Boletín semanal de ciberseguridad 8-14 de mayo

ElevenPaths    14 mayo, 2021

Ataque de ransomware a uno de los oleoductos más importantes de Estados Unidos

La empresa energética estadounidense Colonial Pipeline se vio afectada el pasado viernes por un ataque de ransomware, como resultado del cual unos 8800 km de oleoductos que abastecían de crudo a la costa este han tenido que ser clausurados. Esta medida habría sido tomada preventivamente para evitar la propagación del malware, pero, según indica la entidad, el ataque solo habría afectado a su red corporativa IT, y no a sistemas OT. Varias fuentes especializadas atribuyen el incidente a la familia de ransomware conocida como DarkSide, quienes ya fueron responsables del ataque a la Escuela de Organización Industrial (EOI) en España. Este ransomware se adhiere a las tendencias actuales de doble extorsión (exfiltración de datos y su publicación en abierto) y modelo de negocio mediante afiliaciones (Ransomware-as-a-Service). Tras el incidente, el gobierno estadounidense declaraba el estado de emergencia con el objetivo de trasladar el crudo necesario para la población a través de carretera. El impacto del incidente provocó que los operadores de DarkSide publicaran una nota de prensa, donde afirmaban ser apolíticos y no tener relación con ningún gobierno. Del mismo modo, indicaron que a partir de ahora revisarán sus objetivos antes de perpetrar sus ataques, dado que el objetivo de su organización es ganar dinero y no “crear problemas sociales”. DarkSide funciona como Ransomware-as-a-Service, este modelo consta de dos grupos de personas: los desarrolladores del ransomware y sus afiliados que proveen el acceso a las redes víctima. Tras el incidente a Colonial Pipeline, se espera un mayor control sobre este segundo grupo por parte de los desarrolladores de DarkSide. En relación con el ataque, se estima que los operadores del ransomware exfiltraron cerca de 100GB de datos de los sistemas antes del cifrado de la red, aunque por el momento siguen sin hacer públicos estos archivos. En las últimas horas, desde el medio Bloomberg afirman que la empresa habría formalizado el pago solicitado con el fin de recuperar la normalidad, no habiéndose confirmado nada desde Colonial Pipeline.

Más información: https://www.bleepingcomputer.com/news/security/largest-us-pipeline-shuts-down-operations-after-ransomware-attack/

Microsoft corrige tres vulnerabilidades zero-day y cuatro vulnerabilidades críticas

Microsoft ha publicado su boletín de seguridad referente al mes de mayo en el que se corrigen 3 vulnerabilidades zero-day, de las que no se tiene evidencias de explotación activa, a pesar de haber sido divulgadas antes de hacerse pública su corrección.

  • CVE-2021-31204: vulnerabilidad de elevación de privilegios en .NET y Visual Studio.
  • CVE-2021-31207: vulnerabilidad de omisión de funciones de seguridad en Microsoft Exchange Server. Este fallo de seguridad fue el que se descubrió en la edición de 2021 del Pwn2Own que tuvo lugar a principios de abril.
  • CVE-2021-31200: vulnerabilidad de ejecución remota de código en el common utilities del kit de herramientas de NNI (Neural Network Intelligence) de Microsoft.

Esta actualización engloba un total de 55 vulnerabilidades, 4 de ellas críticas (CVE-2021-31166 en HTTP Protocol Stack, CVE-2021-26419 en Internet Explorer, CVE-2021-28476 en Hyper-V y CVE-2021-31194 en Windows OLE), 50 importantes y por último, una de criticidad moderada. Ninguna de ellas bajo explotación activa.

Todos los detalles: https://msrc.microsoft.com/update-guide/

Adobe corrige vulnerabilidad zero-day explotada activamente

Adobe ha parcheado múltiples vulnerabilidades que afectan a doce de sus productos: Adobe Experience Manager, InDesign, Illustrator, InCopy, Genuine Service, Acrobat, Magento, Creative Cloud Desktop Application, Media Encoder, After Effects, Medium, y Animate. Estas ascienden a un total de 43 vulnerabilidades, entre las que se encuentra una vulnerabilidad zero-day que afecta a Adobe Acrobat Reader y está catalogada como CVE-2021-28550. Desde Adobe indican que este fallo de seguridad habría sido explotado activamente en ataques limitados contra dispositivos Windows. Cabe indicar que esta vulnerabilidad de tipo use-after-free permite la ejecución remota de código, lo que podría permitir a los atacantes ejecutar comandos, instalar malware o incluso la posibilidad de obtener acceso a dispositivos de las víctimas que utilicen como sistema operativo Windows y hayan abierto un archivo PDF malicioso especialmente diseñado. Adobe advierte a sus clientes que actualicen las versiones vulnerables lo antes posible.

Toda la info: https://helpx.adobe.com/security.html

FragAttacks: 12 nuevas vulnerabilidades en el estándar Wi-Fi y sus implementaciones

Un investigador belga ha descubierto una serie de 12 nuevas vulnerabilidades que afectan a dispositivos Wi-Fi, denominadas colectivamente como FragAttacks. Estas vulnerabilidades podrían ser utilizadas por atacantes dentro del rango Wi-Fi para inyectar frames en una red Wi-Fi protegida, consiguiendo que la víctima use un servidor DNS controlado por el actor amenaza e interceptar así el tráfico. También permitiría, en el caso de un router, sortear el firewall/NAT, permitiendo a los atacantes comunicarse directamente con los dispositivos de la red Wi-Fi, pudiendo resultar en ataques posteriores a servicios vulnerables. Entre los fallos identificados, CVE-2020-24588, CVE-2020-24587 y CVE-2020-24586 se producen por fallos en el diseño del estándar WiFi, afectando a la mayoría de dispositivos; mientras que CVE-2020-26145, CVE-2020-26144, CVE-2020-26140 y CVE-2020-26143 residen en fallos de implementación, permitiendo inyecciones triviales de frames en redes Wi-Fi protegidas. Otras 5 vulnerabilidades menos triviales residen también en fallos de implementación. El investigador ha asegurado que todo producto Wi-Fi se ve afectado por lo menos por una vulnerabilidad, y la mayoría de productos se ven afectados por varias. Para aquellos que no dispongan todavía de parches también se han facilitado una serie de recomendaciones para su mitigación.

Para saber más: https://www.fragattacks.com/

FiveHands: ataques de ransomware de doble extorsión dirigidos a organizaciones

La Agencia de Ciberseguridad Estadounidense (CISA) ha publicado una alerta acerca de una nueva variante de ransomware denominada FiveHands, que fue identificada en enero de este año. Sus operadores emplean la técnica de doble extorsión, presente ya en numerosas familias de ransomware y en la que los agentes amenaza reclaman un rescate para descifrar los sistemas vulnerados y no filtrar los datos robados de la organización. En sus intrusiones, aprovechan herramientas disponibles públicamente como SoftPerfect Network Scanner for Discovery y el programa de administración remota de Microsoft, PsExec.exe, junto con ServeManager.exe. También es habitual el despliegue del malware SombRAT, capaz de recopilar datos del sistema vulnerado, así como permitir la descarga y ejecución de DLLs en los sistemas afectados a través de una sesión SSL protegida. Asimismo, FiveHands cuenta con capacidades para eliminar las copias de seguridad de los sistemas o/y cualquier fichero de recuperación. FireEye identificaba en abril a los operadores de FiveHands como UNC2447, vinculándolos con la explotación de una vulnerabilidad zero-day en SonicWall VPN (CVE-2021-20016) para la cual existen parches desde febrero.

Todos los detalles: https://us-cert.cisa.gov/ncas/analysis-reports/ar21-126a


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita la página de CyberSecurityPulse.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *