Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 24 - 30 agosto
APT29 reutiliza exploits de NSO Group e Intellexa en ataques a iOS y Chrome
El Grupo de Análisis de Amenazas (TAG) de Google descubrió que los actores maliciosos detrás de APT29 llevaron a cabo múltiples campañas de explotación utilizando vulnerabilidades en iOS y Chrome desde noviembre de 2023 hasta julio de 2024. Estas campañas, que afectaron a dispositivos no actualizados, aprovecharon exploits desarrollados y utilizados previamente por las empresas de spyware Intellexa y NSO Group.
Según se indica, los ataques comprometieron sitios web mediante tácticas de watering hole, utilizando exploits que originalmente fueron 0-days para obtener información sensible, como cookies de autenticación. Google publicó detalles técnicos sobre estas campañas, señalando que desconoce cómo APT29 obtuvo estos exploits, pero destaca su similitud en los marcos de explotación y carga útil con los de NSO e Intellexa, sugiriendo un posible intercambio de herramientas.
Además, Google subraya la necesidad de abordar rápidamente las vulnerabilidades, ya que, aunque ya habían sido corregidas, los ataques continuaron siendo efectivos en dispositivos sin parches.
Hitachi Energy parchea 5 vulnerabilidades en MicroSCADA, 2 críticas
Hitachi Energy ha publicado un aviso de seguridad alertando de 5 nuevas vulnerabilidades que afectarían a los sistemas MicroSCADA. Entre los fallos parcheados destacan CVE-2024-4872 y CVE-2024-3980, ambos con CVSSv3 9.9 según proveedor.
Mientras que la primera permitiría a los atacantes llevar a cabo ataques de inyección SQL debido a la incapacidad del producto para validar correctamente las consultas de los usuarios, la segunda sería un fallo de inyección de argumentos que los atacantes podrían aprovechar para acceder o modificar archivos del sistema y otros archivos críticos de la aplicación en los sistemas afectados. Con respecto a las otras 3 vulnerabilidades, estas serían CVE-2024-3982, CVSSv3 8.2 según proveedor, CVE-2024-7940, CVSSv3 8.3 según proveedor y CVE-2024-7941, con CVSSv3 4.3 según Hitachi. En concreto, estas permitirían a un atacante secuestrar una sesión ya establecida, exponer un servicio en la red sin autenticación y redirigir a los usuarios a URL maliciosas.
Hitachi Energy alienta a sus usuarios a actualizar a la versión 10.6 lo antes posible.
Publicado un exploit de prueba de concepto para vulnerabilidad RCE en Windows
Recientemente fue publicado un código de prueba de concepto (PoC) en GitHub para la vulnerabilidad de ejecución remota de código en la pila TCP/IP de Windows, afectando a sistemas con IPv6 activado. Identificada como CVE-2024-38063 y con un CVSSv3 de 9.8 según Microsoft, permite a atacantes explotar sistemas Windows 10, 11 y Server sin necesidad de interacción del usuario, mediante el envío de paquetes IPv6 especialmente diseñados que desencadenan un desbordamiento de búfer.
En cuanto a la PoC, publicada por el investigador Ynwarcs, describe cómo se puede aprovechar el fallo a través de una secuencia de pasos cuidadosamente orquestados, que implican la manipulación de desplazamientos de paquetes y campos de cabecera para provocar un comportamiento inesperado durante el reensamblado de paquetes.
Según indica el investigador, la clave para explotar CVE-2024-38063 reside en activar un tiempo de espera en el proceso de reensamblaje de paquetes IPv6, lo que conduce a un desbordamiento de enteros y el posterior desbordamiento de búfer.
Google parchea nueva 0-day activamente explotada
La compañía Google ha lanzado una nueva actualización para corregir una vulnerabilidad 0-day activamente explotada. En concreto, el fallo de seguridad ha sido registrado como CVE-2024-7965, CVSSv3 de 8.8, y se debe a una implementación inapropiada en el motor JavaScript V8 de Google Chrome que puede permitir a atacantes remotos explotar la heap corruption a través de una página HTML especialmente diseñada.
Cabe indicar que esta vulnerabilidad fue publicada la pasada semana, pero no ha sido hasta el día de ayer, 26 de agosto, cuando Google ha actualizado el aviso de seguridad señalando esta nueva información.
En base a estos hechos, se recomienda actualizar el navegador a la versión 128.0.6613.84/.85 de Chrome para sistemas Windows/macOS y a la versión 128.0.6613.84 para usuarios de Linux.
El grupo iraní APT33 emplea el malware Tickler en nuevas campañas
Investigadores de Microsoft han detectado que el grupo de amenaza persistente avanzada (APT) iraní conocido como APT33 ha empleado un nuevo malware de puerta trasera, denominado Tickler, para acceder a redes de organizaciones de los sectores gubernamental, espacial, de defensa, educativo, petróleo y gas de Emiratos Árabes Unidos y Estados Unidos. Tickler fue utilizado como parte de una campaña de recopilación de inteligencia entre abril y julio de 2024 vinculada al actor de amenazas, asociado a su vez al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC).
El grupo empleó inicialmente cuentas de usuario comprometidas, sobre todo, en el sector educativo para obtener su infraestructura operativa, accediendo a suscripciones existentes de Azure o creándolas, utilizando las cuentas comprometidas, con la finalidad de usar la infraestructura de Microsoft Azure para el comando y control (C2). Dicha infraestructura se utilizó en operaciones posteriores dirigidas a los demás sectores señalados.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
