Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 23 - 29 noviembre
Google elimina sitios de noticias falsas de la operación Glassbridge
Google ha eliminado de Google News y Google Discover multitud de sitios y dominios de noticias que difundían de manera coordinada narrativas pro-China que apoyaban las iniciativas gubernamentales, procediendo de varias empresas que colaborarían en una operación de influencia posiblemente vinculada al gobierno. Así, se identificó un grupo paraguas de cuatro empresas con sede en China denominado Glassbridge: Shanghai Haixun Technology, Times Newswire, Durinbridge y Shenzhen Bowen Media.
Estas compañías solían ocultar sus funciones o tergiversar sus contenidos como cobertura informativa local e independiente, dirigiéndose a la diáspora de habla china e inglesa de países de Oriente Próximo, Europa del Este, Asia, África y de Estados Unidos.
Asimismo, las empresas solían compartír los mismos contenidos, reproduciendo comunicados de prensa entre las distintas redes de sitios web de noticias falsas. A su vez, los sitios reeditaban artículos del medio chino Global Times o creaban piezas centradas en las reivindicaciones territoriales de Pekín o la pandemia del Covid-19, entre otros asuntos.
Vulnerabilidad en 7-Zip permite ejecución de código remoto
Investigadores de Zero Day Initiative han publicado un aviso de seguridad en donde alertan sobre el descubrimiento de una nueva vulnerabilidad en 7-Zip. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-11477, CVSSv3 de 7.8 según Zero Day Initiative, que afecta a la biblioteca de descompresión Zstandard en 7-Zip y se debe a un desbordamiento de enteros en la implementación de descompresión Zstandard, lo que podría provocar corrupción de memoria y permitir a actores maliciosos realizar una ejecución remota de código.
En base a estos hechos, se recomienda actualizar el activo a la versión 24.07 para solucionar el problema.
La botnet de Matrix abusa de contraseñas predeterminadas en dispositivos IoT
Investigadores de Aqua Nautilus han descubierto una nueva campaña de ataques de denegación de servicio distribuido (DDoS) realizado por un actor de amenazas conocido como Matrix. El ataque se basa en el abuso de contraseñas débiles o predeterminadas y también en la explotación de vulnerabilidades conocidas en servidores, routers y dispositivos IoT como cámaras IP o DVR. Matrix también emplea bots de Discord y una tienda en Telegram para operar y monetizar sus servicios de ataque.
La campaña de Matrix podría llegar a afectar hasta 35 millones de dispositivos en todo el mundo, con un enfoque particular en regiones con alta adopción de dispositivos IoT como China y Japón.
Parcheadas seis vulnerabilidades en GitLab, una de ellas con severidad alta
GitLab ha publicado nuevas actualizaciones que parchean problemas en Community Edition (CE) y Enterprise Edition (EE). En concreto, la organización ha publicado parches para seis fallos, cinco de ellos clasificados por GitLab como de severidad media y uno de severidad alta. La vulnerabilidad con mayor severidad de este conjunto de parches ha sido denominada CVE-2024-8114, CVSSv3 8.2 según proveedor, y permitiría a un atacante explotar Tokens de Acceso Personal (PAT) para escalar privilegios en todas las versiones de GitLab CE y EE desde la 8.12.
Con respecto a los fallos con severidad media, estos incluyen dos vulnerabilidades que permitirían a un actor malicioso llevar a cabo una Denegación de Servicio (CVE-2024-8237, CVSSv3 6.5 según fabricante, y CVE-2024-8177, CVSSv3 5.3 según GitLab), así como un fallo de brecha en la revocación de tokens de endpoints de streaming (CVE-2024-11668, CVSSv3 4.2 según fabricante), uno de agotamiento de recursos mediante llamadas a la API (CVE-2024-11828, CVSSv3 4.3 vsegún fabricante) y uno de acceso no intencionado a datos de uso a través de tokens de alcance (CVE-2024-11669 , CVSSv3 6.5 según fabricante).
NachoVPN permite explotar vulnerabilidades de VPN para ser controladas por un atacante
Los investigadores de AmberWolf han publicado una nueva herramienta en GitHub, a la que han denominado NachoVPN, que permite explotar vulnerabilidades de los clientes de GlobalProtect VPN de Palo Alto Networks y SonicWall NetExtender. En concreto, NachoVPN permite a sus usuarios instalar actualizaciones maliciosas en los software mencionados que no han parcheado las vulnerabilidades CVE-2024-5921, CVSSv4 7.1 según Palo Alto Networks, y CVE-2024-29014, CVSSv3 8.8, que afecta a NetExtender.
Además de permitir conectar las VPN mencionadas a servidores controlados por el atacante, empleando documentos distribuidos mediante ingeniería social o usando páginas web maliciosas, la herramienta presenta la capacidad de robar las credenciales de acceso de la víctima, instalar malware mediante actualizaciones, instalar certificados root maliciosos e incluso ejecutar código con privilegios altos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
