Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 22 - 28 junio
Vulnerabilidad crítica empleada para robos de tarjetas de crédito
Friends-of-Presta ha publicado una Prueba de Concepto (PoC) que explotaría una vulnerabilidad crítica del complemento de Facebook para PrestaShop denominado Promokit. El fallo, CVE-2024-36680 (CVSSv3 9.8 según proveedor), habría sido inicialmente descubierto a finales de mayo, pero Promokit afirmó que ya habría sido solucionado sin aportar pruebas al respecto.
En concreto, la vulnerabilidad permite llevar a cabo inyecciones SQL mediante peticiones HTTP en el script Ajax facebookConnect.php del complemento pkfacebook. Asimismo, la PoC publicada por Friends-of-Presta estaría siendo activamente empleada por actores maliciosos para desplegar un skimmer web cuyo objetivo sería la sustracción masiva de tarjetas de crédito.
La empresa ha publicado una serie de mitigaciones para este fallo, debido a que los desarrolladores de Promokit no habrían compartido con ellos la última versión del complemento para comprobar si se habrían aplicado parches para CVE-2024-36680.
Ataque de ransomware en Londres obliga a cancelar más de 1.100 intervenciones médicas
Un ataque de ransomware en Londres ha forzado la cancelación de más de 1.100 operaciones, incluidos cerca de 200 tratamientos de cáncer. El grupo de hackers Qilin ha difundido a través de Telegram más de 100 archivos comprimidos que, según afirma, contienen información confidencial obtenida de los sistemas de Synnovis, una empresa de servicios patológicos.
Su objetivo es castigar a la empresa por negarse a pagar el rescate. La capacidad de los hospitales para realizar pruebas de sangre y otros procedimientos ha sido severamente afectada. El personal sanitario está trabajando para reducir el impacto, pero se espera que las interrupciones puedan durar hasta septiembre.
Nueva técnica de ataque denominada GrimResource
El equipo de investigadores de Elastic ha realizado una publicación en la que informan sobre una nueva técnica de ataque contra sistemas Windows a la que se ha denominado GrimResource. En concreto, dicha técnica consiste en la utilización de archivos MSC (Microsoft Saved Console) especialmente diseñados concatenados con una falla XSS de Windows sin parchear en apds.dll que permitiría a actores maliciosos implementar Cobalt Strike para obtener acceso inicial en las redes de las víctimas, así como terminar realizando acciones de ejecución de código a través de Microsoft Management Console.
Según los investigadores, se identificaron muestras de archivos msc maliciosos el pasado 6 de junio en VirusTotal sin que ningún motor antivirus lo catalogase como malicioso, por lo que, en base a eso, se estima que esta técnica estaría siendo aprovechada activamente por actores maliciosos.
Vulnerabilidad crítica en MOVEit
El equipo de investigadores de Watchtowr ha publicado un análisis técnico sobre el descubrimiento de una vulnerabilidad crítica en MOVEit Transfer. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-5806, CVSSv3 de 9.1 según fabricante, y se trata de una vulnerabilidad de omisión de autenticación en el módulo SFTP de MOVEit, cuyo aprovechamiento por parte de actores maliciosos podría permitir a los atacantes hacerse pasar por usuarios legítimos y acceder a datos confidenciales sin autenticarse.
Cabe indicar que esta vulnerabilidad afecta a las versiones 2023.0.0 anteriores a 2023.0.11, 2023.1.0 anteriores a 2023.1.6 y 2024.0.0 anteriores a 2024.0.2 de MOVEit Transfer, por lo que el fabricante recomienda actualizar a las últimas versiones disponibles.
Posible ataque a la cadena de suministro empleando polyfill.io
Durante esta semana salía a la luz una investigación de Sansec que señalaba que el servicio Polyfill estaría infectando con malware cientos de miles de sitios web. Asimismo, entre otros, Cloudflare instó a los clientes a eliminar una popular biblioteca de código abierto al considerar veraz la información señalada. A raíz de estos hechos, los actuales propietarios de polyfill.io relanzaron el servicio CDN de JavaScript en un nuevo dominio después de que se cerrara dicho activo.
Consecuentemente, en una serie de publicaciones en X, la compañía acusada de realizar ataque a la cadena de suministro ha negado estar involucrada en estos hechos y señala que están siendo difamados. No obstante, pese a estas declaraciones diferentes investigadores de seguridad recomiendan no hacer uso de dicha biblioteca a modo de prevención.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
