miércoles, 30 de junio de 2021

CVE-2021-1675: Vulnerabilidad día cero en el servicio de impresión de Windows con un exploit disponible para todas las versiones del sistema operativo

Expertos en ciberseguridad reportan que un exploit de prueba de concepto (PoC) y los detalles técnicos relacionados con una vulnerabilidad sin parchear en sistemas Windows se han filtrado en línea por accidente.

La vulnerabilidad en cuestión, identificada como PrintNightmare, afecta a Windows Print Spooler y su explotación permitiría a los actores de amenazas tomar control de un servidor de dominio de Windows y desplegar malware en entornos empresariales. Reportes de múltiples investigadores afirman haber probado exitosamente el exploit PoC filtrado en sistemas Windows Server 2019 completamente actualizados.

La filtración de los detalles de esta vulnerabilidad ocurrió por accidente y debido a una confusión con CVE-2021-1675, otra falla que reside en Print Spooler y que fue corregida a inicios de junio. Al momento de su divulgación, Microsoft determinó que esta era una falla de escalada de privilegios de alta severidad, aunque después la compañía cambió su calificación a crítica sin proporcionar mayor información.

Aunque varias empresas estaban investigando este incidente, la compañía de seguridad china QiAnXin reportó un método para explotar la vulnerabilidad con el fin de desplegar la condición de escalada de privilegios locales, además de una condición de ejecución remota de código.

Aunque al inicio se pensaba que todo era parte de la misma vulnerabilidad, poco después se descubrió que PrintNightmare no es la misma falla que CVE-2021-1675, sino una vulnerabilidad día cero en Windows Print Spooler que hasta la fecha no ha sido corregida por el fabricante.

Mitja Kolsek, CEO de Acros Security se tomó el tiempo de la confusión, señalando que los detalles técnicos publicados para CVE-2021-1675 son diferentes de lo que se publicaron al inicio.

Más allá de la confusión por los reportes, PrintNightmare es una falla muy seria y debe ser abordada lo más pronto posible. La vulnerabilidad aún no ha sido corregida, por lo que se recomienda a los administradores de sistemas afectados que inhabiliten el servicio de cola de impresión, especialmente en los sistemas de controlador de dominio.

Los grupos de hacking, principalmente operadores de ransomware, podrían explotar esta falla para comprometer redes empresariales pues obtener credenciales de acceso a dominios con privilegios reducidos es una tarea relativamente sencilla para los hackers más experimentados. Información detallada acerca de los mecanismos de mitigación está disponible en las plataformas oficiales de Microsoft.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo CVE-2021-1675: Vulnerabilidad día cero en el servicio de impresión de Windows con un exploit disponible para todas las versiones del sistema operativo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Inyección SQL, deserialización y otras vulnerabilidades explotables de forma remota en Red Hat JBoss Web Server

Especialistas en ciberseguridad reportan el hallazgo de al menos cuatro vulnerabilidades críticas en JBoss Web Server, el servidor de aplicaciones Java EE de código abierto implementado en Java puro y desarrollado por Red Hat Inc. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas acceder a información confidencial.

A continuación se presenta un breve reporte sobre las fallas reportadas, además de sus respectivas claves de identificación y puntajes establecidos acorde al Common Vulnerability Scoring System (CVSS).

CVE-2020-25638: La depuración insuficiente de los datos proporcionados por el usuario cuando “hibernate.use_sql_comments” está configurado en “True” permite a los actores de amenazas enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios en la base de datos de la aplicación.

La vulnerabilidad recibió un puntaje CVSS de 7.1/10 y permitiría a los hackers leer, eliminar e incluso modificar datos en la base de datos afectada.

CVE-2021-25122: La inadecuada gestión de los recursos internos dentro de la aplicación al procesar nuevas solicitudes de conexión h2c permitiría a los hackers remotos enviar solicitudes especialmente diseñadas al servidor y obtener el contenido de las respuestas HTTP.  

La vulnerabilidad recibió un puntaje de 4.6/10 y su explotación permite a los atacantes acceder a información confidencial.  

CVE-2021-25329: La validación de entrada insegura al procesar datos serializados permitiría a los hackers remotos pasar datos especialmente diseñados a la aplicación afectada.  

La falla recibió un puntaje CVSS de 6.4/10 y su explotación exitosa ejecutar código arbitrario en el sistema afectado.

CVE-2020-9484: La validación de entradas inseguras al procesar datos serializados en nombres de archivos cargados permitiría a los atacantes remotos pasar un nombre de archivo especialmente diseñado a la aplicación y ejecutar código arbitrario en el sistema objetivo.  

La falla recibió un puntaje CVSS de 7.1/10 y su explotación exitosa puede resultar en un compromiso total del sistema objetivo, pero requiere que el servidor esté configurado para usar PersistenceManager con un FileStore y que el atacante conozca la ruta relativa del archivo desde la ubicación de almacenamiento.  

El reporte señala que todas las fallas residen en las versiones de JBoss Web Server anteriores a v5.5.0.

Si bien estos errores pueden ser explotados de forma remota por actores de amenazas no autenticados, aún no se detectan intentos de explotación activa o la existencia de malware asociado a la explotación. Los parches de seguridad para abordar estas fallas ya están disponibles, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Inyección SQL, deserialización y otras vulnerabilidades explotables de forma remota en Red Hat JBoss Web Server apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidades críticas en ProfilePress, el plugin de WordPress User Avatar permiten a los ciberdelincuentes hackear sitios web

Un conjunto de fallas de seguridad en ProfilePress, un popular plugin de WordPress permitiría a los actores de amenazas desplegar ataques de ejecución remota de código. Acorde a los expertos de Wordfence, se detectaron un total de cuatro fallas de seguridad que recibieron una puntuación de 9.8/10 en la escala del Common Vulnerability Scoring System (CVSS) y su explotación exitosa permitiría a los hackers tomar control total del sitio web afectado.

El plugin afectado permite a los usuarios cargar imágenes de perfil de forma muy fácil y cuenta con más de 40 mil instalaciones activas. Aunque al momento de su lanzamiento su única función era la carga de imágenes, algunas actualizaciones le agregaron nuevas funciones, como inicios de sesión y registro de usuario. Las fallas de seguridad residen en dichas actualizaciones.

La primera de las fallas fue descrita como una vulnerabilidad de escalada de privilegios: “Durante el registro, los usuarios podrían proporcionar metadatos arbitrarios que se actualizarían en este proceso; esto incluye wp_capabilities, que controla las capacidades del usuario. Un actor de amenazas podría pasar datos wp_capabilities especialmente diseñados, lo que permitiría adoptar cualquier rol, incluyendo el de administrador.”

La siguiente falla también fue descrita como un error de escalada de privilegios que reside en la funcionalidad de actualización del perfil de usuario. La escalada de privilegios se consigue de forma similar a la falla anterior, aunque requiere que los actores de amenazas tengan una cuenta activa en el sitio web objetivo.

El tercer error existe debido a que ProfilePress implementó de forma incorrecta la función de carga de imágenes empleando la función exif_imagetype para determinar si los archivos cargados son seguros o no. Los hackers podrían abusar de este error mediante la carga de un webshell con el fin de ejecutar código remoto y comandos arbitrarios en el servidor.

Finalmente, Wordfence reportó el hallazgo de una carga de archivos arbitraria en la funcionalidad “custom fields”. La explotación de esta falla permitiría la ejecución de código remoto.

Las fallas fueron presentadas a los responsables del plugin a finales de mayo y WordPress anunció el lanzamiento de una actualización días después. Se recomienda a los usuarios de ProfilePress actualizar a v3.1.8 para mitigar los riesgos de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades críticas en ProfilePress, el plugin de WordPress User Avatar permiten a los ciberdelincuentes hackear sitios web apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 29 de junio de 2021

Vulnerabilidad día cero de ejecución remota de código en PowerISO

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad día cero en PowerISO, una aplicación usada para crear, montar y emular, comprimir o cifrar imágenes virtuales de CD y DVD, desarrollada por la empresa china Power Software Ltd. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas desencadenar una escritura fuera de los límites.

Identificada como CVE-2021-21871, esta falla existe debido a un error de límite durante el procesamiento de entradas al procesar entradas que no son de confianza en la funcionalidad DMG File Format Handler. Los hackers remotos pueden crear un archivo DMG especialmente diseñado, activar la escritura fuera de límites y ejecutar código arbitrario en el sistema objetivo.  

La vulnerabilidad recibió un puntaje de 8.1/10 en la escala del Common Vulnerability Scoring System (CVSS) y su explotación permitiría a los actores de amenazas comprometer el sistema objetivo por completo. Acorde al reporte, la falla reside en PowerISO v7.9.

La vulnerabilidad puede ser explotada de forma remota por actores de amenazas no autenticados, aunque no se han detectado intentos de explotación en escenarios reales. No obstante, la falla no ha sido corregida, por lo que se requiere que los administradores de implementaciones afectadas mantenerse al tanto de cualquier anuncio relacionado con la corrección de estas fallas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad día cero de ejecución remota de código en PowerISO apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidad de omisión de autenticación en Adobe Experience Manager afecta a 160 mil dispositivos

Un reciente reporte afirma que algunas importantes organizaciones están siendo afectadas por una vulnerabilidad de omisión de autenticación en Adobe Experience Manager (AEM), un sistema de gestión de contenidos (CMS) para sitios web y apps móviles.

La falla fue descubierta por los investigadores de Detectify Crowdsource, y podría ser explotada por actores de amenazas para acceder al CRX Package Manager, empleado para realizar tareas como administración de paquetes en la instalación local de AEM.

Acorde al reporte, si se accede a CRX Package Manager sin pasar por la autenticación en Disparcher, la herramienta de equilibrio de carga y almacenamiento en caché de Adobe Experience Manager. Dispatcher comprueba los permisos de acceso del usuario para una página antes de entregar la página almacenada en caché y es una parte esencial de la mayoría de instalaciones de AEM. Este paso puede omitirse agregando una gran cantidad de caracteres especiales en combinación en una solicitud “%0a ;,,“, por ejemplo.

Si un actor de amenazas es capaz de acceder al CRX Package Manager, se podría cargar un paquete malicioso y luego abusar de él para ejecutar código arbitrario de forma remota y tomar control de los sistemas vulnerables. Los expertos creen que hay más de 30 instancias de la vulnerabilidad de derivación de AEM CRX presentes en toda clase de entornos empresariales actualmente.

Para mitigar el riesgo de explotación, se podría bloquear el acceso público a la consola CRX, negando el acceso a los endpoints :/crx/*, mencionan los expertos.

 Algunas de las organizaciones afectadas incluyen LinkedIn, MasterCard, PlayStation de Sony y McAfee. Este reporte fue presentado a PlayStation en diciembre de 2020 y a MasterCard en marzo de 2021. Adobe también recibió el informe y ya ha emitido un parche de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad de omisión de autenticación en Adobe Experience Manager afecta a 160 mil dispositivos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Banco Central de Dinamarca fue hackeado durante el ataque a SolarWinds

Especialistas en ciberseguridad reportan que los sistemas informáticos del Banco Central de Dinamarca fueron comprometidos durante el ataque de cadena de suministro de SolarWinds hace unos meses, lo que permitió a los actores de amenazas dejar un backdoor persistente por más de medio año.

El grupo de hacking detrás del ataque a SolarWinds, presuntamente auspiciado por el gobierno de Rusia, empleó un código altamente sofisticado para modificar una actualización del software de gestión de redes SolarWinds Orion, misma que fue descargada alrededor de 18  mil veces por administradores de sistemas en todo el mundo.

Gracias a esta actualización maliciosa, los hackers podían usar SolarWinds para ingresar a una red y luego crear un backdoor que les garantizara acceso continuo a los recursos comprometidos.

El backdoor permaneció en las redes del banco danés por más de siete meses, hasta que fue detectado por los expertos de la firma de seguridad Fire Eye. Este es un hecho preocupante ya que el Banco Central gestiona transacciones por miles de millones de dólares a diario, aunque un representante asegura que hasta el momento no se ha detectado un impacto real derivado de este incidente.

Aunque se ha solicitado una declaración adicional de SolarWinds, la compañía no se ha pronunciado respecto a este nuevo reporte.

El actual presidente de Microsoft ha descrito en múltiples ocasiones este incidente como “el más grande y sofisticado ataque que jamás se haya registrado”, lo que parece haber sido confirmado después de que la compañía concluyera su investigación sobre el compromiso de SolarWinds Orion.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).  

El cargo Banco Central de Dinamarca fue hackeado durante el ataque a SolarWinds apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

El grupo de hackers más rico del mundo ahora se enfoca en atacar dispositivos Linux y NAS con un nuevo ransomware

Un reciente reporte señala que los operadores del ransomware REvil ahora están empleando una herramienta de cifrado de Linux para comenzar a atacar máquinas virtuales como VMware ESXi. Este podría ser un momento especialmente prolífico para los actores de amenazas, ya que esta compañía está migrando a implementaciones virtuales para la administración eficiente de copias de seguridad, administración de dispositivos y otras tareas.

Hace unas semanas un reporte de Advanced Intel incluyó una publicación extraída de un foro de REvil en la que los operadores confirmaron el lanzamiento de una versión de su herramienta de cifrado funcional para sistemas Linux y algunas implementaciones de almacenamiento conectado a la red (NAS).

Posteriormente un grupo de investigadores encontró una muestra de REvil para Linux que parecía estar dirigida contra servidores ESXi. Los expertos de Advanced Intel analizaron este malware y concluyeron que este es un ejecutable ELF64 que incluye las mismas opciones de configuración que la versión de REvil para sistemas Windows.

Al parecer esta es la primera vez que se detecta una variante de este malware para sistemas Linux; al ejecutarse, los actores de amenazas pueden especificar una ruta para cifrar archivos en el sistema y habilitar un modo silencioso, menciona el reporte.

Al ejecutarse en servidores ESXi, se ejecutará la herramienta de línea de comandos esxcli con el fin de enumerar todas las máquinas virtuales ESXi en ejecución para su finalización.

El comando empleado por el malware se usa para cerrar los archivos del disco de la máquina virtual (VMDK) almacenados en la carpeta /vmfs/ para que REvil pueda cerrar los archivos sin que ESXi bloquee estos intentos. Si una máquina virtual no se cierra correctamente antes de cifrar su archivo, podría provocar la corrupción de los datos comprometidos.

Finalmente, los reportes mencionan que otros grupos de ransomware como Babuk, RansomExx, DarkSide o HelloKitty podrían estar desarrollando sus propias herramientas de cifrado para sistemas Linux para atacar implementaciones ESXi, ya que la migración a máquinas virtuales es una práctica muy común en la actualidad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo El grupo de hackers más rico del mundo ahora se enfoca en atacar dispositivos Linux y NAS con un nuevo ransomware apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 28 de junio de 2021

Código de explotación para CVE-2020-3580, la falla XSS en dispositivos Cisco es publicado en línea

Un grupo de hackers está escaneando Internet para encontrar dispositivos Cisco Adaptative Security Appliance (Cisco ASA) vulnerables a una falla para la que se filtró un exploit de prueba de concepto (PoC) en Twitter. Identificada como CVE-2020-3580, esta es una falla de scripts entre sitios (XSS) reportada y corregida en octubre de 2020 cuyos parches resultaron insuficientes para mitigar el riesgo de explotación.

Un ataque exitoso permitiría a los actores de amenazas no autenticados enviar emails de phishing o enlaces maliciosos a usuarios de Cisco ASA con el fin de ejecutar comandos JavaScript en el contexto del navegador de la víctima. En su reporte de seguridad, Cisco menciona: “Un exploit funcional permitiría a los hackers ejecutar un código XSS arbitrario en el contexto de la interfaz o permitir el acceso a información confidencial basada en el navegador.”

Como muchos sabrán, después de que las compañías o desarrolladores corrigen una vulnerabilidad y se vence un plazo necesario para actualizar los dispositivos, los investigadores suelen publicar exploits de prueba de concepto (PoC), en lo que es una de las prácticas más comunes en la comunidad de la ciberseguridad. En este caso, los expertos de la firma de seguridad Positive Technologies publicaron la PoC de esta falla en Twitter.

Al usarse en un entorno de pruebas, el exploit publicado mostrará una alerta de JavaScript en el navegador del usuario después de que se ingresa a un sitio web malicioso diseñado para esta prueba. El problema es que el sitio web podría haber estado ejecutando otros comandos para realizar tareas maliciosas; esto fue aprovechado por algunos grupos de hacking aunque no se confirmó la naturaleza de los ataques desplegados.

Ya que algunos grupos cibercriminales están explotando esta falla en escenarios reales, es necesario que los administradores de implementaciones Cisco ASA vulnerables instalen las correcciones a la brevedad y así mitigar los riesgos de explotación. Por el momento se desconoce el número aproximado de implementaciones que podrían haberse visto expuestas a la falla.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Código de explotación para CVE-2020-3580, la falla XSS en dispositivos Cisco es publicado en línea apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Controlador de juegos Netfilter en realidad es un backdoor china firmado por Microsoft. Desinstale de inmediato

En un reciente comunicado, Microsoft confirmó que Netfilter, un driver malicioso distribuido dentro de algunos entornos de gaming, fue firmado por la compañía. Karsten Hahn, investigador de la firma G Data, menciona que este rootkit fue detectado por primera vez hace un par de semanas y cuenta con conexión a direcciones IP y servidores C&C en China.

Para la comunidad de la ciberseguridad, este incidente es una muestra más de las debilidades en la cadena de suministro de software, algo que ha sido explotado por los hackers con consecuencias desastrosas como ocurrió con el ataque a SolarWinds.

Como mencionaron anteriormente los expertos de G Data, el driver se comunica a implementaciones con sede en China, a lo que Karsten Hahn comentó: “Desde Windows Vista, cualquier código que se ejecute en modo kernel debe firmarse antes del lanzamiento público para garantizar la estabilidad del sistema operativo. Los controladores sin firma de Microsoft no se pueden instalar de forma predeterminada.”

El investigador analizó el controlador y concluyó que se trataba de una muestra de malware: “La muestra tiene una rutina de actualización automática que envía su propio hash MD5 al servidor a través de hxxp://110.42.4.180:2081/v?V=6&m=.”

Microsoft ya recibió el reporte y anunció que iniciará una investigación, aunque se confirmó que hasta el momento no hay evidencia de que se hayan utilizado certificados de firma de código robados. Una primera hipótesis sugiere que los actores de amenazas siguieron el proceso de Microsoft para enviar los controladores Netfilter maliciosos, con lo que obtuvieron la firma legítima de Microsoft en el binario.

“Microsoft se encuentra investigando a un grupo de hacking que distribuye drivers maliciosos en entornos de gaming. Este grupo envía los drivers para su certificación mediante el programa de Windows correspondiente pero estos desarrollos maliciosos no han sido desarrollados por Microsoft. Decidimos suspender la cuenta asociada y revisar todos sus envíos para apoyar la investigación de esta campaña maliciosa”, señala la compañía.

El reporte de la compañía señala que los actores de amenazas se han dirigido principalmente al sector del gaming en China, por lo que hasta ahora no hay indicios de que se hayan comprometido implementaciones en otras industrias. Microsoft rechazó atribuir este incidente a algún grupo de hacking patrocinado por estados nacionales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Controlador de juegos Netfilter en realidad es un backdoor china firmado por Microsoft. Desinstale de inmediato apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 25 de junio de 2021

Así se hackea un cajero automático usando solo un teléfono inteligente

Los ciberataques contra cajeros automáticos se han convertido en una de las principales ocupaciones de los hackers maliciosos, que han conseguido realizar avances significativos en esta labor ilegal con el fin de sortear todas las protecciones implementadas por los bancos. Estos ataques han pasado por diversas etapas, desde el compromiso de la integridad física de un cajero automático hasta las complejas intrusiones en las redes bancarias, aunque los atacantes parecen estar a punto de llevar sus habilidades a un nuevo nivel.

Acorde a un reporte publicado por Wired, al menos un experto en ciberseguridad ha demostrado que es posible evadir todas las restricciones de seguridad en un cajero automático empleando solo un smartphone. Josep Rodríguez, especialista de la firma de seguridad IOActive, menciona que su método se basa en el abuso de un conjunto de fallas en sistemas de Comunicación de Campo Cercano (NFC por sus siglas en inglés), empleados para la transmisión de información por miles de implementaciones modernas, incluyendo las tarjetas de pago.

Rodríguez, que colabora con bancos y firmas tecnológicas para mejorar la seguridad de estas máquinas, demostró que es posible usar lectores NFC para desencadenar una condición de desbordamiento de búfer, un tipo de vulnerabilidad en la que se corrompe la memoria del sistema objetivo.

Esta variante de ataque existe desde hace décadas y la mayoría de los sistemas modernos cuentan con las medidas de protección adecuadas, aunque Rodríguez descubrió que es posible abusar de estas fallas en cajeros automáticos y puntos de venta (PoS) para interceptar información de las tarjetas de pago, inyectar malware e incluso realizar un ataque de jackpotting para extraer el dinero de una máquina afectada.

Lo más sorprendente de todo es que el investigador logró esto mediante el desarrollo de una app para dispositivos Android con la que puede imitar las comunicaciones entre las tarjetas de pago y el firmware del sistema NFC: “Con unos cuantos movimientos de su teléfono demostró cómo explotar algunas fallas sin corregir para comprometer la seguridad de estos sistemas, interceptando toda clase de información confidencial”, señala el reporte.

El trabajo de Rodríguez ha sido de gran utilidad para evitar que estos ataques lleguen a las comunidades cibercriminales, aunque para muchos expertos en ciberseguridad parece ridículo que estos sistemas puedan verse comprometidos de forma tan relativamente simple, siendo que los criminales apuntan frecuentemente contra cajeros automáticos y puntos de venta.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Así se hackea un cajero automático usando solo un teléfono inteligente apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

El hacker que robó mil millones de dólares de bancos, empresas y usuarios al fin ha sido arrestado

El Departamento de Justicia de E.U. (DOJ) anunció que un ciudadano ucraniano ha sido sentenciado a siete años de prisión debido a su participación en el grupo de hacking FIN7. Andrii Kolpakov, de 33 años, empleó varias identidades durante el tiempo que se desempeñó como hacker de alto nivel para este peligroso grupo cibercriminal.

El acusado fue arrestado en España en junio de 2018 y extraditado a E.U. en junio de 2019. Kolpakov se declaró culpable de conspiración para cometer fraude electrónico y de acceso ilegal a sistemas informáticos protegidos.

La actividad de FIN7 comenzó a ser documentada en 2015, cuando este grupo de hacking operó una campaña de malware que comprometió los sistemas de cientos de empresas en Estados Unidos, principalmente en la industria hotelera y de los juegos de azar. FIN7 enviaba mensajes de correo electrónico cuidadosamente elaborados que parecerían legítimos para los empleados de las compañías afectadas. Estos mensajes contenían un archivo infectado con una versión mejorada del malware Carbanak, además de muchas otras herramientas de hacking con el fin de robar información confidencial de las compañías afectadas.

Los hackers convertían estos ataques en ganancias principalmente mediante la venta de números de tarjetas de pago y la venta de información confidencial en foros de hacking en dark web.

El DOJ menciona que, solo en E.U., FIN7 comprometió las redes informáticas de empresas en todos los 50 estados y el Distrito de Columbia, robando más de 20 millones de registros de tarjetas de pago a través del ataque a cerca de 7 mil terminales de puntos de venta (PoS) en más de 3 mil ubicaciones distintas, lo que representó pérdidas por alrededor de mil millones de dólares.

Entre las empresas que han confirmado ataques de FIN7 se encuentran algunas de las principales cadenas de restaurantes en E.U., incluyendo a Chipotle Mexican Grill, Chili’s, Arby’s, Red Robin y Jason’s Deli.

Kolpakov trabajó para FIN7 desde abril de 2016 hasta su arresto en junio de 2018, colaborando con otros hackers encargados de violar la seguridad de los sistemas informáticos vulnerables. Aunque Kolpakov y sus socios estaban al tanto de los arrestos de algunos miembros de FIN7 desde inicios de 2018, siguieron atacando múltiples compañías en E.U. y otros países hasta el momento de su arresto.

Para más información sobre vulnerabilidades, exploits, variantes de malware, riesgos de ciberseguridad y cursos de seguridad de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo El hacker que robó mil millones de dólares de bancos, empresas y usuarios al fin ha sido arrestado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

2 vulnerabilidades críticas en el firewall de aplicaciones web FortiWeb permiten a los cibercriminales acceder a su red

Expertos en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en FortiWeb, el firewall de aplicaciones web (WAF) de la firma tecnológica Fortinet. La vulnerabilidad podría ser explotada para la ejecución de código arbitrario, lo que representa un riesgo crítico para los operadores de sistemas afectados, especialmente si la falla se encadena a otros errores recientemente descubiertos.

El investigador de Positive Technologies Andrey Medov asegura que la interfaz de administración de estos dispositivos se ve expuesta a la explotación de una falla que permitiría a los actores de amenazas autenticados ejecutar comandos remotos a través de la página de configuración del servidor SAML. Identificada como CVE-2021-22123, la falla fue abordada con el lanzamiento de v6.3.8 y v6.2.4 de FortiWeb.

El experto menciona que la falla puede ser explotada para la ejecución de comandos arbitrarios con altos privilegios, lo que permitiría a los atacantes tomar control completo de los servidores afectados. Medov agrega que el impacto de la vulnerabilidad puede ser aún más grave si se encadena con una configuración incorrecta y una vulnerabilidad separada reportada anteriormente.

La falla que puede encadenarse a este error es CVE-2020-29015 y fue revelada por Fortinet en enero pasado. La vulnerabilidad fue descrita como un problema de inyección SQL de alta severidad: “Si, como resultado de una configuración incorrecta, la interfaz de administración del firewall está disponible en Internet y el producto no está actualizado, la combinación de CVE-2021-22123 y CVE-2020-29015 permitiría que los atacantes penetre en la red interna.”

Si bien Positive Technologies presentó sus reportes en tiempo y forma, la firma enfrenta algunas acusaciones por la supuesta colaboración con el gobierno de Rusia, recibiendo incluso una sanción del gobierno de Estados Unidos.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 2 vulnerabilidades críticas en el firewall de aplicaciones web FortiWeb permiten a los cibercriminales acceder a su red apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 24 de junio de 2021

Desconecta tu Western Digital My Book NAS de Internet o perderás todos tus archivos para siempre

Los usuarios de Western Digital My Book NAS a nivel mundial experimentaron un restablecimiento forzoso en sus dispositivos sin razón aparente. WD My Book es un dispositivo de almacenamiento conectado a la red (NAS) similar a un libro vertical y controlado a través de una aplicación que permite a los usuarios acceder a sus archivos y administrar sus dispositivos de forma remota, incluso si el NAS está detrás de un firewall o enrutador.

Según los reportes, los propietarios de WD My Book en todo el mundo descubrieron que todos sus archivos se eliminaron de forma imprevista y ya no podían iniciar sesión en el dispositivo a través de un navegador o la app móvil.

“Tengo un WD My Book Live conectado a la LAN doméstica desde hace años y nunca había tenido un problema hasta hoy, que descubrí que todos mis datos desaparecieron, liberando totalmente la memoria del dispositivo. Además, al tratar de iniciar sesión aparecía un mensaje de “Contraseña Inválida”, menciona un testimonio publicado en el foro para usuarios.

Después de que se revelaran otros reportes similares del mismo día, los propietarios informaron que los registros de actividad del MyBook mostraban que los dispositivos recibieron un comando remoto para realizar un restablecimiento de fábrica ayer por la tarde y durante la noche.

A diferencia de los dispositivos QNAP, que suelen estar conectados a Internet y expuestos a ataques como QLocker Ransomware, los dispositivos Western Digital My Book se almacenan detrás de un firewall y se comunican a través de los servidores en la nube My Book Live para brindar acceso remoto.

Algunos usuarios creen que los servidores de Western Digital podrían haber sido hackeados por actores de amenazas mediante el envío de comandos de restablecimiento de fábrica remoto a todos los dispositivos conectados al servicio.

La compañía emitió un comunicado para confirmar que está al tanto del incidente y que ha comenzado una investigación al respecto, aunque no se menciona alguna causa aparente ni se informa si este problema tiene solución. Si posee un dispositivo NAS Western Digital My Book, se recomienda encarecidamente que lo desconecte de la red hasta que la compañía concluya su análisis.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Desconecta tu Western Digital My Book NAS de Internet o perderás todos tus archivos para siempre apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Julian Assange podría suicidarse o ser asesinado después de la muerte de John McAfee, advierte Edward Snowden

El reconocido ex agente de la NSA e informante Edward Snowden ha vuelto a hacer declaraciones públicas, esta vez para advertir que Julian Assange, fundador de WikiLeaks, podría ser el “próximo John McAfee“, después de que el creador del popular antivirus fuera encontrado muerto en su celda en una cárcel de España en un aparente suicidio.

“Europa no debería permitir la extradición a E.U. de acusados por delitos no violentos… Assange podría ser el siguiente”, publicó en su cuenta de Twitter. Cabe recordar que Snowden radica actualmente en Rusia en calidad de exiliado.

El fundador de McAfee murió hace apenas unas horas en Barcelona, poco después de que se aprobara su extradición a E.U., donde se le acusaba de fraude fiscal. McAfee pasó años asegurando que el gobierno americano lo acosaba e incluso lo querían muerto.

Por su parte, Assange se encuentra recluido en una de las más estrictas prisiones de Reino Unido y, a pesar de haber podido gozar de libertad bajo fianza, las autoridades británicas le consideran peligroso y propenso a la fuga. Assange enfrenta un total de 18  cargos en E.U., incluyendo acusaciones por conspiración para cometer fraude electrónico y divulgación de información confidencial.

El mensaje de Snowden es poco claro, ya que su tweet solo concluye mencionando que aquellos individuos a quienes el gobierno de E.U. busca extraditar “preferirían estar muertos antes que enfrentar a la justicia americana.”

De este mensaje han surgido dos interpretaciones distintas: para algunos el tweet solo sugiere que McAfee simplemente no pudo aceptar la idea de ser enjuiciado en E.U., mientras que otros creen que Snowden está afirmando tácitamente que el empresario no se suicidó, sino que fue asesinado por el gobierno de E.U. en complicidad con las autoridades españolas.     

Esta no sería la primera vez que la opinión pública acusa al gobierno de E.U. de un crimen semejante. En agosto de 2019, el millonario Jeffrey Epstein fue encontrado muerto en su celda después de ser encontrado culpable de múltiples crímenes sexuales contra menores. Si bien la versión oficial es que el magnate se suicidó, muchos todavía creen que el gobierno lo asesinó para evitar que delatara a otros individuos poderosos en casos de pedofilia.

En las más recientes horas aparecieron de nuevo esas hipótesis, sustentadas con una serie de tweets publicados por McAfee en las que aseguraba sentirse bien y confiado en que todo saldría bien para él. Aunque se realizará una investigación sobre el caso, es poco probable que el suicidio deje de ser la versión oficial.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Julian Assange podría suicidarse o ser asesinado después de la muerte de John McAfee, advierte Edward Snowden apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

SpaceX Coin: la estafa de criptomoneda anunciada en videos de YouTube

Las estafas de criptomoneda se convirtieron en algo muy común, lo que generó pérdidas millonarias para los entusiastas de los activos virtuales en busca de obtener ingresos de un modo relativamente fácil. Una de las más notorias estafas fue detectada este mes de mayo, cuando un grupo de actores de amenazas comenzó a usar cuentas de Twitter comprometidas para promocionar la supuesta venta de $SpaceX, una falsa criptomoneda que los hackers aseguraban había sido creada por el reconocido multimillonario Elon Musk.

En un reciente reporte publicado por Tenable se menciona que los estafadores llevaron la apuesta a un nuevo nivel cuando decidieron crear anuncios de YouTube diseñados para engañar a las víctimas potenciales en una agresiva campaña de marketing fraudulento. Los anuncios duraban entre tres y cinco minutos y en todo momento mostraban una plantilla con un tweet falso en el que los impostores invitaban a los usuarios a invertir en $SpaceX.

En la descripción de los anuncios se aseguraba que Musk lanzaría su propia criptomoneda para incrementar la inversión en su firma tecnológica SpaceX, incluso afirmando que el plan del empresario era terraformar el planeta Marte, haciendo donaciones a SpaceX con cada transacción de la supuesta criptomoneda.

Como era de esperarse, estos anuncios se alojaban solo en canales de YouTube comprometidos. Cuando aparecen, el nombre del usuario asociado al anuncio es visible.

En el ejemplo mostrado por Tenable, puede verse que el canal donde apareció uno de estos videos fue creado en agosto de 2011 aunque en la actividad del canal solo pueden encontrarse los videos de la estafa. Una explicación posible es que los hackers comprometen cuentas de YouTube inactivas para no generar sospechas con actividad desde cuentas recientemente creadas.

Los videos no incluyen enlaces directos a los sitios web operados por los hackers, sino que las direcciones web se encuentran escritas en las plantillas del video. Hasta el momento los investigadores aseguran haber encontrado al menos 12 sitios web diferentes relacionados con esta estafa:

  • buyspacex.com              
  • buyspx.com     
  • getspx.com      
  • spxlaunch.com               
  • spacexbuy.com              
  • officialspx.com              
  • missionspx.com             
  • spacexsale.com
  • salespacex.com
  • buyspxcoin.com
  • muskspx.com
  • falconspacex.com

Todos estos sitios web son de reciente creación y los expertos creen que podría haber muchos más. Cabe señalar que estos sitios web fueron creados empleando la plataforma anónima Telegra.ph.

Una vez que el usuario objetivo entra en estas plataformas comienza la estafa, ya que los actores de amenazas realizarán una falsa venta de tokens $SpaceX. Esta tarea se realiza mediante la instalación de MetaMask, una billetera de criptomoneda ampliamente utilizada. Si bien este es un proceso conocido para los iniciados en el mundo de los activos virtuales, el proceso en este sitio web está viciado de origen, por lo que los dispositivos y los datos de los usuarios se verán comprometidos con la instalación de este software.

Hasta el momento se ignora la cantidad de dinero aproximada que esta campaña fraudulenta ha generado, aunque los investigadores temen que la cifra podría ser muy alta, mucho más alta que la obtenida en otras campañas similares. Sobra decir que Elon Musk no creó una nueva moneda virtual, por lo que cualquier mensaje de esta clase es una estafa; la campaña sigue activa por lo que debe tener precaución, si desea invertir en criptomoneda, lo mejor será buscar una plataforma confiable.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo SpaceX Coin: la estafa de criptomoneda anunciada en videos de YouTube apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

DreamHost, uno de los mayores proveedores de hosting, expone por error casi mil millones de registros confidenciales

Investigadores de WebsitePlanet reportan que una base de datos propiedad de DreamHost, el servicio de hosting de WordPress fue encontrada en línea sin mecanismo de seguridad alguno. La base de datos fue encontrada en abril de 2021 y contenía casi mil millones de registros confidenciales pertenecientes a los clientes de DreamHost y operadores de sitios web en WordPress.

Sobre la compañía afectada, DreamHost es un proveedor de hosting que trabaja con más de 1.5 millones de sitios web y que ofrece una solución muy sencilla para la instalación de sus servicios en sitios web de WordPress conocida como DreamPress.

Los archivos comprometidos almacenaban información recolectada entre marzo de 2018 y abril de 2021 e incluían información sobre las cuentas de WordPress alojadas en servidores DreamHost. La compañía fue notificada después del hallazgo y respondió que la filtración sería abordada de inmediato en conjunto con su equipo legal.

En total, la filtración expuso 814, 709,344 registros, los cuales se componen de información de administradores y usuarios de DreamPress, nombres de los sitios web afectados, direcciones email, direcciones IP de los hosts y otros registros de las plataformas comprometidas.

Debido al tipo de información expuesta los expertos creen que los clientes cuyos datos se vieron afectados podrían ser víctimas de ataques de ransomware, infecciones de otras variantes de malware e incluso campañas de phishing. Esta información también podría permitir a los hackers maliciosos mapear las redes afectadas o acceder a estos recursos por otros métodos. 

Por el momento se desconocen detalles adicionales, como cuánto tiempo estuvo expuesta públicamente la base de datos o quién pudo haber accedido a estos registros. Los investigadores tampoco pueden afirmar si los usuarios de DreamPress ya han sido notificados sobre el incidente.

Si hay una “buena noticia” es que este es el único incidente de ciberseguridad en DreamHost reportado desde hace casi diez años. En noviembre de 2012, un usuario de PasteBin publicó un volcado de información del servidor que parecía pertenecer a DreamHost e incluía información básica del servidor, subdominios, nombres de usuario y contraseñas e información del servidor FTP.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo DreamHost, uno de los mayores proveedores de hosting, expone por error casi mil millones de registros confidenciales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidades en el software de las laptops Dell permiten a los hackers ejecutar código de forma remota en millones de dispositivos

Expertos en ciberseguridad reportan la detección de al menos cuatro fallas en la función BIOSConnect de Dell SupportAssist, cuya explotación permitiría a los actores de amenazas desplegar código remoto en los dispositivos afectados. Cabe señalar que este software está preinstalado de forma predeterminada en la mayoría de equipos Dell que ejecutan sistemas Windows, además de que BIOSConnect permite la actualización remota del firmware y algunas funciones de recuperación del sistema operativo.

Este conjunto de fallas recibió un puntaje de 8.3/10 en la escala del Common Vulnerability Scoring System (CVSS), y su explotación permitiría a los hackers remotos con privilegios en el sistema objetivo hacerse pasar por un servicio oficial de Dell con el fin de tomar control del proceso de arranque del sistema operativo y así romper cualquier control de seguridad habilitado. Hasta el momento no se han detectado intentos de explotación activa o un ataque funcional para el abuso de estas fallas.

El reporte fue presentado por la firma de seguridad Eclypsium, cuyos investigadores aseguran que el problema reside en al menos 129 dispositivos Dell, incluyendo computadoras de escritorio, laptops y tabletas electrónicas empleadas por casi 130 millones de usuarios en todo el mundo.

Las fallas fueron descritas como una conexión TLS insegura desde BIOS a Dell (CVE-2021-21571) y tres errores de desbordamiento (identificados como CVE-2021-21572, CVE-2021-21573 y CVE-2021-21574). Todas las vulnerabilidades son independientes y su explotación permitiría múltiples escenarios de riesgo, incluyendo la ejecución de código arbitrario en BIOS.

Por seguridad, los expertos de Exlypsium recomiendan a los usuarios actualizar el BIOS/UEFI de los sistemas afectados, además de emplear un método alternativo a BIOSConnect para la instalación de las actualizaciones lanzadas por Dell. Un reporte detallado sobre estos hallazgos está disponible en las plataformas oficiales de la compañía.

Mientras que CVE-2021-21573 y CVE-2021-21574 no requieren que los usuarios realicen acciones adicionales, las fallas restantes requieren forzosamente la instalación de las actualizaciones para Dell ClientBIOS para mitigar el riesgo de explotación.

Finalmente, se recomienda a los usuarios que no puedan actualizar sus sistemas en breve pueden inhabilitar BIOSConnect desde la página de configuración del BIOS o usando Dell Command | Configure, la herramienta de administración remota del sistema.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades en el software de las laptops Dell permiten a los hackers ejecutar código de forma remota en millones de dispositivos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 23 de junio de 2021

Aparece nuevo ransomware con código robado de la mafia de hacking REvil

Especialistas en ciberseguridad reportan la detección de una nueva variante de ransomware que podría estar estrechamente relacionada con REvil. Acorde a los investigadores de Secureworks Counter Threat Unit (CTU), el ransomware LV es prácticamente una copia idéntica del popular malware, cambiando solo una configuración de la versión beta de REvil v2.03 con el mismo binario en lo que parece un trabajo de ingeniería inversa.

“La estructura del código y las funcionalidades de las muestras recolectadas de LV son idénticas a REvil. El valor de la versión en el binario LV es 2.02, su marca de tiempo de compilación es 2020-06-15 16:24:05, y su configuración se almacena en una sección llamada ‘.7tdlvx’. Todas estas características se ajustan a las muestras de REvil 2.02”, menciona el reporte de seguridad

Aunque es posible que esto se trate simplemente del robo del código fuente de Reddit, los investigadores creen que algunos detalles del caso descartan esta hipótesis: “Algunas muestras del código fuente de REvil incluyen insultos contra algunos miembros de la comunidad de la ciberseguridad. Estos mensajes fueron completamente eliminados del código de LV ransomware”, mencionan los expertos.

Esta diferencia entre ambas variantes señala que los desarrolladores de LV no cuentan con acceso completo al código fuente de REvil. Los desarrolladores de LV podrían haber usado un editor hexadecimal para eliminar algunos rasgos característicos del binario original para evitar que se detectara que copiaron el código.

Los operadores de LV también parecen estar imitando el modo de operación de REvil, ya que ambos grupos de hacking recurren a pasos como el análisis del sistema objetivo, el robo de información durante el ataque y la filtración de algunos detalles en dark web a manera de extorsión, aunque en el proceso pueden apreciarse más diferencias.

REvil es una de las operaciones de ransomware más prolíficas en la actualidad, generando millones de dólares en ganancias a través de ataques de alto perfil contra organizaciones gubernamentales, firmas tecnológicas y servicios críticos. Uno de los ataques más devastadores de 2021 impactó en las redes de JBS, el mayor productor de carne del mundo, generando millones de dólares en pérdidas e incluso el incremento en los precios de la carne.

Aún no se ha confirmado si este es un grupo afiliado o simplemente imitadores. No obstante, dado el nivel de ganancias de REvil, los expertos creen que no sería extraño que algún grupo de hackers no identificados esté tratando de usar este malware para su propio beneficio.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Aparece nuevo ransomware con código robado de la mafia de hacking REvil apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Señal de carretera de Miami es hackeada; atacantes publican mensajes como ‘Arresten a Fauci, el COVID-19 fue un engaño’

Los hackers maliciosos pueden desplegar toda clase de ataques, a veces con motivaciones financieras o políticas, aunque en otras ocasiones solo tratan de enviar un mensaje. Tal es un caso recientemente reportado en Miami, donde un individuo no identificado logró acceder a los sistemas que controlaban una señal de tráfico para dejar un mensaje polémico sobre el coronavirus.

El hacker accedió al cartel electrónico para modificar la información de tránsito y difundir mensajes como “COVID-19 es una farsa”, “Las vacunas matan” o “Arresten a Fauci”, en referencia al Dr. Anthony Fauci.

Los funcionarios de la Autoridad de Autopistas de Miami-Dade ya están al tanto del incidente, por lo que los sistemas del letrero electrónico fueron restablecidos y se eliminó el mensaje del hacker. Como algunos usuarios sabrán, Fauci es el principal experto en enfermedades infecciosas del país, actual director del Instituto Nacional de Alergias y Enfermedades Infecciosas de E.U. y asesor médico en jefe del presidente Joe Biden.

Por el momento se ignora cualquier detalle sobre la identidad del hacker o la técnica que usó para acceder sin autorización a los sistemas que controlan estos letreros electrónicos.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Señal de carretera de Miami es hackeada; atacantes publican mensajes como ‘Arresten a Fauci, el COVID-19 fue un engaño’ apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidad crítica en PaloAlto Cortex XSOAR

Los investigadores de Palo Alto Networks emitieron una alerta de seguridad para solicitar a sus clientes instalar los parches para abordar una vulnerabilidad crítica en Cortex XSOAR, una de las más importantes soluciones de la compañía.

Identificada como CVE-2021-3044, la falla recibió un puntaje de 9.8/10 acorde al Common Vulnerability Scoring System (CVSS). Acorde al reporte, la explotación de esta falla permitiría a los actores de amenazas remotos no autenticados con acceso al servidor Cortex XSOAR con el fin de realizar acciones no autorizadas vía la API REST.

Este reporte no se considera una falla de ejecución remota de código, menciona el reporte de seguridad de Palo Alto Networks: “El problema permite a los atacantes no autorizados realizar acciones en nombre de una integración activa de Cortex XSOAR.”

Los problemas afectan a las versiones 6.1.0 y 6.2.0 de XSOAR en configuraciones con integraciones de claves API activas. Los parches están disponibles para ambas versiones afectadas. Con el fin de mitigar el riesgo de explotación, los equipos de seguridad de Palo Alto Networks recomiendan revocar todas las claves API de integración activas y restringir el acceso a la red al servidor XSOAR.

La compañía menciona que hasta el momento no se ha registrado evidencia de algún ataque que explote esta vulnerabilidad, pero se decidió compartir información sobre cómo los clientes pueden encontrar señales de explotación.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en PaloAlto Cortex XSOAR apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidad de desbordamiento de búfer y de inyección de código en CODESYS

Especialistas en ciberseguridad reportan el hallazgo de al menos 4 vulnerabilidades críticas en CODESYS V2 Runtime Toolkit, un conjunto de herramientas para CODESYS, el entorno de desarrollo para la programación de controladores conforme con el estándar industrial internacional IEC 61131-3. Acorde al reporte, la explotación exitosa de estas fallas permitiría desplegar ataques de denegación de servicio (DoS), ejecución de código arbitrario, desbordamiento de búfer y otros ataques.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de investigación y puntajes acorde al Common Vulnerability Scoring System (CVSS).

CVE-2021-30186: Un error de límite en los desarrollos afectados permitiría a los atacantes remotos puede enviar una solicitud especialmente diseñada, desencadenando un desbordamiento del búfer basado en el montón y llevando a una condición DoS.

Esta es una falla de severidad media y recibió un puntaje CVSS de 6.5/10.

CVE-2021-30188: Un error de límite permitiría a los atacantes remotos no autenticados enviar una solicitud especialmente diseñada, desencadenar un desbordamiento del búfer basado en la pila y ejecutar código arbitrario.  

La falla recibía un puntaje de 8.5/10.                     

CVE-2021-30195: La validación inadecuada de las entradas proporcionadas por los usuarios permitiría a los atacantes remotos pasar una entrada especialmente diseñada a la aplicación afectada.

Esta vulnerabilidad recibió un puntaje de 6.5/10 y permitiría el despliegue de ataques DoS.

CVE-2021-30187: La validación de entrada incorrecta permite a los usuarios locales pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo objetivo.

Esta falla recibió un puntaje CVSS de 6.8/10.

Las vulnerabilidades residen en las siguientes versiones y productos afectados:

  • CODESYS V2 Runtime Toolkit: cualquier versión anterior a v2.4.7.55
  • CODESYS PLCWinNT: cualquier versión anterior a v2.4.7.55

Las fallas deben ser explotadas de forma local, lo que reduce significativamente el riesgo de ataque. Las actualizaciones ya están disponibles, por lo que CODESYS recomienda a los usuarios de implementaciones afectadas instalar los parches de seguridad a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad de desbordamiento de búfer y de inyección de código en CODESYS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Estafa de soporte técnico: Hackers engañan a usuarios para instalar ransomware y extorsionar a las víctimas

Un equipo de seguridad de Microsoft ha dado seguimiento estricto a un grupo cibercriminal identificado como BazarCall, dedicado al despliegue de estafas de soporte técnico empleando call centers para la distribución de una peligrosa variante de malware. Este grupo ha estado activo desde inicios de 2021 y ya ha infectado a miles de dispositivos Windows.

Al respecto, el investigador de Palo Alto Networks Brad Duncan mencionó que esta variante de malware permite a los actores de amenazas instalar un backdoor en los dispositivos Windows comprometidos: “Después de que un usuario se infecta, los cibercriminales emplean el acceso de backdoor para entregar el malware, escanear el entorno y explotar otros hosts vulnerables en la red.”

Los ataques comienzan enviando emails de phishing a usuarios aleatorios; estos mensajes engañaban a la víctima mencionando que una supuesta suscripción de prueba para Office 365 expiró y se iniciará el cobro de una tarifa mensual a menos que el usuario cancele vía llamada telefónica. A través de Twitter, el equipo de seguridad de Microsoft reveló uno de los correos electrónicos recibidos por una de las víctimas potenciales.

Si los usuarios caen en la trampa y llaman al número telefónico incluido en el mensaje, la llamada será dirigida a un call center operado por los cibercriminales, quienes engañarán al usuario para abrir un sitio web fraudulento y descargar un archivo de Excel con una macro maliciosa para descargar la carga útil del malware. 

Los investigadores de Microsoft también detectaron que estos hackers emplean el kit malicioso Cobalt Strike para interceptar información confidencial, incluyendo bases de datos en Active Directory (AD). Como muchos usuarios recordarán, Cobalt Strike es empleado en ataques de movimiento lateral después de un compromiso inicial. Por otra parte, el robo de AD se ha convertido en una de las más grandes problemáticas para empresas de todo el mundo, ya que contiene las credenciales de una organización.

Microsoft creó un repositorio de GitHub para compartir algunos detalles sobre la campaña BazarCall, aunque la investigación sigue activa. La compañía prometió actualizar el repositorio con nueva información a medida que sea confirmada.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Estafa de soporte técnico: Hackers engañan a usuarios para instalar ransomware y extorsionar a las víctimas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 22 de junio de 2021

Cibercriminales pueden explotar CVE-2021-2001, vulnerabilidad día cero en firewalls de SonicWall y hackear tu red

Un reciente informe de seguridad señala que CVE-2020-5135, una vulnerabilidad crítica en SonicWall, habría sido corregida de forma errónea, dejando expuestas más de 800 mil implementaciones VPN desarrolladas por la compañía. La explotación exitosa de esta vulnerabilidad permitiría a los atacantes remotos no autenticados ejecutar código arbitrario en los dispositivos afectados, conduciendo a escenarios de denegación de servicio (DoS).

Durante meses se creyó que la falla había sido corregida, hasta que esta semana se demostró lo contrario. En consecuencia, se le asignó una nueva clave de identificación (CVE-2021-20019).

La falla fue reportada por primera vez en octubre de 2020, descrita como un error de desbordamiento de búfer basado en pila de los firewalls VPN de SonicWall. Craig Young, investigador de Tripwire Vulnerability and Exposure Research Team (VERT) presentó el reporte inicial, y se ha vuelto a poner en contacto con la compañía para notificarles que el error sigue presente en las implementaciones vulnerables.

CVE-2020-5135 permitía a los atacantes enviar una solicitud HTTP maliciosa al firewall para provocar una condición DoS o ejecutar código arbitrario, señalaba el primer informe de Tripwire. Después de notificar a SonicWall, la compañía confirmó que se trataba de una falla y que sería corregida en breve.

Semanas después, el investigador volvió a probar su exploit de prueba de concepto (PoC) contra instancias de SonicWall y concluyó que la solución emitida por la compañía no era suficiente: “Decidí poner en marcha una instancia de SonicWall en Azure para confirmar cómo responde la actualización a mi exploit. En el pasado, al investigar dispositivos de red, he observado diferencias en el comportamiento vulnerable entre los sistemas físicos y virtuales”, mencionó Young.

Al probar la seguridad de la actualización, el investigador notó que su exploit PoC no provocó un bloqueo del sistema, sino una avalancha de datos binarios en la respuesta HTTP: “Los datos binarios devueltos en las respuestas HTTP podrían ser direcciones de memoria. Aunque nunca observé texto reconocible en los datos filtrados, creo que esta salida podría variar según cómo se utilice el sistema objetivo.”

SonicWall ha tenido que publicar una segunda alerta de seguridad relacionada con esta vulnerabilidad, incluyendo las mitigaciones correspondientes. Se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cibercriminales pueden explotar CVE-2021-2001, vulnerabilidad día cero en firewalls de SonicWall y hackear tu red apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

6 vulnerabilidades críticas en desfibrilador médico ponen en riesgo la vida de millones de pacientes

Especialistas en ciberseguridad reportan el hallazgo de múltiples vulnerabilidades en un desfibrilador desarrollado por la firma ZOLL y empleado por la industria médica en general. Acorde a los reportes, la explotación exitosa de las vulnerabilidades permitirá la ejecución de código remoto, robo de credenciales de usuario, ataques de scripts entre sitios (XSS) y otros escenarios de riesgo.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes acorde al Common Vulnerability Scoring System (CVSS).

CVE-2021-27489: La interfaz web del dispositivo permite que cualquier usuario no administrativo cargue archivos maliciosos, lo que llevaría a la ejecución de comandos arbitrarios de forma remota.

La falla recibió un puntaje CVSS de 9.9/10, por lo que se le considera un error de seguridad crítico.

CVE-2021-27481: Los dispositivos afectados utilizan una clave de cifrado en el proceso de intercambio de datos, la cual está codificada. Esto podría permitir que los atacantes obtengan acceso a información confidencial en los dispositivos afectados.

La vulnerabilidad recibió un puntaje CVSS de 7.7/10.

CVE-2021-27487: Los productos afectados contienen credenciales almacenadas en texto sin formato, lo que permitiría a los actores de amenazas remotos obtener información confidencial.

La vulnerabilidad recibió un puntaje de 7.1/10 y su explotación permitiría la filtración de información en texto sin formato.

CVE-2021-27479: La interfaz de administración web de los dispositivos afectados cuenta con deficientes medidas de seguridad, lo que permitiría a los actores de amenazas con privilegios limitados inyectar parámetros para contener scripts maliciosos y forzar su ejecución engañando a los usuarios con altos privilegios.  

Esta falla recibió un puntaje CVSS de 4.6/10.

CVE-2021-27485: La aplicación que controla estos dispositivos permite a los usuarios almacenar sus contraseñas en un formato poco seguro, lo que permitiría a los actores de amenazas recuperar las credenciales en el contexto del navegador web del usuario.  

La vulnerabilidad recibió un puntaje CVSS de 7.1/10.

CVE-2021-27483: Los productos afectados contienen permisos de sistema de archivos inseguros que podrían permitir que un usuario con privilegios bajos consiga privilegios de administrador. Esta falla recibió un puntaje CVSS de 5.4/10.

Las fallas residen en todas las versiones del desfibrilador de ZOLL anteriores a v2.2.

Para mitigar el riesgo de explotación, la compañía recomienda a los administradores de implementaciones afectadas actualizar a cualquier versión posterior a v2.2. Más detalles sobre estas fallas y su impacto potencial están disponibles en las plataformas oficiales de ZOLL.

Estas fallas fueron reportadas a la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de forma anónima. Esta Agencia también publicó una lista de recomendaciones para prevenir la posible explotación de estas fallas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 6 vulnerabilidades críticas en desfibrilador médico ponen en riesgo la vida de millones de pacientes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente