Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 3 - 10 de noviembre
El grupo de ransomware Cl0p aprovecha una vulnerabilidad 0-day en SysAid
El equipo de investigadores de Microsoft ha publicado los resultados de una investigación en la que señalan que operadores del ransomware Cl0p, famoso por la explotación masiva de un 0-day en MoveIT Transfer, estarían explotando una vulnerabilidad 0-day en SysAid, solución integral de gestión de servicios de IT.
En concreto, el fallo de seguridad al que hacen referencia es el registrado como CVE-2023-47246 y cuyo aprovechamiento podría derivar en la ejecución de código no autorizado. En base a estos hechos, el proveedor publicó una entrada en su blog sobre un análisis técnico acerca de esta vulnerabilidad, señalando que su aprovechamiento fue mediante la carga de un archivo WAR que contenía un Webshell en la raíz del servicio web SysAid Tomcat, permitiendo a actores amenaza ejecutar scripts de PowerShell y cargar malware en los equipos vulnerables.
En último lugar, cabe indicar que desde SysAid han explicado las recomendaciones a tomar por parte de los usuarios mediante la actualización a la versión 23.3.36 o posteriores para evitar la explotación del fallo de seguridad.
Descubiertas cuatro vulnerabilidades 0-day en Microsoft Exchange
Trend Micro, a través de su programa Zero Day Initiative (ZDI), ha publicado acerca de cuatro vulnerabilidades 0-day que afectan a Microsoft Exchange, y que permiten a los actores amenaza ejecutar código remoto y robar información.
La primera de las vulnerabilidades, ZDI-23-1578, se trata de un RCE que permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas. Los otros tres fallos de seguridad, identificados como ZDI-23-1579, ZDI-23-1580 y ZDI-23-1581, consisten en una validación incorrecta de Identificador de Recursos Uniforme (URI) que podría exponer información y permitiría a los actores amenaza acceder a datos confidenciales.
Todos estos fallos de seguridad requieren autenticación para su explotación, lo que reduce su clasificación CVSS entre 7,1 y 7,5. Sin embargo, a pesar de requerir autenticación, los atacantes podrían obtener credenciales de Exchange; por lo que se recomienda la autenticación multifactorial y restringir la interacción con las aplicaciones de Exchange como medidas de mitigación.
Por otro lado, según informa el medio digital BleepingComputer, ZDI descubrió y notificó a Microsoft acerca de estas vulnerabilidades en septiembre de 2023. Sin embargo, a pesar de que Microsoft reconoció los errores, no priorizó las correcciones de forma inmediata, alegando que algunas ya se han solucionado o que no cumplen con los requisitos para el servicio inmediato según sus políticas internas.
BlueNoroff apunta contra sistemas macOS con el nuevo malware ObjCShellz
El equipo de investigadores de Jamf Threat Labs ha publicado los resultados de una investigación en la que señalan que el actor amenaza norcoreano BlueNoroff estaría apuntando contra sistemas macOS con su nuevo malware ObjCShellz. Según los expertos, este agente malicioso es conocido por realizar ataques contra entidades financieras y exchanges de criptomonedas, por lo que su finalidad es el lucro económico.
En esta ocasión, desde Jamf advierten que estarían empleado un nuevo malware basado en Objective-C que dispone de características diferentes a otros software maliciosos utilizados por este actor. No obstante, destaca por ser utilizado en etapas posteriores a la explotación para ejecutar comandos y permite abrir shells de forma remota en los equipos infectados.
En último lugar, cabe indicar que, aunque es bastante simple, ObjCShellz es muy funcional para las operaciones llevadas a cabo por BlueNoroff.
Vulnerabilidad crítica en Atlassian Confluence explotada en ataques de ransomware
Recientemente se observó que actores amenaza están aprovechando el error crítico de omisión de autenticación en Atlassian Confluence, conocido como CVE-2023-22518, para cifrar archivos y desplegar ransomware. Atlassian emitió una actualización de su aviso de seguridad en la que reestableció el CVSS de 9.1 a 10.0, debido a estos cambios en el alcance del ataque y recordando que la vulnerabilidad afecta a todas las versiones de su software Confluence Data Center and Server.
Cabe destacar que la empresa emitió el pasado 31 de octubre las respectivas actualizaciones de seguridad y exhortó a los administradores a parchear de inmediato las instancias vulnerables, advirtiendo que la falla también podría borrar datos.
Además, fue emitida una segunda advertencia dos días después de publicar el parche, sobre una prueba de concepto disponible en línea de la cual no se tenía evidencia de explotación en curso. Sin embargo, días después se informó que actores amenaza ya estaban explotando la falla en ataques.
Dicha explotación generalizada se detectó a partir del pasado 5 de noviembre en ataques contra organizaciones en los EE. UU., Taiwán, Ucrania, Georgia, Letonia y Moldavia, desde tres direcciones IP diferentes según informó Andrew Morris, director ejecutivo de la empresa de inteligencia de amenazas GreyNoise.
Expuestos los datos de Dolly pese a haber pagado el rescate exigido
Según afirma Cybernews, la empresa de mudanzas Dolly aceptó pagar el rescate exigido por el grupo de ransomware que había accedido a sus sistemas para que los criminales no publicaran los datos exfiltrados pero estos los publicaron igualmente ya que consideraron que la cantidad pagada por Dolly no era suficiente.
Cybernews agrega que el actor de la amenaza publicó en la dark web la conversación mantenida con Dolly en la que éste accedía al pago de la cantidad reclamada.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
.jpg "La CIA publica un informe sobre deepfakes y cómo manejar esta amenaza")
