Noticias de Ciberseguridad: Boletín semanal 23-29 de mayoElevenPaths 29 mayo, 2020 Vulnerabilidad crítica RCE en Cisco Unified CCX Cisco ha corregido un fallo crítico de ejecución remota de código en Java Remote Management Interfacedesu software Cisco Unified Contact Center Express (CCX). Esta vulnerabilidad, CVE-2020-3280 con CVSS v3 de 9.8, se debe a una incorrecta validación de entrada de los datos enviados por el usuario del software afectado. Un atacante podría explotar dicha vulnerabilidad enviando un objeto Java serializado malicioso a un listener específico del sistema afectado. La explotación exitosa de este fallo podría dar lugar a la ejecución de código arbitrario como usuario root. Hasta el momento, el Equipo de Respuesta a Incidentes de Seguridad en productos de Cisco (PSIRT) no ha detectado ningún exploit vinculado a esta vulnerabilidad. Más información: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uccx-rce-GMSC6RKN RangeAMP: ataques DoS contra webs y servidores CDN Un equipo de investigadores de origen Chino ha encontrado una nueva forma de manipular los paquetes HTTP para aumentar el tráfico web y provocar caídas de servicio en los sitios web y en las redes de distribución de contenidos (CDN). Esta nueva técnica de denegación de servicio (DoS), llamada RangeAMP, se aprovecha de implementaciones incorrectas del atributo Range Request en las peticiones HTTP. Estas permiten a los clientes solicitar solo una porción específica de un fichero alojado en el servidor y fue creada para pausar y reanudar el tráfico deliberadamente o en caso de problemas en la red. Según los investigadores, existen dos ataques RangeAMP diferentes: Small Byte Range (SBR), dirigido a un único objetivo con el fin de bloquearlo y Overlapping Byte Ranges (OBR), donde el tráfico se amplificaría dentro de las redes CDN y colapsaría los servidores CDN y otros sitios destino. Los investigadores habrían contactado con 13 proveedores de CDN y 12 de ellos ya habrían desplegado actualizaciones para mitigar este tipo de ataque, entre los que se encuentran Akamai, Azure o Cloudflare. Todos los detalles: https://www.liubaojun.org/uploads/1/1/8/3/118316462/dsn_2020.pdf StrandHogg 2.0: vulnerabilidad de criticidad alta en Android Los investigadores de seguridad de Promon han descubierto una vulnerabilidad, denominada StrandHogg 2.0, que afecta a todos los dispositivos con sistema operativo Android 9.x. La explotación de este fallo, catalogado como CVE-2020-0096 con CVSS v3 de 7.8, podría permitir al actor amenaza exfiltrar credenciales, capturar imágenes con la cámara, leer y enviar SMS, acceder a información del GPS, registros de contactos y multimedia, así como escuchar a través del micrófono del dispositivo. Las aplicaciones maliciosas que aprovechan este error engañan al usuario utilizando interfaces de aplicaciones legítimas, iniciándose bajo un camuflaje que facilita las acciones maliciosas que se llevan a cabo en segundo plano. Esta vulnerabilidad es una evolución de la anterior StrandHogg, aunque el enfoque y amplitud del alcance de ambas no es el mismo. Desde Google se ha solucionado ya la problemática implementando un parche, por lo que se recomienda a los usuarios la actualización de sus sistemas a la última versión. Más info: https://www.bleepingcomputer.com/news/security/critical-android-bug-lets-malicious-apps-hide-in-plain-sight/ Microsoft advierte sobre ataques con PonyFinal El equipo de seguridad de Microsoft ha emitido un aviso advirtiendo a las organizaciones de todo el mundo que desplieguen protecciones contra Ponyfinal, una nueva variedad de ransomware que ha estado latente durante los últimos dos meses. PonyFinal es un ransomware basado en Java utilizado en ataques desplegados personalmente por un operador. En este tipo de ataques, los agentes maliciosos acceden a las redes corporativas y despliegan el ransomware ellos mismos. El punto de intrusión suele ser una cuenta en el servidor de administración de sistemas de una empresa vulnerado mediante ataques de fuerza bruta contra contraseñas débiles. Una vez dentro, se despliega un script de Visual Basic que ejecuta un shell inverso de PowerShell para volcar y robar datos locales. Una vez que los operadores PonyFinal tienen una sólida comprensión de la red del objetivo, se extienden a otros sistemas locales y despliegan el ransomware. Microsoft señala que los archivos cifrados con PonyFinal tienen una extensión de archivo «.enc» y que de momento no se conoce una forma o descifrador gratuito que pueda recuperar estos archivos cifrados. https://twitter.com/MsftSecIntel/status/1265674287404343297 TrickBot actualiza uno de sus módulos de propagación Investigadores de seguridad han descubierto un nuevo módulo de TrickBot utilizado para la propagación desde un sistema Windows infectado a un Controlador de Dominio (DC) vulnerable. Este nuevo módulo, denominado nworm, se ejecuta desde la memoria RAM del sistema, no deja artefactos en el Controlador de Dominio infectado y desaparece tras reiniciar o apagar el equipo. Además, el binario de TrickBot utilizado por nworm estaría cifrado. Estas características demuestran un intento de los desarrolladores de TrickBot de evitar ser detectados por los sistemas de seguridad. Toda la información: https://unit42.paloaltonetworks.com/goodbye-mworm-hello-nworm-trickbot-updates-propagation-module/ Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí. Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com. #CodeTalks4Devs – SIEMs Attack Framework, cuando el punto vulnerable de la red no es el que esperabasCreamos una herramienta para descifrar el ransomware VCryptor (disponible en NoMoreRansom.org)
AI of Things Iníciate en Inteligencia Artificial generativa (y responsable) con estos cursos gratuitos de Google Aprende sobre los conceptos y principios de la IA generativa o cómo crear y desplegar soluciones de IA: modelos de lenguaje, generación de imágenes... y también sobre IA responsable.
Nacho Palou Typosquatting: cómo detectarlo y protegerse No siempre es fácil detectar y protegerse del typosquatting. Estas recomendaciones de nuestros expertos te ayudan a reducir el riesgo.
Nacho Palou Qué es el invierno-IA y cómo evitarlo ¿Estamos a las puertas de un nuevo invierno-IA? ¿Qué factores podrían propiciarlo? El miedo, una legislación restrictiva o la falta de avances pueden impactar el futuro de la IA.
Nacho Palou El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...