Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 1 - 6 septiembre
Actores norcoreanos explotan en sus operaciones 0-day en Chrome
El equipo de investigadores de Microsoft ha publicado una investigación en la que señala que el grupo malicioso norcoreano denominado Citrine Sleet, o también conocido como AppleJeus, UNC4736 o Hidden Cobra, estaría explotando en sus operaciones un fallo de seguridad en Chrome. En concreto, dicha vulnerabilidad se trataría de la 0-day registrada como CVE-2024-7971, CVSSv3 de 8.8, que se debe a una debilidad por confusión de tipos en el motor de JavaScript V8 de Chrome, permitiendo una ejecución de código remoto.
Dicha vulnerabilidad fue parcheada la pasada semana, aunque el indicado grupo norcoreano estaría apuntando contra instituciones financieras, centrándose en organizaciones de criptomonedas e individuos asociados, con el fin de conseguir un beneficio económico mediante la explotación del fallo de seguridad y con el objetivo de distribuir el rootkit FudModule después de obtener privilegios de SISTEMA en los dispositivos afectados.
Detectada una vulnerabilidad crítica en routers TP-Link
Recientemente fue identificada una vulnerabilidad crítica en los routers TP-Link RE365 V1_180213, que los expone a ser explotados de forma remota y potencialmente permite su control total. La vulnerabilidad, identificada como CVE-2024-42815 y con una puntuación CVSSv3 de 9.8 según la CISA, surge de un desbordamiento de búfer en el servidor HTTP del router, causado por la falta de verificación en la longitud de la cabecera "User-Agent" en solicitudes HTTP GET.
Esto permite que atacantes envíen solicitudes especialmente diseñadas, provocando el bloqueo del dispositivo o una ejecución de código malicioso. Asimismo, la explotación de esta vulnerabilidad podría llevar a la denegación de servicio o al control completo del router y la red.
✅ TP-Link ha lanzado un parche para mitigar el riesgo. Por lo tanto, se recomienda encarecidamente a los usuarios que actualicen el firmware lo antes posible.
Zyxel corrige vulnerabilidad crítica en puntos de acceso y routers empresariales
Zyxel ha emitido parches de seguridad para corregir una vulnerabilidad crítica en varios de sus routers empresariales y puntos de acceso (AP), que podría permitir a atacantes no autenticados inyectar comandos en el sistema operativo mediante el envío de una cookie manipulada a un dispositivo vulnerable.
El fallo, identificado como CVE-2024-7261 y con una puntuación CVSSv3 de 9.8 según fabricante, se debe a una incorrecta neutralización de elementos especiales en el parámetro “host” del programa CGI de algunas versiones de puntos de acceso y routers.
✅ Los modelos afectados incluyen las series NWA, WAC, WAX y WBE, que requieren parches específicos para corregir la vulnerabilidad, por lo que se recomienda aplicarlos a la mayor brevedad posible. Zyxel también señala que el router USG LITE 60AX no requiere ninguna acción ya que se actualiza automáticamente.
Vulnerabilidades críticas en productos de Veeam
La compañía Veeam ha lanzado parches de seguridad para corregir hasta un total de 18 vulnerabilidades de gravedad alta y crítica que afectan a varios de sus productos como Veeam Backup & Replication, Service Provider Console y One. En concreto, de entre las vulnerabilidades 5 son consideradas críticas, siendo la más destacada la registrada como CVE-2024-40711, CVSSv3 de 9.8, que afecta a VBR y la cual un actor malicioso sin autenticación podría explotarla para realizar ejecución de código remoto.
Las otras cuatro vulnerabilidades críticas han sido clasificadas como CVE-2024-42024, CVSSv3 de 9.1, CVE-2024-42019, CVSSv3 de 9.0, CVE-2024-38650, CVSSv3 de 9.9 y CVE-2024-39714, CVSSv3 de 9.9 que afectan a las versiones 8.1.0.21377 y anteriores de Service Provider Console y a las versiones 12.1.0.3208 y anteriores de los productos ONE.
✅ Desde Veeam recomiendan a sus usuarios actualizar sus activos Veeam ONE a la versión 12.2.0.4093 y Veeam Service Provider Console a la versión 8.1.0.21377 para corregir los problemas.
Actores maliciosos utilizan MacroPack para distribuir malware
Cisco Talos descubrió que varios actores maliciosos están usando la herramienta de generación de macros MacroPack, originalmente diseñada para equipos de Red Team, para desplegar cargas útiles como Brute Ratel, Havoc y una nueva variante del troyano de acceso remoto (RAT) PhantomCore. Según se indica, los investigadores observaron varios documentos relacionados de Microsoft Office subidos a VirusTotal entre mayo y julio de 2024 que fueron generados con MacroPack.
Estos documentos maliciosos, subidos desde diferentes fuentes y países, incluyendo China, Pakistán, Rusia y los EE. UU., comparten conexiones entre las cargas útiles mencionadas y utilizan técnicas avanzadas de evasión y ofuscación, dificultando su detección. Sin embargo, a pesar de las similitudes en las tácticas, técnicas y procedimientos (TTP), no se ha podido atribuir las actividades a un solo actor de amenazas.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
____
