Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 10 - 16 agosto
SinkClose: vulnerabilidad que permite instalar malware en procesadores de AMD
AMD ha emitido una advertencia sobre una vulnerabilidad de alta gravedad llamada SinkClose, que afecta a sus procesadores EPYC, Ryzen y Threadripper y que permitiría que un atacante con acceso a nivel del kernel (Ring 0) eleven privilegios a Ring -2. Aunque Sinkclose requiere acceso a nivel de kernel para ser explotada, no es poco habitual que este tipo vulnerabilidades sean usados por actores sofisticados dado que los privilegios de Ring -2 son los que supervisan funciones críticas del sistema como la gestión de energía y la seguridad y posibilitarían, por ejemplo, la instalación de malware casi indetectable.
En cualquier caso, la vulnerabilidad ha sido identificada como CVE-2023-31315 con un CVSS de 7.5 y fue descubierta por los investigadores de IOActive, habiéndose presentado en una charla de DEFCON titulada "AMD SinkClose: Universal Ring-2 Privilege Escalation". AMD ya ha lanzado mitigaciones para los procesadores EPYC y Ryzen, esperándose más parches para otros procesadores próximamente.
Incautados los servidores del grupo de ransomware Dispossessor
El FBI ha anunciado la incautación de los servidores y sitios web empleados por el grupo de ransomware Dispossessor, también conocido como Radar. La operación habría sido llevada a cabo conjuntamente con otras agencias de seguridad, incluyendo la Agencia Nacional contra la Delincuencia del Reino Unido y la Oficina Estatal de Policía Criminal de Baviera (BLKA). Este grupo de ransomware estaría liderado por un individuo conocido como Brain y habría atacado a más de 40 víctimas desde agosto de 2023, afectando a entidades de diversos países, entre ellos Estados Unidos, Argentina, Honduras, India, Canadá, Croacia y Emiratos Árabes Unidos.
De acuerdo con la publicación del FBI, en sus ataques el grupo obtendría acceso inicial a través de la explotación de vulnerabilidades, así como de cuentas con contraseñas débiles y sin doble factor de autenticación. Asimismo, el grupo destaca por la republicación de filtraciones de Lockbit3, afirmando que serían uno de sus afiliados.
Vulnerabilidad crítica en SolarWinds
Recientemente ha sido publicado un aviso de seguridad en donde se informe sobre una vulnerabilidad crítica en la solución Web Help Desk de SolarWinds. En concreto, el fallo de seguridad ha sido registrado como CVE-2024-28986, CVSSv3 de 9.8 según fabricante, y se debe a una deserialización de Java que permitiría a un atacante ejecutar comandos en un sistema vulnerable.
Según SolarWinds, dicha vulnerabilidad se reportó indicando que podría ser aprovechada sin autenticación, sin embargo, el equipo interno de la compañía concluyó que solo se puede realizar requiriendo previamente autenticación. Cabe indicar que el fallo afecta a todas las versiones de SolarWinds Web Help Desk, excepto la última, 12.8.3, por lo que recomiendan a sus usuarios actualizar el activo para corregir el falo de seguridad.
Head Mare explota vulnerabilidad en WinRAR para desplegar ransomware
El grupo hacktivista Head Mare apunta, según Kaspersky, a organizaciones rusas y bielorrusas utilizando campañas de phishing con archivos de WinRAR que explotan la vulnerabilidad CVE-2023-38831 como mecanismo de acceso inicial. Este grupo desplegaría como represalia muestras de ransomware como LockBit y Babuk para cifrar sistemas y exponer datos robados.
A diferencia de otros hacktivistas anti-rusos, Head Mare utiliza métodos avanzados vinculados a muestras de malware conocidas como PhantomDL y PhantomCore así como herramientas públicas como Mimikatz y XenAllPasswordPro para la recuperación de credenciales. Sus tácticas también incluyen el enmascaramiento de aplicaciones sospechosas como software legítimo, el uso de servidores VPS para desplegar el C2 Sliver, además de otras herramientas como scripts de PowerShell, Meterpreter para la interacción remota y diferentes tipos de webshells en PHP para asegurar la persistencia.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
