores han seguido recopilando información de sus hallazgos. El equipo de ingeniería inversa de Flare ha identificado 4 nuevas familias de malware relacionadas con UNC2630, diseñadas específicamente para manipular dispositivos Pulse Secure, denominadas BLOODMINE, BLOODBANK, CLEANPULSE y RAPIDPULSE. Asimismo, la CISA ha actualizado su alerta para incluir nuevas TTPs de los actores amenaza, IoCs y medidas de mitigación actualizadas. Por su parte, el equipo de respuesta a incidentes de seguridad de Ivanti ha publicado una nueva herramienta para mejorar la integridad del software Pulse Connect Secure. Más detalles: https://www.fireeye.com/blog/threat-research/2021/05/updates-on-chinese-apt-compromising-pulse-secure-vpn-devices.html Campaña de malvertising con el software AnyDesk El equipo de Falcon Complete de CrowdStrike ha publicado el análisis de una campaña de malvertising que usa como señuelo el software de escritorio remoto AnyDesk. Los operadores de la campaña habrían hecho uso de la plataforma de publicidad de Google para suplantar la página web legítima de AnyDesk, apareciendo en las búsquedas antes que los anuncios del propio software legítimo. A través de la página suplantada los usuarios se descargarían el instalador de AnyDesk, el cual ha sido previamente troyanizado incluyendo funcionalidades maliciosas. Los investigadores sugieren que alrededor del 40% de los clicks en estos anuncios maliciosos de Google resultaron en instalaciones del binario troyanizado de AnyDesk, mientras que en el 20% de las instalaciones los actores amenaza realizaron comunicaciones directas con los equipos de las víctimas para asignar tareas o ejecutar comandos. Info completa: https://www.crowdstrike.com/blog/falcon-complete-disrupts-malvertising-campaign-targeting-anydesk/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse. Resumen de ciberataques 2020 en el PerúParticipamos en el Arsenal Black Hat USA 2021: Hybrid Pandemic mode on
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
AI of Things Alumbrado público inteligente: oportunidades de negocio y beneficios para municipios y ciudadanos El alumbrado público inteligente es uno de los pilares de las ciudades inteligentes. De hecho, es uno de los mejores ejemplos de lo que significa el término Smart City:...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Nacho Palou Humanidad aumentada, el concepto que popularizó un ex-CEO de Google y que está más vigente que nunca Hace algunos años el entonces CEO de Google, Eric Schmidt, popularizó el concepto “humanidad aumentada”. Este término se refiere a la capacidad que tiene la tecnología de “mejorar las...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...