martes, 28 de febrero de 2023

El nuevo hackeo de LastPass muestra por qué la seguridad de DevOps es tan importante

Los piratas informáticos obtuvieron acceso a bases de datos e información corporativa altamente restringida después de robar una contraseña maestra de la computadora privada de un ingeniero superior, según una revelación hecha por LastPass. Estos piratas informáticos explotaron la contraseña para acceder a bases de datos corporativas altamente restringidas. El proveedor de administración de contraseñas reveló por primera vez que había sido hackeado en agosto del año anterior, cuando informó que los piratas informáticos habían obtenido acceso al entorno de desarrollo y habían robado partes del código fuente de LastPass junto con información técnica confidencial. LastPass había dicho en ese momento que no había evidencia que sugiriera que los atacantes habían obtenido acceso a bóvedas encriptadas confidenciales o datos de usuarios. Pero todo esto cambió en diciembre del año pasado, cuando LastPass dijo que los piratas informáticos habían obtenido datos de la bóveda que incluían datos cifrados y no cifrados, incluida información sobre los clientes.

La corporación ahora ha revelado que el segundo ataque fue impulsado por información que se adquirió durante el primer ataque, así como información obtenida en infracciones anteriores y la explotación de una debilidad de seguridad cibernética.


Este ataque se dirigió a uno de los cuatro ingenieros senior de DevOps que tenían la autenticación de seguridad de alto nivel necesaria para usar las claves de descifrado necesarias para acceder al servicio de almacenamiento en la nube. Los perpetradores de este ataque apuntaron a la computadora de la casa del individuo al que apuntaban.

LastPass declaró que la computadora doméstica del ingeniero DevOps fue atacada por atacantes que explotaron lo que se describe como “un paquete de software de medios de terceros vulnerable”. Esto permitió a los atacantes obtener los privilegios necesarios para la ejecución remota de código. Los detalles exactos de cómo ocurrió el ataque no han sido revelados. Esta estrategia brindó a los atacantes la posibilidad de instalar malware registrador de teclas en la computadora de la casa del empleado, lo que les permitió ver lo que la persona escribió en su propio dispositivo. Hicieron uso de este conocimiento a su favor al robar la contraseña maestra para ingresar a la bóveda de la empresa.

LastPass afirma que este acceso dio a los atacantes acceso a muchas instancias compartidas, “que incluían notas seguras cifradas con acceso y claves de descifrado necesarias para acceder a las copias de seguridad de producción de Amazon S3 LastPass, otros recursos de almacenamiento basados ​​en la nube y ciertas copias de seguridad de bases de datos esenciales asociadas”. según la empresa.

LastPass ha dicho que después del evento, “apoyó al ingeniero DevOps para reforzar la seguridad de su red doméstica y recursos personales”.

LastPass ha reforzado su autenticación multifactor (MFA) al implementar la MFA de coincidencia de PIN de acceso condicional de Microsoft, y la empresa actualmente está rotando contraseñas críticas y de alto privilegio que los atacantes conocían. Esto se está haciendo para reducir la probabilidad de una violación de seguridad adicional.

Además, la corporación está investigando los posibles efectos que el compromiso pudo haber tenido en los consumidores. Según una declaración hecha por Lastpass, “hay muchos otros flujos de trabajo para proteger mejor a nuestros clientes” y “puede necesitarlos para ejecutar ciertas actividades”. 

Se recomienda enfáticamente que todos los clientes de LastPass, incluidos aquellos que utilizan las funciones de administración de la empresa, actualicen su contraseña maestra. Se recomienda encarecidamente que no utilice esta contraseña para proteger ninguna otra cuenta en línea. También se recomienda habilitar la autenticación multifactor (MFA) en la cuenta para limitar la probabilidad de que se acceda a ella.

El cargo El nuevo hackeo de LastPass muestra por qué la seguridad de DevOps es tan importante apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 27 de febrero de 2023

Los hackers tenían el control de las redes de las empresas Dow Jones, Fox News, The Sun y Marketwatch durante 2 años

La empresa editorial y de medios masivos News Corp informó sobre una violación de datos en febrero de 2022 y reveló que sus periodistas habían sido el foco de un ataque a una cadena de suministro de software. La brecha reveló que los periodistas habían sido hackeados. Los activos propiedad de News Corp. incluyen una variedad de fuentes de noticias destacadas, como Dow Jones, FOX News, The Sun y MarketWatch, entre otras. Es importante tener en cuenta que en marzo de 2019, el Dow Jones fue noticia por revelar una “lista de selección” que incluía información crítica sobre terroristas, delincuentes y empresas sospechosas. Esta información incluía nombres, direcciones y números de teléfono. 

La fuga de trece millones de datos tuvo lugar en el sitio web de FOX News en abril de 2022. Los cincuenta y ocho terabytes de información consistían en una variedad de cosas diferentes, incluidos los documentos internos de la empresa, la información de identificación personal (PII) de su trabajadores, y muchas otras cosas. Antes del momento en que la empresa se enteró de la ocurrencia, estos documentos continuaron siendo accesibles al público en general.

Hoy , la empresa ha revelado nueva información que dice que la brecha de seguridad realmente tuvo lugar en febrero de 2020. Esto indica que los piratas informáticos estuvieron presentes en la red durante un período de dos años antes de ser descubiertos. Mandiant, que ahora es propiedad de Google, fue la empresa de ciberseguridad que ayudó a News Corp. en ese entonces. Debido a que los perpetradores tuvieron acceso al sistema durante dos años antes de que fueran descubiertos, es muy probable que pudieran robar más información de la que se pensaba inicialmente. Dado que nadie sabía que había sido robado, no habrían estado en alerta máxima por posibles ataques durante ese tiempo.

La firma reveló en un aviso de incumplimiento que los actores de amenazas responsables del incidente obtuvieron acceso a su sistema de almacenamiento de correo electrónico y documentos. Este sistema es utilizado por una variedad de empresas de News Corp. Se obtuvo información personal y de salud de los trabajadores afectados; sin embargo, la corporación ha dicho que no parece que la actividad se haya centrado en explotar información personal de ninguna manera.


El Wall Street Journal, el New York Post y sus operaciones de noticias en el Reino Unido se encontraban entre las publicaciones de News Corp que se vieron comprometidas como resultado del ataque de seguridad. Nombres, fechas de nacimiento, números de seguro social, números de licencia de conducir, números de pasaporte, información sobre cuentas bancarias, así como información sobre seguros médicos y de salud, fueron algunos de los datos de identificación personal a los que se accedió.

News Corporation ha indicado en el pasado que los atacantes tenían vínculos con China y probablemente estaban involucrados en operaciones de espionaje para recopilar información en beneficio de los objetivos de China.

The New York Post admitió que había sido hackeado en octubre de 2022, luego de descubrir que su sitio web y su cuenta de Twitter habían sido explotados para distribuir información inapropiada dirigida a varios políticos diferentes en los Estados Unidos. El periódico finalmente reveló que uno de sus propios trabajadores era responsable del incidente, y esa persona fue despedida una vez que se descubrió su papel en el escándalo.

El cargo Los hackers tenían el control de las redes de las empresas Dow Jones, Fox News, The Sun y Marketwatch durante 2 años apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Hacker publica datos confidenciales de la empresa matriz de “Call of duty” Activision Blizzard

Los hackers recientemente obtuvieron acceso a las redes internas de Activision Blizzard mediante un ataque de phishing. Una vez dentro, revelaron cierta información personal confidencial, así como datos de juegos pertenecientes a los trabajadores de la empresa. Una captura de pantalla que se compartió en Twitter revela que el 4 de diciembre del año pasado, los hackers utilizaron un ataque de phishing para obtener un código de verificación de un empleado de Activision. Con este código, los hackers recientemente obtuvieron acceso a las redes internas de Activision Blizzard mediante un ataque de phishing. Una vez dentro, revelaron cierta información personal confidencial, así como datos de juegos pertenecientes a los trabajadores de la empresa. Una captura de pantalla que se compartió en Twitter revela que el 4 de diciembre del año pasado, los hackers utilizaron un ataque de phishing para obtener un código de verificación de un empleado de Activision. Con este código, los hackers pudieron acceder a la cuenta de Slack del empleado y robar algunos archivos internos pertenecientes a la empresa. Como la persona en cuestión trabajaba en recursos humanos, se deduce que los hackers pudieron acceder a una cantidad significativa de información confidencial relacionada con otros trabajadores de la empresa. Los hackers continuaron con sus intentos de engañar a otros trabajadores para que hicieran clic en enlaces peligrosos, pero afortunadamente, ninguno de los otros empleados cayó en sus trucos.

Según la información que se filtró, los archivos confidenciales contienen información personal confidencial de los empleados, como nombres, direcciones de correo electrónico, números de teléfono, salarios y lugares de trabajo, además del plan de actualización de temporada para los próximos DLC de Modern Warfare 2, que incluye información como como tiempos de actualización y contenidos. La información fue filtrada por un ex empleado. Además, se proporcionó información sobre el contenido descargable planificado para “Modern Warfare 2”, “Call of Duty 2023” (cuyo nombre en código es Júpiter) y “Call of Duty 2024” (cuyo nombre en código es Cerberus). descubierto que ha sido comprometido.

Activision es la empresa que creó y publicó la primera versión de la serie de videojuegos de disparos en primera persona “Call of Duty” en 2003. Hasta el momento, se han distribuido 19 títulos oficiales como parte de esta serie.

El entorno de desarrollo principal no se ha visto comprometido, en la medida en que se puede determinar a partir de la información disponible actualmente, y la información que se publicó sobre el juego parece consistir principalmente en material de marketing que no es muy relevante.

Activision ha hecho el siguiente comentario con respecto a este incidente:

La protección de nuestros datos es de suma importancia, y para ello hemos implementado estrictos procesos de seguridad de la información para garantizar su privacidad”. El 4 de diciembre de 2022, un miembro de nuestro equipo de seguridad de la información respondió rápidamente a un intento de phishing realizado por SMS y solucionó el problema rápidamente. Después de realizar una investigación exhaustiva, llegamos a la conclusión de que no se habían obtenido datos críticos de los empleados, el código del juego ni los datos de los jugadores.

El cargo Hacker publica datos confidenciales de la empresa matriz de “Call of duty” Activision Blizzard apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 20 de febrero de 2023

¿Por qué hack de GoDaddy lo convierte en una emoresa de alojamiento más inseguro?

GoDaddy, una empresa que brinda servicios de alojamiento web, ahora ha anunciado una brecha de seguridad en la que se violaron las computadoras de la empresa y se tomó el código fuente. A lo largo de este ataque de varios años, los perpetradores lograron obtener acceso ilegal al entorno de alojamiento compartido de cPanel de la víctima, lo que condujo al problema en cuestión. A principios del mes de diciembre de 2022, GoDaddy descubrió una vulnerabilidad de seguridad después de recibir muchas quejas de los consumidores que afirmaban que los sitios web que poseían estaban siendo redirigidos a dominios que no conocían. Después de realizar una investigación, la empresa descubrió que los redireccionamientos esporádicos ocurrían en lo que parecían ser sitios web aleatorios alojados en sus servidores de alojamiento compartido de cPanel. Además, la empresa descubrió que no podía reproducir fácilmente el problema, ni siquiera en el mismo sitio web.

Godaddy descubrió, después de investigar más sobre el asunto, que un tercero no autorizado había colocado malware en los servidores que forman parte de nuestro entorno de alojamiento compartido de cPanel. Este malware fue la causa de la redirección esporádica de los sitios web de los clientes.

La Compañía cree que la brecha de seguridad fue parte de un esfuerzo de varios años llevado a cabo por una organización sofisticada de actores de amenazas. La campaña fue realizada por una entidad desconocida. La pandilla se infiltró en las redes de la empresa utilizando software malicioso y robó partes del código que estaban conectadas a algunos de los servicios de la empresa.

La empresa de alojamiento cree que las infracciones anteriores que se descubrieron en marzo de 2020 y noviembre de 2021 también están relacionadas con este esfuerzo de varios años, como se indica en una declaración que se incluyó en un archivo de la SEC que presentó la empresa.

Godaddy anunció en marzo de 2020 que un actor de amenazas había comprometido las credenciales de inicio de sesión de alojamiento de aproximadamente 28,000 clientes de alojamiento en sus cuentas de alojamiento, además de las credenciales de inicio de sesión de alojamiento de un número limitado de trabajadores de Godaddy. Por otro lado, estas credenciales de inicio de sesión de hospedaje no brindaban acceso a la cuenta principal de GoDaddy asociada con los clientes de hospedaje.

Un tercero no autorizado obtuvo acceso al sistema de aprovisionamiento en la base de código heredada de la empresa para Managed WordPress (MWP) en noviembre de 2021 al utilizar una contraseña que se había visto comprometida. Esta brecha tenía el potencial de afectar hasta 1,2 millones de clientes de MWP activos e inactivos en varias marcas de GoDaddy.

En su comunicado, Godaddy dijo que, además de los profesionales forenses, están colaborando con diferentes autoridades policiales ubicadas en todo el mundo para examinar más a fondo el asunto.

Además, GoDaddy afirma que ha encontrado más evidencia que vincula a los actores de amenazas con una operación más grande que ha estado atacando a otros proveedores de alojamiento en todo el mundo durante muchos años. Esto sugiere que los atacantes son parte de una organización más sofisticada y coordinada que ha estado apuntando sus ataques a los proveedores de alojamiento.

Según un comunicado emitido por la empresa de alojamiento, el objetivo aparente de los atacantes es infectar sitios web y servidores con malware para que puedan participar en operaciones de phishing, distribuir malware y participar en otras acciones delictivas. Esto no solo pone en peligro a GoDaddy, sino también a sus clientes y los sitios web que alojan con GoDaddy.

El cargo ¿Por qué hack de GoDaddy lo convierte en una emoresa de alojamiento más inseguro? apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 17 de febrero de 2023

Las 10 principales bibliotecas de Python para hackers éticos en 2023

Las principales bibliotecas de Python para que los hackers éticos las usen en 2023 para actividades como analizar malware

Python es un lenguaje de programación de rápido crecimiento que se usa ampliamente en una variedad de campos, incluido el aprendizaje automático, la ciencia de datos y el desarrollo web. La abundancia de bibliotecas y herramientas de Python que se pueden usar para respaldar las actividades de hackeo ético es una de las razones clave por las que es tan popular en el área del hackeo ético. Estas bibliotecas de Python para hackers éticos proporcionan, entre otras cosas, herramientas para análisis de datos, mapeo de redes, manipulación de paquetes y criptografía.

Los hackers éticos y los expertos en seguridad cibernética utilizan Python con frecuencia para actividades como el análisis de malware y la localización de agujeros, además del hacking ético. Algunos hackers utilizan Python para crear y explotar programas debido a su adaptabilidad y simplicidad. En general, las principales bibliotecas de Python para hackers éticos son herramientas útiles para cualquier persona interesada en la ciberseguridad y el hackeo ético. En este artículo discutiremos las principales bibliotecas de Python para que las usen los hackers éticos en 2023.

  1. Python-nmap
    Un paquete de Python llamado Python-nmap ofrece una interfaz de usuario para comunicarse con el escáner de puertos Nmap. Nmap es una popular herramienta de auditoría de seguridad y administración de redes que se puede usar para observar un solo servidor o encontrar hosts y servicios en una red.
  2. IMPacket
    Las clases de Python para interactuar con los protocolos de red se incluyen en Impacket. Ofrece soporte para la programación de sockets de bajo nivel, TCP/IP y otros protocolos de nivel superior y está destinado a simplificar a los programadores la escritura y decodificación de paquetes de red.
  3. Requests
    Los usuarios de Python utilizan con frecuencia el paquete Requests para enviar solicitudes HTTP y HTTPS. Se usa con frecuencia para actividades como la obtención de datos de las API, el scraping de páginas web y el manejo de servicios en línea, ya que ofrece una interfaz sencilla para enviar solicitudes y administrar los resultados.
  4. Twisted
    Twisted, basado en Python, es un motor de redes basado en eventos. Ofrece una abstracción de protocolo TCP que simplifica la creación de clientes y servidores de red. El amplio soporte para SSL, IPv6 y una amplia gama de protocolos, incluidos HTTP, IRC, NNTP, SMTP, POP3, IMAP, SSHv2 y DNS, lo hace particularmente notable.
  5. Faker
    Una biblioteca de Python llamada Faker crea datos ficticios. Puede producir escritos ficticios, entradas bibliográficas, documentos XML, nombres, números de teléfono y direcciones, entre otras cosas. Utilizar Faker es bastante simple. Simplemente llama al farsante. nombre () o falsificador. address() para adquirir un nombre o dirección falsos, respectivamente.
  6. Scapy
    Philippe Biondi creó la herramienta Python para la manipulación de paquetes conocida como Scapy. Puede enviar, recibir, suplantar y decodificar paquetes de varios protocolos con esta aplicación completa e interactiva. Se usa con frecuencia para operaciones que incluyen escaneo de red, búsqueda, rastreo, asaltos y sondeo.
  7. Cryptography
    Los desarrolladores pueden acceder a recetas y primitivas criptográficas con el módulo de Python conocido como Cryptography. Proporciona una variedad de funciones para realizar operaciones que incluyen cifrado, hashing, creación de números aleatorios, creación de firmas y uso de cifrados de bloque y flujo.
  8. Pwntools
    Un marco CTF (Capture-the-Flag) y un paquete de desarrollo de exploits construido en Python, pwntools tiene como objetivo acelerar la creación de prototipos y el desarrollo. Para actividades como pruebas de penetración, ingeniería inversa, creación de exploits y fuzzing, ofrece una variedad de herramientas y funciones prácticas.
  9. Paramiko
    El paquete Paramiko de Python es una herramienta sólida para crear conexiones SSH y SCP seguras. Se utiliza una técnica conocida como SSH, o Secure Shell, para iniciar sesión de forma segura en servidores y dispositivos remotos a través de Internet.
  10. Pylibnet
    Un módulo de Python para la biblioteca de inyección de paquetes libnet se llama Pylibnet. Ofrece funciones para enviar paquetes, rastrear marcos y mostrar rastros de libpcap, así como una API de python para libnet.

El cargo Las 10 principales bibliotecas de Python para hackers éticos en 2023 apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 13 de febrero de 2023

Las vulnerabilidades en productos DMS populares pueden exponer documentos confidenciales

Múltiples vulnerabilidades de secuencias de comandos entre sitios (XSS) en los productos populares del sistema de gestión de documentos (DMS) podrían permitir a los atacantes acceder a documentos confidenciales, informa Rapid7.

Las soluciones DMS ayudan a los usuarios a administrar la producción, el almacenamiento y la distribución de documentos. También pueden proporcionar capacidades de colaboración y soporte para administrar otros tipos de archivos.

Se identificaron  un total de ocho vulnerabilidades XSS en productos de OnlyOffice, OpenKM, LogicalDOC y Mayan, todas las cuales pueden describirse como vulnerabilidades relacionadas con la neutralización incorrecta de la entrada durante la generación de la página web.

Sin embargo ninguna de estas vulnerabilidades ha sido resueltas. A pesar de los esfuerzos de Rapid7 por contactar a los proveedores afectados, ninguno respondió.

Todas las soluciones DMS vulnerables, disponibles como plataformas de colaboración locales o alojadas en la nube, están diseñadas para pequeñas y medianas empresas (PYMES) y la explotación de las vulnerabilidades identificadas en los ataques podría tener consecuencias nefastas.

Rastreada como CVE-2022-47412, la más grave de las vulnerabilidades afecta a OnlyOffice Workspace y requiere que un atacante engañe a un usuario para que almacene un documento malicioso en el DMS y luego lo convenza de abrir el documento a través de una función de búsqueda integrada.

Se identificaron dos vulnerabilidades XSS (CVE-2022-47413 y CVE-2022-47414) en OpenKM. La primera de las vulnerabilidades puede desencadenarse como CVE-2022-47412, pero la segunda requiere acceso a la consola de OpenKM.

Se encontraron cuatro vulnerabilidades XSS en LogicalDOC DMS: CVE-2022-47415 en el sistema de mensajería en la aplicación, CVE-2022-47416 en el sistema de chat, CVE-2022-47417 en el nombre del archivo del documento y CVE-2022-47418 en los comentarios de la versión almacenada.

La vulnerabilidad de Mayan EDMS, CVE-2022-47419 afecta el sistema de etiquetado en el producto de la plataforma.

Un atacante que aproveche cualquiera de estas vulnerabilidades podría robar la cookie de sesión de un administrador que haya iniciado sesión localmente y luego hacerse pasar por el usuario para crear una cuenta no autorizada en la plataforma, lo que le daría acceso a todos los documentos almacenados en el DMS.

Rapid7 recomienda que los usuarios presten especial atención al importar documentos de fuentes desconocidas o no confiables al DMS y que los administradores limiten la creación de usuarios anónimos no confiables para los productos DMS afectados.

Las versiones de DMS afectadas incluyen OnlyOffice Workspace 12.1.0.1760, OpenKM 6.3.12, LogicalDOC CE/Enterprise 8.7.3/8.8.2, LogicalDOC Enterprise 8.8.2 y Mayan EDMS 4.3.3.

“Dada la alta gravedad de una vulnerabilidad XSS almacenada en un sistema de gestión de documentos, especialmente uno que a menudo forma parte de flujos de trabajo automatizados, se insta a los administradores a aplicar cualquier actualización proporcionada por el proveedor en caso de emergencia”, señala Rapid7.

Fuente: https://ift.tt/TFjr780

El cargo Las vulnerabilidades en productos DMS populares pueden exponer documentos confidenciales apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

La librería canadiense más grande, Indigo, cierra el sitio después de un ataque cibernético

Indigo Books & Music, la cadena de librerías más grande de Canadá sufrió un ciberataque ayer lo que provocó que la empresa hiciera que el sitio web no estuviera disponible para los clientes y solo aceptara pagos en efectivo.

La naturaleza exacta del incidente sigue sin estar clara pero Indigo no descarta que los hackers hayan robado los datos de los clientes.

Solo pagos en efectivo

El miércoles, Indigo anunció que “problemas técnicos” impedían el acceso al sitio web y que los clientes en las tiendas físicas solo podían pagar en efectivo.

Además la compañía anunció que las transacciones con tarjetas de regalo no eran posibles y que puede haber demoras con los pedidos en línea.

Indigo anuncia "problemas técnicos"

Unas horas más tarde, Indigo reveló que sus sistemas informáticos fueron objeto de un ciberataque y que estaba investigando el incidente con la ayuda de expertos externos.

Indigo revela ciberataque
Indigo revela ciberataque

La compañía no ha revelado el tipo de incidente de seguridad cibernética que enfrenta actualmente, pero dijo que está tratando de determinar si los intrusos lograron acceder y/o robar los datos de los clientes.

Como Indigo dijo que está trabajando para restaurar los sistemas, otra posibilidad sería un ataque de ransomware, que generalmente resulta en una violación de datos ya que los hackers roban datos y amenazan con publicarlos a menos que la víctima pague el rescate.

Los ciberdelincuentes a menudo se dirigen a las grandes marcas y con un ingreso anual de más de CAD $ 1 mil millones, Indigo cumple con los requisitos.

Las operaciones de la empresa incluyen la venta de libros, revistas, juguetes, productos de belleza y bienestar, e incluso “artículos para bebés” y productos electrónicos como dispositivos domésticos inteligentes.

Indigo cuenta con miles de empleados, 86 hipertiendas bajo las enseñas Chapters e Indigo, y 123 tiendas de formato pequeño.

Malware que roba información

Aunque todavía es temprano en la investigación y la compañía no ha publicado ninguna información sobre el método utilizado para violar sus sistemas, los hackers pueden haber utilizado los datos recopilados por el malware de robo de información para obtener acceso a la red de Indigo.

BleepingComputer se enteró de la empresa de inteligencia de amenazas  Kela  que al menos un mercado de delitos cibernéticos estaba vendiendo en febrero y enero credenciales de Indigo robadas por malware que roba información, como Redline, Vidar y Raccoon.

Dicho malware busca información confidencial en el sistema infectado y también recopila detalles sobre la máquina. Todo esto sirve para crear un perfil que permitiría a los hackers acceder al host comprometido sin activar las alarmas.

Fuente: https://ift.tt/wc2fLlz

El cargo La librería canadiense más grande, Indigo, cierra el sitio después de un ataque cibernético apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

CVE-2023-25194: vulnerabilidad de ejecución remota de código en Apache Kafka

Una vulnerabilidad abordada por la última actualización de Apache Kafka es una vulnerabilidad de deserialización de Java inseguro que podría explotarse para ejecutar código de forma remota, con autenticación.

Apache Kafka es una plataforma de transmisión de eventos distribuidos de código abierto utilizada por miles de empresas para canalizaciones de datos de alto rendimiento, análisis de transmisión, integración de datos y aplicaciones de misión crítica. Más del 80 % de todas las empresas de Fortune 100 confían y utilizan Kafka.

Rastreado como CVE-2023-25194 Apache Kafka podría permitir que un atacante remoto autenticado ejecute código arbitrario en el sistema, causado por una deserialización insegura al configurar el conector a través de la API REST de Kafka Connect. Al enviar una solicitud especialmente diseñada un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario o provocar una denegación de servicio en el sistema. Apache Kafka ha sido catalogado como “ importante ”.

“ Al configurar el conector a través de la API REST de Kafka Connect, un operador autenticado puede establecer la propiedad `sasl.jaas.config` para cualquiera de los clientes Kafka del conector en “com.sun.security.auth.module.JndiLoginModule”, que puede hacerse a través de las propiedades `producer.override.sasl.jaas.config`, `consumer.override.sasl.jaas.config` o `admin.override.sasl.jaas.config` ”, según un  aviso de Apache.

Esto permitirá que el servidor se conecte al servidor LDAP del atacante y deserialice la respuesta LDAP, que el atacante puede usar para ejecutar cadenas de dispositivos de deserialización de Java en el servidor Kafka Connect. El atacante puede provocar la deserialización sin restricciones de los datos que no son de confianza (o) la vulnerabilidad RCE cuando hay dispositivos en el classpath. 

CVE-2023-25194 se solucionó con el lanzamiento de Apache Kafka versión 3.4.0 , y se recomienda a los usuarios que actualicen a las iteraciones parcheadas lo antes posible. El detalle de la vulnerabilidad está disponible en Hackerone.

Los usuarios también pueden mitigar el impacto de esta vulnerabilidad al validar las configuraciones del conector y solo permitir configuraciones JNDI confiables. Además examine las dependencias de los conectores en busca de versiones vulnerables y actualice sus conectores, actualice esa dependencia específica o elimine los conectores como opciones para la reparación.

El cargo CVE-2023-25194: vulnerabilidad de ejecución remota de código en Apache Kafka apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Las mentiras favoritas de los estafadores románticos costaron a las víctimas $1.3 mil millones el año pasado

No confíes en tu novio militar supercaliente que nunca has conocido, el no existe.

A medida que se acerca el Día de San Valentín, si su “novio” trabajador de una plataforma petrolera en alta mar, que se parece a Bradley Cooper en sus fotos en línea y ha insinuado que le propondrá matrimonio durante meses, pero nunca se ha visto en la vida real, de repente necesita dinero para “hospital”. facturas”… Justo. No. Hacer. Él.

Las estafas románticas costaron a las víctimas al menos $ 1.3 mil millones en 2022, según las últimas cifras de la Comisión Federal de Comercio de EE. UU . Casi 70,000 personas denunciaron estos delitos el año pasado, y la pérdida media reportada fue de $4,400.

La mentira más común que los estafadores dicen a sus víctimas es que ellos, o alguien cercano a ellos, está enfermo, herido o en la cárcel según más de 8000 estafas románticas reportadas a la FTC que cuestan dinero a los consumidores. Esta línea representó casi una cuarta parte (24 por ciento) de todos los robos. 

Mientras tanto, “Puedo enseñarte a invertir” y “Estoy en el ejército lejos” junto con “Necesito ayuda con una entrega importante”, todos empatados en el segundo lugar, con un 18 por ciento. 

Estos tipos de estafas de inversión han provocado advertencias de las agencias gubernamentales de EE. UU. y Europa a medida que las fuerzas del orden toman medidas enérgicas contra los llamados esquemas de “matanza de cerdos”.

Método de pago número uno en estafas románticas: criptomonedas

La matanza de cerdos es un nuevo giro en las estafas románticas, en las que los estafadores construyen una relación con sus víctimas y luego las engañan para que transfieran dinero a cuentas controladas por los delincuentes. En estos casos, sin embargo los estafadores convencen a sus marcas para que “inviertan” en criptomonedas utilizando sitios web falsos. Una vez que una víctima transfiere dinero a los ladrones, estos últimos se fugan y desaparecen. El dinero nunca se vuelve a ver.

El mes pasado, la policía europea arrestó a 15 presuntos estafadores y cerró una red multinacional de centros de llamadas que vendían criptomonedas falsas que, según las fuerzas del orden, robaron cientos de millones de euros a las víctimas.

Y en noviembre, el gobierno de EE. UU. incautó siete nombres de dominio utilizados en estafas de matanza de cerdos que generaron a los delincuentes más de $10 millones .

Tal vez como era de esperar, las mayores pérdidas en dólares totales reportadas debido a estafas románticas el año pasado estuvieron relacionadas con las criptomonedas, según la FTC.

Algunas de las otras excusas que ofrecieron los estafadores románticos sobre por qué no podían encontrarse cara a cara y/o necesitaban a su amor verdadero para transferir una gran cantidad de dinero de inmediato, clasificadas en orden de prevalencia de estafas reportadas por los consumidores, fueron :

  • “No nos conocemos pero hablemos de matrimonio” (12 por ciento);
  • “He llegado a algo de dinero u oro” (7 por ciento);
  • ” Estoy en una plataforma petrolífera o en un barco” (6 por ciento);
  • “Puedes confiarme tus fotos privadas” (3 por ciento).

Una razón más para no enviar esa foto NSFW

El último punto anterior destaca la creciente tendencia de las estafas de sextorsión, según la FTC. Una vez que haya compartido fotos NSFW, el estafador amenaza con enviarlas a todos sus contactos de redes sociales a menos que pague. 

Los datos de la FTC muestran que estas estafas se han multiplicado por ocho desde 2019, y las personas de 18 a 29 años tienen más de seis veces más probabilidades de denunciar sextorsión que las personas de 30 años o más.

Además más de la mitad (58 por ciento) de los informes de sextorsión de 2022 identificaron las redes sociales como el método de contacto. Instagram y Snapchat encabezaron la lista, nos dicen.

Mientras que los estafadores románticos usan con frecuencia aplicaciones de citas para atacar a las víctimas, los delincuentes prefieren los mensajes privados en las plataformas de redes sociales para iniciar un matrimonio por amor. Según la FTC, el 40 % de las víctimas que perdieron dinero en 2022 dijeron que la estafa comenzó en las redes sociales, en comparación con el 19 % que citó un sitio web o una aplicación de citas.

Las redes sociales son especialmente efectivas porque brindan a los estafadores románticos “una mina de oro de inteligencia de código abierto”, según Mika Aalto, director ejecutivo del proveedor finlandés de software de seguridad Hoxhunt.

“Después de un pequeño reconocimiento por parte del atacante, es común que las víctimas se enganchen en un sitio como Facebook o Instagram con un mensaje coqueto”, dijo Aalto a los investigadores . “La imagen de un estafador haciéndose pasar por una persona atractiva puede crear una fuerte conexión emocional que pasa por alto el escepticismo típico de una persona. A partir de ahí, la relación puede parecer increíblemente real”.

Por si quedaba alguna duda, el cofundador de la firma de seguridad apunta a la estrella de la NFL Manti Te’o, cuya novia falsa y estafa de catphishing ahora es objeto de un documental de Netflix .

“Lamentablemente, recuperar los fondos robados de una estafa romántica o un ataque de catphishing es muy poco probable”, agregó Aalto. Pero no es solo dinero lo que la gente pierde en estos; el daño emocional puede ser difícil de cuantificar, y mucho menos superar, después de confiar en alguien lo suficiente como para que se aproveche de ti”.

Fuente: https://ift.tt/cfj0hLt

El cargo Las mentiras favoritas de los estafadores románticos costaron a las víctimas $1.3 mil millones el año pasado apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

viernes, 10 de febrero de 2023

CISA lanza un script de recuperación para las víctimas del ransomware ESXiArgs

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA, por sus siglas en inglés) ha publicado un script para recuperar servidores VMware ESXi encriptados por los recientes ataques generalizados de ransomware ESXiArgs.

A partir del viernes pasado, los servidores VMware ESXi expuestos fueron objeto de un ataque generalizado de ransomware ESXiArgs.

Desde entonces, los ataques cifraron 2.800 servidores según una  lista de direcciones de bitcoin recopilada por el asesor técnico de CISA, Jack Cable.

Si bien se cifraron muchos dispositivos la campaña fracasó en gran medida ya que los actores de la amenaza no pudieron cifrar los archivos planos, donde se almacenan los datos de los discos virtuales.

Esta vulnerabilidad permitió a Enes Sonmez y Ahmet Aykac del equipo técnico de YoreGroup  idear un método para reconstruir máquinas virtuales a partir de archivos planos sin cifrar.

Este método ha ayudado a muchas personas a recuperar sus servidores, pero el proceso ha sido complicado para algunos, y muchas personas pidieron ayuda en nuestro  tema de soporte de ESXiArgs .

Script lanzado para automatizar la recuperación

Para ayudar a los usuarios a recuperar sus servidores CISA lanzó un  script ESXiArgs-Recover en GitHub para automatizar el proceso de recuperación.

“CISA es consciente de que algunas organizaciones han informado sobre el éxito en la recuperación de archivos sin pagar rescates. CISA compiló esta herramienta basándose en recursos disponibles públicamente, incluido  un tutorial  de Enes Sonmez y Ahmet Aykac”, explica CISA.

“Esta herramienta funciona mediante la reconstrucción de metadatos de máquinas virtuales a partir de discos virtuales que no fueron encriptados por el malware”.

Si bien la página del proyecto de GitHub tiene los pasos que necesita para recuperar máquinas virtuales, en resumen, el script limpiará los archivos cifrados de una máquina virtual y luego intentará reconstruir el archivo .vmdk de la máquina virtual usando el archivo plano sin cifrar.

Cuando termine si tiene éxito puede registrar la máquina virtual nuevamente en VMware ESXi para obtener acceso a la VM nuevamente.

CISA insta a los administradores a revisar el script antes de usarlo para comprender cómo funciona y evitar posibles complicaciones. Si bien la secuencia de comandos no debería causar ningún problema, investigadores recomienda encarecidamente que se creen copias de seguridad antes de intentar la recuperación.

“Si bien CISA trabaja para garantizar que los scripts como este sean seguros y efectivos, este script se entrega sin garantía, ya sea implícita o explícita”. advierte CISA.

“No use este script sin entender cómo puede afectar su sistema. CISA no asume ninguna responsabilidad por los daños causados ​​por este script”.

Fuente: https://www.bleepingcomputer.com/news/security/cisa-releases-recovery-script-for-esxiargs-ransomware-victims/

El cargo CISA lanza un script de recuperación para las víctimas del ransomware ESXiArgs apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

La policía hackeo la plataforma de mensajes ‘seguros’ de Exclu para espiar a los delincuentes

La policía holandesa anunció el viernes que desmanteló la plataforma de comunicaciones encriptadas Exclu después de hackear el servicio para monitorear las actividades de las organizaciones criminales.

La operación consistió en dos investigaciones separadas que comenzaron en septiembre de 2020 y abril de 2022, cuando la policía también llevó a cabo 79 registros selectivos en los Países Bajos, Alemania y Bélgica y arrestó a 42 personas.

Eurojust, Europol y las fuerzas policiales de Italia, Suecia, Francia y Alemania ayudaron en las operaciones de aplicación de la ley.

Dos de los detenidos son presuntamente los propietarios y administradores de la plataforma de telecomunicaciones encriptadas. Los 40 restantes eran usuarios del servicio Exclu, incluidos operadores de laboratorios de drogas que tenían cantidades significativas de estupefacientes, armas de fuego y más de 4 millones de euros en efectivo.

Solo en los Países Bajos, la policía registró 22 lugares y arrestó a 11 personas que se cree que están conectadas con la plataforma Exclu.

La policía holandesa dice que ha utilizado su experiencia en tecnología y delitos cibernéticos para hackear el servicio Exclu, identificar a sus usuarios y finalmente, desmantelar su infraestructura.

Exclu vendía suscripciones de usuario de seis meses por 800 €, lo que permitía a los usuarios intercambiar mensajes y medios encriptados (grabaciones de voz, videos, imágenes). La policía menciona que la aplicación tenía aproximadamente 3000 usuarios, 750 con sede en los Países Bajos.

Las autoridades ahora poseen todos los datos de comunicación, que están utilizando para continuar con sus investigaciones. Esto puede conducir al descubrimiento de actividades ilegales adicionales y proporcionar evidencia para respaldar los cargos presentados contra los sospechosos.

Sin embargo, un segmento de la base de usuarios de Exclu está formado por profesionales en campos sensibles, como abogados, investigadores, notarios y médicos, para quienes la privacidad es fundamental. Se anima a estas personas a ponerse en contacto con la policía y solicitar la eliminación de sus datos de los servidores incautados.

Algunas personas usan estas oscuras plataformas de comunicación en lugar de los populares productos encriptados de extremo a extremo como Signal porque prometen una confidencialidad extrema y múltiples capas de encriptación y seguridad.

Además, es menos probable que los servicios de criptoteléfonos menos conocidos como Exclu sean detectados y atacados por las autoridades policiales, lo que permite que su existencia permanezca en secreto para el público en general durante años.

Un caso notable de desmantelamiento de una plataforma criptográfica similar fue el de  EncroChat en julio de 2022 , cuando varias fuerzas policiales europeas colaboraron para desmantelar el servicio y usar los datos incautados para identificar a los delincuentes.

EncroChat contó con más de 60 000 usuarios en todo el mundo y vendió suscripciones por 1500 € por seis meses mientras brindaba atención al cliente las 24 horas los 7 días de la semana.

El FBI y la Policía Federal Australiana también crearon una  plataforma falsa de chat encriptado de extremo a extremo llamada ANOM , que permite a las fuerzas del orden monitorear las actividades de los grupos criminales. Esto finalmente condujo al arresto de 800 personas.

Fuente: https://ift.tt/Hgo3hUZ

El cargo La policía hackeo la plataforma de mensajes ‘seguros’ de Exclu para espiar a los delincuentes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

OpenSSL envía un parche para vulnerabilidad de alta gravedad (CVE-2023-0286)

La más grave de las vulnerabilidades puede permitir que un atacante lea el contenido de la memoria o lance vulnerabilidades de denegación de servicio.

El proyecto OpenSSL envió el martes una importante actualización de seguridad para cubrir al menos ocho vulnerabilidades de seguridad documentadas que exponen a los usuarios de OpenSSL a ataques de hackers maliciosos.

El más grave de las vulnerabilidad es una de confusión de tipo rastreado como CVE-2023-0286, puede permitir que un atacante pase punteros arbitrarios a una llamada memcmp, permitiéndole leer el contenido de la memoria o lanzar ataques de denegación de servicio.

Los mantenedores de OpenSSL dieron una calificación de alta gravedad a la vulnerabilidad pero señalan que es más probable que la vulnerabilidad solo afecte a las aplicaciones que han implementado su propia funcionalidad para recuperar CRL a través de una red.

Se insta a las organizaciones que ejecutan las versiones 3.0, 1.1.1 y 1.0.2 de OpenSSL a que apliquen las actualizaciones disponibles de inmediato.

El proyecto de código abierto también documentó siete vulnerabilidades de gravedad moderada que requieren atención urgente.

Según un aviso de OpenSSL , estos incluyen:

  • Existe una vulnerabilidad de canal lateral basada en tiempo (CVE-2022-4304) en la implementación de descifrado RSA de OpenSSL que podría ser suficiente para recuperar un texto sin formato a través de una red en un ataque de estilo Bleichenbacher. Para lograr un descifrado exitoso, un atacante tendría que poder enviar una gran cantidad de mensajes de prueba para el descifrado. La vulnerabilidad afecta a todos los modos de relleno de RSA: PKCS#1 v1.5, RSA-OEAP y RSASVE. “Un atacante que hubiera observado una conexión genuina entre un cliente y un servidor podría usar esta vulnerabilidad para enviar mensajes de prueba al servidor y registrar el tiempo necesario para procesarlos”.
  • Se puede desencadenar una saturación del búfer de lectura en la verificación del certificado X.509, específicamente en la verificación de restricciones de nombre. La saturación del búfer de lectura (CVE-2022-4203) podría provocar un bloqueo que podría provocar un ataque de denegación de servicio. “En teoría, también podría resultar en la divulgación de contenidos de memoria privada (como claves privadas o texto sin formato confidencial), aunque no tenemos conocimiento de ningún exploit funcional que conduzca a la divulgación de contenidos de memoria en el momento de la publicación de este aviso”, dijo el comunicado. dijo el grupo.

El grupo también solucionó varias vulnerabilidades de corrupción de memoria que exponen a los usuarios de OpenSSL a condiciones de denegación de servicio.

El cargo OpenSSL envía un parche para vulnerabilidad de alta gravedad (CVE-2023-0286) apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

miércoles, 8 de febrero de 2023

La mayoría de las pandillas de Ransomware usaron este empaquetador para eludir el antivirus y encriptar dispositivos

Los empaquetadores se están convirtiendo en una herramienta cada vez más importante para que los ciberdelincuentes la utilicen en la comisión de actos ilegales. En los foros de hackers, a veces se hace referencia al empaquetador como “Crypter” y ” FUD “..” Su función principal es dificultar que los sistemas antivirus identifiquen códigos maliciosos. Los actores maliciosos pueden diseminar su malware más rápidamente y con menos consecuencias cuando usan un empaquetador. No importa cuál sea la carga útil, que es una de las principales cualidades de un Packer-as-a-Service comercial, lo que implica que puede usarse para empaquetar una variedad de diferentes muestras dañinas. Esto abre muchas oportunidades para los ciberdelincuentes. Otra cualidad clave del empacador es que es transformador. Debido a que la envoltura de la empacadora se cambia con frecuencia, puede evitar la detección por parte de dispositivos diseñados para mejorar la seguridad.

Según Checkpoint , TrickGate es una excelente ilustración de un empacador como servicio robusto y resistente. Ha sido capaz de pasar desapercibido para los investigadores de seguridad cibernética durante varios años y está mejorando constantemente en una variedad de formas diferentes.

Aunque se hizo un gran estudio sobre el empaquetador en sí, TrickGate es un maestro de los disfraces y se le ha dado una serie de títulos diferentes debido al hecho de que tiene tantas características diferentes. Se le han dado varios nombres, incluidos “TrickGate”, “empaquetador de Emotet”, “cargador nuevo”, “Loncom” y “encriptador basado en NSIS”.

A fines de 2016, hicieron nuestra primera observación de TrickGate. Durante ese tiempo, se utilizó para propagar el malware Cerber. Desde entonces, han estado investigando constantemente sobre TrickGate y han descubierto que se usa para propagar muchas formas de herramientas de software malicioso, incluidos ransomware, RAT, ladrones de información, banqueros y mineros. Les ha llamado la atención que un número significativo de organizaciones APT y actores de amenazas a menudo emplean TrickGate para envolver su código malicioso a fin de evadir la detección por parte de las soluciones de seguridad. Algunas de las familias de malware más conocidas y de mayor distribución han sido envueltas por TrickGate, incluidos Cerber, Trickbot, Maze, Emotet, REvil, CoinMiner, Cobalt Strike, DarkVNC, BuerLoader, HawkEye, NetWire, AZORult, Formbook, Remcos, Lokibot , AgentTesla y muchos más.

Existe un tremendo margen de variación en el primer acceso realizado por los usuarios de la empacadora. Mantienen un ojo en las muestras empaquetadas que se propagan principalmente a través de correos electrónicos de phishing que incluyen archivos adjuntos maliciosos, así como a través de URL maliciosas.

El cargador de código de shell es el segundo paso y es esta etapa la responsable de descifrar y ejecutar el código de shell.

Había tres lenguajes de programación distintos que se usaban para el cargador de shellcode, como descubrieron. Se puede lograr una funcionalidad similar mediante el uso de secuencias de comandos NSIS, secuencias de comandos AutoIT y C. El empaquetador gira en torno al código shell como componente central. Descifrar la carga útil y luego insertarla de forma encubierta en un nuevo proceso es responsabilidad de este componente. La carga útil es el código real que es dañino y es el responsable de llevar a cabo la acción que se supone que es maliciosa. Las cargas útiles son distintas para cada actor debido a cómo usaron el empaquetador.

Es fascinante ver cómo TrickGate realiza llamadas directas al sistema, ya que emplea un método similar al de Hell’s Gate. Hell’s Gate es un método que se mostró en público por primera vez en el año 2020 como un mecanismo para obtener y ejecutar dinámicamente números directos de llamadas al sistema. 

Produjeron cadenas que correlacionan el malware más deseado durante los últimos seis años con un único Packer-as-a-Service llamado TrickGate. Las habilidades de transformación de TrickGate hacen que sea difícil de detectar y monitorear, por lo que tuvieron que construir estas cadenas. Cuando se trata de identificar un peligro, es esencial tener una comprensión sólida de los componentes que componen el empacador. Esto se debe a que detener el empaquetador brindará protección contra la amenaza en una etapa anterior, antes de que la carga útil comience a ejecutarse.

Los investigadores tienden a concentrar su atención en el malware real, dejando solo el código del empaquetador, lo que hace que los empaquetadores reciban menos atención de la que recibirían de otro modo. Con empaquetador detectado por otro lado ahora puede usarse como un punto de enfoque para identificar formas de malware nuevas o no reveladas anteriormente.

El cargo La mayoría de las pandillas de Ransomware usaron este empaquetador para eludir el antivirus y encriptar dispositivos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

martes, 7 de febrero de 2023

5 formas de protegerte de ser hackeado en Discord

Discord es una popular aplicación de mensajería y chat de voz utilizada por jugadores, creadores de contenido y otros usuarios de todo el mundo. Desafortunadamente se ha convertido en un objetivo para los hackers.

Pueden obtener acceso a las cuentas de los usuarios explotando las debilidades del software o robando sus credenciales de inicio de sesión. Una vez que ingresan, pueden usarlo para enviar mensajes maliciosos, robar información personal o incluso tomar el control total de la cuenta de alguien.

Los usuarios pueden configurar un par de medidas de seguridad para proteger sus cuentas y evitar que caigan en las manos equivocadas. Este artículo los guiará sobre algunos de los pasos que pueden seguir para mantener seguros sus perfiles de Discord.

5 métodos para mantener segura tu cuenta de Discord

1) Cree una contraseña única y segura

Comprobando si la contraseña es segura (Imagen a través de Password Monster)
Comprobando si la contraseña es segura

Primero debe asegurarse de crear una contraseña fuerte y segura para su cuenta de Discord. Hacerlo es esencial ya que es la primera línea de defensa contra los hackers que buscan acceder a sus datos y tomar el control de su cuenta.

Se puede crear una contraseña segura usando una combinación de letras mayúsculas y minúsculas, números y símbolos. Debe ser único y no algo que se pueda adivinar fácilmente.

Además, la contraseña debe ser larga, lo que hará que sea difícil de adivinar, y debe cambiarse regularmente. Hay varios sitios web como Password Monster para verificar si tiene una combinación fuerte.

2) Habilitación de la autenticación de dos factores

Habilitación de la autenticación de dos factores (Imagen a través del soporte de Discord)
Habilitación de la autenticación de dos factores

La autenticación de dos factores (2FA) es una medida de seguridad importante que ayuda a proteger sus datos y cuentas del acceso no autorizado. Requerir dos formas de identificación ayuda a garantizar que solo usted pueda acceder a su cuenta y datos. Esta capa adicional de seguridad ayuda a protegerse contra hackers, malware y ataques de phishing que intentan obtener acceso a su cuenta.

Además, la autenticación de dos factores ayuda a proteger contra los intentos de adquisición. Esto es más efectivo cuando un usuario no autorizado ya tiene un conjunto de detalles para acceder a su cuenta. Si 2FA está habilitado, no podrán tomar el control lo que le brinda la oportunidad de mantener su perfil seguro.

3) Evite hacer clic en enlaces Nitro sospechosos y gratuitos

Discord advierte a los usuarios sobre enlaces fraudulentos (Imagen a través de Discord)
Discord advierte a los usuarios sobre enlaces fraudulentos

Evite hacer clic en enlaces proporcionados por personas desconocidas. Si alguien que no conoces envía un enlace, ten cuidado antes de ir a él. Nunca es una buena idea hacer clic en un enlace de una fuente desconocida.

Verifique la URL y si el enlace parece sospechoso, desplace el cursor sobre él para ver a dónde se dirige. Si es largo y complicado o no parece estar relacionado con la conversación que estaba teniendo, evite hacer clic en él.

No haga clic en un enlace acortado de una fuente desconocida a toda costa. Puede parecer inocente, pero podría estar ocultando contenido malicioso . Si está acortado evite hacer clic en él o cópielo y péguelo en un expansor de URL para verificar a dónde redirige el enlace.

Estafa nitro de Discord (Imagen a través del soporte de Discord)
Estafa nitro de Discord

Discord permite a los usuarios regalar a su amigo Nitro que es una suscripción a las ventajas premium de la plataforma. Esta puede ser una herramienta útil para que los hackers aprovechen y creen un bot para atrapar a algunas personas.

A veces los usuarios maliciosos compran bots verificados y los automatizan para difundir dichos enlaces fraudulentos. Todos deben ser específicamente conscientes de este tipo de estafas, ya que pueden parecer bots oficiales debido a la etiqueta verificada, pero en realidad son dañinos.

4) No agregue bots desconocidos en su servidor

Una lista de bots de Discord (Imagen a través de top.gg)
Una lista de bots de Discord

Los bots son una excelente manera de involucrar a los usuarios en un servidor, ya que pueden usarse para jugar, escuchar música y mucho más. Desafortunadamente hacerlo también puede convertirlo en un objetivo para los bots maliciosos. Se pueden utilizar para llevar a cabo actividades dañinas en la plataforma, como spam, phishing y propagación de malware.

Los riesgos de interactuar sin saberlo con bots maliciosos son reales. Se pueden usar para enviar enlaces o mensajes maliciosos, robar información personal, espiar los mensajes de texto del servidor e incluso propagar malware.

Es muy importante estar al tanto de cualquier actividad sospechosa en su servidor, como mensajes que se envían fuera de contexto o enlaces a sitios web desconocidos. Esto puede ser una evidencia real de que el bot no es seguro.

5) Configuración de privacidad y seguridad

Configuración de privacidad y seguridad (Imagen a través de Sportskeeda)
Configuración de privacidad y seguridad (Imagen a través de Sportskeeda)

Discord tiene un conjunto de configuraciones de seguridad para personalizar a las personas que pueden enviar mensajes de texto directos y solicitudes de mensajes. La aplicación también puede escanear los mensajes enviados por ellos para verificar si hay contenido sospechoso y explícito.

Establecer la configuración directa segura en al menos “Mis amigos son amables” escaneará los mensajes de los usuarios que no están en su lista de amigos y lo ayudará a mantenerse a salvo de la mayoría de los sitios web y medios maliciosos.

El cargo 5 formas de protegerte de ser hackeado en Discord apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

Esta vulnerabilidad F5 BIG-IP facilita que Ransomware cifre dispositivos de redes

BIG-IP tiene una vulnerabilidad de cadena de formato de alta gravedad, según F5, que podría permitir a un atacante autorizado crear un escenario de denegación de servicio (DoS) y quizás ejecutar código arbitrario. F5 ha emitido una advertencia sobre esta vulnerabilidad.

Debido a esta vulnerabilidad, un atacante autorizado que tenga acceso de red a iControl SOAP a través del puerto de administración BIG-IP y/o direcciones IP propias puede ejecutar instrucciones arbitrarias del sistema o provocar una denegación de servicio (DoS) en iControl SOAP CGI. proceso. Para que un atacante explote correctamente el vector de ataque de ejecución de comandos, necesita obtener información sobre el entorno en el que reside el componente que es susceptible. Esta vulnerabilidad está relacionado exclusivamente con el plano de control; no hay riesgo para el plano de datos. El modo de dispositivo es obligatorio por una licencia en particular o se ofrece como una opción para instancias invitadas individuales de multiprocesamiento en clúster virtual (vCMP), donde se puede activar o desactivar según se desee.

La compañía dijo que para aprovechar el vector de ataque de ejecución de comandos, el atacante debe obtener información sobre el entorno de destino que alberga el componente vulnerable. El fabricante también dijo que esta vulnerabilidad solo afecta el plano de control y que el plano de datos no se ve afectado de ninguna manera.

El problema es una vulnerabilidad de cadena de formato que existe en la aplicación iControl SOAP, que opera con el usuario root y necesita un inicio de sesión para acceder administrativamente. La vulnerabilidad puede ser aprovechada por un atacante autorizado para provocar que el proceso SOAP CGI de iControl se bloquee o, teóricamente, para ejecutar código arbitrario.

Un adversario en la red puede obtener acceso a la interfaz SOAP utilizando el puerto de administración BIG-IP o sus propias direcciones IP autoasignadas.

Al explotar esta vulnerabilidad en el modo de dispositivo BIG-IP, los actores de amenazas pueden eludir una barrera de seguridad.

Se ha asignado una puntuación CVSS de 7,5 a la vulnerabilidad para implementaciones en modo estándar, mientras que se ha asignado un valor de 8,5 para instalaciones en modo dispositivo.

El servicio puede leer y escribir ubicaciones de memoria a las que se hace referencia desde la pila mediante la introducción de especificadores de cadena de formato en ciertos argumentos que se proporcionan a la función syslog, según Rapid7 que descubrió la vulnerabilidad.

Sin embargo, según la explicación proporcionada por la empresa de ciberseguridad, el atacante no puede leer la memoria a menos que también tenga acceso al syslog.

Según Rapid7, “es imposible afectar las direcciones precisas leídas y escritas, lo que hace que sea extremadamente difícil atacar (aparte de bloquear el servicio) en la realidad”. Esta es una de las razones por las que esta vulnerabilidad es tan difícil de explotar.

Según la compañía de seguridad cibernética, un adversario podría hacer que el servicio se bloquee al usar el especificador ‘%s’, y podría usar el especificador ‘%n’ para escribir datos arbitrarios en cualquier puntero en la pila, lo que podría conducir a vulnerabilidades remotos. ejecución de código. Ambos exploits podrían llevarse a cabo utilizando el mismo especificador.

Las siguientes versiones de BIG-IP son vulnerables.

  • F5 BIG-IP 17.0.0
  • F5 BIG-IP 16.1.2.2 – 16.1.3
  • F5 BIG-IP 15.1.5.1 – 15.1.8
  • F5 BIG-IP 14.1.4.6 – 14.1.5
  • F5 BIG-IP 13.1.5

Esta vulnerabilidad recibió el número de identificación 1208001 (BIG-IP) de F5 Product Development. A esta se le ha asignado el número de identificación CWE-134 y se conoce como Uso de cadenas de formato controladas externamente. Consulte el cuadro etiquetado como “Productos evaluados” para ver si su producto y su versión han sido probados para detectar esta vulnerabilidad. Si se sabe que su versión es vulnerable, también puede determinar qué componentes o funciones se ven afectados por la vulnerabilidad. También puede detectar una vulnerabilidad para los sistemas BIG-IP y BIG-IQ mediante el uso de iHealth .

El cargo Esta vulnerabilidad F5 BIG-IP facilita que Ransomware cifre dispositivos de redes apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

lunes, 6 de febrero de 2023

Vulnerabilidad crítica en Jira Software puede permitir que un atacante se haga pasar por otro usuario.

El servidor de gestión de servicios y el centro de datos de Jira incluyen una vulnerabilidad importante que se ha rastreado como CVE-2023-22501 (puntuación CVSS: 9,4) y que Atlassian ha reparado . Bajo algunas condiciones, un atacante podría usar esta vulnerabilidad para asumir la identidad de otro usuario y obtener acceso no autorizado a otras instancias de Jira Service Management.

Los usuarios que visitan su sitio de Jira a través de un dominio atlassian.net no son expuestos a la vulnerabilidad, como se señaló en la alerta. Si su sitio de Jira está alojado en Atlassian no se verá afectado. atlassian.net, está alojado en Atlassian, lo que significa que no esta expuesto la vulnerabilidad de seguridad.

Los sitios de Jira que están alojados en la nube y usan un dominio atlassian[.]net no son vulnerables al problema, según Atlassian y los usuarios no necesitan tomar ninguna medida preventiva en este escenario.

Según Atlassian la vulnerabilidad afecta a las versiones 5.3.0 a 5.5.0, y los delincuentes tienen el potencial de obtener “acceso a una instancia de Jira Service Management bajo ciertas condiciones”.

“Un atacante podría adquirir acceso a los tokens de registro proporcionados a los usuarios con cuentas en las que nunca se habían registrado si tuvieran acceso de escritura a un directorio de usuarios con el correo electrónico saliente habilitado en un servidor de Jira Service Management”.

Es posible usarlo para dirigirse específicamente a cuentas de bot debido a las interacciones frecuentes que tienen con otros usuarios y la mayor probabilidad de que se incluyan en vulnerabilidades o solicitudes de Jira o reciban correos electrónicos que contengan un enlace “Ver solicitud”. Se requiere cualquiera de estas condiciones para adquirir tokens de registro.

Atlassian abordó esta importante vulnerabilidad que permitía a un atacante hacerse pasar por otro usuario y obtener acceso a una instancia de Jira Service Management. La vulnerabilidad estaba presente en Jira Service Management Server and Data Center.

Atlassian ha proporcionado actualizaciones que resuelven la vulnerabilidad e insta a los administradores a actualizar a las versiones 5.3.3, 5.4.2, 5.5.1 y 5.6.0 o posteriores. Estas actualizaciones se pueden encontrar en el sitio web de Atlassian.

En el caso de que la actualización no se pueda implementar de inmediato el proveedor ha puesto a disposición una solución alternativa en forma de archivo JAR que se puede usar para actualizar el “complemento de sustitución de variable de servicedesk” manualmente. Los trámites necesarios para ello son los siguientes:

Descargue el archivo JAR que es específico para la versión del aviso.
Detener Jira
El archivo JAR debe copiarse en el directorio de inicio de Jira (que se encuentra en “Jira Home>/plugins/installed-plugins” para servidores y “Jira Shared/plugins/installed-plugins” para centros de datos).
Inicie el servicio de nuevo.

Tanto Crowd Server and Data Center, la plataforma de gestión de identidad de la empresa, como Bitbucket Server and Data Center una solución autogestionada que proporciona colaboración de código fuente para equipos profesionales tenían vulnerabilidades de gravedad crítica en noviembre de 2022. Estos vulnerabilidades fueron abordadas por la empresa.

Existe una importante vulnerabilidad de inyección de comandos en el servicio de alojamiento del repositorio de código fuente de Bitbucket. Esta vulnerabilidad se rastrea con el identificador CVE-2022-43781.

El cargo Vulnerabilidad crítica en Jira Software puede permitir que un atacante se haga pasar por otro usuario. apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente