Boletín semanal de Ciberseguridad, 31 de diciembre – 6 de enero

Telefónica Tech    9 enero, 2023

Vulneran la cadena de dependencia de PyTorch

PyTorch, un popular framework de machine learning de código abierto, ha advertido a los usuarios que instalaron PyTorch-nightly entre el 25 y el 30 de diciembre de 2022 que desinstalen el framework y la librería ‘torchtriton’ debido a un compromiso exitoso a través de un ataque por confusión de dependencias.

La librería maliciosa ‘torchtriton’ en PyPI comparte nombre con una librería oficial publicada en el repositorio de PyTorch-nightly, provocando que el paquete malicioso se introduzca en los sistemas de los usuarios en lugar del legítimo con el objetivo de robar información sensible de la víctima.

PyTorch ha renombrado la librería ‘torchtriton’ a ‘pytorch-triton’ y ha reservado un paquete ficticio en PyPI para evitar ataques similares. Este problema no afecta a los usuarios de las versiones estables de PyTorch.

Más info

* * *

Synology corrige una vulnerabilidad crítica

Synology ha abordado una vulnerabilidad de gravedad máxima que afecta a los servidores VPN Plus Server.

La vulnerabilidad, identificada como CVE-2022-43931 y CVSS de 10.0, puede ser explotada en ataques de baja complejidad sin requerir privilegios en los routers o la interacción del usuario, permitiendo a un atacante remoto la ejecución de comandos arbitrarios. 

La compañía ha publicado correcciones para las vulnerabilidades y recomienda a los usuarios actualizar el servidor VPN Plus para SRM a la última versión.

Más info

* * *

Nueva campaña de Raspberry Robin

Investigadores de Security Joes han detectado nuevos ataques del framework Raspberry Robin contra compañías de seguros e instituciones financieras en Europa. La actividad de Raspberry Robin fue recientemente documentada también por el equipo de TrendMicro, si bien, los investigadores de Security Joes han podido observar una nueva versión del malware más compleja.

El mecanismo de descarga se ha actualizado, teniendo nuevas capacidades anti-análisis. Asimismo, los atacantes han comenzado a recopilar más datos de las máquinas de las víctimas. Sobre este último punto destacan que, si bien antes la baliza C2 contenía una URL con nombre de usuario y nombre de host en texto sin formato, ahora contiene otros datos como el nombre del procesador y datos adicionales de los dispositivos de vídeo disponibles en la máquina, cifrando a su vez este perfil de las máquinas de la víctima con RC4.

Finalmente cabe destacar que en esta ocasión las víctimas serían organizaciones de habla portuguesa y española.

Más info

* * *

MasquerAds: campaña de distribución de malware con Google Ads

Investigadores de Guardio han alertado de una campaña de distribución de malware a través de Google Ads a la que han denominado MasquerAds.

Los anuncios, supuestamente promocionando programas legítimos populares como Zoom, Slack, AnyDesk, Blender, Audacity o Brave, apuntan a una web benigna y aprobada por el sistema de anuncios de Google, sin embargo, una vez se accede al enlace, se redirige al usuario a un sitio distinto donde finalmente descargaría el malware alojado en servicios legítimos como Github, Dropbox o Discord.

Desde Guardio atribuyen esta campaña al grupo conocido como Vermux, e indican que habría afectado en su mayoría a usuarios en Estados Unidos y Canadá. Entre las variantes de malware observadas en su investigación se incluyen mineros de criptomonedas y los stealers Racoon y Vidar.

El uso de anuncios de Google en este tipo de campañas parece haber aumentado recientemente, llevando incluso al FBI a realizar una alerta al respecto.

Más info

* * *

Zoho corrige una vulnerabilidad crítica en ManageEngine

Zoho ha abordado un fallo de seguridad que afecta a varios productos de ManageEngine. El fallo, identificado como CVE-2022-47523, es una vulnerabilidad de inyección SQL que afecta a Password Manager Pro, el software de administración de acceso privilegiado PAM360 y la solución de gestión de sesiones privilegiadas Access Manager Plus.

La explotación exitosa proporcionaría a un atacante acceso no autenticado a la base de datos back-end, permitiendo realizar cualquier tipo de consulta. Desde Zoho se recomienda actualizar los productos afectados a su última versión lo antes posible.

Más info