Boletín semanal de ciberseguridad 16–22 de abrilTelefónica Tech 22 abril, 2022 Fodcha: nueva botnet DDoS Investigadores de 360netlab y del CNCERT han descubierto una nueva botnet enfocada a la realización de ataques de denegación de servicio, que se estaría expandiendo rápidamente en Internet. A esta nueva botnet la han denominado Fodcha, puesto que el primer C2 se encontraba en el dominio folded[.]in, y puesto que emplea el algoritmo ChaCha para cifrar el tráfico de red. Su propagación se realiza mediante la explotación de vulnerabilidades n-day en productos Android, GitLab, Realtek Jungle SDK, Zhone Router o Totolink Routers entre otros; así como mediante el compromiso de contraseñas débiles de Telnet/SSH gracias en parte a la utilización de la herramienta de ataques de fuerza bruta Crazyfia. El inicio de la actividad de Fodcha se remonta al mes de enero, con un pico importante de ataques registrado el pasado 1 de marzo, pero, sin embargo, la actividad se habría intensificado a partir de finales de marzo. Precisamente, en torno al 19 de marzo se producía un cambio en las versiones de la botnet, derivada según los investigadores a un cierre en los servidores antiguos por parte de los proveedores en la nube. Más info: https://blog.netlab.360.com/fodcha-a-new-ddos-botnet/ INCONTROLLER/PIPEDREAM nuevo malware contra entornos ICS/SCADA Recientemente se ha descubierto un nuevo malware dirigido contra sistemas de control industrial (ICS) y sistemas de supervisión, control y adquisición de datos (SCADA), que podría dar lugar a interrupciones, degradación o incluso la destrucción de los sistemas. Investigadores de Mandiant han catalogado este malware como INCONTROLLER, mientras que el equipo de Dragos lo ha bautizado como PIPEDREAM, señalando asimismo, que este habría sido desarrollado por el actor amenaza CHERNOVITE. Este malware destaca por disponer de un conjunto de herramientas para atacar a los sistemas de sus víctimas, de igual modo no explota una vulnerabilidad específica, sino que se aprovecha de funcionalidades nativas de los sistemas ICS afectados, por ello tanto los investigadores como varias agencias de seguridad norteamericanas (CISA, el FBI y la CSA) han publicado una serie de medidas para la detección y protección. Cabe destacar, si bien, que en las investigaciones se ha detectado que el malware podría dirigirse a diferentes fabricantes, este tiene módulos desarrollados específicamente para los controladores logísticos programables (PLC) Schneider Electric y Omron. Más info: https://hub.dragos.com/hubfs/116-Whitepapers/Dragos_ChernoviteWP_v2b.pdf HOMAGE: vulnerabilidad zero-click en iOS utilizada en campaña de espionaje El equipo de The Citizen Lab ha publicado una investigación donde detallan una campaña de espionaje llevada a cabo entre los años 2017 y 2020 a la que han denominado Catalangate, y que implicaba el aprovechamiento de varias vulnerabilidades en iOS. Lo más relevante es la utilización de un nuevo exploit para una vulnerabilidad de zero-click en iOS utilizada para infectar los dispositivos con un spyware perteneciente a NSO Group. Esta vulnerabilidad ha sido nombrada como HOMAGE, afectaba a un componente de iMessage y afectaba a versiones de iOS anteriores a la 13.1.3, habiendo sido corregida ya en iOS 13.2 (cabe destacar que la última versión estable de iOS es la 15.4). Asimismo, los investigadores también habrían detectado la utilización de otras vulnerabilidades: otra de zero-click descubierta en el año 2020 y denominada KISMET que afectaba a las versiones iOS 13.5.1 e iOS 13.7, así como otra en WhatsApp ya también parcheada CVE-2019-3568. Fruto de esta investigación, se ha detectado que al menos a 65 personas que habrían sido infectadas con los spyware Pegasus y Candiru. Más info https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/ Vulnerabilidades en el formato de codificación de audio ALAC Investigadores de Check Point han anunciado la existencia de varias vulnerabilidades en Apple Lossless Audio Codec (ALAC), también conocido como Apple Lossless, un formato de codificación de audio. La explotación del fallo descubierto podría permitir a un atacante ejecutar código de forma remota en un dispositivo vulnerable si consigue engañar al usuario para que abra un archivo de audio manipulado; un ataque al que han denominado ALHACK. ALAC fue desarrollado inicialmente por Apple, y a finales de 2011 la firma lo convertía en open source, habiéndose incorporado desde entonces en multitud de dispositivos y programas. Desde su liberación, Apple ha actualizado la versión propietaria en varias ocasiones, pero el código compartido no ha sido parcheado desde entonces. Por lo tanto, es asumible que todos aquellos proveedores externos que usen el código inicial proporcionado por Apple en 2011 cuenten con una versión vulnerable. Según los investigadores, es precisamente lo que ocurría en el caso de Qualcomm y MediaTek, firmas que habrían incorporado el código vulnerable en los decodificadores de audio empleados por más de la mitad de los smartphones actuales. La divulgación de los fallos se ha realizado de forma responsable, por lo que antes de hacer público su descubrimiento, Check Point alertó a MediaTek y Qualcomm, corrigiendo ambas firmas las vulnerabilidades el pasado mes de diciembre de 2021: CVE-2021-0674 y CVE-2021-0675 en el caso de Mediatek y CVE-2021-30351 en el caso de Qualcomm. Los detalles técnicos de la vulnerabilidad se harán públicos el próximo mes de mayo en el congreso CanSecWest. Más info: https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/ ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad?‘Insiders’ en Ciberseguridad: “Atrápame si puedes”
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
David Prieto Marqués La importancia del control de acceso: ¿está tu empresa protegida? Por David Prieto y Rodrigo Rojas En un mundo cada vez más digitalizado y complejo, la seguridad de la información es fundamental para las empresas. A medida que las empresas...
Telefónica Tech Boletín semanal de Ciberseguridad, 22 – 26 de mayo GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo...
David García ¿Salvará Rust el mundo? (II) Segunda entrega en la que descubrimos cómo Rust, el lenguaje de programación de código abierto centrado en la seguridad, mejora el panorama en cuanto a vulnerabilidades basadas en errores...
Sergio de los Santos Cuatro hitos en Ciberseguridad que marcaron el futuro del malware Un recorrido por los 15 años que ha dedicado Microsoft para consolidar una estrategia que ha repercutido en la Ciberseguridad a nivel global