Boletín de Ciberseguridad, 14 - 20 septiembre
Docker parchea dos vulnerabilidades, una de ellas crítica
Docker ha publicado un nuevo aviso de seguridad en el que indica haber parcheados dos nuevas vulnerabilidades en versiones de Docker Desktop anteriores a la 4.32.2. En concreto, los fallos serían CVE-2024-8695, y CVE-2024-8696, CVSSv4 9.0 y 8.9 según proveedor, y afectarían a la forma en la que Docker gestiona los registros de cambios, las URL de los editores y las descripciones de las extensiones.
Al explotar estos fallos, un atacante podría usar la aplicación para ejecutar código arbitrario en el sistema de la víctima. Asimismo, actores maliciosos podrían explotar ambos fallos para conseguir acceso a datos sensibles, instalar malware e incluso tomar el control del sistema afectado.
✅ Docker ha instado a sus usuarios a que instalen con la mayor brevedad posible la versión 4.32.2, actualización en la que se incluyen los parches de estos dos fallos.
Detectada una campaña de distribución de malware con afectación a Binance
Binance ha publicado un aviso alertando a sus clientes de que actores maliciosos están llevando a cabo una campaña de distribución del malware Clipper, con el fin de manipular direcciones de retiro durante procesos de transacción para robar criptodivisas. El malware intercepta los datos almacenados en el portapapeles.
De este modo, Clipper sustituye la dirección original por una designada por el atacante cuando un usuario copia y pega una dirección de monedero para transferir criptodivisas, enviando el dinero a la cartera del actor de amenazas. Clipper se distribuye habitualmente a través de complementos y aplicaciones no oficiales en dispositivos Android. La compañía no ha indicado por el momento cuánto dinero ha sido extraído ni cuántas personas se han visto afectadas.
✅ Binance recomienda a los usuarios verificar las direcciones, así como la autenticidad de las aplicaciones descargadas, en adición al uso de software de seguridad actualizado en sus dispositivos.
Vulnerabilidad activamente explotada en Ivanti
Ivanti ha emitido un aviso de seguridad en el que señala que una vulnerabilidad crítica que afecta a Cloud Service Appliance (CSA) ha sido explotada activamente. En concreto, el fallo de seguridad al que se hace referencia es el registrado como CVE-2024-8963, CVSSv3 de 9.4 según fabricante, el cual se debe a una omisión de administración causada por una debilidad de cruce de ruta.
Cabe destacar que su aprovechamiento podría permitir a atacantes remotos no autenticados acceder a funciones restringidas en sistemas CSA vulnerables. Asimismo, cabe indicar que dicha vulnerabilidad está siendo explotada mediante la concatenación del aprovechamiento de otro fallo de seguridad, el cual es CVE-2024-8190, CVSSv3 de 7.2 según fabricante, que sirve para para eludir la autenticación de administrador y ejecutar comandos arbitrarios.
✅ Ivanti recomienda actualizar a la versión 5.0 de CSA.
Identificadas más de 1 000 instancias de ServiceNow exponiendo información
El equipo de investigadores de AppOmni ha publicado un informe en el que afirman haber identificado más de 1 000 instancias empresariales de ServiceNow mal configuradas que exponen información. En concreto, según los investigadores, los datos expuestos se tratarían de identificación personal, credenciales de usuario y tokens de acceso, entre otros.
Esto pone de relieve la mala aplicación de las actualizaciones de ServiceNow en 2023, que tuvieron como objetivo mejorar las listas de control de acceso pero que no se aplicaron a las que emplean la función de base de conocimiento. AppOmni afirma que la mayoría de las bases de conocimientos de ServiceNow utilizan el sistema de permisos de criterios de usuario en lugar de listas de control de acceso, lo que hace que la actualización sea menos útil.
✅ Los investigadores recomiendan proteger las bases de conocimientos estableciendo los “Criterios de usuario” adecuados (Puede leer/No puede leer) y bloqueando a todos los usuarios no autorizados.
Operadores de ransomware utilizan Microsoft Azure en sus operaciones
El equipo de investigadores de modePUSH han realizado una investigación en la que señalan que familias de ransomware como BianLian y Rhysida utilizan activos como Azure Storage Explorer y AzCopy de Microsoft en sus operaciones. En concreto, los expertos señalan que operadores de estos ransomware almacenan los datos robados de sus víctimas en un contenedor Azure Blob en la nube, desde donde luego pueden transferirlos a sus propios activos.
Esto es debido a que al ser Azure un servicio empresarial de confianza que suelen utilizar las empresas es poco probable que los firewalls y las herramientas de seguridad corporativas bloqueen este tráfico. Además, Azure permite manejar grandes volúmenes de datos no estructurados, por lo que acelera el proceso de exfiltración.
✅ Como medida de prevención se recomienda marcar la opción Cerrar sesión al salir a fin de evitar que los atacantes utilicen la sesión activa para el robo de archivos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →