Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín Semanal de Ciberseguridad, 3 de enero
Publicado un exploit para la vulnerabilidad LDAPNightmare
Investigadores de SafeBreach han publicado el código de una prueba de concepto que se aprovecha de la vulnerabilidad CVE-2024-49112 (CVSSv3 9.8), conocida como LDAPNightmare. Se trata de un exploit que causa un DoS en cualquier servidor Windows no parcheado, incluyendo controladores de dominio, a través del envío de peticiones LDAP especialmente modificadas.
El exploit desarrollado por SafeBreach puede causar que cualquier servidor Windows no parcheado se bloquee sin necesidad de interacción previa, lo que es especialmente crítico porque los Controladores de Dominio son componentes clave en las redes organizacionales, y una vulnerabilidad en ellos puede afectar gravemente la seguridad de la red.
El pasado 10 de diciembre Microsoft publicó el parche para la vulnerabilidad.
DoubleClickjacking: técnica emergente para obtener accesos no autorizados
Investigadores en ciberseguridad han descubierto una nueva técnica de ataque denominada "DoubleClickjacking", que aprovecha una secuencia de doble clic para superar las protecciones contra clickjacking en sitios web relevantes. Este método, que emplea el intervalo entre clics para manipular elementos de la interfaz de usuario, permite tomar control de cuentas con una interacción mínima, eludiendo defensas como las cabeceras X-Frame-Options o las cookies SameSite.
El ataque comienza en un sitio controlado por un atacante que solicita un doble clic en una ventana emergente aparentemente inocua, como un CAPTCHA. Durante el segundo clic, el sitio redirige al usuario de manera encubierta a una página maliciosa, aprobando acciones como la autorización de aplicaciones OAuth maliciosas sin que el usuario sea consciente.
Como medida preventiva de concienciación los investigadores proponen deshabilitar la activación de botones críticos a menos que se detecte un gesto del ratón o una tecla con el objetivo de evitar que el segundo clic se active demasiado rápido y autorice a aplicaciones sin conocimiento del usuario hasta que los navegadores adopten estándares que puedan mitigar los efectos no deseados de este nuevo vector de ataque.
Ficora y Capsaicin incrementan su actividad dirigiéndose a routers D-Link
Investigadores de Fortinet han detectado dos botnets denominadas Ficora, una variante de Mirai, y Capsaicin, variante de Kaiten, las cuales han registrado un aumento de la actividad dirigida a routers D-Link que ejecutan versiones de firmware obsoletas o que han llegado al fin de su vida útil.
Para el acceso inicial, ambos malware utilizan exploits conocidos para CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 y CVE-2024-33112. Tras comprometer un dispositivo, los atacantes aprovechan debilidades en la interfaz de administración de D-Link (HNAP) y ejecutan comandos maliciosos a través de GetDeviceSettings con fines de DDoS. Por su parte, las botnet son capaces de ejecutar shell scripts, robar datos y filtrarlos al servidor C2. Ficora tiene una amplia distribución geográfica, dirigiéndose especialmente a Japón y Estados Unidos, mientras que Capsaicin parece dirigirse principalmente a países de Asia Oriental.
Se recomienda a los usuarios actualizar los dispositivos a la última versión de firmware disponible, o sustituirlos por un modelo nuevo en caso de no recibir actualizaciones.
Cisco confirma que las fugas publicadas por Intelbroker se deberían a la misma intrusión
Cisco ha confirmado que la segunda publicación del usuario de BreachForums IntelBroker acerca de una fuga de información de sus sistemas estaría relacionada con la primera de las publicaciones. La nueva fuga no se debería a una nueva intrusión, sino que estaría compuesta por los datos del ataque, también confirmado por Cisco, a sus instancias de desarrollo.
Ataque coordinado a extensiones de Google Chrome
Varias extensiones de Chrome fueron comprometidas en un ataque coordinado en el cual un actor de amenazas inyectó código para robar información sensible de los usuarios. Uno de los afectados, Cyberhaven, alertó de que un atacante secuestró una cuenta de empleado y publicó una versión maliciosa (24.10.4) de la extensión, la cual incluía código capaz de exfiltrar sesiones autenticadas y cookies al dominio del atacante.
Otras extensiones de Chrome afectadas fueron Internxt VPN, VPNCity, Uvoice, ParrotTalks, Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, Primus, AI Shop Buddy, Sort by Oldest, Earny, ChatGPT Assistant, Keyboard History Recorder y Email Hunter.
Se recomienda a los usuarios eliminar dichas extensiones o actualizarlas a una versión segura publicada después del 26 de diciembre, siempre que el editor haya solucionado el problema. Alternativamente, se recomienda desinstalar la extensión, restablecer las contraseñas de las cuentas, borrar los datos del navegador y restablecer su configuración original.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
