Boletín semanal de Ciberseguridad, 31 de diciembre – 6 de eneroTelefónica Tech 9 enero, 2023 Vulneran la cadena de dependencia de PyTorch PyTorch, un popular framework de machine learning de código abierto, ha advertido a los usuarios que instalaron PyTorch-nightly entre el 25 y el 30 de diciembre de 2022 que desinstalen el framework y la librería ‘torchtriton’ debido a un compromiso exitoso a través de un ataque por confusión de dependencias. La librería maliciosa ‘torchtriton’ en PyPI comparte nombre con una librería oficial publicada en el repositorio de PyTorch-nightly, provocando que el paquete malicioso se introduzca en los sistemas de los usuarios en lugar del legítimo con el objetivo de robar información sensible de la víctima. PyTorch ha renombrado la librería ‘torchtriton’ a ‘pytorch-triton’ y ha reservado un paquete ficticio en PyPI para evitar ataques similares. Este problema no afecta a los usuarios de las versiones estables de PyTorch. Más info → * * * Synology corrige una vulnerabilidad crítica Synology ha abordado una vulnerabilidad de gravedad máxima que afecta a los servidores VPN Plus Server. La vulnerabilidad, identificada como CVE-2022-43931 y CVSS de 10.0, puede ser explotada en ataques de baja complejidad sin requerir privilegios en los routers o la interacción del usuario, permitiendo a un atacante remoto la ejecución de comandos arbitrarios. La compañía ha publicado correcciones para las vulnerabilidades y recomienda a los usuarios actualizar el servidor VPN Plus para SRM a la última versión. Más info → * * * Nueva campaña de Raspberry Robin Investigadores de Security Joes han detectado nuevos ataques del framework Raspberry Robin contra compañías de seguros e instituciones financieras en Europa. La actividad de Raspberry Robin fue recientemente documentada también por el equipo de TrendMicro, si bien, los investigadores de Security Joes han podido observar una nueva versión del malware más compleja. El mecanismo de descarga se ha actualizado, teniendo nuevas capacidades anti-análisis. Asimismo, los atacantes han comenzado a recopilar más datos de las máquinas de las víctimas. Sobre este último punto destacan que, si bien antes la baliza C2 contenía una URL con nombre de usuario y nombre de host en texto sin formato, ahora contiene otros datos como el nombre del procesador y datos adicionales de los dispositivos de vídeo disponibles en la máquina, cifrando a su vez este perfil de las máquinas de la víctima con RC4. Finalmente cabe destacar que en esta ocasión las víctimas serían organizaciones de habla portuguesa y española. Más info → * * * MasquerAds: campaña de distribución de malware con Google Ads Investigadores de Guardio han alertado de una campaña de distribución de malware a través de Google Ads a la que han denominado MasquerAds. Los anuncios, supuestamente promocionando programas legítimos populares como Zoom, Slack, AnyDesk, Blender, Audacity o Brave, apuntan a una web benigna y aprobada por el sistema de anuncios de Google, sin embargo, una vez se accede al enlace, se redirige al usuario a un sitio distinto donde finalmente descargaría el malware alojado en servicios legítimos como Github, Dropbox o Discord. Desde Guardio atribuyen esta campaña al grupo conocido como Vermux, e indican que habría afectado en su mayoría a usuarios en Estados Unidos y Canadá. Entre las variantes de malware observadas en su investigación se incluyen mineros de criptomonedas y los stealers Racoon y Vidar. El uso de anuncios de Google en este tipo de campañas parece haber aumentado recientemente, llevando incluso al FBI a realizar una alerta al respecto. Más info → * * * Zoho corrige una vulnerabilidad crítica en ManageEngine Zoho ha abordado un fallo de seguridad que afecta a varios productos de ManageEngine. El fallo, identificado como CVE-2022-47523, es una vulnerabilidad de inyección SQL que afecta a Password Manager Pro, el software de administración de acceso privilegiado PAM360 y la solución de gestión de sesiones privilegiadas Access Manager Plus. La explotación exitosa proporcionaría a un atacante acceso no autenticado a la base de datos back-end, permitiendo realizar cualquier tipo de consulta. Desde Zoho se recomienda actualizar los productos afectados a su última versión lo antes posible. Más info → Entendiendo la dinámica de los incidentes de seguridad con RansomwareBoletín semanal de Ciberseguridad, 7 – 13 de enero
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...
