Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 24 febrero - 1 marzo
CISA advierte sobre vulnerabilidades en Ivanti
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido un aviso de seguridad en la que advierte que actores maliciosos pueden mantener la persistencia en dispositivos con Ivanti Connect Secure e Ivanti Policy Secure previamente comprometidos pese a haber aplicado las recomendaciones de seguridad.
Según los investigadores, aquellos actores maliciosos que aprovechasen alguna de las vulnerabilidades publicadas durante las últimas semanas, CVE-2023-46805, CVSSv3 de 8.2, CVE-2024-21887, CVSSv3 de 9.1, CVE-2024-22024, CVSSv3 de 8.3 y CVE-2024-21893, CVSSv3 de 8.2, podrían no haber sido identificados por las herramientas de análisis proporcionadas, Ivanti ICT, para detectar el compromiso, por lo que un actor amenaza puede obtener persistencia a pesar de realizar restablecimientos de fábrica.
Pese a esta alerta, desde Ivanti han lanzado un comunicado indicando que no tienen conocimiento de ningún caso de persistencia obtenida por ningún actor malicioso después de la implementación de las actualizaciones de seguridad y restablecimientos de fábrica recomendados por el fabricante.
Nueva información sobre la infraestructura de ransomware LockBit
Durante el pasado fin de semana, los operadores del ransomware LockBit han anunciado la reanudación de las operaciones de esta amenaza. Dichos actores maliciosos han trasladado su sitio de filtraciones a una nueva dirección .onion en la que aparecen nuevas víctimas y un comunicado informando sobre los hechos ocurridos durante la operación Cronos.
No obstante, también se ha publicado recientemente por parte de las autoridades información sobre Lockbitsupp, quien sería la persona detrás de la gestión de las operaciones de dicha ransomware. En concreto, las autoridades señalaron que saben quién es y dónde vive, así como que estaría colaborando con las autoridades. Desde VX-Underground señalan que desde el grupo no creían que esto fuese cierto.
En último lugar, cabe indicar que según el análisis de cientos de carteras de criptomonedas realizadas por expertos calculan que durante los últimos 18 meses las operaciones llevadas a cabo por LockBit habrían generado movimientos por valor de más de 125 millones de dólares, aunque las autoridades señalan que la cifra sería más debido a que sus operaciones llevan activas durante 4 años.
Parcheada vulnerabilidad en el restablecimiento de contraseña de Facebook
Meta ha solucionado una vulnerabilidad crítica en el proceso de restablecimiento de contraseña de Facebook. El fallo permitía a los atacantes tomar el control de cualquier cuenta de Facebook explotando una opción en la que se enviaba un código único de autorización de seis dígitos a un dispositivo diferente.
Este código, que confirmaba la identidad del usuario, estaba activo durante aproximadamente dos horas y no contaba con protección contra ataques de fuerza bruta. Los atacantes podrían utilizar herramientas de pentesting para forzar el código y restablecer la contraseña o acceder a la cuenta atacada.
Al explotar esta vulnerabilidad, el usuario recibía una notificación de Facebook que revelaba el código o solicitaba al usuario que tocara la notificación para verlo, convirtiéndolo en un exploit one-click en lugar de zero-click.
Ciberataque al Consorcio Regional de Transportes de Madrid
El Consorcio Regional de Transportes de Madrid ha admitido que fue víctima de un ciberataque en noviembre del 2023. El ataque tuvo como resultado el compromiso de las bases de datos que contenían información sobre los titulares de la Tarjeta Transporte Público.
Se desconoce el contenido exacto de la información extraída, pero incluye datos personales como nombres, dirección postal, direcciones de correo electrónico y números de teléfono. El ataque fue neutralizado el mismo día en que se produjo y se tomaron las medidas necesarias para bloquear el ataque, aplicando medidas de seguridad adicionales.
Aunque no hay constancia de daños reales a las personas afectadas, existe el riesgo de recibir comunicaciones no deseadas o ser víctima de campañas de phishing.
Expuestos registros LDAP de la Junta de Andalucía
El usuario fpa del sitio BreachForums realizó un post en el que publicaba acerca de haber exfiltrado más de 3000 registros de usuarios LDAP de la Junta de Andalucía, entidad encargada de gestionar el autogobierno de la región autónoma de Andalucía en España.
Este tipo de directorios LDAP son utilizados comúnmente para almacenar información de usuarios, grupos, dispositivos de red y otros recursos en una red informática. Al parecer, el archivo publicado contiene direcciones de correo electrónico, nombres de usuario y hashes. La publicación fue realizada recientemente y no ofrece mayores detalles acerca del método de obtención de estos datos.
No obstante, cabe destacar que el actor amenaza en cuestión es el mismo que publicó la base de datos del sindicato Comisiones Obreras (CC OO).
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
