Boletín semanal de Ciberseguridad, 22 – 28 de abrilTelefónica Tech 28 abril, 2023 SolarWinds corrige vulnerabilidades de alta gravedad En su última actualización de seguridad, SolarWinds ha corregido un total de 2 vulnerabilidades de alta gravedad, las cuales podrían conducir a la ejecución de comandos y la escalada de privilegios. La más grave de las dos vulnerabilidades es CVE-2022-36963 (CVSS de 8.8), que se describe como un fallo de inyección de comandos en la solución de monitorización y gestión de infraestructuras de SolarWinds. La segunda vulnerabilidad de alta gravedad es CVE-2022-47505 (CVSS de 7.8), que hace referencia a un fallo de escalada de privilegios local. Ambas vulnerabilidades fueron notificadas por investigadores de la Trend Micro Zero Day Initiative y se solucionaron con la versión 2023.2 de SolarWinds. Además, con la nueva versión también se resuelve la CVE-2022-47509, de gravedad media, que podría ser explotada de forma remota para añadir parámetros de URL e inyectar código HTML. Finalmente, SolarWinds corrigió dos vulnerabilidades de gravedad media en Database Performance Analyzer, que conducían a la divulgación de información confidencial y que permitían a los usuarios enumerar en diferentes carpetas del servidor, respectivamente. Más info → RustBucket: Nuevo malware contra usuarios macOS Investigadores de Jamf Threat Labs han descubierto una nueva familia de malware dirigida contra usuarios de macOS en ataques recientes que es capaz de obtener cargas útiles adicionales de su servidor de comando y control (C&C). Dicho malware, denominado RustBucket, se ha atribuido al actor de amenazas persistentes avanzadas (APT) asociado a Corea del Norte BlueNoroff, que se cree que es un subgrupo del del conocido Grupo Lazarus. RustBucket se ejecuta en tres etapas. En la primera utilizan dominios fraudulentos y técnicas de ingeniería social, además de una aplicación sin firmar llamada Internal PDF Viewer.app que está diseñada para obtener y ejecutar la carga útil de etapa dos en el sistema. La segunda etapa consiste en una aplicación firmada que se hace pasar por un identificador de paquete legítimo de Apple; una vez más el malware comienza a comunicarse con el servidor de comando y control (C&C) para obtener la carga útil de la etapa tres, que es un troyano firmado escrito en el lenguaje Rust que puede ejecutarse en arquitecturas ARM y x86, recopilar información del sistema, incluida una lista de procesos en ejecución, identificar si se está ejecutando en una máquina virtual, y además, permite al atacante realizar varias acciones en las máquinas infectadas. Más info → Vulnerabilidades críticas en Cisco Industrial Network Director y Modeling Labs Cisco ha publicado actualizaciones de seguridad para parchear dos vulnerabilidades críticas en sus productos Industrial Network Director y Modeling Labs. La primera de las vulnerabilidades es la catalogada como CVE-2023-20036, que tiene un CVSS de 9.9, y que trata de un problema en la interfaz web de Industrial Network Director que permitiría a un atacante autenticado en el sistema modificar una petición para ejecutar comandos con privilegios administrativos o acceder a datos confidenciales. La segunda vulnerabilidad es CVE-2023-20154, tiene un CVSS de 9.1 y reside en el mecanismo de autenticación externa de Cisco Modeling Labs, que podría permitir que un atacante remoto no autenticado acceda a la interfaz web con privilegios administrativos. Esta última afectaría a los productos configurados con autenticación LDAP. Más info → Google recibe autorización legal para actuar contra CryptBot Tras la autorización emitida por un juez federal del Distrito Sur de Nueva York sobre la acción civil contra los operadores del malware CryptBot, Google ha comenzado a desactivar la infraestructura relacionada con su distribución. La denuncia se dirigiría a los mayores distribuidores de CryptBot, supuestamente geolocalizados en Pakistán, y su contenido se basaría en acusaciones de fraude electrónico y violación de propiedad intelectual. La compañía estima que este malware habría infectado más de 670.000 equipos informáticos en el último año, dirigido contra usuarios de Google Chrome para exfiltrar sus datos. Para evitar la expansión de este malware, el tribunal ha emitido una orden temporal que permitiría a Google actuar contra dominios, actuales y futuros, vinculados a la distribución de CryptBot. Más info → Ransomware RTM Locker apunta a sistemas Linux El equipo de investigadores de Uptycs ha identificado una nueva cepa del ransomware RTM Locker dirigida contra sistemas operativos Linux. Cabe destacar que investigadores de seguridad de Trellix publicaban recientemente un análisis sobre las TTPs empleadas por el grupo Read The Manual (RTM), proveedor de Ransomware as a Service (RaaS). Sin embargo, su desarrollo ha continuado evolucionando desde entonces hasta identificar esta nueva cepa, la cual infecta hosts Linux, NAS y ESXi y se basa en el código fuente filtrado del ransomware Babuk. Asimismo, se caracteriza por utilizar una combinación de ECDH en Curve25519 y Chacha20 para cifrar archivos, para posteriormente instar a las víctimas a que se comuniquen con el equipo de soporte dentro de las 48 horas a través de Tox o se amenaza con publicar los datos si no se aceptan sus exigencias. En último lugar, cabe mencionar que, según los investigadores, dicho actor amenaza se caracteriza por evitar objetivos de alto perfil como infraestructura crítica y hospitales entre otros, para evitar llamar la atención en la medida de lo posible. Más info → Conexión Segura también para la Web 3 y el metaverso¿Salvará Rust el mundo? (I)
Nacho Palou Typosquatting: cómo detectarlo y protegerse No siempre es fácil detectar y protegerse del typosquatting. Estas recomendaciones de nuestros expertos te ayudan a reducir el riesgo.
Nacho Palou El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
