Boletín semanal de Ciberseguridad, 26 de noviembre – 2 de diciembre

Telefónica Tech    2 diciembre, 2022

Actualización urgente de Chrome para evitar el octavo 0-day del 2022

Google ha publicado una actualización de seguridad urgente para Chrome para evitar la explotación del octavo 0-day del 2022 en el navegador. Con esta publicación se parchea la vulnerabilidad CVE-2022-4135, un problema de desbordamiento de pila.

Este tipo de vulnerabilidadespermitían a un atacante la ejecución arbitraria de código. Google tuvo conocimiento de que la vulnerabilidad estaba siendo activamente explotada por agentes maliciosos, por lo que ha lanzado el parche apenas unos días después del descubrimiento de esta por parte de su equipo Threat Analysis Group.

La compañía no ha querido aportar detalles del problema hasta que los usuarios hayan tenido tiempo de aplicar el parche para evitar la propagación de su explotación.

Se recomienda a los usuarios de Chrome que actualicen a la versión 107.0.5304.121/122 para Windows y 107.0.5304.122 para Mac y Linux, que soluciona la CVE-2022-4135.

Más información

* * *

Expuestos los datos de 5,4 millones de usuarios de Twitter

El investigador de seguridad Chad Loder publicó en Twitter que en un foro de la dark web se estaba compartiendo de manera gratuita una base de datos que contenía 5,4 millones de entradas y que recopilaba información tanto pública (nombres de usuario, identificadodes, seguidores, localización, biografía, etc) como confidencial (números de teléfono y dirección de correo electrónico) de usuarios de la propia red social.

Después de la publicación, Twitter suspendió la cuenta de Loder, por lo que esté compartió la información a través de Mastodon. Según Loder, esta base de datos es la misma que se puso a la venta en julio y se obtuvo explotando una vulnerabilidad (ahora parcheada) en la API de Twitter que permitía a un atacante conocer la cuenta asociada a números de teléfono o direcciones de correo electrónico.

Cuando salió a la luz la venta de la base de datos, Twitter reconoció la autenticidad de esta.

Más información

* * *

Desarticulada en España una red de phishing que defraudó 12 millones de euros

La Policía Nacional de España ha emitido un comunicado en el que informa del éxito de una operación que ha concluido con la desarticulación de un grupo criminal que había estafado mediante phishing más de 12 millones de euros a un total de casi 300 víctimas. Los seis detenidos en Madrid y Barcelona han sido acusados de presunta pertenencia a organización criminal, estafa, blanqueo de capitales y usurpación de estado civil.

Según el comunicado policial, la investigación comenzó con la denuncia de una entidad bancaria española por un caso de phishing en el que estaba siendo suplantada por los criminales, que ofrecían mediante estas webs falsas operaciones financieras de renta variable, criptomonedas y contratación de productos financieros a clientes franceses.

La policía no ha hecho públicas las URLs maliciosas usadas por la organización criminal.

Más información

* * *

Tres vulnerabilidades en los productos industriales de Festo y Codesys

Investigadores de Forescout han descubierto tres vulnerabilidades en productos de automatización industrial de las compañías Festo y Codesys.

La más crítica de las tres es la vulnerabilidad CVE-2022-3270 (a falta de su publicación en NIST Forescout le ha otorgado preventivamente una puntuación de CVSS 9.8), radicada en los PLCs de Festo y que permitiría a un atacante sin autenticación tomar el control del dispositivo o lograr una denegación de servicio (DoS).

Por su parte, la vulnerabilidad CVE-2022-4048 (que Forescout ha puntuado con un CVSS 7.7) afecta a los productos Codesys V3 y consiste en un problema de escasa codificación que permitiría a un atacante la manipulación lógica del producto.

Por último, la vulnerabilidad CVE-2022-3079, con un CVSS 7.5, permite a un atacante sin autenticación acceder remotamente a funciones críticas de la página web del producto y podría permitir lograr una denegación de servicio. Por el momento, no se han publicado parches para estas vulnerabilidades.

Más información

* * *

Investigación de Google acerca del framework Heliconia

Threat Analysis Group (TAG) de Google ha publicado los resultados de una investigación acerca de un exploitation framework dirigido contra vulnerabilidades ya parcheadas en Chrome, Firefox y Microsoft Defender que podrían implementar un payload en los dispositivos afectados, concretamente un spyware.

El equipo de Google tuvo conocimiento de este framework gracias a un envío anónimo al programa de informes de errores de Chrome.

Dicho envío contenía tres errores, con instrucciones y un archivo con el código fuente:

  1. «Heliconia Noise» permite implementar un exploit para un error en el renderizador de Chrome seguido de un sandbox escape.
  2. «Heliconia Soft» implementa un PDF que contiene un exploit de Windows Defender.
  3. «Heliconia Files» contiene un conjunto de exploits de Firefox para Windows y Linux.  

Desde Google señalan que, aunque no se ha detectado su explotación activa, lo más probable es que las vulnerabilidades fueran explotadas como 0-days antes de su corrección en 2021 y principios de 2022.

Cabe señalar asimismo que desde Google han podido rastrear el origen de este exploitation framework Heliconia gracias al análisis del código fuente, pudiendo vincular su desarrollo a la empresa con sede en Barcelona Variston IT, proveedor de soluciones de seguridad, de acuerdo con la información de su página web.

Más información