#CyberSecurityPulse: El boom de los minadores JavaScriptElevenPaths 19 diciembre, 2017 La pregunta más recurrente estos últimos meses derivado del repunte en el valor de numerosas criptodivisas es: ¿Invierto o no invierto? Sin embargo, como sabemos, existen diferentes formas de obtener criptodivisas y, una de ellas, es a través del minado. Una opción cada vez más costosa desde el punto de vista de los gastos incurridos para llevarlo a cabo. Es en este punto cuando sale a relucir la picaresca de ciertos atacantes. Investigadores de seguridad de F5 Networks han detectado una campaña de malware, denominada como Zealot, dirigida a servidores Linux y Windows para instalar mineros de Monero. Los expertos observaron que los threat actors trataban de escanear Internet en busca de servidores particulares no parcheados y los comprometían con dos exploits, uno para Apache Struts (CVE-2017-5638) y otro para el CMS DotNetNuke ASP.NET (CVE-2017-9822). Otro caso reciente ha sido el detectado en el Starbucks de Buenos Aires donde los equipos de los clientes que se contectaban a su Wi-Fi comenzaban a minar de forma secreta. La notificación a la compañía fue realizada por el CEO de Stensul, Noah Dinkin, quien realizó el pasado 2 de diciembre una conculta a través de Twitter de si estaban al tanto de la situación. Dinkin comentaba en su tweet que se estaba utilizando el minero JavaScript que ofrece Coinhive para minar la criptodivisa Monero. En este sentido, ElevenPaths ha publicado recientemente en su blog una investigación en la que se explica por qué se apuesta actualmente por minar Monero y no Bitcoin, así como cuáles son las webs más atractivas para aquellos que quieren aprovecharse de la capacidad de cómputo de terceros. Ante esta situación, se han publicado recientemente proyectos, como por ejemplo el de la extensión NoCoin para detectar si tu equipo se encuentra minando. Sin embargo, estos esfuerzos todavía son insufientes. Más información en ElevenPaths Noticias destacadas FCC acaba con la neutralidad de la red 3 de cada 5 reguladores federales votaron el jueves pasado para controlar el futuro de Internet por parte de las compañías de cable y telecomunicaciones estadounidenses, dándoles poderes para acelerar el servicio de sitios web o ralentizar a otros. Como se propuso este verano, la Comisión Federal de Comunicaciones (FCC) de Estados Unidos ha retirado las reglas de neutralidad de red que requieren que los proveedores de servicios de Internet (ISP) traten todos los servicios y sitios web por igual y les prohíbe bloquear sitios o cobrar por un servicio de mayor calidad. Más información en The Hacker News El Pentágono retrasa la fecha para que los proveedores militares cumplan con las normas de ciberseguridad El Pentágono retrasará la fecha límite del 1 de enero para que todos sus proveedores cumplan con una serie de nuevas regulaciones diseñadas en gran medida para proteger mejor los datos militares. Para el final del año, las empresas deben simplemente mostrar que tienen un plan establecido para cumplir con la regulación destinada a evitar el robo de datos confidenciales. Esta medida viene después de que en octubre, los funcionarios de Estados Unidos reconocieran que información confidencial del F-35 Joint Strike Fighter de un proveedor militar australiano fue robada. Más información en NextGov Noticias del resto de la semana Evento sospechoso enruta el tráfico de webs importantes a través de Rusia El tráfico enviado hacia y desde Google, Facebook, Apple y Microsoft fue brevemente enrutado a través de un proveedor de Internet ruso previamente desconocido el miércoles en circunstancias que los investigadores dijeron que era sospechoso e intencional. El incidente, que involucra al protocolo de Internet Border Gateway, es el más reciente que plantea preguntas preocupantes sobre la confianza y la confiabilidad de las comunicaciones. El evento del miércoles se produce ocho meses después de que parte del tráfico de red pertenecientes a MasterCard, Visa y más de dos docenas de otros servicios financieros fueran enviados a través de una telco controlada por el gobierno ruso, también bajo circunstancias sospechosas. Más información en Ars Technica Dos 0-days descubiertos en el vBulletin Forum divulgados públicamente Investigadores han descubierto dos vulnerabilidades críticas en una plataform de vBulletin que podrían permitir a un atacante de forma remota ejecutar código malicioso en la última versión del servidor de aplicaciones vBulletin. La primera vulnerabilidad se trata de un problema relacionado con la inclusión de archivos, lo que permitiría a un atacante que de forma remota pudiera incluir cualquier archivo en el servidor de vBulletin y ejecutar código PHP arbitrario. La segunda vulnerabilidad descubierta, que se le ha asignado el CVE-2017-17672, se describe como un problema de deserialización donde un atacante no autenticado puede aprovechar para eliminar archivos arbitrarios e incluso ejecutar código malicioso «en determinadas circunstancias». Más información en The Hacker News Un gestor de contraseñas preinstalado en Windows 10 permitiría robar contraseñas A partir de Windows 10 Anniversary Update (Versión 1607), Microsoft agregó una nueva característica llamada Content Delivery Manager que instala nuevas aplicaciones sugeridas sin pedir permiso a los usuarios. Según el post publicado en el blog de Chromium el pasado viernes, el investigador Tavis Ormandy alertó de haber encontrado un famoso gestor de contraseñas preinstalado llamado Keeper en su Windows 10, que descargó directamente de Microsoft Developer Network. Posteriormente, Ormandy descubrió una vulnerabilidad crítica que conduce a un «compromiso total de la seguridad de Keeper, lo que permitiría que cualquier sitio web robe cualquier contraseña». Más información en The Hacker News Otras noticias Tritón, el nuevo malware que ataca a sistemas industriales Más información en FireEye El nuevo objetivo de Lazarus APT Group, compañías de criptomonedas de Londres Más información en Security Affairs Script en Python que recupera registros de eventos ocultos Más información en Github ¡Regístrate a la newsletter! Guerra abierta para evitar la minería no autorizada de criptodivisas cuando navegamosGirls Inspire Tech #GIT2017: el laboratorio tecnológico de CDO para hijas de empleados de Telefónica
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...
Telefónica Tech Boletín semanal de Ciberseguridad, 14 – 20 de enero Vulnerabilidades críticas en los router Netcomm y TP-Link Se han descubierto una serie de vulnerabilidades en los routers Netcomm y TP-Link. Por un lado, los fallos, identificados como CVE-2022-4873 y CVE-2022-4874, se tratan de un...
Jorge Rubio Álvarez Consecuencias de un ciberataque en entornos industriales Podemos encontrar entornos industriales en cualquier tipo de sector que nos podamos imaginar, ya sea en empresas de tratamiento de agua, transporte, farmacéuticas, fabricación de maquinaria, eléctricas, alimentación o...
Telefónica Tech Boletín semanal de Ciberseguridad, 7 – 13 de enero Microsoft corrige 98 vulnerabilidades en su Patch Tuesday Microsoft ha publicado su boletín de seguridad correspondiente con el mes de enero, donde corrige un total de 98 vulnerabilidades. Entre estas...