jueves, 31 de marzo de 2022

CVE-2022-0757: Vulnerabilidad de inyección SQL en Rapid7 Nexpose, también conocida como Security Console: Actualice de inmediato

Los equipos de seguridad de Rapid7 anunciaron la corrección de una vulnerabilidad crítica de inyección SQL en Nexpose, un software de gestión de vulnerabilidades local. La falla fue identificada como CVE-2022-0757 y recibió un puntaje de 9.8/10 según el Common Vulnerability Scoring System (CVSS).

Según el reporte, la vulnerabilidad surgió debido a que no se definieron operadores de búsqueda válidos, por lo que los actores de amenazas podrían inyectar código SQL después de manipular los operadores de consulta de filtro ‘ALL’ o ‘ANY’ en SearchCriteria. La falla reside en todas las versiones de Nexpose, también conocida como Security Console, hasta v6.6.128.

Rapid7 corrigió la falla con el lanzamiento de la versión 6.6.129 de Nexpose a inicios de marzo. Esta última versión también incluye soporte para los servicios TLS 1.3, una verificación de vulnerabilidad adicional para Log4j y cobertura adicional contra una falla de seguridad basada en Metasploit.

El escáner de vulnerabilidades Nexpose también contenía una falla de scripts entre sitios (XSS) de gravedad media. Debido a que reside en la configuración de escaneo compartido, la falla XSS permitiría a los atacantes pasar valores literales como credenciales de prueba, lo que brinda la oportunidad de un posible ataque XSS, señala el reporte de CVE-2022-0758. La vulnerabilidad recibió un puntaje CVSS de 6.1/10 y reside en las versiones 6.6.129 de Security Console.

El reporte de estos errores fue atribuido a Aleksey Solovev, investigador de seguridad de PT Swarm, el equipo ofensivo de la firma Positive Technologies.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo CVE-2022-0757: Vulnerabilidad de inyección SQL en Rapid7 Nexpose, también conocida como Security Console: Actualice de inmediato apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

¿Cómo abordar temporalmente SpringShell? Vulnerabilidad día cero en Spring Core

Después de múltiples reportes aparecidos durante la última semana, Spring confirmó la vulnerabilidad de ejecución remota de código (RCE) en Spring Framework. La vulnerabilidad ha sido identificada como CVE-2022-22965 y es muy posible que ya haya sido explotada de forma activa.

Según se ha reportado, la explotación de esta falla, ahora conocida como SpringShell, requiere de un endpoint con DataBinder habilitado y depende en gran medida del contenedor de servlet para la aplicación. Por ejemplo, cuando Spring se implementa en Apache Tomcat, es posible acceder a WebAppClassLoader, permitiendo a los actores de amenazas llamar a captadores y definidores para escribir un archivo JSP malicioso en el disco. Sin embargo, si Spring se implementa utilizando el contenedor de servlet de Tomcat incorporado, el cargador de clases es un LaunchedURLClassLoader que tiene acceso limitado.

En versiones JDK9 y posteriores del framework Spring, los hackers maliciosos remoto puede obtener el objeto AccessLogValve y los valores de los campos maliciosos a través de la función de vinculación de parámetros del framework sobre la base del cumplimiento de ciertas condiciones, activando así el mecanismo de canalización para escribir archivos arbitrarios en la ruta.

¿CÓMO VERIFICAR LA EXPOSICIÓN A ESTA FALLA?

Especialistas en ciberseguridad mencionan que hay diversos métodos para verificar el grado de exposición a un ataque.

Verifique el número de versión de JDK

En el servidor en ejecución del sistema, ejecute el comando java -version para verificar la versión de JDK en ejecución. Si se ejecutan versiones 8 o posteriores, el sistema no se verá afectado.

Verifique el uso del marco Spring

Si el proyecto del sistema se implementa en forma de paquete war, siga los pasos a continuación para determinar si el sistema se ve comprometido:

  • Descomprima el paquete war. Cambie el sufijo del archivo war a .zip y descomprima el archivo zip
  • Busque un archivo jar en formato spring-beans-*.jar en el directorio de descompresión. Si existe, significa que el sistema se desarrolla utilizando el marco Spring
  • Si el archivo spring-beans-*.jar no existe, busque la existencia del archivo CachedIntrospectionResuLts.class. Si este archivo existe, significa que el sistema se desarrolla utilizando el marco Spring

Si el proyecto del sistema de organización se ejecuta directa e independientemente en forma de un paquete jar, verifique aplicando los siguientes pasos:

  • Descomprima el paquete jar; cambie el sufijo del archivo jar a .zip y descomprima el archivo zip
  • Busque un archivo jar en formato spring-beans-*.jar en el directorio de descompresión. Si existe, significa que el sistema se desarrolla utilizando el marco Spring
  • Si el archivo spring-beans-*.jar no existe, busque la existencia del archivo CachedIntrospectionResuLts.class. Si existe, significa que el sistema se ejecuta usando el marco Spring

EN BUSCA DE LA FALLA

Después de completar los dos pasos anteriores de solución de problemas, se cumplen las siguientes dos condiciones al mismo tiempo para determinar la presencia de la falla:

  • Uso de JDK en versiones 9 y posteriores
  • Uso del marco Spring

MITIGACIÓN

La vulnerabilidad no ha sido corregida oficialmente, aunque ya se sabe de la existencia de dos soluciones alternativas aplicables al menos hasta que los desarrolladores de Spring puedan emitir un parche completo.

WAF

En sistemas protegidos con firewall de aplicaciones web (WAF), implemente el filtrado de reglas para cadenas como  “class.*”, “Class.*”, “*.class.*”, y “*.Class.*” de acuerdo con la situación real del tráfico de servicios desplegados. Después aplicar el filtrado, haga las pruebas necesarias para evitar un impacto adicional en sus sistemas.

Soluciones adicionales

Puede aplicar simultáneamente los siguientes pasos para mitigar el riesgo de explotación:

  • Busque la anotación @InitBinder en la aplicación para ver si se llama al método dataBinder.setDisallowedFields en el cuerpo del método. Si se encuentra la introducción de este fragmento de código, agregue “class.*”,”Class.*”, “*.class.*”, “*.Class.*”
  •  Cree la siguiente clase global en el paquete del proyecto del sistema de la aplicación y asegúrese de que Spring cargue esta clase. Después de agregar la clase, el proyecto debe volver a compilarse y empaquetarse, y probarse para la verificación funcional y volver a publicar el proyecto
import org.springframework.core.annotation.Order;
        import org.springframework.web.bind.WebDataBinder;
        import org.springframework.web.bind.annotation.ControllerAdvice;
        import org.springframework.web.bind.annotation.InitBinder;
        @ControllerAdvice
        @Order(10000)
        public class GlobalControllerAdvice{ 
             @InitBinder
             public void setAllowedFields(webdataBinder dataBinder){
             String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};
             dataBinder.setDisallowedFields(abd);
             }
        }

Los parches estarán listos en breve, por lo que se espera poder prevenir la explotación masiva de esta vulnerabilidad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo ¿Cómo abordar temporalmente SpringShell? Vulnerabilidad día cero en Spring Core apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 30 de marzo de 2022

Código de explotación de la vulnerabilidad día cero en Spring Framework para aplicaciones Java es publicado. Nueva falla Log4Shell

Especialistas en ciberseguridad reportaron una nueva vulnerabilidad día cero en el marco de trabajo Java Spring Core. La explotación exitosa permitiría la ejecución remota de código (RCE) en las aplicaciones afectadas. Spring es un marco que permite a los desarrolladores de software desarrollar rápida y fácilmente aplicaciones Java con características de nivel empresarial. Estas aplicaciones se pueden implementar en servidores y como paquetes independientes con todas las dependencias requeridas.

Este martes se identificó una vulnerabilidad de Spring Cloud Function rastreada como CVE-2022-22963, con reportes adicionales circulando en línea desde entonces. Conocida ahora como Spring4Shell, la vulnerabilidad sólo afecta a las aplicaciones de Spring que se ejecutan en Java 9 y superior y es causada por la deserialización insegura de los argumentos pasados.

Un exploit día cero fue filtrado brevemente durante la mañana del miércoles, aunque fue tiempo suficiente para que especialistas en ciberseguridad pudieran descargar el código de la PoC. Esta filtración permitió confirmar que la vulnerabilidad existe, es explotable y representa un riesgo de seguridad severo.

Investigadores de la firma de ciberseguridad Praetorian también confirmaron la existencia de la vulnerabilidad, aunque especifican que la explotación exitosa requiere de configuraciones específicas previamente establecidas: “El ataque requiere un endpoint con DataBinder habilitado, además depende en gran medida del contenedor servlet para la aplicación”, menciona el blog de la compañía.

Los expertos también señalan que Spring se usa comúnmente con Apache Tomcat, lo que significa que existe un gran potencial de explotación generalizada. Para empeorar la situación, múltiples informes señalan que ya se han detectado casos de explotación activa.

Praetorian describe una forma de mitigar la explotación de Spring4Shell mediante lo que definen como “bloqueo de patrones específicos” a la funcionalidad Spring Core DataBinder. Como esta vulnerabilidad no ha sido abordada, se recomienda enfáticamente que los administradores que usan aplicaciones Spring implementen estas mitigaciones lo antes posible.

Dadas las características del ataque, los especialistas en ciberseguridad recuerdan el riesgo que se presentó a finales de 2021 con la explotación masiva de los servidores Log4j después del hallazgo de una vulnerabilidad conocida como Log4Shell. Esta vulnerabilidad permitió a los grupos de hacking instalar malware y desplegar ataques de ransomware contra las implementaciones afectadas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Código de explotación de la vulnerabilidad día cero en Spring Framework para aplicaciones Java es publicado. Nueva falla Log4Shell apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Hackers del ransomware Hive comprometen sistemas de atención médica en California

Partnership HealthPlan of California, una organización sin fines de lucro que ayuda a cientos de miles de personas a acceder a la atención médica en el estado de California, está siendo atacada por los operadores del ransomware Hive. Esta es una de las mayores organizaciones de atención médica en el norte de California y atiende a más de 610,000 beneficiarios en 14 condados.

Aún no está claro comenzó el ataque y Partnership HealthPlan of California sigue sin poder responder a las solicitudes de comentarios. El ataque fue reportado inicialmente el 24 de marzo por el periódico local The Press Democrat.

Poco después, la organización publicó un mensaje en su sitio web confirmando que estaban experimentando dificultades técnicas, lo que resultó en una interrupción de ciertos sistemas informáticos. Partnership HealthPlan contrató a un equipo de expertos en ciberseguridad para hacer frente al incidente y restaurar los sistemas afectados.

Brett Callow, especialista en ciberseguridad de la firma Emsisoft, compartió una captura de pantalla de la página de filtraciones del ransomware Hive, confirmando que el grupo se ha atribuido la responsabilidad del ataque a Partnership HealthPlan of California, además de asegurar que se robaron registros personales de más de 850,000 pacientes.

Los operadores del ataque también mencionaron haber cifrado los sistemas de la organización el 19 de marzo, aunque la información fue expuesta en su plataforma de filtraciones en dark web apenas este martes.

Sobre Hive, el Buró Federal de Investigaciones (FBI) ha incluido a este grupo en múltiples informes de seguridad, vinculando a sus operadores con al menos 28 ataques contra organizaciones de atención médica desde inicios de 2021. La Agencia también menciona que la menos 4 hospitales en E.U. han sido atacados por Hive en 2022.

Hace unos meses, el director ejecutivo del Memorial Health System, Scott Cantley, dijo en un comunicado que el personal de tres hospitales; Marietta Memorial, Selby y Sistersville General Hospital, se vio obligado a usar gráficos en papel ante la interrupción masiva de sus sistemas informáticos. El sistema hospitalario terminó pagando una recompensa a los hackers.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers del ransomware Hive comprometen sistemas de atención médica en California apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

4 vulnerabilidades críticas en Omron CX-Position permiten la ejecución de código malicioso

Especialistas en ciberseguridad reportan la detección de al menos 4 vulnerabilidades en CX-Position, un software de control de posición desarrollado por la firma tecnológica Omron. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar múltiples escenarios de hacking.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de seguridad y puntuaciones asignadas según el Common Vulnerability Scoring System (CVSS). Estas vulnerabilidades fueron divulgadas a través de la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA).

CVE-2022-26419: Múltiples condiciones de desbordamiento de búfer basado en pila al analizar un archivo de proyecto específico en CX-Position permitirían a los actores de amenazas locales ejecutar código arbitrario en el sistema afectado.

Esta vulnerabilidad recibió un puntaje CVSS de 7.8/10.

CVE-2022-25959: Una condición de corrupción de memoria al procesar archivos de proyectos específicos permitiría a los actores de amenazas ejecutar código arbitrario en los sistemas comprometidos.

La falla recibió un puntaje CVSS de 7.8/10 y se le considera un error de severidad media.

CVE-2022-26417: Una condición use-after-free al procesar un archivo de proyecto específico permitiría a los hackers maliciosos ejecutar código arbitrario en los sistemas afectados.

La falla recibió una puntuación CVSS de 7.8/10.

CVE-2022-26022: La escritura fuera de los límites en CX-Position al procesar archivos de proyectos específicos permitiría a los actores de amenazas ejecutar código arbitrario en los sistemas afectados.

Esta es una falla de severidad media y recibió un puntaje CVSS de 7.8/10.

Según el reporte, las fallas residen en todas las versiones de Omron CX-Position anteriores a v2.5.3.

En respuesta a estos reportes, Omron lanzó la versión 2.5.4 del software afectado, que solo está disponible para usuarios de pago que utilizan la función de actualización automática. Se recomienda instalar la más reciente versión de CX-Position lo antes posible para mitigar por completo el riesgo de explotación.

Además de la actualización a la versión corregida, CISA recomienda a las organizaciones potencialmente afectadas realizar un análisis de impacto y una minuciosa evaluación de riesgos de seguridad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 4 vulnerabilidades críticas en Omron CX-Position permiten la ejecución de código malicioso apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidad en los Sistemas de Carga Combinada (CCS) permitiría a los hackers apagar un vehículo eléctrico a 10 metros de distancia

Especialistas en ciberseguridad reportan el hallazgo de una variante de ciberataque contra los Sistemas de Carga Combinados (CCS), una de las implementaciones tecnológicas más utilizadas en los autos eléctricos actuales. Según el reporte, el ataque es capaz de interrumpir las comunicaciones entre el auto y el cargador, provocando una interrupción en el proceso de carga.

La actividad maliciosa puede ser desplegada a una distancia de hasta 47 metros usando interferencias electromagnéticas, lo que permitiría interrumpir el proceso de carga en más de un auto a la vez; además, los investigadores reportan que se requiere hardware muy poco sofisticado y mínimos conocimientos para completar un ataque. Durante el ataque, los hackers tratarán de abusar de los estándares HomePlug Green PHY, DIN 70121 e ISO 15118, presentes en gran cantidad de autos eléctricos.

El ataque, bautizado como Brokenwire, podría afectar a la mayoría de los más de 12 millones de vehículos eléctricos usados actualmente en todo el mundo, sin mencionar que otros medios de transporte eléctricos como barcos, aviones y vehículos pesados también se verían afectados.

Proceso de ataque

La tecnología CCS es en realidad una colección de múltiples estándares técnicos. Durante el proceso de carga, los vehículos eléctricos (EV) y los Equipos de Alimentación de Vehículos Eléctricos (EVSE) intercambian mensajes importantes, como el Estado de Carga (SoC). El enlace IP de gran ancho de banda utilizado para la comunicación lo proporciona la tecnología de comunicación por línea eléctrica HomePlug Green PHY (HPGP).

El ataque fue probado en un entorno controlado para diferentes distancias entre el cable de carga y el atacante. Las pruebas fueron realizadas en los mismos módems HPGP que se encuentran en la mayoría de los vehículos eléctricos y estaciones de carga.

El diagrama mostrado a continuación ilustra los resultados de las pruebas, los cuales indican que hacen falta mínimos requerimientos de software y hardware para ejecutar el ataque desde una distancia de hasta 10 metros.

El siguiente video muestra un ataque contra un cargador CCS HPC. El vehículo parece llevar a cabo su proceso de carga sin ningún problema, pero se detiene tan pronto como se emite la señal maliciosa.

Como se menciona anteriormente, el ataque es completamente funcional en diversas muestras de estaciones de carga.

La mayoría de los autos eléctricos producidos actualmente podrían verse expuestos a un ataque de estas características. El reporte ha sido presentado a los diversos fabricantes para buscar la mejor forma de abordar estas fallas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad en los Sistemas de Carga Combinada (CCS) permitiría a los hackers apagar un vehículo eléctrico a 10 metros de distancia apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 29 de marzo de 2022

Un ataque cibernético apaga internet de todo el ejército de Ucrania

El tráfico web de Ukrtelecom, el principal proveedor de servicios de Internet de Ucrania, se vio interrumpido durante la tarde de este lunes, lo que provocó uno de los cortes de Internet más generalizados en el país desde que el mes pasado inició la invasión rusa en territorio ucraniano.

Los funcionarios del gobierno ucraniano atribuyeron la interrupción a un ciberataque presuntamente desplegado por el ejército ruso. Según las cifras más recientes disponibles, Ukrtelecom ocupa el séptimo lugar entre los proveedores ucranianos en términos del volumen de tráfico que circula.

“Hoy, el enemigo lanzó un poderoso ataque cibernético contra la infraestructura de TI de Ukrtelecom… La reanudación de los servicios está en marcha”, señaló a través de Twitter la autoridad ucraniana de Comunicaciones Especiales y Protección de la Información.

Algunos monitores de red global, incluidos NetBlocks y Kentik, confirmaron las interrupciones de tráfico que involucraron a esta compañía durante el lunes: “Este 28 de marzo, un gran ataque cibernético contra el proveedor nacional de Ucrania, Ukrtelecom, desencadenó una interrupción extendida de la red a escala nacional: el incidente se ha intensificado progresivamente durante el día”.

Ukrtelecom confirmó que esta situación, descrita como “una serie de problemas técnicos”, afectó a la mayoría de sus usuarios, aunque ya están trabajando para restablecer sus servicios a la normalidad. Operando originalmente como una empresa estatal, Ukrtelecom es propiedad actual de Rinat Akmetov, la persona más rica de Ucrania, y brinda servicio a unos 200,000 suscriptores, especialmente en zonas rurales.

Poco antes de este ataque, el director técnico de Ukrtelecom, Dmytro Mykytiuk, mencionó que miles de empleados de la compañía estaban trabajando como soporte técnico ante los severos daños que los bombardeos rusos han causado en su infraestructura.

Esta no es la única compañía de telecomunicaciones ucraniana que ha sufrido ataques similares. Triolan, un colectivo ucraniano de proveedores de servicios de Internet, sufrió una interrupción más extensa a inicios de marzo, por lo que tomó más de 10 días restablecer sus servicios a los niveles normales.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Un ataque cibernético apaga internet de todo el ejército de Ucrania apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Tres vulnerabilidades en Wyze Cam permiten a los hackers acceder al contenido de la cámara

Especialistas en ciberseguridad reportaron la detección de múltiples vulnerabilidades en los populares dispositivos Wyze Cam, que podrían ser abusados por los actores de amenazas para obtener acceso a las imágenes almacenadas en las tarjetas SD de las cámaras.

Según el reporte de Bitdefender, algunos productos de Wyze Cam se ven afectados por una vulnerabilidad de evasión de autenticación identificada como CVE-2019-9564, y un error de ejecución de control remoto identificado como CVE-2019-12266, además de otros errores de seguridad.

Después de la detección de múltiples errores de logística y de hardware, Wyze suspendió la versión 1 de sus cámaras, dejando a los usuarios de estos dispositivos sin la posibilidad de recibir actualizaciones de seguridad. A pesar de que las versiones 2 y 3 de Wyze Cam fueron actualizadas correctamente, las versiones más antiguas seguirán siendo vulnerables.

Wyze recibió el reporte en marzo de 2019, después de meses de ignorar los mensajes de Bitdefender. A pesar de que las actualizaciones posteriores de Wyze redujeron el riesgo de acceso no autenticado al contenido de la tarjeta SD, la empresa no respondió en gran medida a los intentos de contacto iniciales de Bitdefender, por lo que sus usuarios siguieron expuestos a estos ataques.

A finales de 2019, Wyze lanzó una actualización para sus productos Cam v2 con el fin de abordar la falla CVE-2019-9564. Posteriormente, la compañía lanzó una solución para CVE-2019-12266.

Los investigadores de Bitdefender notificaron a Wyze que planeaban publicar las vulnerabilidades en septiembre de 2021 y la compañía lanzó una actualización de firmware el 29 de enero de 2022 que soluciona el problema de la tarjeta SD.

La compañía asegura que CVE-2019-9564 brinda a los actores de amenazas el control total de un dispositivo, incluyendo la capacidad de controlar el movimiento de la cámara, deshabilitar la grabación, encender o apagar la cámara y otras actividades. Bitdefender especifica que CVE-2019-9564 no permite ver la transmisión de audio y video en vivo, pero cuando se explota de forma conjunta con CVE-2019-12266, este ataque se vuelve posible.

CVE-2019-12266 permite a los hackers determinar qué servidores usar para conectarse a la nube. La vulnerabilidad de la tarjeta SD brinda a los actores de amenazas acceso al contenido de la tarjeta después de insertarla en la cámara. Finalmente, los equipos de seguridad de Wyze agradecieron el reporte y aseguraron que los productos compatibles seguirán recibiendo las actualizaciones necesarias: “Reparamos todos los problemas de seguridad en nuestros productos compatibles. Estas actualizaciones ya están implementadas en nuestra última aplicación y actualizaciones de firmware”.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Tres vulnerabilidades en Wyze Cam permiten a los hackers acceder al contenido de la cámara apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Dos grandes empresas rusas en la industria petrolera son hackeadas

Esta mañana, el grupo hacktivista Anonymous se atribuyó un presunto ciberataque contra dos grandes empresas rusas, robando una gran cantidad de datos y dejándolos disponibles para su descarga en diversos foros en línea.

Según el reporte, la primera de las firmas atacadas es MashOil, con sede en Moscú y dedicada al diseño, fabricación y mantenimiento de equipos utilizados en las industrias de perforación, minería y fracking. Anonymous habría robado hasta 110 GB de información de los sistemas de la empresa.

La información filtrada incluiría hasta 140,000 correos electrónicos que se pueden descargar vía torrent y están disponibles en el sitio web oficial de Distributed Denial of Secrets (DDoSecrets), una organización sin fines de lucro en favor de la transparencia y la divulgación de información de interés.

La cuenta de Twitter @YourAnonNews, empleada por el grupo de hacktivismo para la difusión de sus actividades, también confirmó el incidente.

RostProekt, la segunda compañía atacada, es una empresa de construcción con sede en la ciudad rusa de Ivanovo. En este caso, los hackers aseguran haber concretado el ataque durante el fin de semana pasado, robando 2.4 GB de registros de correo electrónico. Al igual que en el primer ataque, los archivos se pueden descargar desde el sitio web oficial de DDoSecrets.

El ataque contra RostProekt fue confirmado originalmente a través de la cuenta de Twitter @DepaixPorteur, presuntamente afiliada a Anonymous y que también desempeñó un papel vital en el ciberataque contra decenas de impresoras en Rusia, campaña durante la cual se enviaron cientos de mensajes contra la guerra y la censura en territorio ruso.

Desde el inicio del conflicto militara Anonymous tomó partido a favor de los ucranianos, desplegando una serie de ciberataques ahora identificados como OpRussia. Estos ataques involucran el robo de información, el secuestro de señales de radio y TV, ataques de denegación de servicio (DoS) y otras variantes de hacking.

En entrevista con un especialista en ciberseguridad, el administrador de la cuenta @DepaixPorteur reveló que el grupo está trabajando en una brecha de datos a gran escala perteneciente a instituciones rusas en ramos críticos. El grupo asegura que podría filtrar hasta 1.22 TB de datos confidenciales en las próximas semanas si la invasión rusa en Ucrania no se ha detenido para entonces.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos grandes empresas rusas en la industria petrolera son hackeadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Nueva brecha de datos afecta a los pacientes de una red de salud pública

Un Distrito de Salud en el estado de Washington emitió una alerta de brecha de datos, la segunda emitida en lo que llevamos de 2022. Ambos incidentes de seguridad ocurrieron en el Distrito Regional de Salud de Spokane (SRHD), y habrían sido generados debido a un ataque de phishing.

A finales de enero, el distrito confirmó que sus registros confidenciales pudieron haberse visto comprometidos cuando un actor no autorizado comprometió la cuenta email de un empleado en diciembre de 2021. Aunque nunca hubo forma de confirmar si el atacante accedió, descargó o modificó los documentos, se considera como una posibilidad real que la información pudiera haberse visto expuesta.

La exposición de estos datos habría afectado a más de mil personas, comprometiendo datos como nombres, fechas de nacimiento, números de expediente, nombres de consejeros, resultados de pruebas y fechas de análisis de orina, diagnósticos, medicamentos recibidos y fechas de la última dosis.

Aunque en su momento las autoridades del distrito se comprometieron a reforzar sus mecanismos de ciberseguridad, esta semana se confirmó una segunda brecha de seguridad causada por un email de phishing abierto por un empleado el pasado 24 de febrero. Este incidente podría haber comprometido la información personal y expedientes médicos de hasta 1,200 personas. Aún se desconocen más detalles sobre el incidente, aunque de nuevo es altamente posible que algún actor malintencionado logre acceder a estos registros.

Especialistas en ciberseguridad mencionan que las instituciones de atención médica son de los objetivos más atractivos para los actores de amenazas, ya que estas organizaciones resguardan gran cantidad de registros confidenciales potencialmente utilizables en campañas de hacking, phishing e ingeniería social.

Jasmine Henry, de la firma de seguridad JupiterOne, menciona que estos registros pueden venderse por hasta $250 USD en foros de hacking, a diferencia de un registro personal con precios de menos de $5 USD. Además, la especialista menciona que estos datos son más valiosos para los hackers, ya que estos registros son permanentes y no pueden ser eliminados o restablecidos desde cero, como sí podría hacerse con una tarjeta de crédito.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nueva brecha de datos afecta a los pacientes de una red de salud pública apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Biblioteca JavaScript node-ipc fue modificada para incluir malware de eliminación de archivos dependiendo de la ubicación geográfica de los usuarios

Un reporte de seguridad indica que el desarrollador de la biblioteca JavaScript node-ipc, empleada por el marco de trabajo vue.js, introdujo intencionalmente una vulnerabilidad crítica que podría resultar desastrosa para algunos usuarios. Brandon Nozaki Miller, también conocido como RIAEvangelist, creó node-ipc, describiéndolo como un módulo de comunicación entre procesos para Node, compatible con sockets UNIX, TCP, TLS y UDP.

Al parecer, Miller cambió intencionalmente su código para sobrescribir los datos del sistema host, además de modificar el código para mostrar un mensaje que pedía la paz mundial, como protesta contra la guerra en Ucrania. GitHub confirmó que en realidad esta es una vulnerabilidad crítica identificada como CVE-2022-23812: “El código malicioso es capaz de sobrescribir archivos arbitrarios dependiendo de la ubicación geográfica del usuario”, señala la plataforma.

A inicios de marzo se lanzaron las versiones 10.1.1 y 10.1.2 de node-ipc. Cuando se importan como una dependencia y se ejecutan, estas versiones de la biblioteca verifican si la dirección IP de la máquina host está asociada a Rusia o Bielorrusia; de ser así, todos los archivos se sobrescriben con un símbolo de corazón.

Estas versiones contenían un paquete creado por Miller identificado como peacenotwar, capaz de crear un archivo llamado WITH-LOVE-FROM-AMERICA.txt en los escritorios de los usuarios y en carpetas OneDrive. Presuntamente, el archivo contiene una frase del desarrollador clamando por la paz, aunque algunos usuarios que han visto el archivo aseguran que es simplemente un archivo de texto vacío.

Cada vez que otro proyecto utiliza las versiones 11 o 9.2.2 de node-ipc como una dependencia, se ejecuta peacenotwar, dejando archivos en las computadoras de los usuarios. La versión 9.2.2 ha desaparecido del registro de NPM junto con las destructivas versiones 10.1.x. Vue.js, por ejemplo, trajo node-ipc 9.2.2 mientras estaba disponible, ya que 9.x se considera una rama estable, lo que significa que hubo un período en el que algunos desarrolladores de Vue pueden haber experimentado la aparición repentina de archivos de texto.

La buena noticia es que pocas personas se vieron expuestas a esta versión destructiva de la biblioteca, ya que las grandes aplicaciones y marcos habrán usado la rama estable. Cualquier usuario que haya accedido a las versiones de última generación podría haber perdido sus archivos o haber encontrado el manifiesto creado por el desarrollador.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Biblioteca JavaScript node-ipc fue modificada para incluir malware de eliminación de archivos dependiendo de la ubicación geográfica de los usuarios apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 28 de marzo de 2022

Policía ucraniana clausura granja de bots dedicada a difundir fake news pro Rusia

Las autoridades ucranianas anunciaron el desmantelamiento de cinco enormes granjas de bots desde las cuales se controlaban más de 100,000 cuentas de redes sociales dedicadas a la difusión de noticias falsas como parte de las campañas de desinformación orquestadas por Rusia. A través de esta infraestructura, se distribuían noticias engañosas o directamente falsas en redes sociales como Facebook, Twitter e Instagram.

Según el Servicio de Seguridad Ucraniano (USS), el objetivo de la red era desestabilizar la situación sociopolítica en varias regiones, frenando así la resistencia de la milicia ucraniana y facilitando la eventual ocupación militar rusa.

Después de una exhaustiva investigación, el SSU realizó cinco allanamientos y confiscó toda clase de dispositivos electrónicos, incluyendo:

  • 100 conjuntos de puertas de enlace GSM
  • Alrededor de 10,000 tarjetas SIM de varios operadores de telefonía móvil
  • Laptops y equipos de escritorio usados para controlar y coordinar la actividad de los bots  

Contener los ciberataques contra la infraestructura tecnológica ucraniana no ha sido fácil. Durante el último mes, las plataformas oficiales del SSU han sido desconectadas múltiples veces y por periodos de hasta tres días, en una muestra de que el gobierno de Ucrania enfrenta problemas cada vez más complejos para mantener en línea sus sistemas críticos.

En un reporte emitido este fin de semana, la policía cibernética ucraniana confirmó el arresto de un hombre acusado de comprometer cuentas de redes sociales usando sitios web maliciosos en busca de aprovecharse de ciudadanos bien intencionados para una supuesta recaudación de fondos.

Poco después, el SSU anunció la detección de una campaña de phishing presuntamente operada por actores de amenazas auspiciados por el Kremlin. En esta campaña, se engañaba a los usuarios de redes sociales para hacerlos visitar sitios web maliciosos desde donde serían infectados con el peligroso malware PseudoSteel, que permitía a los hackers buscar y extraer archivos potencialmente confidenciales de forma remota.

El mantenimiento de sus sistemas informáticos es fundamental para Ucrania, ya que actividades como la movilización de refugiados y recepción de víveres dependen en gran medida de esta tecnología. Esta es una muestra de lo devastadora que puede resultar una campaña de ciberguerra en la actualidad, en especial en un país que ya enfrenta un conflicto militar.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Policía ucraniana clausura granja de bots dedicada a difundir fake news pro Rusia apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Gobierno de Rusia detrás del hackeo contra las comunicaciones satelitales de Ucrania

Un reciente reporte indica que el gobierno de Rusia habría hackeado Viasat, un importante proveedor de comunicaciones satelitales, el mismo día que inició la invasión militar en Ucrania. Aunque ninguna agencia de inteligencia en occidente ha confirmado esta hipótesis, en esta región del mundo creen altamente probable que el Kremlin esté detrás del ataque.

Este es el ciberataque más importante relacionado con este conflicto bélico, ya que habría afectado las comunicaciones militares y gubernamentales en Ucrania. Aún así, especialistas en ciberseguridad y ciberguerra creen que los sistemas informáticos ucranianos se han mostrado altamente resistentes contra los ciberataques desplegados por Rusia.

Las agencias de inteligencia en Occidente seguirán investigando el ataque contra Viasat, que proporciona acceso a una red satelital de telecomunicaciones. El ataque habría interrumpido el funcionamiento de los dispositivos conectados a esta red al menos por algunas horas, afectando a Ucrania y algunos otros países europeos.

Al respecto, Viasat simplemente confirmó que debería reemplazar los enrutadores de algunos clientes, pero que su infraestructura de red central y el satélite principal de la compañía no sufrieron daño alguno: “Viasat está trabajando activamente con los distribuidores para restaurar el servicio para aquellos usuarios de banda ancha fija en Europa afectados por este evento”. La compañía tampoco atribuyó el incidente a la actividad de un actor de amenazas en específico.

Incluso antes de que iniciara la invasión rusa en Ucrania, muchos especialistas anticipaban que la batalla también se libraría en otros campos, incluyendo la economía, medios de comunicación y la seguridad cibernética. Basta con recordar que hace un par de años, un grupo de hacking auspiciado por el Kremlin logró una interrupción eléctrica masiva que afectó a cientos de miles de ucranianos; no obstante, hasta el momento no se han detectado incidentes de una escala similar derivados de un ciberataque.

Como se menciona anteriormente, las agencias de defensa ucranianas han sabido contener estos ataques, probablemente gracias a la experiencia obtenida en situaciones similares ocurridas antes del estallido del conflicto.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Gobierno de Rusia detrás del hackeo contra las comunicaciones satelitales de Ucrania apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

3 vulnerabilidades críticas en Sophos Firewall y otros productos de la compañía

Los equipos de seguridad de Sophos anunciaron la corrección de una vulnerabilidad de ejecución remota de código (RCE) en la familia de productos Sophos Firewall para entornos domésticos y empresariales. Sophos Firewall incluye TLS e inspección de tráfico de red cifrada, sandboxing, análisis de paquetes y sistemas de prevención de intrusiones.

Identificada como CVE-2022-1040, la vulnerabilidad recibió una puntuación de 9.8/10 según el Common Vulnerability Scoring System (CVSS) y reside en Sophos Firewall v18.5 MR3 y anteriores.

Este error fue descrito como un problema de evasión de autenticación que se encuentra en el portal de usuario y en los puntos de acceso de Webadmin Sophos Firewall. La falla ya ha sido abordada, aunque no se han compartido detalles técnicos adicionales debido a que el riesgo de explotación sigue activo.

Los usuarios de Sophos Firewall con instalación automática de actualizaciones ya deben haber recibido el parche, aunque la compañía invita a los usuarios que no reciben actualizaciones automáticas a verificar que sus sistemas ejecuten las más recientes versiones de software disponibles.

Una solución alternativa se basa en la desactivación completa del acceso WAN al portal de usuario, además de usar una solución de red privada virtual (VPN) para mitigar el riesgo de ataque.

Además de corregir esta vulnerabilidad crítica, Sophos anunció el lanzamiento de dos actualizaciones para abordar fallas en su solución Unified Threat Management (UTM). Identificada como CVE-2022-0652, la primera de estas fallas existe debido a que UTM almacena hashes de contraseña SHA512crypt en los archivos de registro, lo que permitiría a los usuarios locales leer los archivos de registro y obtener acceso a datos confidenciales; esta falla recibió un puntaje CVSS de 2.9/10.

Por otra parte, CVE-2022-0386  existe debido a la insuficiente sanitización de los datos proporcionados por el usuario en Mail Manager, lo que permitiría a los actores de amenazas remotos enviar solicitudes especialmente diseñadas a UTM para ejecutar comandos SQL arbitrarios en la base de datos de la aplicación, poniendo en riesgo los datos almacenados. La falla recibió una puntuación CVSS de 7.7/10.

Ambas fallas residen en todas las versiones de Sophos UTM anteriores a v9.710 MR10. Los parches para abordar estas vulnerabilidades ya están disponibles.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo 3 vulnerabilidades críticas en Sophos Firewall y otros productos de la compañía apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Datos personales de estudiantes antiguos y actuales en escuelas públicas de Nueva York se filtran después del hackeo de un sistema de calificación y asistencia en línea ampliamente utilizado

El Departamento de Educación de Nueva York ha confirmado que la información personal de hasta 820,000 estudiantes antiguos y actuales en las escuelas públicas de la ciudad fue expuesta debido al ciberataque contra una firma de asistencia académica contratada por algunos gobiernos locales en E.U. Según las autoridades, Illuminate Education, la firma afectada, trabaja de forma engañosa al asegurar que toda la información entregada por sus clientes es cifrada cuando algunos de estos registros son almacenados sin cifrado alguno.

El incidente, detectado en enero, también derivó en una interrupción de los sistemas de calificaciones y asistencia académica, y resultó en la exposición de información confidencial de los estudiantes como:

  • Nombres completos
  • Fechas de nacimiento
  • Etnia e idiomas nativos
  • Números de identificación

Por el momento se desconoce si cada registro expuesto incluye todos los detalles mencionados. Poco después se confirmó que los actores de amenazas también lograron extraer una base de datos que incluye información de estudiantes que reciben educación especial, apoyo para almuerzo en la escuela y otros detalles.

Especialistas en ciberseguridad consideran que esta podría ser la mayor brecha de datos personales de estudiantes jamás detectada, lo que hace necesario que los operadores de estos datos reconsideren sus medidas de seguridad, almacenamiento y acceso a la información personal de los usuarios. Hay aproximadamente 930,000 estudiantes en el sistema de escuelas públicas de Nueva York.

Al respecto, la compañía solo confirmó que los hackers accedieron a los datos de 15,000 estudiantes, aunque mencionan que la investigación sigue en curso. Nathaniel Styer, portavoz del Departamento de Educación de Nueva York, criticó la postura de Illuminate y acusó a la empresa de manipular sus protocolos de ciberseguridad: “Estamos indignados de que Illuminate haya representado a las escuelas que, de forma legítima, exigen salvaguardas críticas en la industria”.

El portavoz agregó que el Departamento de Educación le pidió a la policía de Nueva York y al Buró Federal de Investigaciones (FBI) iniciar una investigación sobre el incidente y las prácticas de la compañía, pues esto podría representar una violación a las leyes de privacidad y protección de datos vigentes en el territorio neoyorquino.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Datos personales de estudiantes antiguos y actuales en escuelas públicas de Nueva York se filtran después del hackeo de un sistema de calificación y asistencia en línea ampliamente utilizado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 25 de marzo de 2022

Nueva técnica de ataques de phishing para WhatsApp sólo con una línea de código

Una nueva técnica permitiría a los actores de amenazas hackear a usuarios de las principales plataformas de correo electrónico y mensajería instantánea, incluyendo Instagram, iMessage, WhatsApp, Signal y Facebook Messenger, usando mensajes de phishing de apariencia legítima.

Este ataque se basa en la explotación de errores de rendering que dan como resultado que la interfaz de las aplicaciones muestre incorrectamente las URL con caracteres de control Unicode RTLO inyectados, lo que hace que el usuario sea vulnerable a los ataques de suplantación de URI.

Al inyectar un carácter RTLO en una cadena, hace que los navegadores o apps de mensajería muestren la cadena de derecha a izquierda en lugar de su orientación normal de izquierda a derecha; este carácter se usa para mostrar mensajes en árabe o hebreo. Esto permite que los ataques de phishing falsifiquen dominios confiables en los mensajes enviados a los usuarios en WhatsApp, iMessage, Instagram, Facebook Messenger y Signal, haciéndolos aparecer como subdominios legítimos y confiables de apple.com o google.com.

Este error fue detectado por primera vez en agosto de 2019 por un investigador llamado ‘zadewg’, aunque la investigación fue retomada recientemente por un experto conocido como Sick.Codes. Ambos expertos acordaron el lanzamiento inmediato de la prueba de concepto (PoC) en GitHub, ya que las vulnerabilidades podrían haber estado bajo explotación activa durante años. 

El exploit es una frase ingeniosa que abusa de la confianza de iOS y Android en los gTLD y el soporte para mostrar texto bidireccional y es tan simple como agregar un solo carácter de control ‘\u202E’ entre dos URL válidas. Por ejemplo, la PoC publicada abusa de google.com para la URL enmascarada y en la que se puede hacer clic y establece bit.ly/3ixIRwm como destino.

Después del carácter de control RTLO inyectado, la URL se invierte debido a que se trata como un idioma escrito de derecha a izquierda (árabe, hebreo, etc.), por lo que el atacante debe tenerlo en cuenta al registrar el dominio objetivo.

Por ejemplo, el uso de una URL ‘gepj.xyz’ creada aparecería como el archivo de imagen JPEG inocuo ‘zyx.jpeg’, mientras que la creación de “kpa.li” aparecería como un archivo APK ‘li.apk’. En realidad, estos destinos pueden albergar cualquier cosa, por lo que el ataque es difícil de detectar.

Es probable que el mismo ataque funcione en muchas más aplicaciones de mensajería y correo electrónico, pero solo las mencionadas anteriormente han sido confirmadas como vulnerables. Telegram también se veía afectada por esta falla, aunque sus equipos de seguridad ya han corregido el error.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Nueva técnica de ataques de phishing para WhatsApp sólo con una línea de código apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Cualquiera podría robar un auto Honda fácilmente. PoC publicada

Especialistas en ciberseguridad han encontrado una variante de “ataque de repetición” que permitiría a los actores de amenazas desbloquear e incluso echar a andar algunos modelos de autos sin llave fabricados por Honda y Acura desde una ubicación cercana. Según el reporte, el ataque consiste en que los hackers capturen las señales de radiofrecuencia enviadas desde un llavero electrónico al automóvil, lo que permitiría tomar control del sistema objetivo sin usar la llave auténtica.

El reporte indica que la vulnerabilidad afecta especialmente a los modelos de auto sin llave más antiguos, aunque por fortuna existen métodos para protegerse contra esta variante de hacking.

Identificada como CVE-2022-27254, esta falla fue descrita como una variante de ataque Man-in-the-Middle (MitM), o ataque de repetición, en el que los cibercriminales interceptan las señales de radiofrecuencia que normalmente se envían desde un llavero remoto al automóvil, manipulando estas señales y enviándolas de nuevo en un momento posterior para poder desbloquear las puertas del auto.

Este informe fue presentado por los investigadores Blake Berry, Hong Liu, Ruolin Zhou y Sam Curry, que incluso publicaron un video demostrando el despliegue del ataque. Los investigadores mencionan que el ataque es funcional principalmente en modelos Honda Civic (LX, EX, EX-L, Touring, Si, Type R) lanzados entre 2016 y 2020.

Esta clase de errores son más frecuentes de lo que podría pensarse. En 2020, Berry reportó una falla similar en otros modelos de Honda, asegurando que la compañía automotriz simplemente ignoró su informe, exponiendo a millones de conductores de modelos como.

  • Honda Accord V6 Touring Sedán 2016
  • Honda HR-V 2017
  • Honda Civic Hatchback 2018
  • Honda Civic LX 2020

Al parecer este será el caso de esta nueva vulnerabilidad, ya que Honda no ha demostrado tener planes para los autos con tecnología heredada: “Parece que estos ataques solo funcionan desde una ubicación muy cercana al auto objetivo, lo que requiere la recepción local de señales de radio del llavero del propietario del vehículo cuando el vehículo se abre y se enciende cerca”, mencionó un portavoz de la compañía.

Honda no confirma ni niega que algunos de sus modelos puedan ser afectados por esta vulnerabilidad en específico, aunque reconoce que, en caso de que así sea, no hay planes de actualizar los vehículos más antiguos, al menos por el momento: “Es importante recordar que, si bien trabajamos para implementar características de seguridad más avanzadas en los nuevos modelos, los actores de amenazas también trabajan para mejorar sus formas de ataque”, agrega el portavoz.

Ante este panorama, los investigadores recomiendan a los propietarios de estos vehículos guardar las llaves en algún contenedor capaz de inhibir las señales de radiofrecuencia emitidas por estos dispositivos, en el efecto conocido como jaula de Faraday. Estos ataques dependen completamente de interceptar la señal, por lo que un inhibidor mitigará casi por completo el riesgo de robo.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Cualquiera podría robar un auto Honda fácilmente. PoC publicada apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Dos vulnerabilidades en Epic Games Launcher permiten ataques DoS

Se ha confirmado la detección de dos vulnerabilidades en Epic Games Launcher, la herramienta de gestión de biblioteca y cuentas en línea para el PC gaming. Según el reporte, la explotación exitosa de estas fallas permitiría el despliegue de múltiples tácticas de hacking.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus puntuaciones asignadas según el Common Vulnerability Scoring System (CVSS). Estas fallas aún no reciben una clave de identificación CVE.

Sin clave CVE: Un error en el seguimiento de enlaces dentro del instalador de Epic Games permitiría a un usuario local crear un enlace simbólico para abusar del instalador, sobrescribir un archivo y realizar un ataque de denegación de servicio (DoS) en el sistema afectado.

La vulnerabilidad recibió un puntaje CVSS de 5.1/10 y se le considera un error de baja severidad.

Sin clave CVE: Un problema de seguimiento de enlaces dentro del instalador de Epic Games permitiría a los usuarios locales crear un enlace simbólico para abusar del instalador, eliminar un archivo y desplegar ataques DoS.

La falla recibió un puntaje CVSS de 5.1/10.

Según el reporte, las vulnerabilidades residen en todas las versiones de Epic Games Launcher para sistemas Windows y macOS.

Estos problemas solo pueden ser explotados de forma local, lo que reduce considerablemente el riesgo de explotación. Hasta el momento no se han detectado intentos de explotación activa, aunque los especialistas en ciberseguridad recomiendan desactivar Epic Games Launcher ya que no hay parches disponibles para corregir estas fallas.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Dos vulnerabilidades en Epic Games Launcher permiten ataques DoS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

jueves, 24 de marzo de 2022

Vulnerabilidades de escalada de privilegios y path traversal afectan a Argo CD, la herramienta de entrega continua de GitOps para Kubernetes

Especialistas en ciberseguridad reportan la detección de algunas vulnerabilidades en Argo CD, una herramienta declarativa de entrega continua para Kubernetes siguiendo el patrón GitOps de utilizar repositorios Git como fuente de origen para definir el estado deseado de la aplicación. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar múltiples tareas de hacking.

A continuación se presentan breves reportes de las fallas detectadas, además de sus respectivas claves de identificación y puntuaciones asignadas según el Common Vulnerability Scoring System (CVSS).

CVE-2022-24768/CVE-2022-1025: Las inadecuadas restricciones de acceso permitirían a los usuarios autenticados remotos con acceso al repositorio Helm o git de origen de una aplicación o acceso sync</code> y <code>override obtener privilegios administrativos.

Esta vulnerabilidad recibió un puntaje CVSS de 8.6/10 y reside en las siguientes versiones de Argo CD: 2.1.0 – 2.1.13, 2.3.0 – 2.3.1, 2.2.0 – 2.2.7, 2.0.0 – 2.0.5, 1.7.0 – 1.7.14, 1.8.0 – 1.8.7, 1.6.0 – 1.6.2, 1.5.0 – 1.5.8, 1.4.0 – 1.4.3, 1.3.0 – 1.3.6, 1.2.0 – 1.2.5, 1.1.0 – 1.1.2, 1.0.0 – 1.0.2, 0.7.0 – 0.7.2, 0.6.0 – 0.6.2, 0.5.0 – 0.5.4.

CVE-2022-24730: Un error de validación de entrada al procesar secuencias directory traversal en el endpoint /api/v1/repositories/{repo_url}/appdetails permitiría a los usuarios remotos enviar solicitudes HTTP especialmente diseñadas y leer archivos arbitrarios en el sistema.

La vulnerabilidad recibió una puntuación CVSS de 5.7/10 y reside en las siguientes versiones de Argo CD: 1.5.0 – 1.5.8, 1.6.0 – 1.6.2, 1.7.0 – 1.7.14, 1.8.0 – 1.8.7, 2.2.0 – 2.2.5, 2.1.0 – 2.1.10 y 2.0.0 – 2.0.5.

CVE-2022-24731: Por otra parte, un error de validación de entrada al procesar secuencias path traversal en el gráfico de Helm permitiría a los administradores remotos enviar solicitudes HTTP especialmente diseñadas para leer archivos arbitrarios en el sistema.

La falla recibió un puntaje CVSS de 4.6/10 y reside en las siguientes versiones de Argo CD: 1.5.0 – 1.5.8, 1.6.0 – 1.6.2, 1.7.0 – 1.7.14, 1.8.0 – 1.8.7, 2.2.0 – 2.2.5, 2.1.0 – 2.1.10 y 2.0.0 – 2.0.5.

Si bien estas fallas pueden ser explotadas de forma remota por actores de amenazas autenticados, hasta el momento no se han detectado intentos de explotación activa relacionados con estas fallas. Aún así, se recomienda a los usuarios de implementaciones afectadas aplicar los parches disponibles a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades de escalada de privilegios y path traversal afectan a Argo CD, la herramienta de entrega continua de GitOps para Kubernetes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 23 de marzo de 2022

Influencers podrían enfrentar hasta cinco años de cárcel si dan consejos financieros falsos o engañosos sobre criptomonedas o inversión

En una decisión sin precedentes, la Comisión Australiana de Valores e Inversiones (ASIC) determinó que cualquier persona que brinde consejos de inversión a través de redes sociales deberá contar con una licencia, por lo que los influencers australianos que incumplan con esta nueva norma podrían enfrentar penas de hasta 5 años de prisión.

La ASIC llegó a esta determinación luego de una exhaustiva investigación, en la que se descubrió que hasta 33% de los australianos entre los 18 y 21 años siguen cuentas en redes sociales dedicadas a brindar consejos financieros, como inversión en acciones y compra de criptomoneda. Además, se ha reportado que el 64% de la población australiana por debajo de los 30 años modificó una conducta financiera después de recibir consejos o asesoramiento de uno de estos influencers.

Cathie Armour, comisionada de la ASIC, considera fundamental que estas cuentas en línea, que se han constituido en una red de servicios financieros, también se ajusten a las reglas vigentes como cualquier empresa, ya que una mala asesoría podría poner en riesgo el capital de millones de personas.

Aleks Nikolic, una reconocida usuaria en Instagram, TikTok y Twitter que comparte consejos sobre inversiones en sus plataformas, cree que esta reglamentación resultará útil: “Esta es una determinación muy clara… ahora todos se las tendrán que arreglar para cumplir con la ley, pero ese es justamente el punto”, considera la influencer.

¿Qué se considera un consejo o asesoría de inversión?

El comunicado publicado por ASIC también contiene ejemplos de lo que puede ser considerado como asesoramiento financiero. Por ejemplo, si un influencer ofrece consejos sobre acciones a largo plazo para comprar o activos digitales en los que invertir, esto se considera un consejo sobre productos financieros.

Por otra parte, consejos para gastar menos dinero en el supermercado, ahorro de efectivo en casa o pagos de servicios en línea se consideran solo consejos de presupuesto personal, por lo que no se requiere licencia de ASIC para publicar esta clase de contenido en redes sociales. La autoridad financiera también ahondará en el contenido financiero potencialmente engañoso en un documento más detallado.  

El único antecedente de una reglamentación similar viene de Reino Unido, donde la Autoridad de Conducta Financiera (FCA) ha lanzado frecuentes campañas de prevención sobre el uso de redes sociales para la comercialización de productos financieros: “Las empresas que venden estos paquetes de inversión deben asegurarse de haber recibido el asesoramiento legal adecuado para comprender sus responsabilidades antes de utilizar influencers y redes sociales”, determinó la Autoridad recientemente.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Influencers podrían enfrentar hasta cinco años de cárcel si dan consejos financieros falsos o engañosos sobre criptomonedas o inversión apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Vulnerabilidades críticas de filtración de memoria crítica y errores de autorización en Bareos, una solución de copia de seguridad y archivo

Especialistas en seguridad informática reportan la detección de dos vulnerabilidades en el software de código abierto Bareos para realizar copias de seguridad, archivar y restaurar archivos en los principales sistemas operativos. Según el informe, la explotación exitosa de estas fallas permitiría el despliegue de peligrosas tareas de hacking.

A continuación se presentan breves descripciones de las fallas reportadas, así como sus respectivas claves de seguimiento y puntajes según el Common Vulnerability Scoring System (CVSS).

CVE-2022-24756: Una filtración de la memoria durante la autenticación PAM en el componente Bareos Director permitiría a los actores de amenazas remotos forzar un ataque de denegación de servicio (DoS) en el sistema afectado.

La vulnerabilidad recibió una puntuación CVSS de 6.5/10 y se considera una falla de gravedad media, mencionan los especialistas en seguridad informática.

CVE-2022-24755: Por otro lado, esta falla existe debido a una autorización incorrecta durante la autenticación PAM en el componente Bareos Director, lo que permitiría a los hackers maliciosos remotos evadir la autenticación y obtener acceso administrativo al sistema afectado.

Debido a que esta falla permitiría realizar ataques de escalada de privilegios, se considera un error grave y se le asignó una puntuación CVSS de 7.1/10.

Según el informe, las vulnerabilidades residen en todas las versiones de Bareos entre v19.2.4 y v21.0.1.

Si bien estas vulnerabilidades pueden ser explotadas por actores de amenazas remotos no autenticados a través de Internet, hasta el momento no se han detectado intentos de explotación maliciosos asociados con estos informes. Aún así, los desarrolladores de Bareos recomiendan a los usuarios de las implementaciones afectadas que apliquen los parches disponibles lo antes posible.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidades críticas de filtración de memoria crítica y errores de autorización en Bareos, una solución de copia de seguridad y archivo apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 22 de marzo de 2022

Vulnerabilidad crítica en la aplicación de Western Digital para Windows y macOS permite a los hackers eliminar copias de seguridad y tomar control de las redes afectadas

EdgeRover, la aplicación de administración de soluciones Western Digital para sistemas Windows y macOS, se ve afectada por una vulnerabilidad de escalada de privilegios locales y a errores de evasión de sandbox que permitirían la divulgación de información confidencial o el despliegue de ataques de denegación de servicio (DoS).

Esta aplicación permite administrar el contenido para productos Western Digital y SanDisk de forma centralizada, unificando múltiples dispositivos de almacenamiento digital bajo una sola interfaz de administración. Dado que Western Digital es uno de los fabricantes de soluciones para el almacenamiento digital más grandes del mundo, es probable que haya un número considerablemente alto de usuarios de EdgeRover.

Identificada como CVE-2022-22998, la vulnerabilidad fue descrita como un error directory traversal que permitiría el acceso no autorizado a directorios y archivos que de otro modo estarían restringidos. La falla es considerada crítica y recibió un puntaje de 9.1/10 según el Common Vulnerability Scoring System (CVSS).

En su alerta, la compañía no compartió más detalles técnicos sobre la vulnerabilidad, por lo que no está claro si se trata de un error de secuestro de DLL que permite la escalada de privilegios locales o una falla de acceso a ubicaciones de datos sin privilegios. Aún así, Western Digital recomienda a sus clientes que actualicen sus aplicaciones de escritorio EdgeRover a las versiones 1.5.1-594 o posteriores para mitigar el riesgo de explotación.

Western Digital concluye su reporte mencionando que la falla fue abordada al corregir los permisos de archivos y directorios para evitar el acceso y modificación no autorizados. No está claro si la vulnerabilidad se ha explotado activamente, aunque hasta el momento no se han confirmado reportes relacionados con algún intento de ataque.

Las aplicaciones de administración de medios pueden parecer atractivas, especialmente para los usuarios que necesitan organizar varios terabytes de datos de varias fuentes. Aún así, los administradores deben recordar que cada aplicación viene con su propio conjunto de riesgos de seguridad y privacidad. Queda a consideración de cada administrador u organización la implementación de esta clase de soluciones, siendo conscientes del riesgo inherente a su uso.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad crítica en la aplicación de Western Digital para Windows y macOS permite a los hackers eliminar copias de seguridad y tomar control de las redes afectadas apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No use Google Dialer y Messages; estas apps envían sus registros de llamadas, contactos y duración de llamadas a Google

Un reciente reporte señala que las aplicaciones de Google Messages y Google Dialer para dispositivos Android  han estado recopilando información sin consentimiento de los usuarios para enviarla a los servidores de Google, en lo que representa un incumplimiento de las leyes de protección de datos en Europa.

El investigador del Trinity College Dublin, Douglas Leith, publicó un documento titulado “¿Qué datos envían a Google las aplicaciones Dialer y Messages?”, en la que analiza la forma en que estas aplicaciones de llamada telefónica y mensajería se comunican con Google Play Services y con el servicio Google Firebase Analytics.

Acorde a Leith, los datos enviados por Google Messages incluyen un hash del texto en el mensaje, lo que permite vincular al remitente y al receptor en un intercambio de mensajes. Además, los datos enviados por Google Dialer incluyen la hora y la duración de las llamadas de los usuarios, datos que también permiten vincular los dos números involucrados en una llamada.

“Google recolecta otros registros como el momento y la duración de las interacciones entre sus usuarios sin ofrecer una forma para decidir que su información no sea enviada a los servidores de la compañía”, agrega el investigador.

Google Messages (com.google.android.apps.messaging) está instalada en más de mil millones de teléfonos Android y se incluye con los dispositivos de operadores telefónicos como AT&T y T-Mobile, además de estar preinstalada en equipos Huawei, Samsung y Xiaomi. Google Dialer o Phone by Google, (com.google.android.dialer), tiene un alcance similar.

Las versiones preinstaladas de estas aplicaciones no cuentan con una sección de políticas de privacidad para especificar qué información del usuario será recopilada, una medida que Google exige cumplir a todos los desarrolladores externos. Además, al solicitar información sobre los datos recopilados, Google no confirmó que se están recopilando las métricas identificadas por el investigador.

Si bien Google Play Services explica que estas aplicaciones recopilan datos de los usuarios, simplemente señala que se realiza con razones de seguridad y para la mejora de algunos servicios de Google. Estos argumentos no explican la recopilación de metadatos de mensajes y llamadas telefónicas.

El investigador concluyó su reporte enlistando algunas de las medidas que Google se ha comprometido a implementar para cambiar esta situación, incluyendo:

  • Revisar el flujo de incorporación de la aplicación para que se notifique a los usuarios que están usando una aplicación de Google
  • Detener la recopilación del número de teléfono del remitente por parte de la fuente de registro CARRIER_SERVICES, del 5 SIM ICCID y de un hash de texto de mensaje enviado/recibido por Google Messages
  • Detener el registro de eventos relacionados con llamadas en Firebase Analytics desde Google Dialer y Messages

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo No use Google Dialer y Messages; estas apps envían sus registros de llamadas, contactos y duración de llamadas a Google apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente