Noticias de Ciberseguridad: Boletín semanal 23-29 de mayo

Vulnerabilidad crítica RCE en Cisco Unified CCX

Cisco ha corregido un fallo crítico de ejecución remota de código en Java Remote Management Interfacedesu software Cisco Unified Contact Center Express (CCX). Esta vulnerabilidad, CVE-2020-3280 con CVSS v3 de 9.8, se debe a una incorrecta validación de entrada de los datos enviados por el usuario del software afectado. Un atacante podría explotar dicha vulnerabilidad enviando un objeto Java serializado malicioso a un listener específico del sistema afectado. La explotación exitosa de este fallo podría dar lugar a la ejecución de código arbitrario como usuario root. Hasta el momento, el Equipo de Respuesta a Incidentes de Seguridad en productos de Cisco (PSIRT) no ha detectado ningún exploit vinculado a esta vulnerabilidad.

Más información: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN

RangeAMP: ataques DoS contra webs y servidores CDN

Un equipo de investigadores de origen Chino ha encontrado una nueva forma de manipular los paquetes HTTP para aumentar el tráfico web y provocar caídas de servicio en los sitios web y en las redes de distribución de contenidos (CDN). Esta nueva técnica de denegación de servicio (DoS), llamada RangeAMP, se aprovecha de implementaciones incorrectas del atributo Range Request en las peticiones HTTP. Estas permiten a los clientes solicitar solo una porción específica de un fichero alojado en el servidor y fue creada para pausar y reanudar el tráfico deliberadamente o en caso de problemas en la red. Según los investigadores, existen dos ataques RangeAMP diferentes: Small Byte Range (SBR), dirigido a un único objetivo con el fin de bloquearlo y Overlapping Byte Ranges (OBR), donde el tráfico se amplificaría dentro de las redes CDN y colapsaría los servidores CDN y otros sitios destino. Los investigadores habrían contactado con 13 proveedores de CDN y 12 de ellos ya habrían desplegado actualizaciones para mitigar este tipo de ataque, entre los que se encuentran Akamai, Azure o Cloudflare.

Todos los detalles: https://www.liubaojun.org/uploads/1/1/8/3/118316462/dsn_2020.pdf

StrandHogg 2.0: vulnerabilidad de criticidad alta en Android

Los investigadores de seguridad de Promon han descubierto una vulnerabilidad, denominada StrandHogg 2.0, que afecta a todos los dispositivos con sistema operativo Android 9.x. La explotación de este fallo, catalogado como CVE-2020-0096 con CVSS v3 de 7.8, podría permitir al actor amenaza exfiltrar credenciales, capturar imágenes con la cámara, leer y enviar SMS, acceder a información del GPS, registros de contactos y multimedia, así como escuchar a través del micrófono del dispositivo. Las aplicaciones maliciosas que aprovechan este error engañan al usuario utilizando interfaces de aplicaciones legítimas, iniciándose bajo un camuflaje que facilita las acciones maliciosas que se llevan a cabo en segundo plano. Esta vulnerabilidad es una evolución de la anterior StrandHogg, aunque el enfoque y amplitud del alcance de ambas no es el mismo. Desde Google se ha solucionado ya la problemática implementando un parche, por lo que se recomienda a los usuarios la actualización de sus sistemas a la última versión.

Más info: https://www.bleepingcomputer.com/news/security/critical-android-bug-lets-malicious-apps-hide-in-plain-sight/

Microsoft advierte sobre ataques con PonyFinal

El equipo de seguridad de Microsoft ha emitido un aviso advirtiendo a las organizaciones de todo el mundo que desplieguen protecciones contra Ponyfinal, una nueva variedad de ransomware que ha estado latente durante los últimos dos meses. PonyFinal es un ransomware basado en Java utilizado en ataques desplegados personalmente por un operador. En este tipo de ataques, los agentes maliciosos acceden a las redes corporativas y despliegan el ransomware ellos mismos. El punto de intrusión suele ser una cuenta en el servidor de administración de sistemas de una empresa vulnerado mediante ataques de fuerza bruta contra contraseñas débiles. Una vez dentro, se despliega un script de Visual Basic que ejecuta un shell inverso de PowerShell para volcar y robar datos locales. Una vez que los operadores PonyFinal tienen una sólida comprensión de la red del objetivo, se extienden a otros sistemas locales y despliegan el ransomware. Microsoft señala que los archivos cifrados con PonyFinal tienen una extensión de archivo “.enc” y que de momento no se conoce una forma o descifrador gratuito que pueda recuperar estos archivos cifrados.

https://twitter.com/MsftSecIntel/status/1265674287404343297

TrickBot actualiza uno de sus módulos de propagación

Investigadores de seguridad han descubierto un nuevo módulo de TrickBot utilizado para la propagación desde un sistema Windows infectado a un Controlador de Dominio (DC) vulnerable. Este nuevo módulo, denominado nworm, se ejecuta desde la memoria RAM del sistema, no deja artefactos en el Controlador de Dominio infectado y desaparece tras reiniciar o apagar el equipo. Además, el binario de TrickBot utilizado por nworm estaría cifrado. Estas características demuestran un intento de los desarrolladores de TrickBot de evitar ser detectados por los sistemas de seguridad.

Toda la información: https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.