Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 16 - 22 noviembre
NSO Group desarrolló exploits para instalar Pegasus a través de WhatsApp
NSO Group utilizó varios exploits 0-day que aprovechaban vulnerabilidades de WhatsApp para desplegar el spyware Pegasus en ataques zero-click. Según documentación judicial, NSO desarrolló el exploit Heaven en 2018 suplantando al instalador oficial de la aplicación para desplegar Pegasus. En 2019, desarrolló otro exploit, Eden, para eludir las protecciones implementadas en 2018. WhatsApp parcheó ambos e inhabilitó las cuentas de NSO.
El último exploit desarrollado por la empresa, Erised, utilizaba los servidores de retransmisión de WhatsApp para instalar Pegasus. El proceso de instalación se iniciaría cuando un cliente de NSO introducía el número de teléfono móvil de un objetivo en un programa ejecutado en su ordenador, desencadenando la instalación remota de Pegasus en los dispositivos de los objetivos, dirigiéndose al sector gubernamental europeo.
Corregidas 0-day en firewalls PAN-OS bajo explotación activa
Palo Alto ha corregido dos vulnerabilidades 0-day en sus firewalls NGFW. La primera, identificada como CVE-2024-0012, CVSSv4 de 9.3 según fabricante, es un fallo de bypass de autenticación que permite a atacantes obtener privilegios administrativos. La segunda, rastreada como CVE-2024-9474, CVSSv4 6.9 según Palo Alto, se trata de un error que permite una escalada de privilegios a root. Ambas afectan a PAN-OS 10.2, 11.0, 11.1 y 11.2, mientras que Cloud NGFW y Prisma Access no están comprometidos.
Los ataques que aprovechan estas fallas han explotado interfaces de gestión expuestas a redes no confiables, con actividades como ejecución de comandos y despliegue de webshells. Palo Alto Networks recomienda aplicar los parches, restringir el acceso a direcciones IP internas confiables, seguir las mejores prácticas de seguridad y revisar indicadores de compromiso.
Finastra, proveedor de 45 de los 50 bancos más grandes del mundo, reconoce un incidente
Según ha informado el investigador de seguridad Brian Krebs, Finastra, proveedor de software financiero que cuenta con más de 8 000 clientes en 130 países, incluidas 45 de las 50 instituciones bancarias más grandes del mundo, ha enviado un comunicado a sus clientes en el que informa de un acceso no autorizado a su servidor SFTP, alojado en IBM Aspera, mediante el cual se habría producido una exfiltración de información. De acuerdo con la compañía, el actor de amenazas no desplegó malware ni manipuló ningún archivo de cliente dentro del entorno.
De forma simultánea al envío de dicho comunicado, el 8 de noviembre un usuario de BreachForums bajo el alias abyss0 puso a la venta 400 gigabytes exfiltrados que supuestamente pertenecerían a la compañía, los cuales aparentemente incluirían un volumen indeterminado de datos de clientes. No obstante, Finastra ha indicado que faltaría por determinar el alcance y la naturaleza de los datos contenidos en los archivos filtrados.
Corregido un fallo crítico en Microsoft Kerberos
Microsoft ha corregido una vulnerabilidad crítica en el protocolo de autenticación de identidades host y usuario Microsoft Kerberos. El fallo, CVE-2024-43639 y CVSSv3 de 9.8, permite a atacantes no autenticados enviar a sistemas vulnerables solicitudes falsificadas para obtener accesos no autorizado y ejecutar código remoto, aprovechando una vulnerabilidad del protocolo criptográfico.
En adición, Censys señaló que más de 1 millón de instancias de Windows Server expuestas serían vulnerables, puesto que se encontrarían afectados los servidores configurados con el proxy Kerberos KDC. Asimismo, más de la mitad de estos dispositivos fueron encontrados con el puerto TCP/443 abierto, encontrándose el 34% de los servidores vulnerables en Estados Unidos, y el 11% asociados al proveedor de TI Armstrong Enterprise Communications. Con el fin de mitigar riesgos, se recomienda aplicar las actualizaciones correspondientes lo antes posible.
Ataques mediante técnica ClickFix
Investigadores de Proofpoint publicaron una investigación informando sobre campañas de ataque de ingeniería social mediante la técnica conocida como ClickFix. En concreto, esta técnica fue observada en un inicio siendo utilizada por el actor malicioso TA571 a principios de año. Sin embargo, numerosos grupos han ido implementándola entre tus metodologías de ataque. La técnica consiste en utilizar ventanas que contienen mensajes de error falsos para engañar a las personas para que copien, peguen y ejecuten contenido malicioso en su equipo. Proofpoint ha observado campañas de ClickFix que conducen a malware como AsyncRAT, Danabot, DarkGate, Lumma Stealer, NetSupport, entre otros. Asimismo, cabe indicar que puede darse a través de sitios web, documentos, archivos adjuntos HTML, URL maliciosas, entre otros, que han sido comprometidos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
____
