Boletín semanal de ciberseguridad 29 de mayo-4 de junio

ElevenPaths    4 junio, 2021
Boletín semanal de ciberseguridad 29 de mayo-4 de junio

Vulnerabilidad en SonicWall Network Security Manager

SonicWall ha publicado parches de seguridad para corregir una vulnerabilidad que afectaría a las versiones locales de la solución de gestión del firewall multiusuario Network Security Manager (NSM). Catalogada como CVE-2021-20026 y con un CVSS de 8’8, este error podría ser explotado de forma sencilla sin la interacción del usuario, aunque, como factor mitigante, cabe señalar que es necesario encontrarse autenticado en el sistema para conseguir su explotación. Afecta a NSM 2.2.0-R10-H1 y versiones anteriores, pero no a las ya corregidas versiones 2.2.1-R6 y 2.2.1-R6 (Enhanced) de NSM. Asimismo, esta vulnerabilidad solo afectaría a los despliegues de NSM en las instalaciones, no viéndose afectadas las versiones SaaS. Si bien la compañía no ha indicado que exista un peligro inmediato de que los atacantes exploten esta vulnerabilidad, SonicWall estaría instando a los clientes a que corrijan este fallo de inmediato.

Para saber más: https://www.sonicwall.com/support/product-notification/security-advisory-on-prem-sonicwall-network-security-manager-nsm-command-injection-vulnerability/210525121534120/

Análisis del malware utilizado por el actor amenaza Nobelium

Microsoft ha publicado un análisis de los artefactos utilizados en la etapa inicial de la campaña de suplantación a la Agencia Americana para el Desarrollo Internacional (USAID) del actor amenaza Nobelium, también conocido como APT29 y que estaría tras el ataque de cadena de suministro de SolarWinds. En concreto, se han identificado 4 nuevas familias de malware:

  • EnvyScout: permite el robo de credenciales NTLM de las cuentas de Windows y coloca una imagen ISO maliciosa en el equipo vulnerado. Este malware habría sido identificado también en una campaña de suplantación a la Embajada de Bélgica
  • Boombox: archivo .exe incluido en la ISO que actúa como downloader descargando los artefactos maliciosos cifrados desde Dropbox. También es capaz de recopilar información sobre el dominio de Windows para remitirla cifrada a un servidor remoto.
  • NativeZone: DLL que actúa como loader y se inicia automáticamente cuando un usuario inicia sesión en Windows con el fin de lanzar CertPKIProvider.dll (VaporRage).
  • VaporRage: DLLque cuenta con capacidades de descarga y ejecución de shellcode desde los servidores C2 y con las que los atacantes realizan diferentes actividades maliciosas, entre las que se incluye la instalación de balizas de Cobalt Strike.

Más información: https://www.microsoft.com/security/blog/2021/05/28/breaking-down-nobeliums-latest-early-stage-toolset/

Explotación activa de un 0-day en el plugin Fancy Product Designer

Se ha detectado una campaña de explotación activa de una vulnerabilidad 0-day en el plugin Fancy Product Designer de WordPress, un plugin que estaría presente en más de 17 mil páginas web y que permite personalizar la visualización de productos en WordPress, WooCommerce y Shopify. Se trata de una vulnerabilidad de ejecución remota de código y de carga de archivos arbitrarios que no requiere autenticación del usuario. Este fallo ha sido identificado como CVE-2021-24370 (CVSSv3 de 9.8) y afecta la versión 4.6.8 y anteriores del plugin en plataformas WordPress, WooComerce y Shopify. Sin embargo, los investigadores exponen que es probable que los ataques se bloqueen en plataformas Shopify puesto que cuentan con controles de acceso más estrictos. Se recomienda la desinstalación completa del plugin hasta que se disponga de un parche, puesto que, en algunas ocasiones, es posible aprovechar esta vulnerabilidad incluso si el plugin está desactivado.

Más detalles: https://www.wordfence.com/blog/2021/06/critical-0-day-in-fancy-product-designer-under-active-attack/

Distribución de Teabot y Flubot a través de aplicaciones y webs fraudulentas

Desde diciembre de 2020, se han registrado diversos ataques contra dispositivos Android con las familias de malware Teabot y Flubot. Recientemente, investigadores de Bitdefender han identificado una nueva oleada de aplicaciones que distribuyen estos troyanos bancarios tratando de imitar las aplicaciones legítimas mejor calificadas en el store de Android. Por su parte, Teabot cuenta con la capacidad de llevar a cabo ataques de superposición a través de los servicios de accesibilidad de Android, interceptar mensajes, realizar varias actividades de registro de teclas, robar códigos de autenticación de Google e incluso tomar el control remoto total de los dispositivos afectados. Hasta el momento está dirigido contra diversas entidades bancarias conocidas como Bankia, BBVA, Banco Santander o ING España, entre otras. Por otra parte, Flubot ha tenido un importante impacto en Alemania, España, Italia y Reino Unido. El vector de entrada de este troyano bancario sigue siendo mensajes SMS que tratan de suplantar a compañías de paquetería como son DHL, FedEx o Correos. Flubot cuenta con la capacidad de robar datos bancarios, contactos, SMS y otros datos privados. Asimismo, es capaz de ejecutar otros comandos disponibles, incluyendo el envío de SMS con el contenido que le proporcione el servidor C2.

Toda la info: https://labs.bitdefender.com/2021/06/threat-actors-use-mockups-of-popular-apps-to-spread-teabot-and-flubot-malware-on-android/

Epsilon Red: nuevo ransomware explotando vulnerabilidades Proxylogon de Microsoft Exchange

​El equipo de investigadores de Sophos ha descubierto un nuevo ransomware, denominado Epsilon Red, tras la investigación de un ataque a una importante empresa estadounidense del sector hotelero sin identificar. Según los investigadores, el vector de entrada utilizado por agentes amenaza habría consistido en la explotación de vulnerabilidades Proxylogon, debido a que la compañía no habría aplicado los parches de seguridad para proteger la infraestructura IT, en lo referido a sus servidores de Microsoft Exchange. Después de conseguir el compromiso de la red, los actores maliciosos acceden a través de RDP y usan Windows Management Instrumentation (WMI) para ejecutar software y scripts de PowerShell para finalmente desplegar el ransomware Epsilon Red. En cuanto a las características de este nuevo software malicioso destaca que está escrito en Goland y que dispone de diferentes scripts de PowerShell cuyas funcionalidades consisten en eliminar procesos de los dispositivos de las víctimas o deshabilitar soluciones de seguridad, entre otras. Si bien el origen de esta amenaza se desconoce y que el nombre, junto con el empleo de esta herramienta, son exclusivos de este atacante, la nota de rescate se asemeja enormemente a la del ransomware REvil.

Más: https://news.sophos.com/en-us/2021/05/28/epsilonred/

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *