En el último mes, el mundo de la ciberseguridad ha sido sacudido por una serie de amenazas sofisticadas y ataques coordinados, que resaltan la creciente complejidad de las tácticas empleadas por los actores maliciosos. Uno de los casos más notables es el ransomware BlackSuit, que ha vuelto a ser protagonista con ataques que incluyen movimientos laterales y el uso de herramientas avanzadas como Cobalt Strike. Este tipo de ataques demuestra la habilidad de los cibercriminales para infiltrarse en redes corporativas y causar estragos.
Por otro lado, un nuevo malware que se disfraza como la herramienta de seguridad GlobalProtect de Palo Alto ha puesto en alerta a las organizaciones del Medio Oriente. Esta amenaza utiliza una infraestructura de comando y control altamente sofisticada, lo que la convierte en un peligro inminente para las empresas que confían en tecnologías de seguridad de renombre. Este incidente subraya la importancia de verificar la autenticidad de las herramientas utilizadas.
En términos de evolución tecnológica, el ransomware basado en Rust, Cicada3301, está diseñado para atacar tanto sistemas Windows como Linux/ESXi, lo que amplía su alcance de daño. Este malware comparte similitudes con otras operaciones conocidas, como BlackCat, lo que indica una tendencia hacia la diversificación de plataformas objetivo por parte de los atacantes. A medida que estas variantes continúan desarrollándose, las empresas deben estar preparadas para enfrentar amenazas que abarcan múltiples entornos operativos.
En cuanto a los ataques dirigidos a sectores críticos, el ransomware RansomHub ha logrado cifrar y exfiltrar datos de más de 200 víctimas desde su aparición. Su técnica de extorsión cuádruple apunta a sectores esenciales como el agua, la salud pública y el transporte, lo que agrava las posibles consecuencias de estos ataques. Esto pone de manifiesto la vulnerabilidad de infraestructuras vitales frente a grupos de ransomware cada vez más agresivos.
Finalmente, el malware Latrodectus ha mejorado sus capacidades de evasión, lo que lo hace aún más peligroso para las organizaciones. Similar al infame IcedID, Latrodectus continúa evolucionando con nuevas técnicas que lo posicionan como una amenaza sofisticada en el panorama de malware moderno. La rápida adaptación de estos programas maliciosos subraya la urgencia de mejorar las estrategias de defensa en todas las organizaciones.
MALWARE
Prioridad: Crítica | BlackSuit Ransomware: Ataques Coordinados con Movimientos Laterales y Cobalt Strike |
El ransomware BlackSuit ha vuelto a ser protagonista en una nueva ola de ataques altamente sofisticados. En una intrusión que comenzó en diciembre de 2023, los atacantes utilizaron una baliza de Cobalt Strike inusualmente grande como primera señal de su actividad, seguida de una pausa de seis horas antes de proceder con la enumeración de sistemas mediante herramientas nativas de Windows. A partir de ese punto, desplegaron técnicas avanzadas como AS-REP Roasting y Kerberoasting para obtener credenciales, y usaron el programa Rubeus ejecutado en la memoria. Posteriormente, los atacantes implementaron múltiples balizas de Cobalt Strike en diversas estaciones de trabajo y servidores, permitiendo el movimiento lateral dentro de la red comprometida.
Después de varios días de inactividad, los atacantes regresaron para finalizar su operación, logrando ejecutar el ransomware BlackSuit a través del binario "qwe.exe" en sistemas remotos. Utilizando RDP para desplegar el ransomware manualmente, procedieron a eliminar las instantáneas de seguridad con "vssadmin" antes de cifrar los archivos en los sistemas afectados. En total, el tiempo hasta la ejecución final del ransomware fue de 328 horas, distribuidas en 15 días, durante los cuales los atacantes ejecutaron un ataque altamente coordinado y persistente.
Recomendaciones:
Implementar monitoreo continuo de actividad anómala y detección temprana de herramientas como Cobalt Strike para prevenir movimientos laterales.
Asegurar y auditar el uso de privilegios administrativos para reducir la superficie de ataque en operaciones como Kerberoasting.
Desplegar sistemas de copia de seguridad robustos fuera de línea para proteger contra la eliminación de instantáneas y garantizar la recuperación rápida tras un ataque.
Indicadores de compromiso (IoC):
IP:
147[.]78[.]47[.]178
DOMAIN:
svchorst[.]comas[.]regsvcast[.]comqw[.]regsvcast[.]comwq[.]regsvcast[.]comzx[.]regsvcast[.]com
HASH:
27e300fa67828d8ffd72d0325c6957ff54d2dc6a060bbf6fc7aa5965513468e0,3b873bc8c7ee12fe879ab175d439b5968c8803fbb92e414de39176e2371896b2,55cde638e9bcc335c79c605a564419819abf5d569c128b95b005b2f48ccc43c1,60dcbfb30802e7f4c37c9cdfc04ddb411060918d19e5b309a5be6b4a73c8b18a,6c884e4a9962441155af0ac8e7eea4ac84b1a8e71faee0beafc4dd95c4e4753f,a39dc30bd672b66dc400f4633dfa4bdd289b5e79909c2e25e9c08b44d99b8953,e92912153cf82e70d52203a1a5c996e68b7753818c831ac7415aedbe6f3f007d,f474241a5d082500be84a62f013bc2ac5cde7f18b50bf9bb127e52bf282fffbf
Fuentes
Prioridad: Crítica | Malware Disfrazado de Herramienta de Palo Alto Afecta a Organizaciones con Sofisticada Infraestructura de C&C |
Un nuevo y peligroso malware, disfrazado como la legítima herramienta de seguridad GlobalProtect de Palo Alto, está dirigido a organizaciones en el Medio Oriente, presentando una seria amenaza a la ciberseguridad. Este malware se distribuye probablemente a través de ataques de phishing y utiliza un proceso de infección en dos etapas, junto con una sofisticada infraestructura de comando y control (C&C) para ejecutar comandos remotos, filtrar archivos y evadir soluciones de detección. Además, el malware implementa técnicas avanzadas para evitar análisis en entornos controlados, ajustando su comportamiento si detecta que está siendo monitoreado en una zona de pruebas.
Una de sus tácticas más preocupantes es el uso de cifrado AES para proteger sus comunicaciones y datos robados, lo que dificulta la interceptación y análisis de sus actividades. El malware recopila información crítica del sistema, como direcciones IP, detalles del sistema operativo y credenciales del usuario, y establece una persistencia a través de un portal VPN disfrazado. Este enfoque le permite operar de manera sigilosa, poniendo en riesgo a las organizaciones que podrían no detectar la intrusión hasta que sea demasiado tarde.
Recomendaciones:
Desplegar medidas de detección proactiva para identificar comportamientos anómalos asociados con herramientas disfrazadas de legítimas como GlobalProtect.
Aumentar la capacitación de los empleados sobre los riesgos del phishing y cómo evitar la descarga de archivos sospechosos.
Monitorear y analizar el tráfico de red cifrado para detectar posibles comunicaciones con servidores de comando y control (C&C).
Indicadores de compromiso (IoC):
IP:
94[.]131[.]108[.]78
DOMINIO:
portal[.]sharjahconnect[.]onlinetdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]fun
URL:
step1-hwikdmg9pdwcmmfgxjeqvlderbo4sgwj[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funstep1-tterx4rffokypbzksotnw6f5ywu2rdq0[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funstep2-tterx4rffokypbzksotnw6f5ywu2rdq0[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funstep3-hwikdmg9pdwcmmfgxjeqvlderbo4sgwj[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funstep3-tterx4rffokypbzksotnw6f5ywu2rdq0[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funstep4-hwikdmg9pdwcmmfgxjeqvlderbo4sgwj[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funstep4-tterx4rffokypbzksotnw6f5ywu2rdq0[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funstep5-tterx4rffokypbzksotnw6f5ywu2rdq0[.]tdyfbwxngpmixjiqtjjote3k9qwc31dsx[.]oast[.]funhxxp://94[.]131[.]108[.]78:7118/B/hi/hxxp://94[.]131[.]108[.]78:7118/B/desktop/
HASH:
e3880c7db78e09748fe9caf02f330b1c61cd3aaaa31ffe93fb5ba1fb1035f761,a23adcce96b743d1ecc5a0410fdb6326ae7fff2e78917f51cc70497320dbe750
Fuentes
Prioridad: Crítica | Cicada3301: Ransomware Basado en Rust Ataca Sistemas Windows y Linux/ESXi |
La nueva variante de ransomware Cicada3301 ha sido diseñada para apuntar tanto a sistemas Windows como Linux/ESXi, compartiendo similitudes con la operación BlackCat (ALPHV). Escrito en Rust, Cicada3301 surgió en junio de 2024, y sus capacidades avanzadas incluyen el uso de herramientas legítimas como PsExec para ejecutar programas de forma remota y el cifrado de archivos utilizando ChaCha20. Además, emplea técnicas agresivas para detener servicios, eliminar instantáneas, deshabilitar la recuperación del sistema y borrar registros de eventos, haciendo que la detección y recuperación sean extremadamente complicadas. También puede detener máquinas virtuales y servicios de respaldo, lo que aumenta su peligrosidad en entornos corporativos.
Cicada3301 apunta a 35 extensiones de archivos, incluidas bases de datos SQL y documentos críticos, y utiliza cifrado intermitente en archivos grandes para aumentar la eficiencia del ataque. Además, se ha descubierto que emplea técnicas sofisticadas para evadir soluciones de detección de seguridad (EDR) al aprovechar controladores firmados vulnerables. Los indicios sugieren que el grupo podría estar trabajando con la botnet Brutus para obtener acceso inicial a redes empresariales, lo que amplía su capacidad de ataque. Este ransomware representa una amenaza crítica debido a su enfoque en sistemas virtualizados y su capacidad para paralizar infraestructuras empresariales.
Recomendaciones
Implementar actualizaciones de seguridad regulares y monitoreo avanzado de actividades inusuales, especialmente en sistemas virtualizados.
Limitar el acceso a herramientas administrativas como PsExec y asegurar credenciales de usuarios privilegiados para evitar su explotación.
Establecer políticas de copia de seguridad frecuentes y fuera de línea para mitigar el impacto en caso de cifrado de archivos críticos.
Indicadores de compromiso (IoC):
HASH:
7b3022437b637c44f42741a92c7f7ed251845fd02dda642c0a47fde179bd984e,fc396fa4046a948b72e8153528e38018b74986d6cc19139e67bc4bacfcbeddc5,e64fd3a88337aae31b810ad310787872e6feb83cf3d5775eed1ff75c11d2ee38,6e92f3ecf6ea592bbca0b51e1a90f67ec3b59d6f69b9ce2ccf630b8e6e161da2,f898dcfc2cb7944961c93530277fd83e9e22545a70733120c4838f4e4e78fc37
Fuentes
Prioridad: Crítica | RansomHub Ransomware: Ataques a Sectores Críticos con Extorsión Cuádruple |
El grupo de ransomware RansomHub ha cifrado y exfiltrado datos de al menos 210 víctimas desde su aparición en febrero de 2024, afectando a sectores críticos como agua, salud pública, transporte, manufactura y servicios financieros. Este grupo, descendiente de las operaciones Cyclops y Knight, ha adoptado un modelo de ransomware como servicio (RaaS), atrayendo a afiliados de alto perfil de variantes conocidas como LockBit y BlackCat. RansomHub utiliza técnicas de doble extorsión para presionar a las víctimas: primero cifra los sistemas y exfiltra datos, y luego amenaza con publicar la información en la dark web si no se paga el rescate. Además, el grupo ha implementado un modelo de extorsión cuádruple, contactando a terceros relacionados con las víctimas para aumentar la presión.
Con un aumento alarmante de su actividad, RansomHub representó el 14,2% de todos los ataques de ransomware en el tercer trimestre de 2024, según un informe de ZeroFox. Su enfoque agresivo y lucrativo ha fomentado la creación de nuevas variantes de ransomware y la colaboración con actores de Estado-nación como NoEscape y BlackCat. Esta tendencia creciente de ataques dirigidos a infraestructuras críticas resalta la necesidad urgente de reforzar las defensas cibernéticas y prepararse para posibles extorsiones múltiples.
Recomendaciones
Implementar copias de seguridad offline y fuera de la red, junto con planes de recuperación ante desastres, para mitigar el impacto del cifrado de datos.
Monitorear el tráfico de red en busca de actividades sospechosas y fortalecer las defensas contra la exfiltración de datos mediante soluciones avanzadas de detección y respuesta (EDR).
Realizar simulacros de respuesta ante incidentes para preparar a las organizaciones frente a posibles extorsiones cuádruples y otros métodos de presión utilizados por RansomHub.
Indicadores de compromiso (IoC):
IP:
188[.]34[.]188[.]745[.]135[.]232[.]2193[.]106[.]175[.]107193[.]124[.]125[.]78193[.]233[.]254[.]218[.]211[.]2[.]9789[.]23[.]96[.]203
DOMINIO:
12301230[.]co40031[.]cosamuelelena[.]coi[.]ibb[.]com
EMAIL:
HASH:
83654c500c68418142e43b31ebbec040d9d36cfbbe08c7b9b3dc90fabc14801a342b7b89082431c1ba088315c5ee81e89a94e36663f2ab8cfc27e17f7853ca2b56856e1e275cebcd477e3a2995cd76398cfbb6c210181a14939c6307a82e6763
Fuentes
Prioridad: Crítica | Nuevo ataque RAMBO: Exfiltración de datos desde redes aisladas mediante señales de RAM |
Investigadores han descubierto un nuevo ataque llamado RAMBO (Radiation of Air-gapped Memory Bus for Offense) que utiliza las señales de radio emitidas por la memoria RAM para robar datos de redes aisladas (air-gapped). Esta técnica permite que un malware genere y modifique señales electromagnéticas desde la RAM, transmitiendo información sensible como claves de cifrado, imágenes y datos biométricos a través de frecuencias de reloj. Estas señales pueden ser interceptadas y decodificadas a distancia utilizando un receptor de radio SDR y una antena común.
Aunque RAMBO sigue dependiendo de una intrusión inicial en la red aislada, ya sea mediante dispositivos USB infectados o ataques a la cadena de suministro, su capacidad para extraer datos en tiempo real y a velocidad considerable es alarmante. El ataque demuestra una vez más las vulnerabilidades inherentes a las emisiones no intencionadas de hardware, exponiendo a redes altamente seguras a nuevas formas de exfiltración de datos.
Recomendaciones:
Implementar zonas de transferencia "rojo-negro" y monitorear el acceso a la memoria a nivel de hipervisor.
Utilizar jaulas de Faraday para bloquear señales de radio no autorizadas y limitar la capacidad de transmisión electromagnética de los dispositivos.
Indicadores de Compromiso (IoC):
IP:
31[.]41[.]244[.]4
HASH:
83e0c0330fdb545d9c8484693aec7b77071c4458911db57784a6c7ca73c6d87e,6e0371adda7da5aae352725e28485baa766eb71e,9f90e8f94ee58d05724b775bc1972b56f6830ea56cb3410e60eab4b26480b3011ad11e8b27c8859875f96b9464ee2a720cac5248b2e5bf04d4e0b0f0f53c5b26
Fuentes
Prioridad: Crítica | Nuevo malware Vo1d infecta más de 1.3 millones de dispositivos Android de streaming |
Un nuevo malware denominado Vo1d ha comprometido más de 1.3 millones de cajas de streaming que operan con versiones del sistema operativo Android Open Source Project (AOSP). Este malware permite a los atacantes tomar el control completo de los dispositivos afectados, ejecutando comandos remotos y descargando software malicioso adicional. Los dispositivos comprometidos se encuentran principalmente en países como Brasil, Rusia, y Arabia Saudita, y presentan una amenaza significativa debido a la obsolescencia de su software, que facilita el aprovechamiento de vulnerabilidades para obtener permisos de root.
El malware Vo1d utiliza un sistema modular, donde sus componentes trabajan en conjunto para persistir en el dispositivo y lanzar ataques al reiniciarse. Las versiones comprometidas de Android modifican scripts clave del sistema para asegurar su permanencia y control continuo. La infección parece estar vinculada a versiones no oficiales de firmware con acceso root preconfigurado, lo que expone a los usuarios a altos riesgos de explotación remota.
Recomendaciones:
Actualizar el firmware de los dispositivos y evitar el uso de versiones no certificadas.
Desconectar dispositivos infectados de la red para prevenir la explotación remota y limitar la descarga de aplicaciones desde fuentes no oficiales.
Indicadores de Compromiso (IoC):
DOMINIO:
hxxp[:]//meiboot[.]com/hxxp[:]//bitemores[.]com/hxxp[:]//6f33933ce4a5c0e1b32fea736a61351a[.]com/hxxp[:]//catmos99[.]com:81/
HASH:
f3732871371819532416cf2ec03ea103a3d61802,637c491d29eb87a30d22a7db1ccb38ad447c8de8,42def5b7eb8b1bcc727739cca98efe42c022a3f6,8399c41b0d24c30391d7fba6b634ba29c0440007,e5b16486eebd6c6f7c45197f530e854a4f1373dd,51bd967bd7d59a8a9db8083094603a9d10e61ded,0b3c8113e996ac4e08552761731f9f97b8f0f6a2,0d51c034a6deda4d2db21c5852b8ceb8a1e1c68b,9dcc109ac2c5f873ece422aed0687ba21d594e9b,e5406ae7482c0062cedafbd118a493ab8b7fe530,e34c6a13ccbecf7560d4cb8a32872b8aabd5f8db,3e21821a1e6edb684f3931d685b908d4a8df3f19,b1cf85aaf1a355677534ea12c19b034c656804ec,ed975255eba30345de74936e24b9b3090f26ed7e,3ce81fbb1d968e01e970c4c673a7eeb61c247c85,0c7f9f33a40a6028dbef416b2385876c87f1bd48,6e06d0decf5e211183a751b206dd533f91c13b22,7f87f9f059a58eb830d59af5bcb29c612b2a6ccf,9fcdfb9cadabe12283a002755a27a4a68a101949,25f93476cb8dc6a7f727a88ece0c5a0c19157c0b,3a4d90b9911e7e582cf3279b15f2f822a5bb2823,b315be9d64e22960f6072aac60538b13d50da054,618b98eb97f38ffa7b384b0932fd4b92c8877f60,b474c279da7b08fd64f92b0781e2663bf6cbb4b6
Fuentes
Prioridad: Crítica | Repellent Scorpius: Nueva amenaza de ransomware con el peligroso Cicada3301 |
El grupo Repellent Scorpius ha surgido como un nuevo actor en el ecosistema del ransomware-as-a-service (RaaS), distribuyendo el peligroso malware Cicada3301. Identificado por primera vez en mayo de 2024, este grupo opera bajo un esquema de doble extorsión, donde no solo encripta los datos de las víctimas, sino que amenaza con publicar la información robada si no se paga el rescate. Utilizan herramientas avanzadas como PsExec y Rclone para moverse lateralmente en la red y exfiltrar datos, empleando un ransomware escrito en Rust con cifrado ChaCha20.
Repellent Scorpius ha establecido un programa de afiliados para reclutar socios y acceder a credenciales robadas compradas a brokers. Esto les ha permitido expandir rápidamente su número de víctimas. Aunque su actividad se ha centrado en regiones específicas, ya se anticipa un aumento en los ataques con Cicada3301 en los próximos meses. Las técnicas utilizadas indican que el grupo aprovecha vulnerabilidades existentes y datos previamente comprometidos, lo que aumenta el riesgo de ataques devastadores en diferentes sectores.
Recomendaciones:
Implementar autenticación multifactor (MFA) y monitorizar las conexiones RDP.
Utilizar herramientas de seguridad que detecten movimientos laterales y cifrados sospechosos, como la monitorización de procesos con PsExec o Rclone.
Indicadores de Compromiso (IoC):
IP:
103.42.240[.]3791.238.181[.]238
DOMAIN:
cicadabv7vicyvgz5khl7v2x5yygcgow7ryy6yppwmxii4eoobdaztqd[.]onion/
HASH:
8ec114b29c7f2406809337b6c68ab30b0b7f0d1647829d56125e84662b84ea74,0260258f6f083aff71c7549a6364cb05d54dd27f40ca1145e064353dd2a9e983,2d73b3aefcfbb47c1a187ddee7a48a21af7c85eb49cbdcb665db07375e36dc33,3969e1a88a063155a6f61b0ca1ac33114c1a39151f3c7dd019084abd30553eab,56e1d092c07322d9dad7d85d773953573cc3294b9e428b3bbbaf935ca4d2f7e7
Fuentes
Prioridad: Crítica | Nuevo malware BLX: Un ladrón de datos en desarrollo con gran potencial de daño |
Recientes investigaciones han revelado la presencia de BLX Stealer, un malware en desarrollo distribuido a través de plataformas populares como GitHub, Telegram y Discord. Este software malicioso está diseñado para robar información confidencial, incluyendo credenciales de acceso y datos financieros. BLX utiliza técnicas avanzadas de evasión y persistencia, como la detección de entornos virtuales y la autoejecución tras cada reinicio del sistema. Su objetivo principal son las cuentas personales y criptomonedas, y es capaz de infiltrarse en múltiples aplicaciones, incluidas mensajeros y plataformas de juegos.
BLX Stealer se caracteriza por su capacidad de recopilar una amplia gama de datos sensibles, como historiales de navegación, cookies, credenciales de Telegram y tokens de Discord, además de apuntar a monederos de criptomonedas como MetaMask y Binance. Aunque todavía se encuentra en desarrollo, este malware ya está siendo promocionado en línea por sus creadores, y es probable que sus futuras versiones incluyan funcionalidades más complejas y una lista de objetivos más extensa.
Recomendaciones:
Evitar descargar software de fuentes no oficiales y ser cauteloso con enlaces sospechosos en correos electrónicos o plataformas de mensajería.
Instalar y mantener actualizado un software antivirus confiable que permita detectar y eliminar amenazas de forma proactiva.
Indicadores de Compromiso (IoC):
IP:
104[.]26[.]12[.]205104[.]26[.]13[.]205159[.]89[.]102[.]253172[.]67[.]74[.]152
HASH:
7cccfafd00332ac9c9f6ac0112cc0653991eb169943919e55d05f3fa15929821, d73c1848a067a0fd094423213dc1e855b5b29b0b441f0bcb315feb90d662972e, 5a008270f7254f5ca861e9936f4b5b7a23c04d63165895234fd1782bc03ec0e5, 3919b11194f130d310dfe08bdce2891c5b64f2703107f53a5a1cbc016fdb609f, 7ef5a24efde1748c0eb12c5817b14cfe1397ae968489a7824a269d02c8223cee
Fuentes
Prioridad: Crítica | Troyano multifuncional SmokeLoader que mina criptomonedas y compromete la seguridad del sistema |
Se ha identificado una nueva actividad maliciosa relacionada con SmokeLoader, un troyano diseñado para descargar y propagar otros virus, como el minero XMR, utilizado para minería ilícita de criptomonedas. SmokeLoader se distribuye principalmente a través de correos electrónicos con archivos adjuntos maliciosos. Una vez que infecta el sistema, este troyano se conecta a servidores remotos, modifica los archivos del sistema para evitar su detección y descarga otros tipos de malware. Además, SmokeLoader compromete la privacidad al recopilar información sensible y secuestrar navegadores y programas de comunicación.
Este malware representa una amenaza significativa tanto por su capacidad de afectar el rendimiento del equipo al utilizar recursos para la minería de criptomonedas, como por la posibilidad de robar datos confidenciales. Al modificar las fechas de creación de los archivos y cifrar el tráfico, SmokeLoader dificulta la detección por parte de las soluciones de seguridad, lo que aumenta su peligrosidad y la necesidad de una eliminación inmediata.
Recomendaciones:
Implementar políticas de seguridad estrictas para filtrar correos sospechosos y evitar la descarga de archivos no verificados.
Utilizar soluciones antivirus y antimalware confiables para la detección y eliminación proactiva de amenazas como SmokeLoader.
Indicadores de Compromiso (IoC):
HASH:
064c59b3a8b03e6c733f88483fd675d99bc805399c55d4a1a7b613aa20d08de8,0654f16d4c2f7738d68e87ad0afedfe8e534bf1c17073d969a0e4a0a6383df2e,06d2686cd1635c0ae8ba731b309726a445ffc193705901b676482b2f529c4caf,083ebd62bc39fe5f32cde8c74135e4c7228177491947b220b1f5f4be31dbbdc9,0a37ce10735d313ff079296125f25ee90a74fdb5aa87d9b5f1642998c62cf05e,0abaa3ea4fb7a0ed5d63d8bce56112c8544472252ea1f8a9e295d9672d5e0168,18b275bc2019a1023703c48af79133bc6bdfce5ea68b72837c3ea96244d0ea7d,1b6aae6fceb4216e96568b119b18ae066bd6d34f4ee88e8e48f339c0fe467dcc,1c275f2eb2036dbd689d38d3b7c7ff09e49c958599df532fb4e9e4fd10b1861a
Fuentes
Prioridad: Crítica | El troyano njRAT de acceso remoto ampliamente distribuido y de fácil uso para atacantes |
Se ha detectado una nueva actividad maliciosa relacionada con njRAT, un troyano de acceso remoto (RAT) que se distribuye de manera masiva debido a su fácil acceso y a la abundancia de información educativa disponible. Este malware, conocido por su versatilidad, permite a los atacantes tomar el control remoto de sistemas infectados, lo que facilita el robo de información, espionaje y el control de la máquina afectada. Herramientas como njRAT son peligrosas, no solo por su capacidad de infiltración, sino por la facilidad con la que los ciberdelincuentes pueden aprender a utilizarla, con numerosos tutoriales disponibles en plataformas como YouTube.
El análisis de seguridad de un archivo malicioso denominado "Server.exe" ha confirmado que este ejecutable está asociado con njRAT. Una vez instalado, el troyano permite al atacante ejecutar comandos remotos, capturar información sensible y desplegar otros tipos de malware en el dispositivo comprometido. Las variantes de njRAT han sido ampliamente utilizadas para tomar el control de sistemas Windows, y este caso no es la excepción. La capacidad de este malware para persistir en el sistema y su amplia distribución lo convierten en una amenaza significativa.
Recomendaciones:
Implementar soluciones de monitoreo de red para detectar comportamientos sospechosos relacionados con njRAT, como conexiones remotas no autorizadas.
Realizar análisis regulares de seguridad con herramientas antivirus avanzadas y actualizar las definiciones de malware de manera continua para prevenir infecciones.
Indicadores de compromiso (IoC):
HASH:
04bcf38fe795bd3884ba28e2b28d7848cdaf880b057d9d8263629901220fdf7f,076efef63c51577044a06216c84e1acb0f70f8297fdf514e914fd8c25e2069d2,0a9098bba351186ee13496207e7334293067b56fee60e9f9dfdf3e9ed1c1964d,0b4d8a626297140778de69d812c0e5024a948decd5e35cc5c101e485c2002cf7,0dda88d7337e3546f70f942ec28860567277cb64e230e2fa281df7f589bce8b4,0ff34979bd780fdaabef5d9f97d20499ef8c60aaf7e82200c822894d8ecd8cb5,116d9ccab0f891e59fcfcaef9f2f7252a482e6bd29e3e88c7409f39c5a4e3b5a,1619172a202b25aff96beb80b21fbda70ed92237a88a7a4d990f5de77b19677d,1729c5b2ca53abe5d0e67535766860ebba91dc23b8575ac5b6fc8ca33167de14,20e60612fdd5009c5e3357ab5ff5b48852d26ee470b8ddd2099ea25b21af5964,24da489ea8a9ee7c2a48ca0ed426b84bf502a99e338333bd14aea94857d1dd0d
Fuentes
Prioridad: Crítica | Raptor Train: La Botnet IoT que aumenta la amenaza global |
La botnet IoT Raptor Train, descubierta por Black Lotus Labs, ha comprometido más de 200,000 dispositivos a nivel global, afectando desde pequeños enrutadores hasta cámaras IP y servidores NAS. Esta red, presuntamente controlada por el grupo de hackers Flax Typhoon vinculado a China, ha estado activa desde 2020 y ha crecido exponencialmente en los últimos años. A pesar de no haber sido usada aún en ataques DDoS, Raptor Train ya ha ejecutado operaciones cibernéticas contra sectores sensibles en EE.UU. y Taiwán, como el gobierno, la defensa y la industria tecnológica. La estructura jerárquica de esta botnet, que utiliza tres niveles de nodos de control, la hace altamente resiliente y difícil de desmantelar.
La capacidad de Raptor Train para explotar vulnerabilidades en dispositivos IoT comunes, junto con la implicación de actores estatales, sugiere una campaña a largo plazo de espionaje cibernético y posibles ataques destructivos en el futuro. Su foco en sectores estratégicos como la industria de defensa y la educación superior resalta la necesidad urgente de mejorar la ciberseguridad en entornos IoT, ya que muchos de estos dispositivos aún operan con configuraciones de seguridad mínimas o desactualizadas.
Recomendaciones:
Realizar auditorías regulares de seguridad en dispositivos IoT y actualizar el firmware a las versiones más recientes.
Implementar segmentación de red y restricciones de acceso para reducir el riesgo de que dispositivos comprometidos afecten a sistemas críticos.
Indicadores de compromiso (IoC):
DOMAIN:
hy92[.]com
hy830[.]com
hy529[.]com
hy229[.]com
hy324[.]com
ecvkiehs[.]com
hfsdln[.]com
osiso[.]com
bcdkwwuah[.]com
cvmnomvxm[.]com
cvgeuwo[.]com
lofeuq[.]com
lznmihdej[.]com
fajxtg[.]com
grntjr[.]com
oploz[.]com
mudvw[.]com
amdord[.]com
mvxnspcqr[.]com
adjsn[.]com
ttcyci[.]com
glxxet[.]com
nmfagp[.]com
rnjca[.]com
woaba[.]com
bxgtbv[.]com
ykcmewapc[.]com
HASH:
2aa12e5989065951be84ce932b65bd197dd6be3fa987838bad48536c0c74d145,c6fe1748e68923f278926ee8679aaee22800b9c93c38641d12ea0e945e116bb0,546390a3a296154e36051dda745b573658311f9831789bb1faca411a3803a9bb,
Fuentes
Prioridad: Crítica | RansomHub Ataca a los Tribunales Tributarios y Aduaneros de Chile |
El ataque de ransomware perpetrado por RansomHub contra los Tribunales Tributarios y Aduaneros de Chile representa una clara evolución en las tácticas de este grupo, que se ha consolidado rápidamente como una de las amenazas más activas de 2024. El uso de un cifrador para entornos Linux, VMware y ESXi muestra la capacidad de adaptación de RansomHub para comprometer infraestructuras críticas, lo que plantea serios riesgos para sectores gubernamentales y empresariales. La elección de Chile como objetivo subraya la expansión de este grupo más allá de los ataques habituales a grandes corporaciones, buscando impactar en organismos públicos estratégicos.
Además, la implementación de ransomware desarrollado en Golang y C++ les otorga la versatilidad necesaria para atacar una variedad de sistemas operativos, ampliando el alcance de sus ataques. La creciente sofisticación de sus herramientas, junto con su enfoque en ganar reputación dentro de la comunidad de ciberdelincuentes, sugiere que seguirán apuntando a sectores vulnerables. Esto enfatiza la importancia de fortalecer las defensas cibernéticas en infraestructuras críticas, donde una interrupción puede tener repercusiones económicas y sociales graves.
Recomendaciones:
Implementar planes de contingencia que incluyan copias de seguridad fuera de línea y encriptadas.
Fortalecer las políticas de seguridad en entornos virtualizados como VMware y ESXi mediante parches regulares y monitoreo continuo.
Indicadores de Compromiso (IoC):
DOMAIN:
mockup-external-poc-server[.]comnonamef5njcxkghbjequlibwe5d3t3li5tmyqdyarnrsryopvku76wqd[.]onionnoname2j6zkgnt7ftxsjju5tfd3s45s4i3egq5bqtl72kgum4ldc6qyd[.]onionlockbitblog[.]infoencrypting[.]map7tkffbh3qiumpfjfq77plcorjmfohmbj6nwq5je6herbpya6kmgoafid[.]onion
URL:
www[.]lockbitblog[.]info
HASH:
e44422f6853a2a318f937607e9270ec66a374a3e078d1eedd720f8cb838a165c,da414697d21874978dcc58930a63c7f2aa42a23b6e8b9580ad4c94d9311c138d,87738c63f7098c86625e831ccb7867eca336222bb038fe6411ca4a42186f3cc9,34e2b621f15ad4747c7e3dde2be3617841ffacba203b93fd2ff3256b914240f7,8b67a544d7ddbe8e78fad71aab03431dea585c84a229e6d23832d8f449d47ff2,e44422f6853a2a318f937607e9270ec66a374a3e078d1eedd720f8cb838a165c,8b693db1671b09c2fa6550b97ac7830114bace2507950f99f7f8321240e0d03d,285493c54c35e3b571e28fc0816baa4b3833329eeec3649601dd6385a60c8d84,467e49f1f795c1b08245ae621c59cdf06df630fc1631dc0059da9a032858a486,2d823c8b6076e932d696e8cb8a2c5c5df6d392526cba8e39b64c43635f683009
Fuentes
VULNERABILIDADES
Prioridad: Crítica | ZERO DAY – APT-C-60: Vulnerabilidad Zero-Day en WPS Office Permite la Instalación del Malware SpyGlace |
El grupo de ciberespionaje APT-C-60, alineado con Corea del Sur, ha estado explotando una vulnerabilidad zero-day en la versión de Windows de WPS Office para desplegar la puerta trasera SpyGlace en objetivos del este de Asia. Esta vulnerabilidad, rastreada como CVE-2024-7262, permite la ejecución remota de código a través de enlaces maliciosos incrustados en documentos, lo que facilita la instalación de malware en los sistemas afectados. La vulnerabilidad se encuentra en la forma en que WPS Office maneja los enlaces personalizados 'ksoqing://,' permitiendo a los atacantes ejecutar aplicaciones externas sin la debida validación. APT-C-60 ha utilizado documentos en formato MHTML con imágenes señuelo para engañar a las víctimas y activar el exploit.
A pesar de que Kingsoft lanzó parches para CVE-2024-7262 y CVE-2024-7263, la respuesta fue insuficiente, ya que el parche inicial no cerró completamente las brechas de seguridad, permitiendo potencialmente más ataques. El grupo APT-C-60 ha utilizado el malware SpyGlace, que actúa como una puerta trasera diseñada para robar información y realizar otras acciones maliciosas. Esta amenaza subraya la importancia de aplicar las actualizaciones de seguridad lo antes posible para mitigar las vulnerabilidades que pueden ser explotadas de manera remota.
Recomendaciones
Actualizar WPS Office a la versión 12.2.0.17119 o superior para mitigar las vulnerabilidades CVE-2024-7262 y CVE-2024-7263.
Implementar una política de seguridad que limite la interacción con documentos de fuentes no verificadas y refuerce la vigilancia sobre enlaces sospechosos dentro de archivos adjuntos.
Monitorear los sistemas en busca de indicadores de compromiso (IoCs) relacionados con la actividad de APT-C-60 para detectar infecciones tempranas.
Detalles:
CVE CVSS CVE-2024-7262 9.3 CVE-2024-7263 9.3
VENDOR | CVE | DESCRIPCIÓN | PRODUCTO AFECTADO | VERSIÓN AFECTADA |
Kingsoft | CVE-2024-7262 | Validación de ruta incorrecta en promecefpluginhost.exe en Kingsoft WPS Office permitía a un atacante cargar una biblioteca de Windows arbitraria a través de un documento de hoja de cálculo engañoso. | Kingsoft WPS Office | 12.2.0.13110 a 12.2.0.16412 (excluyendo) |
Kingsoft | CVE-2024-7263 | Validación de ruta incorrecta en promecefpluginhost.exe en Kingsoft WPS Office permitía a un atacante cargar una biblioteca de Windows arbitraria. El parche para CVE-2024-7262 fue insuficiente. | Kingsoft WPS Office | 12.2.0.13110 a 12.2.0.17115 (excluyendo) |
Fuentes
Prioridad: Crítica | Exploit RCE de Ivanti Virtual Traffic Manager Expone la Urgencia de Mejorar la Ciberseguridad |
La reciente filtración de datos en Verkada y el lanzamiento del exploit de ejecución remota de código (RCE) en Ivanti Virtual Traffic Manager resaltan la importancia crítica de las medidas de ciberseguridad. Verkada ha acordado pagar 2,95 millones de dólares tras una demanda colectiva, resultado de su incapacidad para proteger los datos confidenciales de sus usuarios. Este incidente pone en evidencia los riesgos financieros y reputacionales que las empresas enfrentan cuando no priorizan la protección de la información sensible. La filtración, que provocó un gran revuelo, subraya la necesidad de fortalecer las defensas y garantizar la privacidad de los datos a través de medidas preventivas y reactivas.
El caso de Ivanti Virtual Traffic Manager no es diferente. Con el reciente lanzamiento de un exploit RCE, se ha puesto en relieve la vulnerabilidad de infraestructuras críticas. Las empresas deben actuar rápidamente para implementar parches de seguridad y protegerse contra ataques que podrían comprometer datos confidenciales y sistemas clave. Estos incidentes sirven como recordatorio de que la seguridad cibernética no es solo una obligación legal, sino una responsabilidad esencial para mantener la confianza de los usuarios y evitar daños irreparables.
Recomendaciones
Aplicar de inmediato los parches de seguridad de Ivanti Virtual Traffic Manager para mitigar riesgos de ejecución remota de código.
Revisar y fortalecer las políticas de ciberseguridad internas, asegurando la protección de los datos confidenciales.
Implementar auditorías regulares de seguridad para detectar posibles vulnerabilidades antes de que sean explotadas.
Detalles:
CVE CVSS
CVE-2024-7593 9.8
VENDOR | CVE | DESCRIPCIÓN | PRODUCTO AFECTADO |
Ivanti | CVE-2024-7593 | VALOR PREDETERMINADO INSEGURO EN EL FLUJO DE TRABAJO DE FILECATALYST | vTM |
Fuentes
Prioridad: Crítica | Zyxel Parchea Vulnerabilidad Crítica en Dispositivos Wi-Fi: Riesgo de Ejecución Remota de Comandos |
Zyxel ha emitido un aviso urgente sobre una vulnerabilidad crítica, identificada como CVE-2024-7261, que afecta a varios de sus puntos de acceso (AP) y enrutadores de seguridad. Con una puntuación CVSS de 9,8, la falla permite que atacantes envíen cookies maliciosas a dispositivos vulnerables, logrando ejecutar comandos del sistema operativo sin necesidad de autenticación. Esta vulnerabilidad representa un riesgo severo, ya que podría facilitar el compromiso total de redes, filtración de datos y la interrupción de servicios críticos en las organizaciones que dependen de estos dispositivos para su conectividad.
Zyxel ha lanzado rápidamente parches de firmware para corregir esta falla y ha instado a todos los usuarios afectados a actualizar sus dispositivos de inmediato. La explotación de esta vulnerabilidad podría tener consecuencias graves en entornos empresariales y domésticos, donde los dispositivos de red juegan un rol fundamental en la seguridad de la información. No aplicar estas actualizaciones expone a las organizaciones a posibles ataques que podrían comprometer su infraestructura y datos sensibles.
Recomendaciones
Actualizar inmediatamente el firmware de todos los dispositivos Zyxel afectados para mitigar la vulnerabilidad CVE-2024-7261.
Implementar monitoreo continuo en las redes para detectar intentos de explotación de dispositivos vulnerables.
Revisar las configuraciones de seguridad de los puntos de acceso y enrutadores, asegurando el uso de contraseñas seguras y la desactivación de accesos remotos no autorizados.
Detalles:
CVE CVSS CVE-2024-7261 9.8
VENDOR | CVE | DESCRIPCIÓN |
Zyxel | CVE-2024-7261 | LA NEUTRALIZACIÓN INADECUADA DE ELEMENTOS ESPECIALES EN EL PARÁMETRO "HOST" EN EL PROGRAMA CGI DE ZYXEL. |
PRODUCTO AFECTADO: Zyxel AP
NWA50AX: 7.00(ABYW.1) and earlier PRODUCTO AFECTADO: Zyxel Router NWA50AX PRO: 7.00(ACGE.1) and earlier NWA55AXE: 7.00(ABZL.1) and earlier NWA90AX: 7.00(ACCV.1) and earlier NWA90AX PRO: 7.00(ACGF.1) and earlier NWA110AX: 7.00(ABTG.1) and earlier NWA130BE: 7.00(ACIL.1) and earlier NWA210AX: 7.00(ABTD.1) and earlier NWA220AX-6E: 7.00(ACCO.1) and earlier NWA1123-AC PRO: 6.28(ABHD.0) and earlier NWA1123ACv3: 6.70(ABVT.4) and earlier WAC500: 6.70(ABVS.4) and earlier WAC500H: 6.70(ABWA.4) and earlier WAC6103D-I: 6.28(AAXH.0) and earlier WAC6502D-S: 6.28(AASE.0) and earlier WAC6503D-S: 6.28(AASF.0) and earlier WAC6552D-S: 6.28(ABIO.0) and earlier WAC6553D-E: 6.28(AASG.2) and earlier WAX300H: 7.00(ACHF.1) and earlier WAX510D: 7.00(ABTF.1) and earlier WAX610D: 7.00(ABTE.1) and earlier WAX620D-6E: 7.00(ACCN.1) and earlier WAX630S: 7.00(ABZD.1) and earlier WAX640S-6E: 7.00(ACCM.1) and earlier WAX650S: 7.00(ABRM.1) and earlier WAX655E: 7.00(ACDO.1) and earlier WBE530: 7.00(ACLE.1) and earlier WBE660S: 7.00(ACGG.1) and earlier USG LITE 60AX: V2.00(ACIP.2)
Fuentes
Prioridad: Crítica | Veeam soluciona 18 vulnerabilidades críticas en su software, incluidas 5 de alta gravedad |
Veeam ha lanzado actualizaciones de seguridad para corregir 18 vulnerabilidades en sus productos, incluidas cinco críticas que permiten la ejecución remota de código (RCE). Entre las más graves están CVE-2024-40711 (con una puntuación de 9.8 CVSS), que afecta a Veeam Backup & Replication, y CVE-2024-42024 (CVSS 9.1), que permite la ejecución remota de código si el atacante tiene las credenciales del servicio Agent. Estas fallas exponen a los usuarios de Veeam a ataques como la filtración de hashes NTLM o la carga de archivos maliciosos en servidores vulnerables.
La actualización también aborda 13 vulnerabilidades adicionales que podrían permitir la escalación de privilegios, eludir la autenticación multifactor (MFA) y ejecutar código con permisos elevados. Con el creciente interés de los actores de amenazas en explotar estas vulnerabilidades, es fundamental que los usuarios actualicen inmediatamente sus sistemas para reducir el riesgo de explotación, ya que se ha observado un aumento en los casos de ransomware vinculados a Veeam en 2024.
Recomendaciones:
Actualizar a las versiones más recientes de los productos Veeam indicados.
Implementar políticas de monitoreo de credenciales y reforzar la seguridad en los sistemas que utilicen Veeam para evitar accesos no autorizados.
Detalles:
CVE CVSS
CVE-2024-40711 9.8 CVE-2024-42024 9.1 CVE-2024-42019 9 CVE-2024-38650 9.9 CVE-2024-39714 9.9
VENDOR | CVE | DESCRIPCIÓN | PRODUCTO AFECTADO |
Veeam | CVE-2024-40711 | Una vulnerabilidad en Veeam Backup & Replication que permite la ejecución remota de código no autenticado. | Veeam Backup & Replication |
Veeam | CVE-2024-42024 | Una vulnerabilidad en Veeam ONE que permite a un atacante con credenciales de la cuenta del servicio Agent ejecutar código remotamente en la máquina subyacente. | Veeam ONE |
Veeam | CVE-2024-42019 | Una vulnerabilidad en Veeam ONE que permite a un atacante acceder al hash NTLM de la cuenta del servicio Veeam Reporter Service. | Veeam ONE |
Veeam | CVE-2024-38650 | Una vulnerabilidad en Veeam Service Provider Console (VPSC) que permite a un atacante con pocos privilegios acceder al hash NTLM de la cuenta de servicio en el servidor. | Veeam Service Provider Console (VPSC) |
Veeam | CVE-2024-39714 | Una vulnerabilidad en VPSC que permite a un usuario con pocos privilegios cargar archivos arbitrarios en el servidor, lo que resulta en la ejecución remota de código. | Veeam Service Provider Console (VPSC) |
Fuentes
Prioridad: Crítica | GitLab corrige vulnerabilidad crítica que permite la ejecución no autorizada de trabajos en pipelines |
GitLab ha lanzado una actualización de seguridad para corregir 17 vulnerabilidades, incluida una falla crítica (CVE-2024-6678, CVSS 9.9) que permite a atacantes ejecutar trabajos en pipelines como cualquier usuario arbitrario. Este problema afecta a todas las versiones de GitLab CE/EE desde la 8.14 hasta la 17.3.2. Aunque no se ha detectado explotación activa de esta vulnerabilidad, GitLab recomienda aplicar las actualizaciones lo antes posible.
Esta vulnerabilidad es la cuarta de alta gravedad que GitLab corrige en el último año, resaltando la importancia de mantener el software actualizado. La explotación de este tipo de fallas podría comprometer la seguridad de proyectos y datos críticos en entornos de desarrollo.
Recomendaciones:
Actualizar GitLab a las versiones 17.3.2, 17.2.5 o 17.1.7 de inmediato.
Monitorear los pipelines y la actividad de usuarios para detectar comportamientos anómalos.
Detalles:
CVE CVSS
CVE-2024-6678 9.9
CVE-2023-5009 9.6
CVE-2024-5655 9.6
CVE-2024-6385 9.6
CVE-2023-7028 10
VENDOR | CVE | DESCRIPCIÓN | PRODUCTO AFECTADO | VERSIÓN AFECTADA |
GitLab | CVE-2024-6678 | Una vulnerabilidad en GitLab CE/EE que permite a un atacante ejecutar trabajos de pipeline como un usuario arbitrario bajo ciertas circunstancias. | GitLab CE/EE | 8.14 hasta 17.1.7, 17.2 hasta 17.2.5, y 17.3 hasta 17.3.2 |
GitLab | CVE-2023-5009 | Vulnerabilidad crítica en GitLab que permite la ejecución de código remoto o la alteración de los pipelines de manera no autorizada. | GitLab CE/EE | 9.6 |
GitLab | CVE-2024-5655 | Vulnerabilidad que permite a los atacantes aprovecharse de pipelines para ejecutar código como un usuario arbitrario. | GitLab CE/EE | 9.6 |
GitLab | CVE-2024-6385 | Vulnerabilidad en GitLab que permite la ejecución no autorizada de código a través de trabajos de pipeline. | GitLab CE/EE | 9.6 |
GitLab | CVE-2023-7028 | Una vulnerabilidad crítica en GitLab que ha sido explotada activamente, permitiendo la ejecución de código con privilegios elevados. | GitLab CE/EE | 10 |
Fuentes
Prioridad: Crítica | Ivanti lanza actualizaciones urgentes para vulnerabilidades críticas en Endpoint Manager |
Ivanti ha publicado parches de seguridad para corregir múltiples vulnerabilidades críticas en Endpoint Manager (EPM), incluyendo 10 fallos que permiten la ejecución remota de código. La vulnerabilidad más grave, CVE-2024-29847 (CVSS 10.0), permite a un atacante remoto no autenticado ejecutar código a través de la deserialización de datos no confiables. Además, nueve vulnerabilidades adicionales relacionadas con inyecciones SQL (CVSS 9.1) permiten a atacantes autenticados con privilegios administrativos comprometer aún más los sistemas.
A pesar de que no se han detectado explotaciones activas en entornos reales, Ivanti insta a los usuarios a actualizar a las versiones más recientes de EPM para evitar posibles ataques. Esta oleada de actualizaciones de seguridad sigue a incidentes recientes donde grupos de ciberespionaje han explotado vulnerabilidades de día cero en productos de Ivanti para infiltrarse en redes de interés.
Recomendaciones:
Actualizar inmediatamente a las versiones parcheadas de Endpoint Manager (2024 SU1 o 2022 SU6).
Monitorear el tráfico de red en busca de comportamientos inusuales y revisar la configuración de acceso administrativo en EPM.
Detalles:
CVE CVSS
CVE-2024-29847 10
CVE-2024-32840 9.1
CVE-2024-32842 9.1
CVE-2024-32843 9.1
CVE-2024-32845 9.1
CVE-2024-32846 9.1
CVE-2024-32848 9.1
CVE-2024-34779 9.1
CVE-2024-34783 9.1
CVE-2024-34785 9.1
CVE-2024-6342 9.8
VENDOR | CVE | DESCRIPCIÓN | PRODUCTO AFECTADO | VERSIÓN AFECTADA |
Ivanti | CVE-2024-29847 |
Una vulnerabilidad de deserialización de datos no confiables que permite a un atacante remoto no autenticado ejecutar código. |
Endpoint Manager (EPM) |
2024 y 2022 SU5 y anteriores |
Ivanti | CVE-2024-32840 | |||
Ivanti | CVE-2024-32842 | |||
Ivanti | CVE-2024-32843 | |||
Ivanti | CVE-2024-32845 | |||
Ivanti | CVE-2024-32846 | |||
Ivanti | CVE-2024-32848 | |||
Ivanti | CVE-2024-34779 | |||
Ivanti | CVE-2024-34783 | |||
Ivanti | CVE-2024-34785 | |||
Zyxel | CVE-2024-6342 | Vulnerabilidad de inyección de comandos del sistema operativo en Zyxel NAS326 y NAS542 que permite a un atacante no autenticado ejecutar comandos del sistema operativo. | Zyxel NAS326 y NAS542 | NAS326 V5.21(AAZF.18) y NAS542 V5.21(ABAG.15) |
Fuentes
Prioridad: Crítica | Actualización crítica de seguridad para Red Hat OpenShift Container Platform 4.12 |
Red Hat ha lanzado una actualización de seguridad para OpenShift Container Platform 4.12.66, abordando múltiples vulnerabilidades, incluidas dos críticas que permiten la ejecución de comandos y comprometen la seguridad de los nodos. La primera, CVE-2024-7387, permite inyección de comandos en contenedores privilegiados utilizando la estrategia de construcción Docker, mientras que la segunda, CVE-2024-45496, puede comprometer los nodos de OpenShift a través de pods elevados de Build.
Ambas vulnerabilidades tienen un impacto considerable en la infraestructura de Kubernetes en OpenShift, poniendo en riesgo la integridad de los clústeres y exponiéndolos a ataques remotos. Los usuarios deben actualizar a las nuevas imágenes disponibles para las versiones afectadas en cuanto estas estén disponibles en los canales de lanzamiento, utilizando las herramientas CLI o la consola web de OpenShift.
Recomendaciones:
Actualizar de inmediato a OpenShift Container Platform 4.12.66 siguiendo las instrucciones proporcionadas por Red Hat.
Revisar las configuraciones de seguridad de los pods y aplicar políticas de acceso adecuadas para evitar posibles compromisos de nodos.
Detalles:
CVE CVSS
CVE-2024-45496 9.9
CVE-2024-32004 8.1
CVE-2024-32002 9.0
CVE-2024-7387 9.1
CVE-2024-1975 7.5
VENDOR | CVE | DESCRIPCIÓN | PRODUCTO AFECTADO | VERSIÓN AFECTADA |
Red Hat | CVE-2024-45496 | Path traversal que permite inyección de comandos en BuildContainer privilegiado usando la estrategia de docker build. | OpenShift Container Platform | 4.12.66 y anteriores |
Red Hat | CVE-2024-32004 | Vulnerabilidad en OpenShift que permite comprometer nodos elevando privilegios en los Pods de Build. | OpenShift Container Platform | 4.12.66 y anteriores |
Red Hat | CVE-2024-32002 | Vulnerabilidad que puede permitir la ejecución de código a través de explotación remota de contenedores en OpenShift. | OpenShift Container Platform | 4.12.66 y anteriores |
Red Hat | CVE-2024-7387 | Inyección de comandos debido a traversal de ruta en BuildContainer cuando se utiliza docker build en OpenShift. | OpenShift Container Platform | 4.12.66 y anteriores |
Red Hat | CVE-2024-1975 | Problema de seguridad que podría permitir la escalada de privilegios en contenedores maliciosos ejecutados en nodos de OpenShift. | OpenShift Container Platform | 4.12.66 y anteriores |
Fuentes
PHISHING
Prioridad: Crítica | Nueva campaña de phishing suplanta a Banco Itaú con falsas ofertas de crédito |
El CSIRT ha identificado una nueva campaña de phishing que busca engañar a clientes del Banco Itaú mediante correos electrónicos fraudulentos. Los atacantes prometen un crédito de consumo aprobado por $1.000.000 con condiciones extremadamente favorables, como un 50% de descuento en la tasa de interés y un plazo de 90 días para pagar la primera cuota. Este mensaje es un gancho diseñado para atraer a las víctimas hacia un enlace malicioso que redirige a un formulario fraudulento, utilizado para capturar credenciales bancarias y datos personales.
Este tipo de estafa es particularmente peligrosa porque explota la confianza en instituciones financieras reconocidas. Los usuarios que caen en la trampa pueden perder acceso a sus cuentas o sufrir robo de información confidencial. Los correos electrónicos falsos a menudo replican el formato y el lenguaje de los bancos, haciéndolos difíciles de detectar a simple vista. Es fundamental que los usuarios estén atentos a ofertas que parecen demasiado buenas para ser verdad y que verifiquen siempre la autenticidad de los correos recibidos.