Boletín semanal de Ciberseguridad, 18 – 24 de marzo

HinataBot: nueva botnet dedicada a ataques de DDoS

El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría de la capacidad de realizar ataques de DDoS de más de 3,3 TB/s.

Los expertos han indicado que dicho software malicioso fue descubierto a mediados del pasado mes de enero, mientras se distribuía en honeypots HTTP y SSH de la compañía.

En concreto, HinataBot utiliza credenciales exfiltradas de usuarios para infectar a sus víctimas y explota vulnerabilidades antiguas de dispositivos Realtek SDK, CVE-2014-8361, routers Huawei HG532, CVE-2017-17215, y/o servidores Hadoop YARN expuestos. Posteriormente, una vez infectados los dispositivos, el malware se ejecuta y se mantendrá a la espera de que el servidor de Command & Control remita las órdenes.

Desde Akamai alertan que HinataBot aún está en desarrollo y que podría implementar más exploits, y, por ende, ampliar su vector de entrada a más víctimas además de aumentar sus capacidades para realizar ataques con un mayor impacto.

Más info →

* * *

La CISA emite ocho avisos de seguridad en sistemas de control industrial

Recientemente, CISA ha publicado hasta un total de ocho avisos de seguridad alertando sobre vulnerabilidades críticas en sistemas de control industrial. En relación a estas nuevas vulnerabilidades, cabe destacar que afectan a varios productos de diferentes compañías como Siemens, Rockwell Automation, Delta Electronics, VISAM, Hitachi Energy y Keysight Technologies.

De entre todas ellas, destacan por su volumen las que afectan a la marca Siemens, de la cual se han recogido tres avisos que afectan a sus activos SCALANCE W-700, dispositivos RADIUS client of SIPROTEC 5  y la familia de productos RUGGEDCOM APE1808  con hasta un total de 25 vulnerabilidades cuyo CVSSv3 oscila entre 4.1 y 8.2 de puntuación.

Consecuentemente, debido a su impacto, destacan los avisos del equipamiento ThinManager ThinServer de Rockwell Automation, cuya criticidad de uno de sus tres fallos alcanza un CVSSv3 de 9.8, al igual que el activo InfraSuite Device Master de Delta Electronics, de la cual se han recogido hasta un total de 13 vulnerabilidades.

Más info →

* * *

Mispadu: troyano bancario centrado en América Latina

Investigadores de Metabase Q Team han publicado un informe sobre la actual campaña que se está desarrollando en países de América Latina contra usuarios bancarios y que se sirve del troyano Mispadu.

Según Metabase Q Team, el troyano se ha diseminado a través de emails de phishing cargados con facturas falsas en formato HTML o PDF con contraseña. Otra estrategia consiste en comprometer sitios web legítimos en busca de versiones vulnerables de WordPress para convertirlos en su servidor C2 y propagar malware desde allí.

Según la investigación, la campaña comenzó en agosto de 2022 y permanece activa, afectando a usuarios bancarios de Chile, México y Perú, principalmente. En noviembre de 2019, ESET documentó por primera vez la existencia de Mispadu (también conocido como URSA), un malware capaz de realizar robos de dinero y credenciales, así como de actuar como puerta trasera, tomando capturas de pantalla y registrando pulsaciones de teclas.

Más info →

* * *

Nuevas vulnerabilidades 0-day contra diferentes fabricantes durante el concurso Pwn2Own

Durante esta semana está teniendo lugar el concurso de hacking Pwn2Own que se celebra en la ciudad canadiense de Vancouver hasta el viernes 24 de marzo.

Tras el primer día, los participantes han conseguido mostrar como vulnerar múltiples productos, entre los que se encuentran el sistema operativo Windows 11 junto con Microsoft Sharepoint, Ubuntu, Virtual Box, Tesla – Gateway y Adobe Reader.

Cabe destacar que, según la programación del evento, durante el día de hoy y mañana los investigadores de seguridad muestren nuevamente otras 0-day que afecten a estos activos, además de a otros como Microsoft Teams o VMWare Workstation.

En último lugar, cabe reseñar que después de que estas nuevas vulnerabilidades
0-day se demuestren y divulguen durante el Pwn2Own, los proveedores disponen de 90 días lanzar parches de seguridad para estos fallos de seguridad antes de que Zero Day Initiative divulgue la información públicamente.

Más info →

* * *

Corregida vulnerabilidad crítica en WooCommerce Payments

El investigador Michael Mazzolini de GoldNetwork informó esta semana de una vulnerabilidad en WooCommerce Payments, lo que ha dado lugar a que se esté forzando la instalación de una actualización de seguridad.

La vulnerabilidad aun no cuenta con un identificador CVE, si bien ha sido asignada una criticidad CVSSv3 de 9.8, al ser una vulnerabilidad de escalada de privilegios y omisión de autenticación, que podría permitir a un atacante no autenticado hacerse pasar por un administrador y tomar el control del sitio web de tiendas online.

Cabe señalarse que, por el momento, no se ha detectado la explotación activa de esta, si bien desde Patchstack han advertido que, debido a que para su explotación no se requiere autenticación, es probable que se detecte su explotación próximamente. Las versiones afectadas son de la 4.8.0 a la 5.6.1, habiendo quedado corregida la vulnerabilidad en la versión 5.6.2.

Más info →