Boletín semanal de Ciberseguridad, 22 – 26 de mayoTelefónica Tech 26 mayo, 2023 GitLab parchea una vulnerabilidad crítica GitLab ha abordado una vulnerabilidad crítica que afecta a GitLab Community Edition (CE) y Enterprise Edition (EE) en la versión 16.0.0. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2023-2825, CVSSv3 de 10, y fue descubierto por un investigador de seguridad llamado pwnie. En cuanto a la causa del fallo este surge de un problema de cruce de rutas que podrían permitir a un atacante no autenticado leer archivos arbitrarios en el servidor cuando existe un archivo adjunto en un proyecto público anidado dentro de al menos cinco grupos. Por tanto, la explotación de esta vulnerabilidad podría desencadenar en la exposición de datos confidenciales como códigos de software patentados, credenciales de usuario, tokens, archivos y otra información privada. Desde GitLab recomiendan a sus usuarios actualizar a la última versión, 16.0.1, para solucionar este problema de seguridad. Más info → Zyxel corrige dos vulnerabilidades críticas que afectan a sus firewalls Zyxel ha emitido un aviso de seguridad en donde informa sobre dos vulnerabilidades críticas que afectan a varios de sus modelos de firewall. En concreto, estos fallos de seguridad son el registrado como CVE-2023-33009, con un CVSSv3 de 9.8, que se trata de una vulnerabilidad de desbordamiento de búfer en la función de notificación que podría desencadenar en que un actor malicioso no autenticado pueda realizar una ejecución de código remoto o realizar un ataque de DDoS. Asimismo, el fallo asignado como CVE-2023-33010, cuenta un CVSSv3 de 9.8, que también es una vulnerabilidad de desbordamiento de búfer en la función de procesamiento de ID y su aprovechamiento puede derivar en las mismas tipologías de ataque que la anterior. Desde Zyxel recomienda a sus usuarios aplicar las correspondientes actualizaciones de seguridad para mitigar el riesgo de explotación de estas dos fallas. Más info → Repunte en volumen y complejidad de los ataques BEC En un informe reciente de Microsoft Cyber Signals, los equipos de CTI de Microsoft advierten de un significativo repunte de los ataques BEC (Business Email Compromise) entre abril de 2022 y abril de 2023 que se han traducido en pérdidas estimadas por el FBI de 2300 millones de dólares. Entre las tendencias más observadas destacan dos: el uso de BulletProftLink (un marketplace cibercriminal que facilita todo tipo de utilidades para efectuar campañas de phishing y spam) y la compra de direcciones IP comprometidas de carácter residencial que son utilizadas como proxy para enmascarar sus ataques de ingeniería social. Entre sus objetivos de mayor interés se encuentran directivos, gerentes y jefes de equipo de los departamentos financieros y recursos humanos con acceso a información personal de sus empleados. Para mitigar el impacto de estas campañas, Microsoft recomienda maximizar las opciones de seguridad de los buzones de correo, activar la autenticación multifactor y mantener informada y entrenada a la plantilla sobre este tipo de ataques. Más info → Volt Typhoon: APT china contra infraestructuras críticas de Estados Unidos Tanto Microsoft Threat Intelligence como la CISA han publicado un informe sobre una APT supuestamente respaldada por el gobierno chino a la que han llamado Volt Typhoon y a la que acusan de estar detrás de una campaña de ataques contra infraestructuras críticas de Estados Unidos tales como instituciones gubernamentales, militares, empresas de telecomunicaciones o el transporte marítimo, entre otros. En concreto, Microsoft afirma que Volt Typhoon ha tratado de acceder a activos militares de Estados Unidos situados en la isla de Guam, territorio clave en caso de conflicto en Taiwán o el Pacífico usando como vector de entrada dispositivos FortiGuard expuestos a Internet mediante la explotación de vulnerabilidades 0-day para extraer credenciales que les permitan el movimiento lateral. Microsoft destaca que Volt Typhoon abusa de las herramientas legítimas presentes en los sistemas atacados camuflando su actividad como procesos rutinarios para tratar de pasar inadvertidos, técnica conocida como Living Off The Land (LOTL). Más info → Vulnerabilidad en KeePass permite recuperar contraseñas maestras Investigadores de seguridad han publicado un artículo sobre una nueva vulnerabilidad que permite recuperar las contraseñas maestras en el gestor de contraseñas KeePass. La vulnerabilidad ha sido clasificada como CVE-2023-32784 y afecta a las versiones 2.x de KeePass para Windows, Linux y macOS. Se espera que sea parcheada en la versión 2.54, asimismo, cabe indicar que dicho fallo de seguridad cuenta con una PoC disponible. Para su explotación, no importa de dónde provenga la memoria, y si el espacio de trabajo está bloqueado o no. Además, también es posible volcar la contraseña desde la RAM cuando KeePass ya no se esté ejecutando. Cabe destacar que la explotación exitosa del fallo se basa en la condición de que un atacante ya haya vulnerado el equipo de un objetivo potencial y que se requiere que la contraseña se escriba en un teclado y no se copie desde el portapapeles del dispositivo. Más info → Foto de apertura: Pankaj Patel / Unsplash ¿Salvará Rust el mundo? (II)
David García ¿Salvará Rust el mundo? (II) Segunda entrega en la que descubrimos cómo Rust, el lenguaje de programación de código abierto centrado en la seguridad, mejora el panorama en cuanto a vulnerabilidades basadas en errores...
Sergio de los Santos Cuatro hitos en Ciberseguridad que marcaron el futuro del malware Un recorrido por los 15 años que ha dedicado Microsoft para consolidar una estrategia que ha repercutido en la Ciberseguridad a nivel global
Telefónica Tech Boletín semanal de Ciberseguridad, 15 – 19 de mayo Vulnerabilidades en plataformas cloud El equipo de investigadores de Otorio descubrió 11 vulnerabilidades que afectan a diferentes proveedores de plataformas de administración de cloud. En concreto, se tratan de Sierra...
Javier Martínez Borreguero Automatización, Conectividad e Inteligencia Aumentada al servicio de una reindustrialización competitiva, disruptiva y sostenible Por segundo año consecutivo vuelvo a participar en el Advanced Factories (AF 2023), la mayor exposición y congreso profesional dedicado a la Industria 4.0 del sur de Europa. Un...
Nacho Palou Passkey es otro clavo de Google en el ataúd de las contraseñas Passkey de Google ofrece a los usuarios la posibilidad de utilizar una llave de acceso para identificarse y acceder a sitios web o apps sin teclear su nombre de...
Roberto González Rojo Fusión Digital, una solución completa y flexible para digitalizar la pyme Fusión Digital tiene como principal objetivo apoyar a las pymes en el reto que plantea su digitalización, proceso clave para lograr un incremento de la competitividad, haciendo que los...
