#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero

ElevenPaths    17 enero, 2020
#NoticiasCiberseguridad: Boletín de ciberseguridad semanal 13-17 de enero

Las noticias de ciberseguridad más relevantes de la semana, recopiladas por nuestros expertos.

Exploit público para CVE-2020-0601

Se ha publicado un exploit para la vulnerabilidad CVE-2020-0601 (CVSSv3 8.1) de suplantación de identidad en la que Windows CryptoAPI valida los certificados de ECC de los productos de software. Como ya se reportó en boletines anteriores, esta vulnerabilidad permitiría que Windows confiase en un certificado ECC falso. La clave pública de este certificado debe coincidir con alguna de las claves públicas de los certificados del almacén de certificados de confianza de Windows y uno de los parámetros del certificado ECC también debe coincidir. El exploit permite crear, a partir de un certificado ECC cualquiera, uno que cumpla estos requisitos. El certificado generado por el exploit se emplearía como una CA propia con la que se podrían firmar varios certificados. Estos certificados podrían utilizarse para firmar código o se podrían generar directamente a nombre del servidor que se trataría de suplantar.

Más información:

Publicación de exploits para vulnerabilidad en Citrix

Durante el pasado fin de semana se ha hecho público un exploit para la vulnerabilidad CVE-2019-19781 que afecta a Citrix ADC (NetScaler) y que permite a usuarios no autorizados utilizar el directorio transversal para lograr ejecuciones remotas de código. Según las Pruebas de Concepto (PoC) publicadas, los atacantes pueden crear reverse shells y ejecutar comandos en los dispositivos vulnerables, lo que permite obtener el control total de estos. Se espera que a partir de ahora, el aumento de escaneos detectados recientemente se transformen en intentos de explotación. Pese a que los parches de Citrix no estarán disponibles hasta finales del mes de enero aproximadamente, se recomienda aplicar las reglas SIGMA y Snort existentes para mitigar el fallo, al mismo tiempo que es aconsejable seguir los pasos detallados por los expertos de TrustedSec para detectar la explotación.

Más información:

https://www.bleepingcomputer.com/news/security/citrix-adc-cve-2019-19781-exploits-released-fix-now/

Reactivación de campaña de Emotet

Tras su adaptación al mensaje festivo durante las últimas semanas, Emotet ha vuelto con nuevas campañas dirigidas en estos momentos contra más de ochenta países a través del envío masivo de spam. Estas nuevas campañas incluyen emails comunes y cadenas de respuestas que pretenden ser informes, acuerdos y declaraciones con un archivo o link malicioso adjunto. Cuando la víctima abre el documento y habilita las macros, éstas descargarían y ejecutarían Emotet. Una vez instalado, el malware utilizaría el sistema infectado para la sustracción de información, el envío de más spam y la descarga de otras familias como TrickBot, desencadenando infecciones ulteriores.

Más información:

https://www.bleepingcomputer.com/news/security/emotet-malware-restarts-spam-attacks-after-holiday-break/

Ransomware Sodinokibi se suma a la tendencia de publicar datos de sus víctimas

Desde hace aproximadamente un mes se está detectando lo que parece ser una nueva tendencia en relación con los ataques con ransomware; se trata de la publicación de los datos de las víctimas que no han pagado el rescate exigido por los atacantes. Los primeros en publicar una lista de víctimas fueron los gestores del ransomware Maze el 11 de diciembre, a través de una página web que se ha ido actualizando paulatinamente con datos de nuevas víctimas, siendo la última Southwire, para la que los operadores acaban de publicar hasta 14GB de datos robados. A esta tendencia se han sumado recientemente los operadores del ransomware Sodonikibi, cuyos operadores podrían haber publicado los datos cifrados de Artech Information Systems en un foro de origen ruso, tras las amenazas contra otras empresas infectadas como Travelex o CDH Investments. Es de esperar por tanto que esta práctica continúe y otros ransomware publiquen datos de sus víctimas.

Más información:

https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-publishes-stolen-data-for-the-first-time/

Cable Haunt, vulnerabilidad en módems con chips Broadcom

Un equipo de investigadores de seguridad ha descubierto un fallo de seguridad que afectaría a los módem que utilizan chips Broadcom y a la que han denominado Cable Haunt. La vulnerabilidad, CVE-2019-19494, afectaría al analizador de espectro, un componente estándar de los chips Broadcom que carece de protección contra ataques de revinculación de DNS, que utiliza credenciales predeterminadas y que contiene un error en su firmware. Si un usuario accede a una página maliciosa, el atacante podría utilizar el navegador para ejecutar el exploit en el componente vulnerable y ejecutar comandos en el dispositivo. Se cree que este fallo afectaría a unos 200 millones de módems solo en Europa.

Más: https://cablehaunt.com/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de innovación y laboratorio de ElevenPaths. Visita el canal de Telegram aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *