Boletín semanal de Ciberseguridad, 11 – 18 de noviembreTelefónica Tech 18 noviembre, 2022 Actualizaciones de seguridad para 35 vulnerabilidades de Cisco Cisco ha publicado una actualización de seguridad con la que solventa 35 vulnerabilidades en Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) y Firepower Management Center (FMC). Ocho de las 35 vulnerabilidades tienen criticidad alta, siendo las más elevadas las vulnerabilidades CVE-2022-20946 y CVE-2022-20947 (con una puntuación CVSS de 8.6 en ambos casos), que afectan a los productos Cisco ASA y Cisco FTD. Un atacante no autenticado podría explotarlas para conseguir una condición de denegación de servicio (DoS). También destaca la vulnerabilidad CVE-2022-20927 (CVSS de 7.7), que afecta a los mismos productos que las anteriores y también conduciría a un atacante a causar una condición DoS. Del resto de errores sobresalen 15 vulnerabilidades cross-site scripting (XSS) en la interfaz de Cisco FMC. Según el boletín de Cisco, no se conocen exploits activos contra ninguna de las vulnerabilidades recién parcheadas. Más info → * * * Campaña a gran escala de Fangxiao suplantando a cientos de empresas El equipo de Cyjax ha publicado una investigación acerca de una sofisticada campaña a gran escala en la que los actores maliciosos habrían creado y utilizado más de 42.000 dominios web. De acuerdo con los investigadores, detrás de esta campaña se encontraría el grupo Fangxiao, cuyo modus operandi consistiría en el envío de enlaces por WhatsApp que redirigen al usuario a un dominio controlado por los atacantes, y donde se suplanta a empresas conocidas. Cabe señalar que hasta la fecha se habrían detectado más de 400 empresas suplantadas del sector de la banca, retail, energía, viajes, etc. Tras completar una encuesta inicial bajo el pretexto de obtener premios, los usuarios son redirigidos nuevamente a otros dominios que cambian constantemente, finalizando en la descarga de una aplicación con el troyano Triada. En otros casos, el esquema fraudulento deriva a los usuarios a la página web de Amazon mediante un enlace de afiliado que repercute en una comisión a quien controle la redirección final. Asimismo, también se han detectado casos donde se deriva al usuario a una estafa de micropagos por SMS. Desde Cyjax indican que la campaña estaría dirigida a usuarios de todo el mundo. Más info → * * * Mozilla corrige múltiples vulnerabilidades Mozilla ha anunciado el lanzamiento de la nueva versión del navegador Firefox 107 en la cual se corrigen numerosas vulnerabilidades. Con esta nueva versión se han solucionado 19 vulnerabilidades en total, dentro de las cuales Mozilla ha categorizado nueve como de impacto alto. Entre estas, la mayoría se debe a errores relacionados con la mala gestión de la memoria que podrían producir un bloqueo del programa, entre otros errores que conducirían a la divulgación de información u omisión de notificaciones para llevar a cabo ataques de suplantación de identidad. Un ejemplo de esto es la vulnerabilidad identificada como CVE-2022-45407, mediante la cual un atacante podría cargar un archivo fuente (font file) legítimo y desencadenar un bloqueo, fallo denominado por Mozilla como “bloqueo potencialmente explotable”. Otra de las vulnerabilidades corregidas, identificada como CVE-2022-45404, se describe como “omisión de notificación de pantalla completa”. Cabe destacar que estos fallos también han sido corregidos en Mozilla Thunderbird con la versión 102.5. Más info → * * * Nuevos detalles de la última campaña de Emotet Después de la detección de nuevas infecciones con Emotet a comienzos del mes de noviembre, numerosos investigadores han analizado pormenorizadamente la última campaña llevada a cabo entre los días 2 y 11 de noviembre. Tal y como ya informaron inicialmente investigadores de Cryptolaemus, en esta campaña distribuida por email uno de los cambios más notables con respecto a anteriores campañas es que los actores maliciosos (TA542) indican a las víctimas que copien el archivo Excel adjunto malicioso en la carpeta Templetes, donde la protección de macros no está activada. Asimismo, también se han detectado novedades en el binario de Emotet, así como la vuelta a la funcionalidad de entrega de otras familias de malware, habiéndose detectado su uso para difundir nuevas variantes de IcedID loader o de Bumblebee. De acuerdo con la investigación publicada por Proofpoint, en esta campaña se habrían intentado entregar cada día cientos de miles de correos electrónicos con diferentes señuelos y escritos en varios idiomas, lo que ha situado a las víctimas en España, México, Grecia, Brasil, Estados Unidos, Reino Unido, Japón, Alemania, Italia, o Francia, entre otros. Asimismo, se estima que, aunque desde el día 11 no se haya vuelto a detectar actividad, es muy probable que TA542 vuelva a distribuir Emotet pronto al encontrarse de nuevo su red plenamente operativa. Más info → * * * Qbot cambia para abusar del panel de control de Windows 10 El investigador de seguridad conocido en Twitter como “proxylife” (@pr0xylife) ha descubierto la existencia de una campaña de phishing con el malware Qbot, también conocido como Qakbot, en la que se ha observado que ha pasado de explotar una vulnerabilidad en la calculadora de Windows 7 a aprovecharse de un error en el ejecutable ‘control.exe’ del panel de control de Windows 10. En concreto, Qbot crea un archivo malicioso DLL con el mismo nombre y en la misma carpeta que la DLL legítima, haciendo que Windows lo ejecute y descargue en el equipo de la víctima el troyano. De esta manera, además, consigue evadir la protección de los software antivirus, ya que no marcarán como malicioso un programa que se haya instalado desde el panel de control de Windows 10. Una vez instalado en el equipo objetivo, Qbot robará emails para usarlos en campañas de phishing o, incluso, puede usarse para descargar otros tipos de malware como Brute Ratel o Cobalt Strike. Más info → Cuestión de confianza: la necesidad de gobierno y control de un proyectoTrending Techies meetup: «La línea defensiva en Ciberseguridad»
Telefónica Tech Boletín semanal de Ciberseguridad, 22 – 26 de mayo GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo...
David García ¿Salvará Rust el mundo? (II) Segunda entrega en la que descubrimos cómo Rust, el lenguaje de programación de código abierto centrado en la seguridad, mejora el panorama en cuanto a vulnerabilidades basadas en errores...
Sergio de los Santos Cuatro hitos en Ciberseguridad que marcaron el futuro del malware Un recorrido por los 15 años que ha dedicado Microsoft para consolidar una estrategia que ha repercutido en la Ciberseguridad a nivel global
Telefónica Tech Boletín semanal de Ciberseguridad, 15 – 19 de mayo Vulnerabilidades en plataformas cloud El equipo de investigadores de Otorio descubrió 11 vulnerabilidades que afectan a diferentes proveedores de plataformas de administración de cloud. En concreto, se tratan de Sierra...
Javier Martínez Borreguero Automatización, Conectividad e Inteligencia Aumentada al servicio de una reindustrialización competitiva, disruptiva y sostenible Por segundo año consecutivo vuelvo a participar en el Advanced Factories (AF 2023), la mayor exposición y congreso profesional dedicado a la Industria 4.0 del sur de Europa. Un...
Nacho Palou Passkey es otro clavo de Google en el ataúd de las contraseñas Passkey de Google ofrece a los usuarios la posibilidad de utilizar una llave de acceso para identificarse y acceder a sitios web o apps sin teclear su nombre de...
