Boletín semanal de Ciberseguridad, 17 – 23 de diciembreTelefónica Tech 23 diciembre, 2022 SentinelOne: paquete de Python en PyPI malicioso El equipo de investigadores de ReversingLabs ha publicado una investigación en la que informan haber identificado un paquete de Python en PyPI que se hace pasar por el cliente SDK legítimo de la firma de ciberseguridad SentinelOne. Según los investigadores, actores maliciosos habrían creado un troyano denominado con el mismo nombre de la compañía SentinelOne con el fin de engañar a las víctimas. Asimismo, dicho software malicioso ofrece una funcionalidad legítima, que es la de acceder a la API de SentinelOne desde otro proyecto. Sin embargo, este paquete lleva de forma ofuscada un software malicioso dedicado a la exfiltración de datos confidenciales de sistemas comprometidos. ReversingLabs ha indicado haber detectado cinco paquetes con nombres similares subidos por los mismos autores entre el 8 y el 11 de diciembre de 2022, y calcula que se han descargado hasta en un total de 1.000 ocasiones. Más info → * * * OWASSRF: nuevo método de explotación de Microsoft Exchange El equipo de CrowdStrike ha descubierto un nuevo método de explotación de Microsoft Exchange que elude las mitigaciones de ProxyNotShell. Esta nueva manera de aprovechar el fallo, a la que han denominado OWASSRF, fue detectada mientras los investigadores analizaban los vectores de entrada del ransomware Play, ya que sospechaban que los gestores detrás de dicho software malicioso explotaban ProxyNotShell (CVE-2022-41040 y CVE-2022-41082). Sin embargo, no se detectó evidencia de explotación de la primera vulnerabilidad (CVE-2022-41040) y sí de la segunda (CVE-2022-41082). De acuerdo con CrowdStrike, el fallo de seguridad, el cual serviría como acceso inicial para explotar posteriormente la CVE-2022-41082, ha sido catalogado como CVE-2022-41080, con un CVSSv3 de 9.8, siendo este un fallo de escalada de privilegios a través del punto final de la aplicación web de Outlook (OWA). Cabe destacar además que, durante la investigación, Dray Agha, investigador de amenazas de Huntress Labs, descubrió las herramientas de un atacante expuestas en un repositorio abierto. Dentro de estas se incluía una PoC para el exploit de Exchange de Play, lo que permitió a CrowdStrike replicar los ataques. Más info → * * * Achilles: vulnerabilidad en Gatekeeper de Apple Microsoft ha desvelado los detalles de una vulnerabilidad en macOS que permitiría eludir las restricciones de ejecución de aplicaciones del mecanismo de seguridad Gatekeeper de Apple. La vulnerabilidad, que ha sido catalogada como CVE-2022-42821, con un CVSS de 5.5, fue descubierta por el equipo de Microsoft en el mes de julio, quedando solucionada con las actualizaciones de la semana pasada en macOS 13 (Ventura), macOS 12.6.2 (Monterey), y macOS 1.7.2 (Big Sur). El mecanismo de seguridad Gatekeeper consiste en verificar las aplicaciones descargadas de Internet con el fin de ver si están aprobadas por Apple, enviando un mensaje al usuario para confirmar antes de iniciarlas, o emitiendo una alerta informando de que no se puede ejecutar la aplicación al no ser de confianza. Esta verificación se realiza mediante la comprobación del atributo con el nombre com.apple.quarantine, que los navegadores web asignan a los archivos descargados. La vulnerabilidad detectada, a la que también se le ha denominado como Achilles, explota el modelo de permisos de Listas de Control de Acceso (ACL) agregando permisos muy restrictivos a un archivo descargado, lo que impide que Safari configure el atributo com.apple.quarantine y que podría permitir a un atacante crear una aplicación maliciosa que podría utilizarse como vector de acceso inicial de malware u otras amenazas. Más info → * * * Botnet Glupteba activa de nuevo Investigadores de Nozomi Networks han detectado la vuelta a la actividad de la botnet Glupteba, después de que Google interrumpiera su operación hace un año. De acuerdo con los investigadores, la última campaña habría comenzado en el mes de junio del presente año y aún se encontraría activa. Glupteba es un backdoor distribuido mediante redes de pago por instalación (PPI) en instaladores infectados o fallos de software. Está habilitado para Blockchain, infecta dispositivos Windows para extraer criptomonedas, robar credenciales de usuario, cookies, e implementar proxys en dispositivos IoT y sistemas Windows. No obstante, lo más destacado de Glupteba es que utiliza la cadena de bloques de Bitcoin para distribuir sus dominios de Command and Control (C2), este hecho le hace muy resistente a las eliminaciones, ya que no se puede borrar ni censurar una transacción de Bitcoin validada. A tal respecto, desde Nozomi han observado como el uso de direcciones de Bitcoin ha ido en aumento, pues en su primera campaña, datada en el año 2019 tan solo empleó una dirección, mientras que en la última se han detectado hasta diecisiete direcciones diferentes. Más info → Ciberseguridad en sistemas industriales OT: una necesidad que tiene sus diferenciasCiberseguridad: 13 posts para estar informado y protegido de las ciberamenazas
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...
