Boletín semanal de Ciberseguridad, 14 – 20 de enero

Telefónica Tech    20 enero, 2023

Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un caso de buffer overflow y de omisión de autenticación que permitirían la ejecución remota de código.

El investigador que las descubrió, Brendan Scarvell, ha publicado una PoC para ambas. Los modelos afectados de router serían Netcomm NF20MESH, NF20 y NL1902 que ejecuten versiones de firmware anteriores a R6B035.

Por otro lado, el CERT/CC detalló dos vulnerabilidades que afectan a los router TP-Link WR710N-V1-151022 y Archer-C5-V2-160201, que podrían causar divulgación de información (CVE-2022-4499) y ejecución remota de código (CVE-2022-4498).

Más info

* * *

​​PoC para múltiples vulnerabilidades en plugins de WordPress

Investigadores de Tenable han publicado los detalles de tres nuevas vulnerabilidades en plugins para la plataforma WordPress, incluyendo pruebas de concepto (PoC) de todas ellas.

La primera, catalogada como CVE-2023-23488 con una puntuación CVSS de 9.8, se trataría de una vulnerabilidad de inyección SQL sin autenticación en el plugin Paid Membership Pro; la segunda, identificada como CVE-2023-23489 con la misma puntuación y del mismo tipo que la anterior, afectaría al plugin Easy Digital Downloads; la tercera, CVE-2023-23490 con una puntuación CVSS de 8.8 y también de tipo inyección de SQL, afectaría al plugin Survey Maker.

Los autores de los plugins habrían sido notificados en diciembre de 2022 y habrían lanzado actualizaciones de seguridad corrigiendo estos problemas, de forma que las últimas versiones disponibles ya no serían vulnerables.

Más info

* * *

Hook: nuevo troyano bancario contra dispositivos Android

Investigadores de ThreatFabric han descubierto un nuevo troyano bancario en Android llamado Hook. De acuerdo con el informe publicado, Hook habría sido puesto a la venta por el mismo desarrollador que el troyano bancario en Android Ermac, contando si bien, con más capacidades que su predecesor, con el que comparte gran parte de su código fuente.

El aspecto más destacado de Hook es que incluye un módulo VNC (virtual network computing) que permite tomar el control en tiempo real de la interface comprometida. 

Por último, cabe destacar que España es el segundo país con más aplicaciones bancarias amenazadas por Hook solo por detrás de Estados Unidos, según el informe de ThreatFabric.

​​​Más info

* * *

Descubierto malware oculto en paquetes del repositorio PyPI

Investigadores de Fortinet han localizado en el repositorio PyPI (Python Package Index) la existencia de tres paquetes que contienen código malicioso con el fin de infectar los sistemas de los desarrolladores con malware del tipo infostealer.

Los tres paquetes, que han sido subidos a la plataforma por el mismo usuario con el nickname Lolip0p, se llaman Colorslib, httpslib y libhttps, respectivamente. Fortinet resalta que como gran novedad en este tipo de ataques a la cadena de suministro el actor amenaza no ha tratado de incluir malware en copias maliciosas de paquetes legítimos, sino que ha creado sus propios proyectos invirtiendo mucho esfuerzo en hacerlos parecer confiables.

Fortinet descubrió que el archivo de setup de los tres paquetes es idéntico y que trata de ejecutar un PowerShell que descarga un archivo malicioso. Según las estadísticas de PyPI, en conjunto estos tres paquetes se habrían descargado 549 veces hasta el momento.

Más info

* * *

NortonLifeLock comunica un incidente con su gestor de contraseñas

Gen Digital, compañía dueña de NortonLifeLock, ha comenzado a enviar, a un número no revelado de sus usuarios, un comunicado en el que se les informa de que un tercero no autorizado ha podido acceder a sus cuentas en Norton Password Manager y exfiltrar nombres, apellidos, números de teléfono y dirección de correo electrónico.

Además, en la notificación oficial enviada a la Fiscalía de Vermont, Norton explica que sus sistemas no han sido comprometidos o abusados, y que el incidente se debe a que el atacante reutilizó los nombres de usuario y contraseñas disponibles en alguna base de datos a la venta en la dark web.

Esta afirmación se sustenta en el hecho de que a finales de diciembre Norton detectó un sustancioso e inusual aumento del número de intentos fallidos de login en sus sistemas, lo que indica que los atacantes estaban tratando de acceder probando contraseñas comprometidas en otro servicio.

El incidente vuelve a poner de manifiesto la necesidad de una correcta política de contraseñas con claves únicas para cada servicio online.

Más info

Foto principal: Souvik Banerjee / Unsplash