Especialistas en ciberseguridad reportan la detección de diversas vulnerabilidades en Wireshark, el popular analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, además de realizar análisis de datos y protocolos. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar ataques de denegación de servicio (DoS).
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes acorde al Common Vulnerability Scoring System (CVSS).
CVE-2021-4186: La validación insuficiente de las entradas proporcionadas por el usuario en el disector Gryphon permitiría a los actores de amenazas remotos pasar tráfico especialmente diseñado a través de la red y realizar un ataque DoS en el sistema objetivo.
Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 5.7/10.
CVE-2021-4185: Un bucle infinito en el disector RTMPT permitiría a los hackers maliciosos remotos enviar tráfico especialmente diseñado a través de la red, consumiendo todos los recursos del sistema disponibles y provocando una condición DoS.
La falla recibió un puntaje CVSS de 6.5/10.
CVE-2021-4184: Un bucle infinito en el disector DHT de BitTorrent permitiría a los atacantes remotos enviar tráfico especialmente diseñado a través de la red, consumiendo los recursos del sistema y generando una condición DoS.
Esta es una falla de severidad media y recibió un puntaje CVSS de 6.5/10.
CVE-2021-4183: La validación insuficiente de las entradas proporcionadas por los usuarios en el analizador de archivos pcapng permitiría a los actores de amenazas engañar a las víctimas para abrir un archivo de seguimiento de paquetes con formato incorrecto, desplegando una condición DoS.
Esta es una falla de severidad media y recibió un puntaje CVSS de 5.7/10.
CVE-2021-4182: Un bucle infinito en el analizador de archivos RFC 7468 permitiría a los actores de amenazas remotos enviar a sus víctimas un archivo de seguimiento de paquetes especialmente diseñado, consumiendo así todos los recursos del CPU afectado.
La falla recibió un puntaje CVSS de 5.7/10.
CVE-2021-4181: La validación insuficiente de entradas proporcionadas por el usuario en el disector de eventos Sysdig permitiría a los hackers remotos enviar tráfico especialmente diseñado a través de la red objetivo, desplegando un ataque DoS.
Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 6.5/10.
Sin clave CVE: Un bucle infinito en el disector del protocolo Kafka permitiría a los atacantes remotos enviar tráfico especialmente diseñado a través de la red, consumiendo los recursos del sistema afectado y resultando en un ataque DoS.
La falla recibió un puntaje CVSS de 6.5/10.
Según el reporte, todas las fallas detectadas residen en las siguientes versiones de Wireshark: 3.4.0, 3.4.1, 3.4.2, 3.4.3, 3.4.4, 3.4.5, 3.4.6, 3.4.7, 3.4.8, 3.4.9, 3.4.10 y 3.6.0.
Aunque las fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa. Aún así, se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Después de llamar la atención del gobierno de E.U. cifrando los sistemas de una oficina pública, los operadores del grupo de ransomware AvosLocker publicaron una herramienta de descifrado gratuita para que las víctimas de esta infección puedan recuperar sus archivos comprometidos sin tener que pagar a los hackers.
Según el reporte, a pesar de que los hackers lograron robar información confidencial y cifrar los sistemas afectados como en cualquier otro ataque, después de darse cuenta de que la víctima era una agencia gubernamental decidieron entregar la herramienta de descifrado sin exigir el pago del rescate.
Aunque los hackers cortaron de tajo con este ataque, parece que se negaron a entregar una lista de la información robada a la agencia afectada, además de mantener en secreto el método de hacking utilizado.
Esta tarde, un supuesto miembro de AvosLocker intercambió algunos mensajes con un investigador independiente; el presunto hacker asegura que aunque su grupo despliega ataques contra cualquier objetivo por igual, tratan de evitarse problemas con entidades gubernamentales y hospitales, pero no hay un control estricto sobre las actividades de sus afiliados: “A veces un afiliado puede bloquear una red sin verificar de quién se trata; es difícil que el gobierno entregue el dinero de los contribuyentes a un grupo de hacking”, agrega.
Como recordará, AvosLocker es una operación de ransomware como servicio (RaaS), lo que significa que los desarrolladores principales se dedican exclusivamente al mantenimiento del malware y de los sistemas informáticos relacionados con el ataque, mientras los grupos afiliados compran el acceso al virus y se encargan de desplegar los ataques para después dividir las ganancias obtenidas.
Desde hace meses las autoridades de E.U. comenzaron a ejercer mayor presión contra los grupos de ransomware, lo que ha llevado al cierre de peligrosas operaciones como DarkSide, BlackMatter y Avaddon. Aunque en muchos casos estos cierres son temporales o simples relanzamientos, los grupos de ransomware enfrentan cada vez más problemas con las agencias de la ley.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un reciente reporte indica que los dispositivos de almacenamiento fabricados por diversas firmas tecnológicas podrían verse afectados por un conjunto de vulnerabilidades en el software de cifrado que estas herramientas usan en común. Entre los fabricantes afectados por estas fallas destaca Western Digital, que recientemente había lanzado actualizaciones de seguridad para su producto SanDisk SecureAccess (ahora llamado SanDisk PrivateAccess), que permite cifrar archivos y carpetas almacenadas en unidades flash USB de SanDisk.
Acorde al investigador Sylvain Pelissier, los problemas derivan de dos vulnerabilidades de derivación de claves que podrían ser explotados para obtener las contraseñas de un usuario objetivo. Estas fallas residen en el software de cifrado DataVault, desarrollado por ENC Security.
Esta es una solución que proporciona lo que sus creadores llaman “protección de datos de grado militar”, compatible con toda clase de sistemas, incluyendo unidades USB, discos duros, almacenamiento conectado en red (NAS), CDS e implementaciones en la nube. DataVault es empleado por otros proveedores además de SanDisk, incluyendo a Sony y Lexar entre sus principales clientes.
En su investigación, Pelissier utilizó ingeniería inversa y varias otras técnicas de hacking, lo que llevó al hallazgo de algunas debilidades que podrían permitir ataques de fuerza bruta. Estos problemas de seguridad fueron identificados como CVE-2021-36750 y CVE-2021-36751.
Según el experto, la función de derivación de claves era PBKDF2 usando 1000 iteraciones de MD5 para derivar la clave de cifrado. El salt utilizado para derivar las claves es constante y está codificado en todas las soluciones y todos los proveedores, lo que hace que sea más fácil para un actor de amenazas adivinar la contraseña de usuario.
Según el experto, la función de derivación de claves era PBKDF2 usando 1000 iteraciones de MD5 para derivar la clave de cifrado. El salt utilizado para derivar las claves es constante y está codificado en todas las soluciones y todos los proveedores, lo que hace que sea más fácil para un actor de amenazas adivinar la contraseña de usuario. Pelissier agrega que incluso usando un salt generado aleatoriamente sería fácil recuperar una contraseña.
Al respecto, ENC Security emitió un comunicado en el que reconocen que DataVault usaba un hash criptográfico unidireccional con un salt predecible, lo que lo hacía vulnerable a ataques de diccionario y otras variantes de hacking, poniendo en riesgo los datos de los usuarios. Las debilidades fueron abordadas con el lanzamiento de DataVault v7.2, por lo que se recomienda actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
A pesar de la existencia de herramientas para la protección del contenido digital, la piratería siempre parece estar un paso delante de los equipos de seguridad en plataformas de streaming, que simplemente no son capaces de detener la filtración de su contenido fuera de sus propias plataformas.
Plataformas como Netflix, Amazon Prime, Disney+ y otras usan herramientas como Widevine DRM, una tecnología desarrollada por Google para la protección del contenido digital. Widevine DRM incluye tres niveles de seguridad, siendo L1 el más seguro de todos. A pesar de su avanzado desarrollo y reconocidas capacidades, esta clase de herramientas pueden ser comprometidas empleando diversos métodos.
Uno de estos métodos para la descarga de contenido fue revelado recientemente en GitHub, donde un usuario identificado como “Widevinedump” publicó diversos repositorios con herramientas que permiten a cualquier usuario descargar videos en alta definición desde las principales plataformas de streaming.
Si bien el código es completamente gratuito y aparentemente fácil de usar, es necesario mencionar que podría no ser realmente seguro, por lo que su uso queda a consideración de cada persona.
El usuario publicó un conjunto de herramientas identificadas como DISNEY-4K-SCRIPT, Netflix-4K-Script, WV-AMZN-4K-RIPPER, HBO-MAX-BLIM-TV-Paramount-4k-Downloader, APPLE-TV-4K-Downloader y varias otras herramientas, asegurando que todas funcionan y son mantenidas con regularidad.
Todo suena demasiado bien y realmente fácil, aunque siempre hay algo detrás de estas herramientas. Si bien en esta ocasión no se trata de un virus, el truco es que las herramientas de Widevinedump no incluyen el módulo de descifrado de contenido, necesario para descargar contenido en calidad 4K.
Para acceder a este módulo, los usuarios deben pagar a un desarrollador, lo que es posible contactando a Widevinedump, quien incluso dejó su propia dirección email para contacto. A pesar de que este conjunto de herramientas está incompleto y puede ser inseguro, seguramente podrá resultar útil para algunos usuarios y desarrolladores.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Desde esta mañana, múltiples usuarios de la herramienta de gestión de contraseñas LastPass comenzaron a reportar que sus contraseñas maestras fueron comprometidas luego de recibir una advertencia sobre intentos de inicio de sesión en ubicaciones desconocidas. Estas notificaciones email también mencionan que los intentos de acceso pudieron ser bloqueados.
Los reportes sobre contraseñas maestras comprometidas llevan horas acumulándose a través de plataformas sociales como Facebook, Twitter y Reddit.
Someone tried my @LastPass master password earlier yesterday and then someone just tried it again a few hours ago after I changed it. What the hell is going on?
Al respecto, la directora senior Nikolett Bacso-Albaum mencionó que LastPass está investigando informes recientes sobre posible actividad maliciosa, determinando que esto está relacionado con una campaña de bots comunes. Al parecer, los actores de amenazas están usando las direcciones email de los usuarios para tratar de acceder a sus cuentas en línea de forma arbitraria empleando el conocido ataque de relleno de credenciales.
A pesar de que estos intentos de acceso han sido infructuosos, los usuarios afirman que sus contraseñas maestras son exclusivas de LastPass y no deberían haber sido encontradas en incidentes de ciberseguridad separados. La compañía no parece tener aún una respuesta para esta interrogante.
LastPass no agregó detalle alguno sobre cómo los cibercriminales obtuvieron estos registros, aunque el investigador Bob Diachenko recientemente reportó la detección de miles de credenciales de la plataforma durante el análisis de otra filtración. Por el momento el panorama parece complicado, ya que los clientes afectados ni siquiera pueden deshabilitar sus cuentas de LastPass; cuando un usuario trata de hacer esto, aparece un mensaje de error desconocido.
Ante esta situación, se recomienda a los usuarios de la plataforma mantenerse al tanto de cualquier nueva actualización sobre el incidente.
Esta no es la primera ocasión en que los usuarios de LastPass sufren un incidente similar. Hace dos años, la compañía anunció la corrección de una vulnerabilidad en la extensión de Chrome del administrador de contraseñas que podría haber permitido a los hackers maliciosos robar las credenciales utilizadas por última vez para iniciar sesión en un sitio web. Aunque el error fue abordado en breve, dejó un precedente muy malo para la compañía.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un reporte de la firma de ciberseguridad Sophos señala la detección de un grupo de hacking que está tratando de evadir los controles de seguridad en los sistemas atacados mediante el uso combinado del Modo Seguro del sistema Windows y la herramienta de administración remota AnyDesk.
Como ya sabrá, el Modo Seguro de Windows es un método de soporte informático para la resolución de problemas que requiere de la inhabilitación de la mayoría de las herramientas de seguridad en el sistema en cuestión, mientras que AnyDesk brinda a los usuarios acceso remoto continuo a un sistema.
Los investigadores de Sophos descubrieron que los actores de amenazas detrás de esta campaña buscan infectar los sistemas vulnerables con la variante de ransomware AvosLocker, instalando la herramienta AnyDesk para habilitar de forma arbitraria el Modo Seguro y desactivar los mecanismos de seguridad en el sistema objetivo.
De este modo, se crea un escenario en el que los actores de amenazas tienen control remoto total sobre cada máquina que han configurado con AnyDesk, mientras que los sistemas afectados no son capaces de alertar al administrador legítimo sobre las acciones maliciosas. Los expertos de Sophos aseguran que esta es la primera ocasión en que encuentran a un grupo de hacking usando esta táctica.
Sobre AvosLocker, los expertos mencionan que esta es una plataforma de ransomware como servicio (RaaS) detectada por primera vez a mediados de 2021 y capaz de infectar tanto sistemas Windows como distribuciones Linux. Desde su detección, AvosLocker ha incrementado considerablemente su popularidad, con ataques confirmados en Estados Unidos, América Latina, Oriente Medio y algunas regiones de Asia.
El reporte agrega que la secuencia principal comienza con los atacantes usando PDQ Deploy para la ejecución de un script identificado como “love.bat” o “lock.bat” en los sistemas afectados. Posteriormente, los hackers lanzan una serie de comandos que preparan el sistema objetivo para la instalación del ransomware, reiniciando el sistema en Modo Seguro. La ejecución de comandos toma alrededor de cinco segundos e incluye la inhabilitación de los servicios de actualización de Windows y Windows Defender.
El uso de AnyDesk garantiza acceso de comando y control continuo a los actores de amenazas, además de que permite la creación de una nueva cuenta con detalles de inicio de sesión automático para conectarse al controlador de dominio afectado de forma remota, completando así el ataque.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Este ha sido un año complejo para múltiples bancos en Suiza, ya que los grupos criminales han experimentado toda clase de métodos para seguir vaciando cajeros automáticos a lo largo de todo el país, en una práctica popularmente conocida como jackpotting. Aunque los principales métodos de jackpotting incluyen el uso de malware y complejas herramientas de hacking, la más reciente oleada de ataques parece haber dejado atrás la discreción.
Autoridades suizas reportan un incremento inusitado en los reportes de ataques bomba contra cajeros automáticos, cada uno representando ganancias de al menos 100,000 euros en cada incidente. Hasta este momento, Suiza ha registrado un total de 24 ataques bomba contra los cajeros de diferentes bancos.
Durante los últimos siete días se detectaron dos ataques contra cajeros automáticos en la estación central de Lucerna, que tuvo que pausar sus servicios durante unas cuatro horas, con una segunda explosión en las afueras de Zúrich. Los operadores de estos ataques suelen actuar de noche, empleando lo que parece ser dinamita para hacer estallar la caja interior del cajero automático.
Entre los planes para mantener a raya estos ataques destaca la instalación de modernos sistemas de seguridad que habilitan una puerta de acero blindada cuando los sistemas electrónicos del cajero automático detectan actividad inusual alrededor del dispositivo. Francia ha implementado con éxito estos sistemas, por lo que Suiza ya considera su uso.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
En su más reciente reporte, el servicio de prisiones de Escocia reveló que se confiscaron un total de 1889 teléfonos celulares debido al mal uso dentro de las cárceles locales. Estos dispositivos fueron entregados a miles de prisioneros a inicios de 2020 como parte de las medidas de aislamiento por coronavirus, ya que las cárceles no podían recibir visitantes y el contacto con el exterior era prácticamente nulo.
Al anunciar esta medida, el ex secretario de Justicia Humza Yousaf mencionó que se autorizó un gasto de 2.7 millones de libras esterlinas para la compra de 7,500 teléfonos supuestamente a prueba de hacking. No obstante, algunos prisioneros descubrieron un método efectivo para liberar las funciones restringidas de estos dispositivos unas cuantas horas después de que les fueron entregados. Por el momento se desconoce qué método usaron los prisioneros para hackear estos dispositivos.
Una fuente del servicio de prisiones de Escocia asegura que cientos de prisioneros usaron estos equipos hackeados para operar actividades ilícitas, incluyendo la venta de droga y extorsión, en complicidad con individuos al exterior de las cárceles. También se informó que algunas pandillas dentro de las prisiones lograron robar los dispositivos que fueron otorgados a otros reos, ya que el programa no incluía a prisioneros considerados peligrosos.
Para hacer más grave el problema, los funcionarios de prisiones dicen que es imposible detectar a simple vista qué dispositivos han sido manipulados por hackers, por lo que las prisiones deben invertir recursos considerables para encontrar aquellos teléfonos capaces de realizar llamadas no autorizadas al exterior, así que el problema no puede ser abordado en cuestión de unos pocos días.
Por lo pronto, se ha decidido que se revocará el acceso a estos teléfonos para los reos que hagan mal uso de los dispositivos, además de que se implementarán medidas más estrictas para prevenir el contrabando de nuevos dispositivos al interior de las cárceles. Estos permisos podrán ser revocados por un mes, dos meses o de forma permanente.
A pesar de estas medidas, algunos congresistas han solicitado que el uso de estos dispositivos se elimine por completo, ya que creen que solo causan más problemas de los que resuelven y no hay forma de que la administración de las prisiones pueda garantizar su uso correcto.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Los desarrolladores de Apache Software Foundation anunciaron el lanzamiento de una nueva versión de Apache HTTP Server, con lo que esperan abordar completamente una vulnerabilidad crítica recientemente detectada que permitiría la ejecución remota de código en implementaciones afectadas.
Al respecto, la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA) también emitió una alerta solicitando urgentemente a los usuarios de Apache HTTP Server actualizar a v2.4.52 lo antes posible.
Esta actualización contiene parches para CVE-2021-44790 y CVE-2021-44224, dos fallas que permitirían a los actores de amenazas tomar control total de una implementación afectada. Sobre la más severa de estas fallas, Apache menciona: “Un cuerpo de solicitud cuidadosamente diseñado puede causar un desbordamiento del búfer en el analizador multiparte mod_lua (r: parsebody () llamado desde scripts Lua)”. Hasta el momento no se conocen casos de explotación activa de CVE-2021-44790.
Por otra parte, Apache describe a CVE-2021-44224 como “una desreferencia NULL de riesgo moderado que podría conducir a un ataque de falsificación de solicitudes del lado del servidor (SSRF)”. Debido a esto, un URI especialmente diseñado y enviado a httpd configurado como un proxy de reenvío puede causar un bloqueo o, para configuraciones que mezclan declaraciones de proxy reenvío e inverso, puede permitir que las solicitudes se dirijan a un extremo de socket de dominio Unix declarado.
Este año ha sido muy activo en cuanto a la detección de fallas de seguridad en Apache HTTP Server; apenas hace unas semanas, CISA alertó sobre un error identificado como CVE-2021-40438 y cuya explotación permitiría a los hackers maliciosos desplegar ataques de falsificación de solicitudes del lado del servidor. Esta falla ya ha sido explotada en escenarios reales, por lo que sigue siendo un problema para los administradores de Apache.
Si bien los intentos de explotación de esta falla no son un problema extendido para todas las iteraciones de Apache HTTP Server, se recomienda a los usuarios de implementaciones afectadas mantenerse al tanto de los últimos parches de actualización lanzados por la fundación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Los investigadores de Website Planet reportan el hallazgo de una brecha de datos afectando a D.W. Morgan, una firma multinacional de logística con sede en E.U. Según el reporte, la filtración se debe a un bucket de Amazon Web Services (AWS) completamente expuesto en línea, accesible sin medida de seguridad alguna.
La implementación comprometida contenía más de 2.5 millones de archivos, equivalentes a unos 100 GB de información de los clientes corporativos de D.W. Morgan. Ente los clientes de la firma se incluyen algunas de las compañías más valiosas de E.U.
El bucket de AWS expuesto incluía cinco carpetas almacenando cinco clasificaciones de archivos en específico, según pudieron detectar los investigadores:
Planes y acuerdos de transporte
Fotos de procesos
Archivos adjuntos
Firmas
Documentos no identificados
A continuación daremos un breve repaso por las características de cada carpeta expuesta durante este incidente.
Planes de acuerdos y de transporte
Esta primera carpeta incluye datos sobre los planes y acuerdos de transporte de la compañía; esta información incluye el curso de acción acordado para los conductores de reparto, personal de almacén y de seguridad. Entre los registros expuestos se encuentran:
Detalles de los procesos
Ubicaciones de las instalaciones
Nombres completos
Direcciones email empresariales de los clientes
Fotos de Procesos
Esta carpeta almacenaba al menos 800,000 imágenes ilustrativas sobre diversas partes del proceso de envíos en la compañía. Estas imágenes probablemente fueron capturadas por empleados para registrar envíos y documentos.
Archivos adjuntos
Incluye toda clase de facturas, etiquetas de envío y listas de empaque que probablemente provengan de los sistemas email de la compañía. En total, había más de 10,000 de estos archivos en esta carpeta específica.
Firmas
Aunque se desconocen muchos detalles sobre las firmas encontradas en el bucket, es probable que se relacionen con los múltiples procesos de entregas en la compañía. La carpeta almacena más de 4.5 millones de archivos.
Documentos no identificados
Más de 100,000 archivos que no parecen tener relación alguna entre sí, aunque incluyen información de identificación personal y detalles de clientes corporativos.
Los investigadores notificaron de inmediato a la compañía, que se apresuró a revocar el acceso inseguro a la información comprometida. No obstante, se desconoce por cuánto tiempo pudo permanecer expuesta esta información.
Del mismo modo que en cualquier otro incidente similar, los empleados y clientes corporativos afectados podrían verse expuestos a ataques de phishing, fraude de identidad y complejas campañas de ingeniería social, por lo que es fundamental que la compañía implemente los mecanismos de prevención necesarios para abordar el incidente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Según un reporte de seguridad, entre el 9 y el 17 de diciembre un grupo de hacking tomó el control de un centro de datos de servidores HP para minar la criptomonedaRaptoreum, obteniendo ganancias de más de $100,000 USD. Los actores detrás del incidente ni siquiera se tomaron la molestia de ser discretos, superando el rendimiento combinado de otros sistemas de minado.
Hasta el momento se desconoce la identidad de la empresa cuyos servidores fueron comprometidos durante la intrusión, aunque especialistas en ciberseguridad creen que es probable que se trate de una gran compañía informática vulnerable a las fallas críticas en Log4j, con gigantes de la industria como Amazon y Microsoft entre las firmas afectadas por estas vulnerabilidades.
Las fallas en Log4j comenzaron a ser reportadas desde hace unas semanas, incluyendo errores de ejecución de código arbitrario que afectarían incluso sistemas que se ejecutan de forma local y sin conexiones externas. Aunque las fallas ya han sido abordadas, circunstancias específicas en algunos sistemas aún permitirían su explotación.
Fue la repentina desaparición del grupo de servidores de HP el 17 de diciembre, lo que indica que los servidores habían sido parcheados, lo que reveló que se estaban utilizando sin consentimiento. Uno de ellos incluso continúa minando a la fecha, posiblemente no pudo ser actualizado o se mantiene como un honeypot para atraer a los grupos de hacking.
La actividad maliciosa es claramente visible a través del blockchain Raptoreum, el cual incluso sus propios desarrolladores consideran inestable. Al parecer, este desarrollo emplea como base el algoritmo GhostRider, intencionalmente resistente a los aceleradores y otras causas de inestabilidad.
GhostRider es particularmente dependiente de las CPU AMD debido a su gran caché L3, mientras que Raptoreum es sorprendentemente rentable en las costosas CPU de servidor Epyc de AMD debido a sus 256 MB de caché en modelos con 32 o más núcleos. Esto probablemente llevó a los hackers a apuntar a los servidores HP, que al parecer pertenecen a la serie 9000 y usan procesadores Epyc.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
En una alerta de seguridad, Schneider Electric confirmó la detección y corrección de diversas vulnerabilidades que residen en las estaciones de carga para vehículos eléctricosEVlink, lo que podría exponer estas implementaciones a los hackers maliciosos. Para ser específicos, las fallas residen en los equipos EVlink City (EVC1S22P4 y EVC1S7P4), Parking (EVW2, EVF2 y EVP2PE) y Smart Wallbox (EVB1A), además de otros productos que ya no recibirán soporte.
De entre las vulnerabilidades abordadas, destacan errores de falsificación de solicitudes entre sitios (CSRF) y fallas de scripts entre sitios (XSS), que podrían ser explotadas para desplegar acciones suplantando a los usuarios legítimos; además, se abordó una vulnerabilidad que podría brindar a los atacantes acceso total a las estaciones de carga vía ataques de fuerza bruta. La más severa de las fallas recibió un puntaje de 9.3/10 según el Common Vulnerability Scoring System (CVSS).
La compañía advierte que la explotación de la falla crítica podría llevar a severos escenarios de riesgo: “La manipulación maliciosa de las estaciones de carga podría conducir a ataques de denegación de servicio (DoS), eliminación de registros y divulgación de información confidencial”, señala el aviso de Schneider. La explotación de la mayoría de estas vulnerabilidades requeriría acceso físico a los puertos de comunicación internos del sistema, aunque algunos ataques complejos pueden ser explotados de forma remota a través de Internet.
Tony Nasr, investigador que reportó inicialmente las vulnerabilidades, menciona que los errores implican el envío de solicitudes especialmente diseñadas y la explotación no requiere interacción de usuarios vulnerables: “Los ataques permiten a los actores de amenazas explotar el EVCS comprometido de forma similar al funcionamiento de una botnet, permitiendo el despliegue de diversos ataques”. No obstante, la explotación de las vulnerabilidades CSRF y XSS requiere de niveles específicos de interacción de los usuarios.
El investigador agrega que, si bien el vector de ataque más peligroso apunta a implementaciones EVlink orientadas a Internet, los cibercriminales aún podrían crear un riesgo de seguridad severo para estas estaciones a través de LAN, pues la configuración EVlink requiere conectividad de red para un control remoto y administración más eficiente.
Nasr concluyó mencionando que estas vulnerabilidades se encontraron como parte de un estudio más amplio sobre los sistemas de administración de estaciones de carga de vehículos eléctricos. Los resultados completos del estudio estarán disponibles en los próximos meses.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El hacking de móviles es una de las tendencias cibercriminales más peligrosas, ya que permite a los actores de amenazas realizar una vigilancia detallada de personas de interés, robar información personal e incluso vaciar cuentas bancarias y billeteras de criptomoneda de forma remota y sin levantar sospechas.
En esta ocasión, especialistas del curso de seguridad móvil del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán uno de los métodos y herramientas más populares para el ataque de dispositivos inteligentes, empleado por los grupos de hacking de móviles más reconocidos. Para ser específicos, este tutorial detalla la creación de un troyano de acceso remoto (RAT) para dispositivos Android.
Recuerde que este artículo fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción; IICS no es responsable del mal uso que pueda darse a la información aquí contenida.
Cómo crear un troyano para Android
Los especialistas en hacking de móviles señalan que el término RAT puede referirse a cualquier utilidad de administración remota, como el popular software TeamViewer, empleado en el curso de seguridad móvil de IICS. A pesar de que tienen múltiples usos legítimos, los actores de amenazas pueden utilizar herramientas RAT para comprometer toda clase de sistemas vulnerables.
AhMyth RAT es una aplicación de código abierto disponible solamente en fase beta. La herramienta está dirigida a usuarios de Windows, pero las fuentes de AhMyth también se pueden descargar de GitHub para plataformas similares a UNIX, señalan los expertos en hacking de móviles.
La función para crear un RAT para Android con este programa consta de dos etapas:
Una aplicación de servidor que se puede utilizar para controlar un dispositivo infectado y crear archivos APK con código malicioso. Fue creado en el marco Electron, desarrollado en GitHub para crear aplicaciones gráficas simples
Un APK cliente para almacenar el código malicioso que permite el acceso remoto al dispositivo Android infectado. Es decir, el archivo APK generado actuará como un backdoor
Instalación de AhMyth RAT
Los expertos en hacking de móviles señalan que esta utilidad requiere una máquina virtual Java instalada en nuestro sistema; puede descargar estas implementaciones desde el sitio web oficial de Java.
Posteriormente, deberemos descargar los binarios de AhMyth RAT, disponibles en el repositorio oficial del proyecto en GitHub. Los expertos recomiendan desactivar el antivirus durante el proceso de descarga para evitar problemas durante la instalación.
Crear una APK maliciosa
Para crear un archivo APK de Android, abra la pestaña APK Builder. La apariencia del constructor para crear una RAT para Android se muestra a continuación:
Es muy fácil utilizar el constructor AhMyth RAT. En la ventana IP de origen, debe ingresar la dirección IP de la máquina atacante:
En el campo Puerto de origen, puede especificar el puerto que la máquina reservará para escuchar las conexiones (el puerto predeterminado es 42 474). También hay una opción Bind With Another Apk que le permite vincular un archivo APK a otra aplicación, señalan los especialistas del curso de seguridad móvil.
Para hacer esto, marque la casilla Bind With Another Apk, seleccione la APK requerida y especifique el método para integrar el malware en el teléfono. Hay dos métodos: ejecutando una APK infectada o reiniciando el teléfono después de instalar el RAT. Los creadores de la herramienta recomiendan implementar la segunda opción.
Posteriormente haga clic en el botón Generar; de forma predeterminada, el archivo infectado se guarda en la siguiente carpeta:
C:\Users\<Your_Username>\AhMyth\Output
Cómo evitar las soluciones antivirus
La evasión del antivirus Android es una de las tareas más difíciles en el hacking de móviles, o al menos lo es para los no iniciados. Con este fin, emplearemos una herramienta conocida como APKWASH, capaz de ocultar apps maliciosas para que la mayoría de soluciones antivirus no puedan detectar la carga útil del ataque.
Descargue la herramienta APKWASH y clónela en Kali Linux usando el siguiente comando:
git clone https://github.com/jbreed/apkwash.git
Otorgue permisos de ejecución a la herramienta con el siguiente comando:
chmod + x apkwash
mv apkwash / usr / local / bin /
Ahora podemos usar los siguientes comandos para explorar las funciones de la herramienta, mencionan los expertos en hacking de móviles:
–p | –Payload <payload> Establece la carga útil que generará msfvenom
–о | –Output <outfile.apk> Establece el nombre del APK generado, así como el archivo APK de salida
-x | –Original <infile.apk> El APK en el que se insertará la carga útil
–g | –Generate Establece la carga útil usando valores predeterminados
-n | –Newkey Genera una nueva clave de depuración antes de firmar
-v | –Verbose No enmascarar la salida del comando
-d | –Debug Leaves/tmp/ archivos de carga útil en su lugar para su visualización
Ahora tiene una APK maliciosa que las soluciones antivirus no podrán detectar.
Con la experiencia adecuada, podrá mejorar la herramienta por su cuenta, mencionan los expertos en hacking para móviles.
Distribución del RAT para Android
Las apps maliciosas son detectadas con facilidad por los mecanismos de seguridad de Google Play Store, por lo que es necesario encontrar otro método de distribución. Usualmente estas APK se distribuyen a través de campañas de ingeniería social, ya que también se requiere activar el RAT después de instalar la aplicación maliciosa, por lo que se debe tener en cuenta esta etapa del ataque, mencionan los expertos en hacking de móviles.
El éxito del ataque también requiere que la opción “Instalar solo desde fuentes confiables” esté deshabilitada, lo que permite instalar aplicaciones disponibles en fuentes no oficiales.
Conexión a dispositivos afectados
Para la siguiente etapa del ataque, vaya a Víctimas y conduzca el mismo puerto al campo que indicamos anteriormente, para que el servidor espere las conexiones de los dispositivos infectados. Nuevamente, si no cambió nada al compilar el APK, tampoco es necesario que especifique nada aquí.
Haga clic en Escuchar, y si la APK maliciosa ha infectado con éxito un dispositivo móvil, veremos una nueva conexión.
El programa también registra todas las acciones en la consola ubicada en la parte inferior de la ventana. El significado de las columnas de la revista es generalmente evidente, pero revisemos los detalles a continuación:
Country: Ubicación en la que está funcionando el dispositivo infectado
Manuf: Fabricante del dispositivo
Model: código o nombre de modelo del dispositivo.
Release: la versión del sistema operativo del dispositivo infectado (en mi caso, es Android 10).
IP/Port: Dirección IP y puerto del dispositivo a través del cual el dispositivo infectado se conecta a la máquina atacante
Una vez que nos hemos familiarizado con estos conceptos, podremos dirigirnos a la sección Open The Lab. En este menú, encontraremos siete opciones adicionales que da acceso a diversas funciones del programa.
Cámara
Primero, echemos un vistazo a la sección Cámara. Seleccione la cámara: frontal (frontal) o principal (trasera), y puede tomar una foto presionando el botón Snap.
Administrador de archivos
Esta herramienta no es tan avanzada como en otros desarrollos RAT, mencionan los expertos del curso de seguridad móvil, aunque sigue siendo realmente útil. Empleando esta herramienta, es posible descargar los archivos almacenados en el dispositivo infectado; como puede ver, el directorio de inicio es el directorio root y solo se puede acceder a él con derechos de administrador.
Micrófono
Esta función permite utilizar el micrófono del dispositivo en segundo plano y grabar cualquier registro posible en cuestión de segundos. Luego presione Grabar y espere; el archivo resultante puede escucharse directamente en la ventana del programa o guardarse en su máquina.
Datos de ubicación
Esta es una de las funciones principales de AhMyth. Si la transmisión de datos de ubicación está habilitada en el dispositivo infectado, podremos conocer con éxito la localización precisa de los usuarios afectados, con un margen de error de unos 10 metros.
Contactos
Con esta función, es posible extraer la lista completa de contactos registrados en el teléfono de la víctima, mencionan los expertos en hacking de móviles.
Mensajes SMS
Con esta función, los usuarios pueden enviar mensajes SMS a otros usuarios e incluso ver y descargar todos los mensajes que llegaron a este dispositivo. Para enviar un SMS, vaya a la pestaña Enviar SMS, especifique el número de teléfono del destinatario (campo PARA: //) y, en el campo Mensaje, ingrese el texto del mensaje deseado. Después de eso, todo lo que queda es presionar el botón ENVIAR.
Registro de llamadas
Esta sección le permite ver el historial de llamadas telefónicas en el dispositivo del usuario afectado. Empleando esta función, los actores de amenazas pueden encontrar detalles como nombre del contacto, número telefónico, duración de la llamada y tipo de entrada (ya sea entrante o saliente).
Conclusiones
Los expertos en hacking de móviles consideran que esta herramienta es extremadamente útil y puede ayudar en una amplia variedad de situaciones, por lo que es muy popular entre algunos grupos cibercriminales. Ante esta situación, lo mejor para los usuarios es evitar la instalación de apps descargadas desde plataformas no oficiales, ya que esta es la principal vía de ataques con troyanos para Android.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Especialistas en ciberseguridad reportan la aparición de un nuevo juguete con capacidades de Bluetooth cuyo uso malintencionado permitiría a los actores de amenazas desplegar complejas tareas de espionaje contra los hogares donde se use, afectando tanto a los infantes como a sus padres y otros familiares.
El dispositivo en cuestión es el Chatter Special Edition, que a simple vista es solo un accesorio para agregar función de Bluetooth y un altavoz al clásico teléfono de juguete de Fisher Price, caracterizado por tener ojos, boca y rueditas, un viejo favorito en hogares de todo el mundo.
El lanzamiento de este dispositivo ha sido acompañado por una ambiciosa campaña publicitaria en la que los fabricantes anuncian entusiasmados que este teléfono ya no es implemente un juguete y los niños podrán recibir llamadas telefónicas a través del altavoz y la conexión Bluetooth.
La versión 2021 del dispositivo se conecta a un smartphone y se puede usar como altavoz o para hacer llamadas. Para sorpresa de muchos, el marcado giratorio del dispositivo sí funciona, a diferencia de sus predecesores. Todo esto suena genial, aunque debemos tener cuidado con cualquier dispositivo tecnológico, incluyendo juguetes. Acorde a la firma de seguridad PenTest Partners, Chatter tiene severas fallas que podrían convertirlo en un smartphone de espionaje.
Los investigadores mencionan que Chatter usa un protocolo Bluetooth clásico sin suficientes medidas de seguridad, lo que significa que acepta cualquier solicitud de emparejamiento. En otras palabras, cualquier actor en el rango de Chatter podría conectar un dispositivo Bluetooth y sintonizar lo que se diga dentro del alcance del micrófono del Chatter.
Otros hallazgos interesantes de PenTest Partner incluyen:
Un actor de amenazas en una ubicación cercana podría usar el teléfono para hablar y escuchar a un niño en su hogar
Si el auricular del teléfono se deja apagado, el dispositivo responde automáticamente cualquier llamada a un smartphone conectado
El mismo atacante también puede hacer que suene el teléfono de Chatter, por lo que es probable que responda un niño sin supervisión de adultos
El Chatter ya está agotado, aunque por fortuna solo se vendió en Estados Unidos. Otra buena noticia es que el teléfono de juguete, sin capacidades tecnológicas, está disponible a nivel casi global por menos de $20 USD.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Hace unas semanas Microsoft se comunicó con un grupo reducido de clientes Azure para informarles que podrían verse afectados por una vulnerabilidad recientemente descubierta e identificada como NotLegit, que expuso el código fuente de las aplicaciones web Azure al menos desde septiembre de 2017.
La falla, identificada por los investigadores de Wiz, fue descrita como un comportamiento predeterminado inseguro en Azure App Service, lo que expone el código fuente de las aplicaciones de cliente escritas en PHP, Python, Ruby o Node, que se implementaron usando “Local Git”. Aunque hasta el momento no hay nada confirmado, es altamente probable que este error haya sido explotado activamente.
Azure cuenta con soporte para varios métodos para implementar código fuente en App Service, incluido “Local Git”. Este método permite a los desarrolladores iniciar un repositorio de Git local dentro del contenedor de Azure App Service que les permite enviar su código directamente al servidor. Solo los clientes que seleccionaron la opción “Local Git” para implementar sus sitios web desde un repositorio de Git alojado en el mismo servidor de Azure se veían expuestos a esta falla.
En su alerta, Microsoft menciona que el problema se presenta cuando se combina la función vulnerable con una aplicación configurada para ofrecer contenido estático, lo que hace posible que otros descarguen archivos que no estarían públicamente disponibles en condiciones convencionales.
Sobre la explotación en escenarios reales, los investigadores de Wiz creen que esto es altamente posible, ya que durante sus pruebas implementaron una aplicación de Azure App Service vulnerable y la vincularon a un dominio web no utilizado; apenas un par de días después ya habían detectado algunos intentos de acceso al contenido de la carpeta de código fuente en los recursos expuestos.
Microsoft corrigió la falla actualizando todas las imágenes PHP para impedir que el servicio de la carpeta .git trabaje como contenido estático, mitigando el acceso indebido al código fuente. La compañía tecnológica también otorgó a Wiz una recompensa de $7,500 USD por la presentación de este error.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Flavio Candido da Silva, residente en la ciudad de Malde, Massachusetts se ha declarado culpable de dos cargos de conspiración para cometer fraude electrónico y robo de identidad agravado con el fin de abrir múltiples cuentas en plataformas de transporte compartido y de entregas a domicilio, usando para ello datos robados disponibles en dark web.
El individuo es acusado de administrar un equipo de 18 miembros dedicado a robar identidades y falsificar documentos para crear cuentas de servicio de entrega y viajes compartidos falsas para luego alquilarlas o venderlas a otras personas. Esta operación fraudulenta habría afectado a empresas como Uber, DiDi, Lyft y otras más.
Según las autoridades, los acusados obtuvieron los nombres completos, fechas de nacimiento e incluso algunos números de seguridad social de múltiples víctimas, empleando esa información para crear las cuentas fraudulentas.
Las fotografías utilizadas para eludir los controles de reconocimiento facial utilizados como medidas de protección en los sistemas de transporte compartido y proveedores de servicios de entrega a menudo fueron tomadas directamente por los actores. Los estafadores provocaron intencionalmente diversos accidentes vehiculares menores para intercambiar información con la víctima o fotografiar sus licencias de conducir.
Esta práctica aumentó artificialmente los ingresos del acusado y elevó el monto de los daños ocasionados a las empresas afectadas a unos $200,000 USD, estima el Departamento de Justicia de E.U. (DOJ).
La sentencia de da Silva y sus cómplices se anunciará el 22 de abril de 2022. Los cargos de fraude electrónico se castigan con hasta 20 años de prisión, mientras que el robo de identidad se castiga con hasta dos años de prisión y el pago de multas de $250,000 USD, además de la incautación de cualquier activo obtenido fraudulentamente.
Desde el comienzo de la pandemia y el surgimiento del trabajo remoto y el empleo autónomo en aplicaciones de entregas, algunos grupos de hacking comenzaron a idear métodos para explotar estas plataformas y obtener grandes ganancias en tiempos muy cortos, por lo que es recomendable que las empresas mantengan algunas medidas de seguridad adicionales a fin de evitar la creación de cuentas fraudulentas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
La Agencia de Seguridad de Infraestructura y Ciberseguridad de E.U. (CISA) ha lanzado un escáner para identificar los servicios web afectados por CVE-2021-44228 y CVE-2021-45046, las peligrosas vulnerabilidades de ejecución remota de código (RCE) en Apache Log4j. En su anuncio, la Agencia señala que log4j-scanner es un proyecto derivado de otros miembros de la comunidad de código abierto y permitiría ayudar a las organizaciones a identificar servicios web potencialmente expuestos a estos ataques.
La herramienta fue desarrollada a partir de soluciones similares, incluyendo un marco de escaneo automatizado para CVE-2021-44228, desarrollado por la firma de seguridad FullHunt. El escáner permite a los equipos de seguridad analizar hosts de red en busca de exposición a ataques y detectar evasiones del firewall de aplicaciones web (WAF), elementos que permitirían a los hackers maliciosos la explotación exitosa de las fallas.
Acorde a CISA, las principales características del escáner incluyen:
Soporte para listas de URL
Fuzzing para más de 60 encabezados de solicitud HTTP
Fuzzing para parámetros de datos HTTP POST
Fuzzing para parámetros de datos JSON
Soporte para devolución de llamada de DNS para el descubrimiento y la validación de vulnerabilidades
Cargas útiles para evasión de WAF
De este modo la Agencia sigue mostrando su compromiso para ayudar a las organizaciones públicas privadas a responder a los peligrosos ataques relacionados con estas vulnerabilidades, explotadas activamente durante las últimas dos semanas.
En días anteriores, CISA también ordenó a las agencias del Poder Ejecutivo Federal Civil que abordaran las fallas en sus sistemas que permitían estos ataques, además de agregar la falla al Catálogo de Vulnerabilidades Explotadas Conocidas, reconociendo en justa medida la severidad del problema.
Los ataques relacionados con las vulnerabilidades en Log4j han sido orquestados por actores de amenazas en todas partes del mundo y con diversos fines, desde el fraude financiero, el minado de criptomoneda y las infecciones de ransomware, por lo que es mejor estar preparados antes de que un incidente de seguridad aparezca.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Las autoridades de E.U. han anunciado la extradición de Vladislav Klyushin, un ejecutivo presuntamente vinculado al gobierno de Rusia y acusado del hackeo de múltiples redes informáticas estadounidenses con el fin de desplegar complejas operaciones de fraude electrónico y robo de información financiera privilegiada.
El acusado fue arrestado en marzo mientras descendía de su jet privado al llegar a Sion, Suiza, donde pensaba pasar sus vacaciones con su familia. Unas semanas después el Buró Federal de Investigaciones (FBI) solicitó a Suiza su extradición, casi al mismo tiempo que el Kremlin había solicitado que lo enviaran a su país de origen.
Las autoridades suizas rechazaron la solicitud de Rusia, pues entraba en conflicto con sus leyes, mientras que aceptaron la solicitud de extradición poco después.
Esta semana, el Departamento de Justicia de E.U. (DOJ) reveló los cargos que le han sido imputados a Klyushin, destacando conspiración para cometer fraude electrónico, acceso indebido a sistemas informáticos protegidos y fraude de valores. Además de Klyushin, también deletreado “Kliushin”, se presentaron cargos contra cinco presuntos cómplices.
El DOJ asegura que el acusado es propietario de M-13, una firma de servicios TI especializada en pentesting. Los otros acusados son Ivan Ermakov, ex oficial de la Dirección Principal de Inteligencia de Rusia; Nikolai Rumiantcev; Mikhail Vladimirovich Irzak e Igor Sergeevich Sladkov. Cabe destacar que los presuntos co-conspiradores aún siguen prófugos.
Sobre Ermakov, el DOJ señala que también se presentaron cargos en su contra en 2018, cuando las autoridades de E.U. acusaron a 7 presuntos agentes rusos de cometer fraude electrónico, controlar campañas de robo de identidad y facilitar operaciones de lavado de dinero, además de desplegar campañas de desinformación sobre agencias deportivas y antidopaje.
Entre 2018 y 2020, Klyushin y sus cómplices habrían conspirado para acceder a las redes informáticas de dos compañías en E.U. autorizadas para presentar documentos electrónicos ante la Comisión de Bolsa y Valores (SEC) en representación de diversos clientes corporativos.
Este grupo es acusado de emplear credenciales de acceso robadas para acceder a información financiera privilegiada sobre cientos de empresas y su cotización en la bolsa antes de la divulgación pública de estos informes. Empleando estos informes, los acusados iniciaron una segunda etapa de ataque para obtener ganancias mediante la venta de esta información privilegiada, generando millones de dólares en ingresos ilícitos.
Los acusados también habrían comprado acciones de compañías que reportaron resultados positivos y se apresuraban a deshacerse de acciones a la baja. Esta práctica ilegal afectó a decenas de compañías, incluyendo Snap, Cytornx Therapeutics, Horizon Therapeutics, Puma Biotechnology, Synaptics, Capstead Mortgage, SS&C Technologies, Roku, Avnet y Tesla.
De ser encontrados culpables, Klyushin y sus cómplices podrían ser condenados a hasta cinco años por el cargo de conspiración para obtener acceso no autorizado a una computadora y cometer fraude electrónico y fraude de valores; cinco años por acceso no autorizado a una computadora; y 20 años por la venta fraudulenta de valores y fraude electrónico. Las sanciones por cargo también incluyen hasta tres años de libertad supervisada y multas de hasta $250,000 USD.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
En su más reciente alerta de seguridad, Microsoft alertó sobre un par de vulnerabilidades en Active Directory, corregidas durante su más reciente actualización y cuya explotación exitosa permitiría a los actores de amenazas tomar control de dominios Windows. Identificadas como CVE-2021-42287 y CVE-2021-42278, las vulnerabilidades pueden ser explotadas de forma encadenada para que los hackers puedan hacerse pasar por controladores de dominio y obtener privilegios administrativos.
En su reporte, la compañía advierte a los clientes que estas vulnerabilidades deben ser abordadas de inmediato para prevenir la explotación activa, especialmente considerando que existen algunas variantes de código de explotación disponibles públicamente. Microsoft también publicó una guía para que los usuarios puedan verificar si sus sistemas son vulnerables.
Sobre CVE-2021-42278, el reporte describe esta falla como un error de evasión de seguridad que permite a los hackers maliciosos hacerse pasar por un controlador de dominio mediante la suplantación de cuentas de computadora sAMAccountName.
Los atributos de sAMAccountName generalmente terminan con “$” en su nombre, pues permite distinguir entre objetos de usuario y objetos de computadora; con la configuración predeterminada, un usuario normal tiene permiso para modificar la cuenta de una máquina (hasta 10 máquinas) y, como propietario, también tiene los permisos para editar su atributo sAMAccountName.
Por otra parte, CVE-2021-42287 es una vulnerabilidad de omisión de seguridad que reside en Kerberos Privilege Attribute Certificate (PAC) y permite a los actores de amenazas hacerse pasar por controladores de dominio. La vulnerabilidad provoca que el Centro de Distribución de Claves (KDC) cree tickets de servicio con niveles de privilegios más altos que los de la cuenta de dominio.
Microsoft concluye explicando que un atacante con credenciales de usuario de dominio puede encadenar las fallas anteriores para obtener privilegios de administrador de dominio, así que es fundamental implementar las correcciones oficiales.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Un reporte de seguridad de Cisco Talos detalla el descubrimiento de múltiples fallas de seguridad en los dispositivos de detección de metales Garrett Metal Detectors. Al parecer, las fallas podrían ser explotadas por actores de amenazas remotos para evadir los mecanismos de autenticación y ejecutar código arbitrario en los dispositivos afectados.
Las fallas residen en el módulo Garrett iC, que proporciona funciones de conectividad de red a los detectores de metal Garrett PD 6500i y Garrett MZ 6100, desarrollados por la compañía. Los actores de amenazas podrían abusar de este módulo para monitorear de forma remota las estadísticas de los dispositivos afectados, dando seguimiento detallado a las actividades de los usuarios.
Además, los hackers podrían realizar cambios de configuración y afectar el nivel de sensibilidad de un dispositivo, lo que podría representar un riesgo de seguridad para los usuarios y organizaciones donde se implementan estos detectores de metal.
Las fallas fueron identificadas como CVE-2021-21901, CVE-2021-21903, CVE-2021-21905 y CVE-2021-21906, y son descritas como errores de desbordamiento de búfer basado en pila. La explotación exitosa de cualquiera de estas fallas permitiría ejecutar código remoto en los sistemas comprometidos.
Otro conjunto de fallas, identificadas como CVE-2021-21904, CVE-2021-21907 y CVE-2021-21908 son vulnerabilidades transversales de directorio que permitirían a los actores de amenazas autenticados leer, escribir y eliminar archivos en el dispositivo objetivo.
Finalmente, los expertos reportaron la detección de CVE-2021-21902, una condición de carrera en la fase de autenticación de una utilidad de línea de comandos expuesta a través de la red. La explotación exitosa de esta condición de carrera permitiría a los hackers maliciosos secuestrar la sesión de un usuario autenticado.
Las fallas detectadas fueron reportadas al fabricante según lo estipula la comunidad de la ciberseguridad y la legislación vigente, por lo que Garrett Metal Detectors ya ha emitido un parche que corrige las fallas y mitiga el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
