Boletín semanal de ciberseguridad, 7 — 14 de octubreTelefónica Tech 17 octubre, 2022 Vulnerabilidad crítica en Fortinet Fortinet ha emitido un aviso de seguridad a sus clientes donde insta a actualizar sus firewalls FortiGate y proxy web FortiProxy, con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que podría permitir a atacantes remotos iniciar sesión en dispositivos sin parchear. La vulnerabilidad ha sido identificada con el CVE-2022-40684 y, por el momento no tiene criticidad CVSS asociada según el fabricante, aunque algunos investigadores estiman que podría alcanzar una puntuación de 9.8. El fallo reside en la interfaz administrativa donde, utilizando rutas o canales alternativos en FortiOS y FortiProxy, un atacante no autenticado podría llegar a realizar operaciones a través de solicitudes HTTP o HTTPS especialmente diseñadas. Las versiones vulnerables son FortiOS 7.0.0 a 7.0.7, FortiOS 7.2.0 a 7.2.2 y FortiProxy 7.0.0 a 7.0.7 y 7.2.0., quedando solucionada la vulnerabilidad con las nuevas versiones FortiOS 7.2.1 y 7.2.2 y FortiProxy 7.2.1. Asimismo, en caso de no ser posible implementar estas actualizaciones, Fortinet ha recomendado limitar las direcciones IP que pueden llegar a la interfaz administrativa mediante una política local, e incluso deshabilitar las interfaces de administración remota para garantizar que se bloqueen los posibles ataques hasta que se pueda realizar la actualización. Por el momento no se conocen reportes sobre la posible explotación activa de este fallo por actores amenaza, si bien según el buscador Shodan, existen más de 100.000 firewalls FortiGate accesibles desde Internet. Más info ⇾ * * * LofyGang se centra en ataques a la cadena de suministro Investigadores de Checkmarx han publicado un informe acerca del actor amenaza focalizado en ataques a la cadena de suministro, conocido como LofyGang. De acuerdo con Checkmarx, la última campaña llevada a cabo por el grupo desde el año 2021 estaría centrada en infectar las cadenas de suministro de software open source con paquetes NPM maliciosos. Los objetivos de los atacantes estarían focalizados en obtener información de tarjetas de crédito, o el robo de cuentas de usuario, entre las que se encontrarían cuentas premium de Discord, o de servicios como Disney+ o Minecraft, entre otras. En la ejecución de los ataques, se valen de todo tipo de TTPs, entre las que incluyen el typosquatting, apuntando a errores de escritura en la cadena de suministro, o el “StarJacking«, vinculando la URL del paquete legitimo a un repositorio de GitHub no relacionado. El grupo, que se cree que podría ser de atribución brasileña, se comunica principalmente a través de Discord. Además, disponen de un canal de YouTube y colaboran con varios foros clandestinos con el nickname DyPolarLofy, promocionando sus herramientas y vendiendo las credenciales que han obtenido. Por otro lado, el grupo dispone de un GitHub donde ofrecen sus repositorios de código abierto ofrecen herramientas y bots para Discord. Cabe destacar que los investigadores de Checkmarx han creado una web para poder seguir las actualizaciones de sus hallazgos y un repositorio con los paquetes maliciosos descubiertos hasta el momento. Más info ⇾ * * * Emotet resurge con nuevos mecanismos para la evasión Investigadores de VMware Threat Analysis Unit han publicado un informe donde analizan la resurrección del grupo detrás del malware-as-a-service (MaaS) Emotet, grupo al que se le conoce como Mummy Spider, MealyBug o TA542. Este nuevo resurgimiento del malware llega tras su desmantelamiento por parte de las fuerzas del orden internacionales en enero de 2021. Los investigadores analizaron datos de correos spam, URLs y archivos adjuntos recopilados de campañas de principios de año, llegando a la conclusión de que las botnets de Emotet están en constante evolución para dificultar la detección y el bloqueo por parte de los equipos de defensa. Esto lo logran gracias a funcionalidades para ocultar sus configuraciones, crear cadenas de ejecución más complejas y modificar constantemente su infraestructura de command and control (C2). Además, han ampliado y mejorado la capacidad de robo de tarjetas de crédito y su mecanismo para la propagación lateral. La distribución del software malicioso se basa en envíos masivos de correos electrónicos con enlaces o documentos adjuntos maliciosos. Más info ⇾ * * * Microsoft soluciona 84 vulnerabilidades en su Patch Tuesday, dos de ellas 0-day Microsoft ha corregido en su Patch Tuesday correspondiente al mes de octubre 84 vulnerabilidades, entre las que se encuentran dos 0-day, uno de ellos activamente explotado, y 13 fallos críticos que permitirían la elevación de privilegios, suplantación de identidad o la ejecución remota de código. El 0-day activamente explotado, identificado como CVE-2022-41033 y CVSS 6.8, fue descubierto por un investigador anónimo y afecta al servicio del sistema de eventos COM+ de Windows, permitiendo que un atacante pueda obtener privilegios de sistema. Por otro lado, el segundo 0-day que, según Microsoft, únicamente se ha divulgado públicamente, se ha catalogado como CVE-2022-41043 y con un CVSS temporal de 2.9. En este caso, el error consiste en una vulnerabilidad de divulgación de información en Microsoft Office que podría permitir a un atacante obtener acceso a los tokens de autenticación de los usuarios. Referente a los otros dos 0-day conocidos recientemente en el servidor Exchange (CVE-2022-41040 y CVE-2022-41082), Microsoft aclara que por el momento no ha publicado actualizaciones de seguridad que las solucionen y remite a su publicación del pasado 30 de septiembre, que incluye una guía para aplicar mitigaciones a estas vulnerabilidades. Más info ⇾ * * * Alchimist: nuevo framework de ataque dirigido a Windows, Linux y macOS Investigadores de Cisco Talos han descubierto una nueva herramienta de ataque, con capacidades de command and control (C2), diseñada para apuntar a sistemas Windows, Linux y macOS. Nombrada como “Alchimist”, la publicación de Cisco señala que todos los archivos de la herramienta son ejecutables de 64 bits y están desarrollados en el lenguaje de programación GoLang, características que facilitan la compatibilidad con diferentes sistemas operativos. Su funcionamiento se basa en una interfaz web que permite generar y configurar cargas útiles implementadas en dispositivos infectados, destinadas a tomar capturas de pantalla, lanzar comandos arbitrarios e incluso ejecutar código de forma remota. Además, Alchimist es capaz de introducir un nuevo troyano de acceso remoto (RAT) denominado “Insekt” mediante código PowerShell para Windows, wget para sistemas Linux y, en el caso de macOS, sustituido por un exploit de escalada de privilegios (CVE-2021-4034) en la utilidad pkexec de Polkit. Una vez implementado, el troyano establecerá comunicación con la infraestructura C2 de los atacantes a través de la interfaz de Alchimist y diferentes protocolos de comunicación como TLS, SNI, WSS/WS, siendo sus principales finalidades la recopilación de información y la ejecución de comandos. Más info ⇾ Cómo proteger tus cuentas en las redes socialesElegir un proveedor de Servicio de Seguridad Gestionada (MSSP): 5 claves para acertar
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
