Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 1 - 8 noviembre
Cisco corrige fallo en puntos de acceso URWB que permite ejecución de comandos root
Cisco ha corregido una vulnerabilidad crítica en puntos de acceso Ultra-Reliable Wireless Backhaul (URWB) que permite la ejecución de comandos con privilegios de root. Este fallo, identificado como CVE-2024-20418 y con un CVSSv3 de 10.0 según el fabricante, permite que actores no autenticados realicen ataques de inyección de comandos de baja complejidad sin requerir interacción del usuario.
Según Cisco, la causa es una validación inadecuada en la interfaz de gestión web del software inalámbrico industrial unificado, y un exploit exitoso permitiría ejecutar comandos arbitrarios en el sistema operativo del dispositivo afectado. La vulnerabilidad afecta a puntos de acceso Catalyst IW9165D, IW9165E, e IW9167E cuando operan en modo URWB.
Cisco afirma que no se ha detectado ningún código de explotación disponible ni evidencias de ataques en curso. Los administradores pueden verificar si el modo URWB está activo usando el comando "show mpls-config". Si el comando no está disponible, el modo de funcionamiento URWB está desactivado y el dispositivo no se ve afectado por esta vulnerabilidad.
Corregidas dos vulnerabilidades graves en Chrome
Google ha hecho pública una nueva actualización de su navegador Chrome, que soluciona dos vulnerabilidades de alta gravedad descubiertas por investigadores anónimos. Los fallos, identificados como CVE-2024-10826 y CVE-2024-10827, ambos con una puntuación CVSSv3 de 8.8 según CISA, se corresponden con un error use-after-free identificado en los componentes de Google Chrome Family Experiences y Serial, respectivamente. Un atacante podría explotar los fallos para aprovecharse de problemas de gestión de memoria.
Ambas vulnerabilidades han sido solucionadas mediante la actualización del Stable Channel a la versión 130.0.6723.116/.117 para Windows y Mac y a la versión 130.0.6723.116 para Linux. El fabricante ha anunciado que la actualización se distribuirá a los usuarios en los próximos días o semanas, mientras que la lista completa de cambios se encuentra disponible en el registro de Chrome.
ToxicPanda: nuevo malware dirigido contra Android
El equipo de investigadores de Cleafy ha publicado un análisis en el que informan sobre el descubrimiento de un nuevo software malicioso dirigido contra dispositivos Android que permite a actores de amenazas realizar transacciones bancarias fraudulentas. En concreto, este malware ha sido denominado ToxicPanda, y se cree que ha sido creado por actores de habla china; además, comparte similitudes con otro malware para Android llamado TgToxic al disponer de 61 comandos comunes entre ambos.
Según los expertos, el objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos comprometidos a través de la toma de cuenta (ATO) utilizando una técnica denominada ODF. Además, su método de distribución consiste en suplantar aplicaciones conocidas como Google Chrome, Visa y 99 Speedmart a través de webs fraudulentas.
En cuanto a sus víctimas, la mayoría de los ataques se han reportado en Italia, seguido de Portugal, aunque también se han identificado casos en Hong Kong, España y Perú de usuarios de banca minorista.
Nuevo análisis del ransomware Interlock
El equipo de Cisco Talos Intelligence ha publicado nuevos detalles acerca del ransomware Interlock, activo desde al menos septiembre de 2024. En concreto, Interlock podría haber sido creado por los operadores del ransomware Rhysida debido a las similitudes entre las técnicas y los binarios de cifrado de ambos grupos. Durante el incidente en el que Interlock fue detectado y analizado por el equipo de Cisco Talos, el atacante obtuvo acceso inicial mediante una falsa actualización de Google Chrome que era descargada de una URL legítima comprometida.
Dicho archivo era un ejecutable que contenía un Troyano de Acceso Remoto (RAT) y que, a su vez, descargaba un stealer de credenciales y un keylogger. Finalmente, el atacante desplegaba el binario del ransomware, que se hacía pasar por un archivo legítimo, y cifraba los archivos de los dispositivos infectados para posteriormente solicitar un rescate a las víctimas.
Detectada una nueva táctica denominada ClickFix
Investigadores de Sekoia han analizado una nueva táctica denominada ClickFix, mediante la que actores maliciosos utilizan páginas falsas de Zoom y Google Meet para distribuir malware utilizando herramientas legítimas. En concreto, se muestra a los usuarios un falso mensaje de error por un problema con el micrófono o los auriculares, indicando que pulsen “Windows + R” para abrir el cuadro de diálogo Ejecutar.
Tras esto, se indica que peguen y ejecuten comandos maliciosos, relacionados normalmente con scripts PowerShell para descargar y ejecutar cargas útiles. La técnica aprovecha la apariencia de legitimidad para reducir las posibilidades de ser detectado. Para infectar dispositivos macOS se descarga un archivo .dmg que ejecuta el malware directamente. Para Windows, se utilizan dos cadenas de infección principales: una utiliza un comando Mshta malicioso, mientras que la otra emplea PowerShell.
A fin de detectar y prevenir esta actividad maliciosa, se recomienda monitorizar procesos como mshta.exe o bitsadmin.exe iniciados por Explorer.exe, así como las solicitudes de red sospechosas realizadas por dichos procesos, además del empleo de sistemas EDR para identificar estos patrones.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
