Noticias de Ciberseguridad: Boletín semanal 6-12 de junio

Compromiso de Enel y Honda con el ransomware Snake

La corporación energética italiana Enel y el gigante japonés de la automoción Honda se habrían visto afectados el pasado fin de semana por sendos ataques de ransomware que habrían impactado en sus sistemas IT. El responsable de los compromisos es el ransomware Snake (también denominado Ekans) según indican los análisis realizados por el investigador independiente @milk3am en base a las dos muestras del malware subidas a la plataforma VirusTotal. La investigación sobre el vector de entrada no es concluyente, pero es probable que se debiese a la exposición pública de servicios de acceso remoto (RDP) en ambas compañías, tal y como señalaban otras fuentes. Por parte de Enel, solo su filial argentina, Edesur, ha admitido estar sufriendo un fallo informático que está «dificultando la atención a clientes por teléfono, redes sociales y el uso de la Oficina Virtual”. Honda, por su parte, ha reconocido al medio BleepingComputer estar experimentando problemas en su red informática, recalcando que la producción continúa sin contratiempos y que el impacto en sus clientes es nulo. Los investigadores estiman que las redes afectadas incluirían tanto Europa como Japón. Snake es un ransomware surgido a finales de 2019 que cuenta entre sus módulos con capacidades específicas para terminar procesos asociados a software ICS/SCADA. El pasado mes se conoció una importante campaña de distribución que afectó, al menos, a otra gran corporación en el sector de la salud, la alemana Fresenius. 

Más información: https://twitter.com/milkr3am/status/1269932348860030979

Nueva campaña de suplantación de la ITSS

En las últimas horas se ha detectado una nueva campaña fraudulenta que intenta suplantar a la Inspección de Trabajo y Seguridad Social. En esta ocasión, los correos electrónicos provienen de los remitentes @itss.se, @itss.com, @itss.es y @itss.app, teniendo como asunto del mensaje “Denuncia Oficial XXXXXX, se inició una investigación contra su empresa”. En estos informan de una supuesta investigación contra la empresa por posibles incumplimientos, y hacen alusión a que las denuncias se encuentran adjuntas en el documento Excel que se incluye en el email. En caso de que una víctima abra este documento malicioso y habilite su ejecución, será infectado con un malware de la familia Smoke-Loader, con funcionalidades de robo de contraseñas

Todos los detalles: https://s2grupo.es/es/campana-de-phishing-inspeccion-de-trabajo-seguridad-social/

Boletín de SAP de junio

SAP ha publicado su boletín de actualizaciones para junio de 2020 con dos vulnerabilidades críticas, cuatro de nivel alto y 12 de nivel medio. Destacan especialmente:

• CVE-2020-1938: Valorada con CVSSv3 de 9,8, se trata de una vulnerabilidad en el motor de JSP y servlets de Tomcat que explota la confianza Tomcat a la hora de manejar peticiones http desde el conector AJP, lo que puede aprovecharse para conseguir acceso ficheros arbitrarios de cualquier parte del servicio web y procesarlos como JSP, desembocando en la ejecución remota de código.
• CVE-2020-6265: Valorada con CVSSv3 de 9,8, se trata de una vulnerabilidad por claves por defecto (credenciales embebidas) en SAP Commerce y SAP Commerce Datahub que permiten evadir el control de accesos si se conocen las credenciales por defecto.

Para ambas vulnerabilidades la exposición es máxima, ya que carecen de complejidad, se pueden explotar sin requisitos previos ni necesidad de interacción y tienen un máximo impacto sobre la tríada CIA.

Más info: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=547426775

Nuevas vulnerabilidades en el protocolo SMB

En las últimas horas se han producido dos publicaciones relevantes que afectan a vulnerabilidades en el protocolo SMB:

• En primer lugar, los analistas de ZecOps han descubierto una nueva vulnerabilidad, SMBleed, CVE-2020-1206. Se trata de un fallo que permite extraer datos de la memoria del kernel de forma remota y que, si se usa en conjunción con SMBGhost, puede provocar la ejecución remota de código de forma previa a la autenticación. Este fallo afecta sólo a versiones muy recientes de Windows y queda neutralizada por las mismas mitigaciones puestas en práctica para parchear SMBGhost.
• Por otro lado, se ha detectado una vulnerabilidad de ejecución remota de código (CVE-2020-1301) que aprovecha un fallo del protocolo SMBv1, cuyo uso está desaconsejado por Microsoft. Un atacante autenticado con credenciales para poder acceder a una carpeta de red remota podría ejecutar código de su elección. Los descubridores de la vulnerabilidad señalan como factor mitigante que el share debe ser una unidad de disco completa. Asimismo, se ha especulado que podría existir otra vía de explotación que no exija autenticación previa. Este fallo afecta a todas las versiones de Windows y sus parches han sido incluidos en el boletín de actualizaciones de Microsoft del mes de junio.

Para saber más: https://blog.zecops.com/vulnerabilities/smbleedingghost-writeup-chaining-smbleed-cve-2020-1206-with-smbghost/

eCh0raix: Ransomware contra dispositivos QNAP NAS

Desde el medio Bleeping Computer alertan de la reanudación en la actividad de los operadores del ransomware eCh0raix contra dispositivos de almacenamiento conectados a la red QNAP. La actividad del grupo comenzaba el pasado mes de junio de 2019 y se veía reducida en los últimos meses con motivo de la competencia con otros grupos como Muhstik y QSnatch, que también tenían como objetivo dispositivos QNAP NAS. Sin embargo, y posiblemente a raíz de una publicación donde se detallaban tres vulnerabilidades críticas en estos dispositivos, se ha detectado un incremento de usuarios que se han visto afectados por un ransomware que finalmente se ha atribuido a eCh0raix. Tradicionalmente el grupo centra sus ataques en la explotación de vulnerabilidades antiguas no parcheadas o en la realización de ataques de fuerza bruta para adivinar contraseñas débiles. Es posible que se hayan incorporado exploits para las nuevas vulnerabilidades, lo que explicaría el repunte en la actividad del grupo, de forma que se recomienda a los usuarios actualizar sus dispositivos lo antes posible.

Más información: https://www.bleepingcomputer.com/news/security/ongoing-ech0raix-ransomware-campaign-targets-qnap-nas-devices/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.