Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 5 - 11 octubre
Salt Typhoon accedió al sistema de escucha telefónica de los tribunales de EE UU
Una investigación publicada por Wall Street Journal ha revelado que la amenaza persistente avanzada (APT) china Salt Typhoon, también conocida como FamousSparrow y GhostEmperor, logró acceder a los sistemas que el gobierno federal de Estados Unidos emplea para realizar escuchas telefónicas autorizadas por los tribunales del país.
El medio de comunicación informó de que el actor de amenazas comprometió las redes de los proveedores de banda ancha Verizon, AT&T y Lumen Technologies para recopilar datos de tráfico de Internet de empresas y ciudadanos, aunque no especificó los detalles del ataque y el alcance de los datos comprometidos.
Corregidas varias vulnerabilidades en la solución Expedition de Palo Alto Networks
Palo Alto ha corregido cinco vulnerabilidades en su solución Expedition que podrían permitir secuestrar cortafuegos PAN-OS. Además, existen dos PoC publicadas, si bien no se habrían detectado evidencias de explotación activa. Los fallos se corresponden con: una inyección de comandos no autenticada (CVE-2024-9463, CVSSv3 de 9.9), una inyección de comandos autenticada (CVE-2024-9464, CVSSv3 de 9.3 y para la que se publicó la segunda PoC indicada), una inyección SQL no autenticada (CVE-2024-9465, CVSSv3 de 9.2), credenciales en texto claro almacenadas en registros (CVE-2024-9466, CVSSv3 de 8.2) y un fallo XSS reflejado no autenticado (CVE-2024-9467, CVSSv3 7).
Combinados, permitirían a un atacante leer el contenido de la base de datos de Expedition y archivos arbitrarios, así como escribir archivos arbitrarios. Todos los fallos han sido corregidos en la versión 1.2.96 de Expedition y superiores.
La justicia estadounidense desmantela la infraestructura de Star Blizzard
La Unidad de Crímenes Digitales (DCU) de Microsoft junto con el Departamento de Justicia de EE. UU. han llevado a cabo una operación en la que han desmantelado más de 100 dominios vinculados al actor de amenazas Star Blizzard. Esta Amenaza Persistente Avanzada (APT), también conocida como Cold River o Callisto, llevaría activa desde 2017, realizando ataques de phishing y desplegando backdoors personalizadas.
En concreto, de acuerdo con el artículo publicado por Microsoft, desde 2023 este grupo habría atacado a más de 30 organizaciones del sector sociedad civil, incluyendo Organizaciones No Gubernamentales (ONG), periodistas y grupos de reflexión.
Patch Tuesday de Microsoft: actualizados 118 fallos de seguridad y cinco zero-days
Microsoft ha publicado el aviso correspondiente al Patch Tuesday del mes de octubre, que incluye actualizaciones de seguridad para 118 fallos. Entre estos, se observan cinco vulnerabilidades zero-day, de las cuales dos habrían sido explotadas activamente. Asimismo, el aviso soluciona tres fallos de ejecución remota de código: CVE-2024-43468, CVSSv3 de 9.8 según fabricante; CVE-2024-43488, CVSSv3 de 8.8 según Microsoft; y CVE-2024-43582, CVSSv3 de 8.1 según fabricante.
Con respecto a los fallos activamente explotados, estos se corresponden con una vulnerabilidad de suplantación de la plataforma MSHTML de Windows (CVE-2024-43573, CVSSv3 de 6.5 según Microsoft) y una vulnerabilidad de ejecución remota de código en la consola de administración de Microsoft (CVE-2024-43572, CVSSv3 de 7.8 según Microsoft). La primera podría tratarse de un bypass de una vulnerabilidad anterior que falseaba las extensiones de los archivos al abrirlos, mientras que la segunda permite que archivos maliciosos de Microsoft Saved Console (MSC) ejecuten código remoto en dispositivos infectados.
Detectada una campaña de phishing empleando Mamba 2FA
Los investigadores de Sekoia Blog han publicado un artículo detallando una nueva campaña de phishing en la que el actor malicioso empleaba la herramienta Mamba 2FA. La campaña fue detectada en mayo de 2024, ofreciendo a los atacantes un mecanismo de adversary-in-the-middle (AiTM) que puede ser empleado para saltarse la protección de la autenticación multifactor (MFA) mediante la captura de los tokens de autenticación de las víctimas.
Asimismo, Mamba 2FA es compatible con Entra ID, AD FS, proveedores de SSO de terceros y cuentas de consumidores de Microsoft, pudiendo reflejar la página de inicio de sesión personalizada de cada organización. Los investigadores destacan que la herramienta es comercializada en Telegram mediante un modelo de Phishing-as-a-Service.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
