Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 18 - 24 mayo
Vulnerabilidad critica en Git que permite ejecución remota de código al clonar repositorios
Recientemente se descubrió una vulnerabilidad crítica de ejecución remota de código en el comando clone de Git. Esta falla, identificada como CVE-2024-32002 y con una puntuación CVSSv3 de 9.0 según GitHub, es una vulnerabilidad que permite a repositorios Git con submódulos especialmente diseñados engañar a Git para que escriba archivos en un directorio. git/ en lugar de en el árbol de trabajo del submódulo.
Esto permitía a los atacantes explotar enlaces simbólicos (symlinks) y así admitir la ejecución remota de código cuando una víctima clone un repositorio malicioso. Git ha corregido este problema garantizando el tratamiento adecuado de los directorios y los enlaces simbólicos.
Además, la corrección incluye la comprobación de si un directorio contiene sólo un archivo .git y la cancelación de las operaciones para evitar la sobreescritura en determinadas condiciones. Por otro lado, se ha publicado una prueba de concepto (PoC), que demuestra cómo puede activarse la vulnerabilidad durante el proceso de clonación.
El análisis del tráfico de WhatsApp permitiría la vigilancia gubernamental
The Intercept afirma haber podido acceder a una evaluación de amenazas de WhatsApp en la que la empresa afirmaba que sus usuarios eran vulnerables a una forma de vigilancia gubernamental. En concreto, y aunque la aplicación cifra las conversaciones entre usuarios, la empresa habría afirmado que el análisis del tráfico a escala nacional permitiría a un Estado discernir qué usuarios pertenecerían a grupos privados o qué usuarios se estarían comunicando entre sí, así como probablemente su localización.
De acuerdo con lo publicado por The Intercept, esto preocuparía especialmente al personal de WhatsApp por su posible uso por parte de Israel para monitorizar ciudadanos palestinos. Sin embargo, la portavoz de WhatsApp habría indicado que este fallo no sería exclusivo de la aplicación, sino que el análisis de tráfico podría ser realizado con otros softwares de manera similar, y que no se trataría de una vulnerabilidad al uso sino de una utilidad puramente teórica.
Resurge el troyano bancario Grandoreiro
El troyano bancario Grandoreiro, basado en Windows y operado como un Malware-as-a-Service (MaaS), ha resurgido en una campaña global desde marzo de 2024 tras una intervención de las fuerzas del orden en enero. El análisis del malware ha revelado importantes actualizaciones en el descifrado de cadenas y el algoritmo de generación de dominios (DGA), además de la capacidad de utilizar clientes de Microsoft Outlook en equipos infectados para propagar más correos electrónicos de phishing.
La última variante del malware también apunta específicamente a más de 1500 bancos globales, permitiendo a los atacantes realizar fraudes bancarios en más de 60 países, incluyendo regiones de América Central y del Sur, África, Europa y el Indo-Pacífico.
Rockwell insta a desconectar dispositivos ICS de internet por amenazas cibernéticas
Rockwell Automation ha advertido a sus clientes que desconecten de la Internet pública todos los sistemas de control industrial (ICS) que no están diseñados para la exposición en línea, debido al aumento de actividad maliciosa global. En el reciente aviso de seguridad emitido, la compañía recomienda no configurar estos dispositivos para permitir conexiones remotas desde fuera de la red local, con el fin de reducir la superficie de ataque.
Con esta medida se pretende asegurar que los atacantes no puedan acceder a sistemas no parcheados contra vulnerabilidades de seguridad. En este sentido, Rockwell enfatiza la urgencia de eliminar la conectividad a Internet pública de dispositivos no diseñados para ella, reduciendo la exposición a ciberataques.
Además, insta a los clientes a tomar medidas para mitigar vulnerabilidades específicas en dispositivos Rockwell ICS. Asimismo, CISA también ha emitido una alerta sobre este nuevo aviso de Rockwell para proteger los ICS de ciberataques.
ShrinkLocker emplea BitLocker para cifrar los dispositivos comprometidos
Los actores de amenazas estarían empleando la utilidad BitLocker para llevar a cabo ataques de ransomware. Según una investigación de Secure List, el malware ShrinkLocker utiliza VBScript para descubrir, mediante un sondeo de Windows Management Instrumentation, la versión del sistema operativo de la víctima, tras lo cual realiza operaciones de redimensionamiento del disco en unidades fijas en lugar de unidades de red.
Una vez ha reajustado el particionado y la configuración de arranque, con BitLocker activado y en funcionamiento, el malware cifra el almacenamiento del dispositivo comprometido. Finalmente, ShrinkLocker elimina la clave de descifrado local y las opciones de recuperación del usuario, apagando el sistema infectado y mostrando un mensaje que indica a la víctima que ya no existen estas opciones de recuperación de BitLocker.
Asimismo, el malware tiene la capacidad de cambiar la etiqueta de las particiones, insertando la dirección email de los atacantes.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
