Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 28 septiembre - 4 octubre
Storm-0501 expande sus ataques a entornos de cloud con el ransomware Embargo
El equipo de investigadores de Microsoft ha publicado una investigación en la que identificado que el actor Storm-0501 utiliza el ransomware embargo contra entornos cloud. Según los expertos, Storm-0501 habría estado atacando a organizaciones de diferentes sectores como gubernamental, industrial, transporte y autoridades judiciales de EE. UU. Dicho actor obtiene acceso a entornos en la nube explotando credenciales débiles y aprovechando cuentas privilegiadas, con el objetivo de robar datos y ejecutar una carga útil de ransomware.
En concreto, obtiene acceso inicial a la red con credenciales robadas o compradas, o explotando vulnerabilidades como CVE-2022-47966, CVSSv3 de 9.8, CVE-2023-4966, CVSSv3 de 7.5 según fabricante, y, posiblemente, CVE-2023-29300, CVSSv3 de 9.8 o CVE-2023-38203 CVSSv3 de 9.8. Asimismo, utiliza herramientas como Impacket y Cobalt Strike para moverse lateralmente, roba datos a través de un binario Rclone personalizado y evade soluciones de seguridad con cmdlets de PowerShell.
Pure Storage parchea cinco vulnerabilidades críticas
Pure Storage ha publicado nuevos parches que corrigen cinco nuevas vulnerabilidades de severidad crítica que afectarían a los sistemas de almacenamiento FlashArray y FlashBlade. En concreto, la empresa ha informado acerca de dos fallos con CVSSv3 10 según proveedor, CVE-2024-0001 y CVE-2024-0002. Mientras que la primera permitiría a un atacante con una cuenta con configuración local activa escalar privilegios, la segunda sería un fallo de acceso remoto mediante el uso de cuentas con privilegios altos.
Asimismo, las otras tres vulnerabilidades presentan un CVSSv3 de 9.1 según Pure Storage, y serían las denominadas CVE-2024-0003, que permitiría crear cuentas con privilegios mediante servicios de administración remotos, CVE-2024-0004, que puede permitir la ejecución de código, y CVE-2024-0005, que puede ser explotada para ejecutar comandos remotos mediante configuraciones SNMP personalizadas.
La compañía Rackspace sufre un incidente de seguridad
La compañía Rackspace ha confirmado haber sufrido un incidente de seguridad que habría propiciado el compromiso de datos que afectan a varios de sus clientes. En concreto, el incidente se habría realizado debido a que un actor malicioso ha explotado una vulnerabilidad 0-day de ejecución de código remoto en una herramienta de terceros utilizada en la plataforma ScienceLogic SL1.
Cabe indicar que desde la compañía no se ha dado detalle del activo afectado, a fin de evitar que otros actores aprovechen la vulnerabilidad, no obstante, han desarrollado medidas de seguridad para implementar en todos los clientes a fin de que no vuelva a suceder. En un comunicado enviado al medio digital Bleeping Computer la compañía señala que se accedió de forma indebida a información de monitoreo de rendimiento limitada con baja sensibilidad de seguridad.
Técnica de ataque utilizando VS Code para conseguir acceso remoto
El equipo de investigadores de Cyble ha publicado una investigación en la que han identificado a actores maliciosos utilizando VS Code para obtener acceso no autorizado en las redes de sus víctimas. Las operaciones comienzan con la distribución de un archivo .lnk que posiblemente es remitido, de forma adjunta, mediante mensajes de phishing. Una vez se ejecuta por parte de la víctima, dicho archivo descarga un paquete de Python que se utiliza para ejecutar un script que elude soluciones de seguridad y sirve para establecer persistencia.
Posteriormente, se crea un túnel remoto utilizando VS Code y envía un código de activación al actor para facilitar el acceso remoto no autorizado en el equipo. En último lugar, cabe indicar que esta metodología de ataque ha sido observada utilizada por parte de la APT china Stately Taurus, también conocida como Mustang Panda.
Vulnerabilidad CosmicSting activamente explotada
Investigadores de Sansec han detectado múltiples ataques dirigidos a webs de e-commerce que utilizan Adobe Commerce y Magento aprovechando la explotación del fallo CosmicSting. La vulnerabilidad, identificada como CVE-2024-34102, CVSSv3 de 9.8, es un fallo de divulgación de información que, encadenado con CVE-2024-2961, podría permitir a un atacante ejecutar código remoto en un servidor vulnerable.
Los ataques estarían produciéndose desde junio de 2024, observándose miles de tiendas vulneradas entre las que se encuentran Whirlpool, Ray-Ban, National Geographic, Segway y Cisco.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
