Boletín semanal de ciberseguridad 16–22 de abrilTelefónica Tech 22 abril, 2022 Fodcha: nueva botnet DDoS Investigadores de 360netlab y del CNCERT han descubierto una nueva botnet enfocada a la realización de ataques de denegación de servicio, que se estaría expandiendo rápidamente en Internet. A esta nueva botnet la han denominado Fodcha, puesto que el primer C2 se encontraba en el dominio folded[.]in, y puesto que emplea el algoritmo ChaCha para cifrar el tráfico de red. Su propagación se realiza mediante la explotación de vulnerabilidades n-day en productos Android, GitLab, Realtek Jungle SDK, Zhone Router o Totolink Routers entre otros; así como mediante el compromiso de contraseñas débiles de Telnet/SSH gracias en parte a la utilización de la herramienta de ataques de fuerza bruta Crazyfia. El inicio de la actividad de Fodcha se remonta al mes de enero, con un pico importante de ataques registrado el pasado 1 de marzo, pero, sin embargo, la actividad se habría intensificado a partir de finales de marzo. Precisamente, en torno al 19 de marzo se producía un cambio en las versiones de la botnet, derivada según los investigadores a un cierre en los servidores antiguos por parte de los proveedores en la nube. Más info: https://blog.netlab.360.com/fodcha-a-new-ddos-botnet/ INCONTROLLER/PIPEDREAM nuevo malware contra entornos ICS/SCADA Recientemente se ha descubierto un nuevo malware dirigido contra sistemas de control industrial (ICS) y sistemas de supervisión, control y adquisición de datos (SCADA), que podría dar lugar a interrupciones, degradación o incluso la destrucción de los sistemas. Investigadores de Mandiant han catalogado este malware como INCONTROLLER, mientras que el equipo de Dragos lo ha bautizado como PIPEDREAM, señalando asimismo, que este habría sido desarrollado por el actor amenaza CHERNOVITE. Este malware destaca por disponer de un conjunto de herramientas para atacar a los sistemas de sus víctimas, de igual modo no explota una vulnerabilidad específica, sino que se aprovecha de funcionalidades nativas de los sistemas ICS afectados, por ello tanto los investigadores como varias agencias de seguridad norteamericanas (CISA, el FBI y la CSA) han publicado una serie de medidas para la detección y protección. Cabe destacar, si bien, que en las investigaciones se ha detectado que el malware podría dirigirse a diferentes fabricantes, este tiene módulos desarrollados específicamente para los controladores logísticos programables (PLC) Schneider Electric y Omron. Más info: https://hub.dragos.com/hubfs/116-Whitepapers/Dragos_ChernoviteWP_v2b.pdf HOMAGE: vulnerabilidad zero-click en iOS utilizada en campaña de espionaje El equipo de The Citizen Lab ha publicado una investigación donde detallan una campaña de espionaje llevada a cabo entre los años 2017 y 2020 a la que han denominado Catalangate, y que implicaba el aprovechamiento de varias vulnerabilidades en iOS. Lo más relevante es la utilización de un nuevo exploit para una vulnerabilidad de zero-click en iOS utilizada para infectar los dispositivos con un spyware perteneciente a NSO Group. Esta vulnerabilidad ha sido nombrada como HOMAGE, afectaba a un componente de iMessage y afectaba a versiones de iOS anteriores a la 13.1.3, habiendo sido corregida ya en iOS 13.2 (cabe destacar que la última versión estable de iOS es la 15.4). Asimismo, los investigadores también habrían detectado la utilización de otras vulnerabilidades: otra de zero-click descubierta en el año 2020 y denominada KISMET que afectaba a las versiones iOS 13.5.1 e iOS 13.7, así como otra en WhatsApp ya también parcheada CVE-2019-3568. Fruto de esta investigación, se ha detectado que al menos a 65 personas que habrían sido infectadas con los spyware Pegasus y Candiru. Más info https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/ Vulnerabilidades en el formato de codificación de audio ALAC Investigadores de Check Point han anunciado la existencia de varias vulnerabilidades en Apple Lossless Audio Codec (ALAC), también conocido como Apple Lossless, un formato de codificación de audio. La explotación del fallo descubierto podría permitir a un atacante ejecutar código de forma remota en un dispositivo vulnerable si consigue engañar al usuario para que abra un archivo de audio manipulado; un ataque al que han denominado ALHACK. ALAC fue desarrollado inicialmente por Apple, y a finales de 2011 la firma lo convertía en open source, habiéndose incorporado desde entonces en multitud de dispositivos y programas. Desde su liberación, Apple ha actualizado la versión propietaria en varias ocasiones, pero el código compartido no ha sido parcheado desde entonces. Por lo tanto, es asumible que todos aquellos proveedores externos que usen el código inicial proporcionado por Apple en 2011 cuenten con una versión vulnerable. Según los investigadores, es precisamente lo que ocurría en el caso de Qualcomm y MediaTek, firmas que habrían incorporado el código vulnerable en los decodificadores de audio empleados por más de la mitad de los smartphones actuales. La divulgación de los fallos se ha realizado de forma responsable, por lo que antes de hacer público su descubrimiento, Check Point alertó a MediaTek y Qualcomm, corrigiendo ambas firmas las vulnerabilidades el pasado mes de diciembre de 2021: CVE-2021-0674 y CVE-2021-0675 en el caso de Mediatek y CVE-2021-30351 en el caso de Qualcomm. Los detalles técnicos de la vulnerabilidad se harán públicos el próximo mes de mayo en el congreso CanSecWest. Más info: https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/ ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad?‘Insiders’ en Ciberseguridad: “Atrápame si puedes”
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...
Telefónica Tech ¡Estamos de estreno! Conoce la nueva web de Telefónica Tech Cyber Security & Cloud En Telefónica Tech no dejamos de crecer y de trabajar para ser el partner tecnológico de las empresas en su proceso de transformación digital. Como parte de este propósito Telefónica Tech...