#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 6-10 de eneroElevenPaths 10 enero, 2020 Ataques a servidores Pulse Secure VPN con ransomware Sodinokibi Una vulnerabilidad en Pulse Secure VPN (CVE-2019-11510) está siendo utilizada por agentes amenaza para introducir el ransomware Sodinokibi (REvil) en las organizaciones que no tienen dicho software parcheado. El investigador de seguridad Kevin Beaumont señala que el error de Pulse Secure VPN es crítico ya que permite a los atacantes remotos, sin credenciales válidas, conectarse remotamente a la red corporativa, deshabilitar la autenticación multi-factor y ver los registros y las contraseñas en texto plano almacenadas en caché, incluyendo las contraseñas de las cuentas de Active Directory. Según un análisis realizado el pasado cuatro de enero por la empresa de seguridad Bad Packets, existen hasta 3.825 servidores VPN Pulse Secure que no habían sido parcheados. Algunos investigadores apuntan a que el incidente de seguridad que sufrió la empresa Travelex, que se apuntó días más tarde habría sido como consecuencia de una infección por Sodinokibi, podría guardar relación con una falta de parcheado de algunas vulnerabilidades en servidores Pulse Secure VPN. Más información: https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9 Mozilla parchea vulnerabilidad 0-day en Firefox Mozilla ha lanzado Firefox v72.0.1, una nueva versión del navegador web que corrige una vulnerabilidad 0-day que estaría siendo explotada activamente. Este fallo afecta a IonMonkey, que es el compilador JIT para SpiderMonkey, el intérprete de JavaScript que se emplea en Firefox. La vulnerabilidad fue categorizada como type confusion, un error en el que una entrada de la memoria se asigna inicialmente como un tipo, pero se cambia a otro durante su manipulación, causando errores en el procesamiento de los datos, pudiendo dar lugar a la ejecución de código en un sistema vulnerable. Desde la propia compañía aseguran que este fallo ya está siendo aprovechado por actores maliciosos. Más información: https://www.mozilla.org/en-US/security/advisories/mfsa2020-03/#CVE-2019-17026 PowerTrick, nueva puerta trasera de TrickBot Los actores amenaza detrás de TrickBot habrían desarrollado una nueva puerta trasera en PowerShell denominada PowerTrick cuyo objetivo final sería evitar las restricciones y los controles de seguridad más actualizados para atacar objetivos de alto valor como instituciones financieras. Según los investigadores de SentinelLabs que han analizado esta nueva amenaza, esta nueva puerta trasera se desplegaría como un módulo después de que la infección inicial de TrickBot se haya hecho con el control del sistema, y estaría diseñado para ejecutar comandos y devolver los resultados codificados en Base64. La amenaza fue descubierta una vez que se identificó un script de puerta trasera que establecía contacto con uno de los servidores Command & Control de Trickbot, desde el que los operadores proceden a enviar el primer comando en forma de descarga de PowerTrick. Más información: https://labs.sentinelone.com/top-tier-russian-organized-cybercrime-group-unveils-fileless-stealthy-powertrick-backdoor-for-high-value-targets/ Vulnerabilidad en Paypal permite obtener contraseñas de usuarios El investigador de seguridad Alex Birsan ha informado sobre la explotación de una vulnerabilidad que afecta a Paypal y por la que se podrían obtener contraseñas de usuarios. El error fue reportado a PayPal a través de HackerOne el pasado día 18 de noviembre y la compañía no lanzó un parche hasta el 11 de diciembre, tras haber verificado toda la información. Birsan descubrió un fichero Javascript dinámico en la plataforma que contenía los valores csrf y el _sessionId utilizados para la resolución de reCaptcha. Al encontrarse esta información en JavaScript, los datos eran accesibles mediante un cross-site script inclusión (XSSI), con lo que siguiendo una serie de pasos podría obtener las contraseñas de los usuarios aprovechando los citados valores y la funcionalidad reCaptcha. PayPal ha corregido la vulnerabilidad implementando una tercera clave necesaria en la resolución del captcha que no es explotable por un XSSI. Como consecuencia de este vector de ataque se ha demostrado que la compañía mantenía las contraseñas los usuarios en texto plano. Más información: https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9 Nuevo ataque contra SHA1 Un grupo de investigadores ha descubierto un nuevo mecanismo para encontrar colisiones en el algoritmo de hash criptográfico SHA1. Si bien en el pasado ya se habían publicado otros ataques capaces de identificar colisiones, con este nuevo descubrimiento se reduce la complejidad y se dispone de una mayor versatilidad. Una aplicación posible de este ataque es la suplantación de claves PGP, mediante una falsificación de su firma. Esto apoya la recomendación ya existente de evitar el uso de SHA1 en nuevos proyectos y su reemplazo siempre que sea posible. Más información: https://eprint.iacr.org/2020/014.pdf Un repaso mes a mes de las mayores brechas de datos de 2019RSA contra las cuerdas: 1.001 razones por las que está cayendo en desgracia (II)
Telefónica Tech Boletín semanal de ciberseguridad, 13—20 de mayo VMware corrige vulnerabilidades críticas en varios de sus productos VMware ha publicado un aviso de seguridad con el fin de corregir una vulnerabilidad crítica de omisión de autenticación que afecta...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet