Boletín Semanal de Ciberseguridad, 3 de enero

3 de enero de 2025

Publicado un exploit para la vulnerabilidad LDAPNightmare

Investigadores de SafeBreach han publicado el código de una prueba de concepto que se aprovecha de la vulnerabilidad CVE-2024-49112 (CVSSv3 9.8), conocida como LDAPNightmare. Se trata de un exploit que causa un DoS en cualquier servidor Windows no parcheado, incluyendo controladores de dominio, a través del envío de peticiones LDAP especialmente modificadas.

El exploit desarrollado por SafeBreach puede causar que cualquier servidor Windows no parcheado se bloquee sin necesidad de interacción previa, lo que es especialmente crítico porque los Controladores de Dominio son componentes clave en las redes organizacionales, y una vulnerabilidad en ellos puede afectar gravemente la seguridad de la red.

El pasado 10 de diciembre Microsoft publicó el parche para la vulnerabilidad.

Más info

​​​DoubleClickjacking: técnica emergente para obtener accesos no autorizados

Investigadores en ciberseguridad han descubierto una nueva técnica de ataque denominada "DoubleClickjacking", que aprovecha una secuencia de doble clic para superar las protecciones contra clickjacking en sitios web relevantes. Este método, que emplea el intervalo entre clics para manipular elementos de la interfaz de usuario, permite tomar control de cuentas con una interacción mínima, eludiendo defensas como las cabeceras X-Frame-Options o las cookies SameSite.

El ataque comienza en un sitio controlado por un atacante que solicita un doble clic en una ventana emergente aparentemente inocua, como un CAPTCHA. Durante el segundo clic, el sitio redirige al usuario de manera encubierta a una página maliciosa, aprobando acciones como la autorización de aplicaciones OAuth maliciosas sin que el usuario sea consciente.

Como medida preventiva de concienciación los investigadores proponen deshabilitar la activación de botones críticos a menos que se detecte un gesto del ratón o una tecla con el objetivo de evitar que el segundo clic se active demasiado rápido y autorice a aplicaciones sin conocimiento del usuario hasta que los navegadores adopten estándares que puedan mitigar los efectos no deseados de este nuevo vector de ataque.

Más info

Ficora y Capsaicin incrementan su actividad dirigiéndose a routers D-Link

Investigadores de Fortinet han detectado dos botnets denominadas Ficora, una variante de Mirai, y Capsaicin, variante de Kaiten, las cuales han registrado un aumento de la actividad dirigida a routers D-Link que ejecutan versiones de firmware obsoletas o que han llegado al fin de su vida útil.

Para el acceso inicial, ambos malware utilizan exploits conocidos para CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 y CVE-2024-33112. Tras comprometer un dispositivo, los atacantes aprovechan debilidades en la interfaz de administración de D-Link (HNAP) y ejecutan comandos maliciosos a través de GetDeviceSettings con fines de DDoS. Por su parte, las botnet son capaces de ejecutar shell scripts, robar datos y filtrarlos al servidor C2. Ficora tiene una amplia distribución geográfica, dirigiéndose especialmente a Japón y Estados Unidos, mientras que Capsaicin parece dirigirse principalmente a países de Asia Oriental.

Se recomienda a los usuarios actualizar los dispositivos a la última versión de firmware disponible, o sustituirlos por un modelo nuevo en caso de no recibir actualizaciones.

Más info

Cisco confirma que las fugas publicadas por Intelbroker se deberían a la misma intrusión

Cisco ha confirmado que la segunda publicación del usuario de BreachForums IntelBroker acerca de una fuga de información de sus sistemas estaría relacionada con la primera de las publicaciones. La nueva fuga no se debería a una nueva intrusión, sino que estaría compuesta por los datos del ataque, también confirmado por Cisco, a sus instancias de desarrollo.

Más info

Ataque coordinado a extensiones de Google Chrome

Varias extensiones de Chrome fueron comprometidas en un ataque coordinado en el cual un actor de amenazas inyectó código para robar información sensible de los usuarios. Uno de los afectados, Cyberhaven, alertó de que un atacante secuestró una cuenta de empleado y publicó una versión maliciosa (24.10.4) de la extensión, la cual incluía código capaz de exfiltrar sesiones autenticadas y cookies al dominio del atacante.

Otras extensiones de Chrome afectadas fueron Internxt VPN, VPNCity, Uvoice, ParrotTalks, Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, Primus, AI Shop Buddy, Sort by Oldest, Earny, ChatGPT Assistant, Keyboard History Recorder y Email Hunter.

Se recomienda a los usuarios eliminar dichas extensiones o actualizarlas a una versión segura publicada después del 26 de diciembre, siempre que el editor haya solucionado el problema. Alternativamente, se recomienda desinstalar la extensión, restablecer las contraseñas de las cuentas, borrar los datos del navegador y restablecer su configuración original.

Más info