Boletín de Ciberseguridad, 12 - 18 octubre

18 de octubre de 2024

Splunk corrige varias vulnerabilidades, dos críticas que permiten RCE

Splunk ha lanzado parches para corregir varias vulnerabilidades en paquetes de terceros en Splunk Enterprise versiones 9.3.1, 9.2.3, 9.1.6 y superiores, destacando dos fallos críticos de ejecución remota de código. La vulnerabilidad más grave, identificada como CVE-2024-45733 y con un CVSSv3 de 8.8 según fabricante, afecta a instancias en Windows y permite a un usuario sin roles de alto nivel ejecutar código de forma remota debido a una configuración insegura en el almacenamiento de sesiones.

Otro fallo, CVE-2024-45731 CVSSv3 8.0 según fabricante, permite la escritura arbitraria de archivos en el directorio raíz de Windows, lo que podría llevar a la ejecución de código a través de una DLL maliciosa. Ambos problemas se solucionan en las versiones 9.2.3 y 9.3.1 de Splunk Enterprise. Además, se corrigió el CVE-2024-45732, CVSSv3 7.1 según proveedor, un fallo de divulgación de información en Splunk Enterprise y Splunk Cloud Platform. También se abordaron otras vulnerabilidades de gravedad media relacionadas con la ejecución de código JavaScript, exposición de contraseñas y datos sensibles, y caídas del sistema.

✅ Splunk recomienda aplicar las actualizaciones correspondientes para así mitigar los riesgos.

Más info

​​​Solucionada una vulnerabilidad crítica RCE del módulo pac4j-core

Una vulnerabilidad crítica ha sido detectada en el framework de Java pac4j, la cual afecta a versiones anteriores a la 4.0 del módulo pac4j-core. El fallo, identificado como CVE-2023-25581, y con puntuación CVSSv3 de 9.2 según el proveedor, expone a los sistemas a posibles ataques de ejecución remota de código debido a un fallo en el proceso de deserialización.

En concreto, la vulnerabilidad se debe a una verificación inadecuada del método de restauración si una cadena de un atributo contiene el prefijo {#sb64}. Esto permite a un atacante crear un atributo malicioso que desencadene la deserialización de una clase Java arbitraria, conduciendo potencialmente a la ejecución de código arbitrario en los sistemas vulnerables si la explotación del fallo es exitosa.

✅ Para mitigar el riesgo, se recomienda a los usuarios que actualicen a la versión 4.0 o posteriores de pac4j-core, en las cuales se ha solucionado la vulnerabilidad indicada.

Más info

EDRSilencer es utilizada por actores de amenaza para eludir la detección

Investigadores de Trend Micro han observado que actores maliciosos estarían usando la herramienta EDRSilencer, integrándola en sus acciones con el fin de evadir la detección. EDRSilencer es una herramienta de pen-testing de código abierto que detecta los procesos EDR en ejecución y se utiliza Windows Filtering Platform (WFP) para supervisar, modificar o bloquear el tráfico de red. Utilizando reglas personalizadas, un atacante podría interrumpir el intercambio de datos entre una herramienta EDR y su servidor de gestión, impidiendo la entrega de alertas, registros e informes.

En su última versión, EDRSilencer detecta y bloquea 16 herramientas EDR, incluyendo Microsoft Defender, SentinelOne o FortiEDR, entre otras. Esta permite a los atacantes añadir filtros para procesos específicos proporcionando rutas de archivos. De este modo, el malware u otras actividades maliciosas pueden eludir la detección, incrementando las posibilidades de éxito de los ataques.

✅ Desde TrendMicro se recomienda detectar la herramienta como malware, además de implementar controles de seguridad multicapa y buscar IOC.

Más info

Aumentan los ataques de ransomware pero disminuyen los incidentes que llegan a la fase de cifrado

Microsoft ha afirmado en su nuevo Digital Defense Report de 2024 que los actores de amenazas activos habrían aumentado la sofisticación de sus tácticas, técnicas y herramientas. En el periodo de análisis recogido en el informe, que iría de junio de 2022 a julio de 2023, no solo se habría observado un aumento en la complejidad de los ataques, sino que la frecuencia de algunas tipologías de incidentes habrían aumentado más de un 200%.

En concreto, los incidentes de ransomware destacan por presentar una incidencia un 275% mayor que en el periodo de análisis anterior, aunque Microsoft destaca que el número de estos ataques que llegó a la fase de cifrado ha descendido un 300% en los dos últimos años. El proveedor, quien ha atribuido este descenso a las nuevas herramientas de detección e interrupción automática de ciberataques, también habría destacado que las dos motivaciones principales detrás de los ataques de ransomware serían la obtención de ganancias económicas y el espionaje de naciones-estado.

Más info

IntelBroker pone a la venta datos supuestamente robados de Cisco

Cisco ha indicado que se encuentra investigando las declaraciones de que la compañía habría sufrido una brecha realizada por actores maliciosos. Específicamente, en una publicación realizada en la plataforma de ciberdelincuencia Breach Forums por el actor de amenazas conocido como IntelBroker, este afirmó que él y otros dos usuarios llamados EnergyWeaponUser y zjj accedieron a la compañía el 10 de junio de 2024 y robaron una gran cantidad de datos de desarrolladores de la empresa.

Entre la información filtrada se encontrarían códigos fuente, documentos confidenciales, tokens de API, certificados y credenciales de empresas mundiales como AT&T, Microsoft o Verizon. Además, IntelBroker compartió muestras de los supuestos datos robados, en las que se observaba una base de datos, información y documentación variada de clientes, y capturas de pantalla de portales de gestión de clientes. Sin embargo, el actor de amenazas no dio más detalles sobre cómo se produjo la brecha de seguridad.

Más info

◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →