Boletín semanal de Ciberseguridad, 18 – 24 de febreroTelefónica Tech 24 febrero, 2023 Fortinet corrige vulnerabilidades críticas en FortiNAC y FortiWeb Fortinet ha emitido un aviso de seguridad en el que corrige dos vulnerabilidades críticas que afectan a sus productos FortiNAC y FortiWeb. En concreto, dichos fallos de seguridad han sido registrados como CVE-2022-39952, con un CVSSv3 de 9.8, el cual afecta a FortiNAC y podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de una solicitud HTTP especialmente diseñada. Asimismo, la otra vulnerabilidad identificada como CVE-2021-42756, cuenta con un CVSSv3 de 9.3, afecta a FortiWeb y su explotación podría permitir a un atacante remoto no autenticado realizar ejecución de código arbitrario a través de solicitudes HTTP diseñadas para tales fines. Cabe destacar que Fortinet recomienda a los usuarios afectados actualizar, por una parte, FortiNAC a las versiones 9.4.1, 9.2.6, 9.1.8, y 7.2.0. y, por otra parte, en lo que respecta a FortiWeb, actualizar a 7.0.0, 6.3.17, 6.2.7, 6.1.3 y 6.0.8 o posterior. Más info → * * * Expuestas credenciales de acceso de dos grandes operadores de centros de datos El equipo de Resecurity ha publicado una investigación acerca de la venta de credenciales de acceso de dos operadores de centros de datos en Asia, en concreto GDS Holdings Ltd. (China) y ST Telemedia Global Data Centres (Singapur). Los incidentes de seguridad, de los que no se ha esclarecido aún cómo ocurrieron, tuvieron lugar en el año 2021, sin embargo, no se han conocido públicamente hasta ahora, cuando el 20 de febrero fueron publicados los datos robados en un foro underground. Entre los datos exfiltrados se encontrarían credenciales, correos electrónicos, números de teléfono o referencias de tarjetas de identificación, estimándose un compromiso de más de 3.000 registros en total. De manera indirecta, además, se han visto comprometidas grandes corporaciones mundiales que utilizaban dichos centros de datos, viéndose expuestos inicios de sesión de empresas como Apple, BMW, Amazon, Walmart, Alibaba, Microsoft, o Ford Motor, entre otros. Cabe señalarse que ambos centros de datos obligaron a sus clientes el pasado mes de enero a cambiar las contraseñas, si bien desde Resecurity han confirmado varios intentos de acceso a portales de clientes diferentes. Finalmente, cabe señalarse que los investigadores tampoco han podido atribuir estos ataques a ningún grupo en concreto. Más info → * * * Aplicaciones falsas de ChatGPT empleadas para distribuir malware Investigadores de Kaspersky alertan de la existencia de una falsa versión de escritorio para Windows de ChatGPT empleada para la distribución de malware. Aprovechando la creciente popularidad del chatbot de OpenAI, los autores de esta campaña estarían empleando cuentas en redes sociales publicitando la plataforma e incluyendo un enlace al supuesto sitio de descarga. Algunos de los perfiles identificados por Kaspersky también ofrecían cuentas de prueba para aumentar el interés de sus posibles víctimas. Una vez realizada la descarga se muestra un mensaje de error advirtiendo de un problema en la instalación, mientras que, en realidad, se habría descargado un troyano con capacidades de infostealer al que han denominado «Fobo». El equipo de inteligencia de Cyble también ha investigado esta misma campaña distribuyendo otras familias de malware como los stealers Lumma y Aurora. El investigador de seguridad Dominic Alvieri también ha publicado acerca de otros casos de campañas distribuyendo el stealer RedLine. Más info → * * * Vulnerabilidades en productos VMware VMware ha emitido dos avisos de seguridad en los que alerta sobre dos vulnerabilidades críticas que afectan a varios productos de la compañía: El fallo de seguridad más crítico ha sido registrado como CVE-2023-20858, con un CVSSv3 de 9.1 según fabricante, que afecta a Carbon Black App Control. El aprovechamiento de esta vulnerabilidad podría permitir a un actor malicioso usar una entrada especialmente diseñada en la consola de administración de App Control que permita el acceso al sistema operativo del servidor. Ha sido publicada otra vulnerabilidad registrada como CVE-2023-20855, con un CVSSv3 de 8.8 según fabricante, que impacta en los productos vRealize Orchestrator, vRealize Automation y Cloud Foundation. En este caso, un actor malicioso podría utilizar entradas especialmente diseñadas para eludir las restricciones de análisis de XML que termine con el acceso a información confidencial o permita realizar una escalada de privilegios en los sistemas afectados. Más info → * * * Campaña de phishing mediante PayPal Investigadores de Avanan han informado acerca de una nueva campaña de phishing enviada desde la plataforma PayPal. Los actores maliciosos están aprovechando la facilidad de crear cuentas gratuitas en PayPal, desde donde se ofrece la posibilidad de crear y enviar facturas a múltiples destinatarios a la vez. De esta forma, los mensajes recibidos por las víctimas provienen directamente del dominio de PayPal, eludiendo las posibles detecciones de seguridad. En la campaña detectada, se han observado varios mensajes donde se indica a las víctimas que se ha realizado un cargo a su cuenta, y que en caso de que no haya sido autorizado, deben llamar a un número de teléfono. Este número de teléfono no está asociado a PayPal, y al llamar los atacantes consiguen el número de teléfono de las víctimas y otros detalles personales, pudiendo utilizarlo en futuros ataques. Debido a la dificultad de implementar medidas de seguridad para bloquear estos correos electrónicos, los investigadores recomiendan buscar el número de teléfono en Internet con el fin de ver si tiene relación o no con PayPal. Más info → Boletín semanal de Ciberseguridad, 11 – 17 de febreroEl arte de la manipulación: la ingeniería social en los ciberfraudes
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
