Noticias de Ciberseguridad: Boletín semanal 20-26 de junio

ElevenPaths    26 junio, 2020
Noticias de Ciberseguridad: Boletín semanal 20-26 de junio

Millones de registros de usuarios expuestos en un servidor de Oracle

El investigador de seguridad Anurag Sen ha encontrado una base de datos expuesta con millones de registros perteneciente a la empresa BlueKai, propiedad de Oracle. Esta compañía es una de las mayores empresas de seguimiento web que acumula datos de terceros para su uso en marketing inteligente. El incidente de seguridad se produjo tras haber dejado un servidor abierto sin contraseña, lo que hizo que millones de registros de personas quedaran expuestos. Entre los datos afectados se encuentran: nombres y apellidos de personas, correos electrónicos, direcciones postales, actividad de navegación en internet detallada, compras, etc., ya que BlueKai recopila todos estos datos en bruto en la red para su posterior venta ya de forma anonimizada. Cabe mencionar que Oracle recibió el aviso del investigador y ha llevado a cabo una investigación interna para resolver el incidente.

Más información: https://techcrunch.com/2020/06/19/oracle-bluekai-web-tracking/

Nueva campaña maliciosa sobre COVID-19 utilizando Trickbot

El equipo de investigadores de Trustwave ha detectado una nueva campaña maliciosa relacionada con el COVID-19 que está infectando a las víctimas con el software malicioso Trickbot. En esta ocasión, agentes amenaza utilizan campañas de phishing como vector de entrada para hacerse pasar por una organización de voluntarios que quieren ayudar económicamente a aquellos que lo necesitan como consecuencia de la pandemia. Asimismo, se incita a las víctimas a abrir dos archivos maliciosos idénticos adjuntos en el correo y cuyo formato es JNLP. Una vez que la víctima ejecuta este tipo de documentos se produce la infección con la descarga y ejecución del software “map.jar” y que redirige a la víctima a una página oficial de la OMS con el objetivo de engañar a la víctima. Una vez hecho este paso, el malware procede en una segunda fase a descargar el troyano bancario Trickbot que, además del robo de credenciales bancarias, tiene otras funciones como el robo de información o descarga de otros malware. Desde Trustware indican que es la primera vez que se utiliza archivos JNLP como infección de TrickBot, y que el uso de este formato de archivos para infectar a víctimas no es común.

Todos los detalles: https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/trickbot-disguised-as-covid-19-map/

AMD reconoce vulnerabilidades SMM Callout

AMD ha dado a conocer tres vulnerabilidades de criticidad alta, a las que la compañía se refiere como SMM Callout, y que afectarían a algunos de sus equipos portátiles y procesadores integrados entre 2016 y 2019. Estos fallos podrían permitir a un atacante con acceso físico a equipos con procesadores AMD integrados o a equipos previamente infectados con malware, ejecutar código arbitrario sin ser detectado por el sistema operativo. La compañía publicó el 8 de junio la corrección para uno de los tres errores (CVE-2020-14032). Sin embargo, AMD ha anunciado que planea lanzar el parche para corregir los dos fallos restantes (CVE-2020-12890 y el tercero sin CVE asignado) a finales de este mes de junio.

Para saber más: https://threatpost.com/amd-fixes-for-high-severity-smm-callout-flaws-upcoming/156787/

Escaneos de Sodinokibi/REvil en busca de software PoS

Investigadores de Symantec han detectado una campaña dirigida del ransonmware Sodinokibi, también conocido como REvil, en la que los agentes amenaza estarían escaneando las redes de sus víctimas en busca de tarjetas de crédito o software de terminales de punto de venta (POS). Los atacantes estarían utilizando el malware Cobalt Strike para desplegar el ransomware en los sistemas de las víctimas. Según los investigadores, durante esta campaña, se detectó que ocho compañías habrían sido atacadas con el malware Cobalt Strike, y que tres de ellas fueron posteriormente infectadas con Sodinokibi. Además, los atacantes estarían utilizando herramientas legítimas como el software de control remoto NetSupport para llevar a cabo esta campaña. Hasta la fecha, se desconoce si los atacantes están dirigiéndose contra los terminales de punto de venta para cifrar su software o para obtener beneficios por otros medios.

Más info: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/sodinokibi-ransomware-cobalt-strike-pos

VMware corrige vulnerabilidades críticas

VMware ha publicado actualizaciones de seguridad que corrigen fallos en los productos ESXi, Workstation y Fusion. Entre estas vulnerabilidades se encuentra una de severidad crítica, catalogada como CVE-2020-3962 y con un CVSSv3 de 9.3, que afecta al dispositivo SVGA y que podría permitir a un agente amenaza ejecutar código arbitrario en el hypervisor desde una máquina virtual. Para mitigar esta amenaza se recomienda a los usuarios actualizar VMware Fusion a la versión 15.5.5, y VMware ESXi a las versiones ESXi_7.0.0-1.20.16321839, ESXi670-202004101-SG, o ESXi650-202005401-SG. Puesto que el fallo reside en la aceleración de 3D Graphics, para paliar este fallo también se puede deshabilitar este componente en caso de no poder actualizar estos software inmediatamente, evitando así una posible explotación. En las demás actualizaciones de seguridad publicadas se han corregido otras 9 vulnerabilidades con CVSSv3 desde 4.0 hasta 8.1.

Todos los detalles: https://www.vmware.com/security/advisories/VMSA-2020-0015.html


Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *