Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 14 - 21 junio
Nuevas vulnerabilidades en VMware, dos de ellas críticas
Broadcom ha publicado un aviso de seguridad en el que detalla tres vulnerabilidades que afectarían a VMware vCenter Server y que habrían sido recientemente parcheadas. En concreto, dos de estos fallos, CVE-2024-37079 y CVE-2024-37080, habrían sido clasificados con una severidad de 9.8 en la escala CVSSv3 según el proveedor. Ambas serían vulnerabilidades de tipo heap-overflow, afectarían a la implementación del protocolo DCE/RPC y podrían ser explotadas por un atacante que tuviera acceso a la red de vCenter Server, pudiendo ejecutar código remoto.
Aunque Broadcom no distribuirá parches a las versiones de vSphere 6.5 y 6.7, la empresa ha afirmado no tener constancia de que los fallos se estén explotando de manera activa. Por otro lado, la tercera vulnerabilidad parcheada es CVE-2024-37081, CVSSv3 7.8 según fabricante, un fallo de escalada de privilegios locales debida a un error de configuración de sudo.
Campaña de malvertising distribuyendo malware
El equipo de investigadores de Rapid7 ha publicado una investigación en la que informa sobre una campaña de malvertising suplantando a Google Chrome y Microsoft Teams para distribuir la puerta trasera Oyster, también conocida como Broomstick. En concreto, actores maliciosos tras estos hechos estarían creando sitios web similares a activos legítimos, como Microsoft Teams, con el objetivo de engañar a sus víctimas para que descarguen software legítimo cuando, en realidad, estaban descargando de forma ofuscada Oyster.
Dicha herramienta, una vez se ejecuta en el dispositivo de la víctima, permite al actor malicioso realizar técnicas de enumeración, desplegar otras cargas útiles y ejecutar código remoto desde su servidor de comando y control. Cabe indicar que el uso de los dominios web maliciosos empleados presentan términos muy similares a los legítimos, salvo por algún carácter especial.
Nueva información sobre el compromiso de cuentas Snowflake
Durante las últimas semanas varias han sido las noticias publicadas en relación a exposiciones de información sufridas por diferentes compañías cuyo nexo en común era el uso de sistemas de almacenamiento en la nube Snowflake. Recientemente, el medio WIRED ha realizado una nueva publicación relacionada con esta cuestión en la que afirman haberse comunicado con un miembro del grupo ShinyHunters, quien afirma que lograron el compromiso de alrededor de 165 cuentas mediante la intrusión en primer lugar de un contratista que trabaja con los clientes afectados a través de un ataque de phishing.
En concreto, el trabajador pertenecería a la compañía EPAM Systems, una empresa de servicios digitales e ingeniería de software que proporciona diversos servicios gestionados para clientes de todo el mundo. No obstante, la compañía EPAM le comunicó al medio WIRED que no consideran que dicha campaña de ataques proceda de estos hechos, y sugieren que el actor se habría inventado dicha información.
Desarrollado un exploit para la vulnerabilidad CosmicSting
La vulnerabilidad que ha sido denominada CosmicSting y que afectaría a sitios web de Adobe Commerce y Magento permitiría a los atacantes llevar a cabo una inyección de entidad externa XML (XXE) y la ejecución remota de código (RCE). También conocida como CVE-2024-34102, el fallo tiene un CVSSv3 de 9.8 según Adobe y, de acuerdo con lo publicado por Sansec, es la peor vulnerabilidad de Magento y Commerce en dos años debido a que, al ser combinada con otro fallo de Linux, concretamente CVE-2024-2961, permitiría a los actores de amenazas ejecutar código remoto de forma automática.
Aunque Adobe ha publicado parches para CosmicSting, Sansec afirma que apenas un cuarto de las entidades afectadas habrían aplicado las actualizaciones. Asimismo, y debido también a que afirman haber desarrollado un exploit para CosmicSting que no habría sido publicado aun, Sansec insta a los usuarios a instalar los parches o, en caso de no poder, aplicar las mitigaciones de emergencia sugeridas en su publicación.
EE UU prohíbe el antivirus Kaspersky por motivos de seguridad
La administración de Biden ha anunciado que prohibirá el uso del software antivirus de Kaspersky Lab en EE.UU. a partir de julio de 2024, citando preocupaciones de seguridad nacional. La medida impide tanto a individuos como a empresas estadounidenses utilizar productos de esta empresa rusa. Esta decisión sigue a una prohibición previa del uso de Kaspersky en agencias gubernamentales de EE.UU., establecida en 2017, debido a sospechas de vínculos entre la compañía y los servicios de inteligencia rusos.
Kaspersky ha negado estas acusaciones y ha solicitado que se revoque la prohibición, argumentando que no hay pruebas que respalden las afirmaciones del gobierno de EE.UU. Los clientes actuales podrán seguir descargando el software, revenderlo y descargar nuevas actualizaciones durante 100 días.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
