Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 6 - 12 de enero
0-days explotados en productos Ivanti
El equipo de investigadores de Volexity descubrió que actores maliciosos estarían explotando dos vulnerabilidades 0-day que afectan a Ivanti Connect Secure e Ivanti Policy Secure Gateways. En concreto, Ivanti publicó un aviso de seguridad alertando sobre estos dos fallos de seguridad, los cuales han sido registrados como CVE-2023-46805, CVSSv3 de 8.2 según fabricante.
Esta vulnerabilidad produce una omisión de autenticación permitiendo a un atacante acceder a recursos restringidos eludiendo las comprobaciones de seguridad, y CVE-2024-21887, CVSSv3 de 9.1 según fabricante, que su explotación podrían permitir a los administradores autenticados ejecutar comandos arbitrarios. Cabe indicar que según los investigadores que han descubierto estas explotaciones de seguridad señalan que todas las versiones de los productos afectados son vulnerables.
Volexity atribuye esta campaña a un actor amenaza respaldada por el estado chino.
Microsoft parchea un total de 53 vulnerabilidades
Las actualizaciones de seguridad del Patch Tuesday de enero de Microsoft solucionan 53 problemas diferentes en varios productos, incluyendo Windows, Office, Azure, .NET Framework, Visual Studio, SQL Server, Windows Hyper-V e Internet Explorer. En concreto, dos de las vulnerabilidades solucionadas se consideran críticas, mientras que otras 47 tienen una gravedad alta.
- La primera vulnerabilidad crítica (CVE-2024-20700) permite la ejecución remota de código en Windows Hyper-V, aunque requiere que el atacante ya tenga acceso a la red restringida.
- La segunda vulnerabilidad crítica (CVE-2024-20674) afecta a Kerberos de Windows y podría ser explotada por un atacante no autenticado para realizar un ataque machine-in-the-middle (MITM) o suplantación de red local.
En ambos casos, el atacante debe haber obtenido acceso a la red restringida antes de lanzar el ataque. Según Microsoft, cabe indicar que ninguno de los problemas corregidos estaría siendo explotados.
Vulnerabilidades críticas en Splunk
Splunk emitió un total de cuatro avisos de seguridad en donde parchea hasta un total de 15 vulnerabilidades, de las cuales una es considerada como crítica, 12 con riesgo alto y dos de criticidad media. En concreto, el fallo de seguridad con mayor criticidad afecta a Splunk Enterprise Security y es el registrado como CVE-2022-37601, CVSSv3 de 9.8, el cual se trata de un fallo en la función parseQuery.
Cabe indicar que dentro de este aviso de seguridad contiene otras seis vulnerabilidades de riesgo alto en paquetes de terceros de Splunk Enterprise Security, las cuales se corrigen actualizando a la versión 7.1.2, 7.2.0, 7.3.0 o superior. Cabe señalar que las dos vulnerabilidades con criticidad media también afectan al mismo producto y su aprovechamiento puede desencadenar en condiciones de denegación de servicio.
Por otra parte, destaca el aviso de seguridad que afecta a Splunk User Behavior Analytics que contiene seis vulnerabilidades de alta gravedad y que el fabricante recomienda a sus clientes actualizar a las versiones 5.3.0, 5.2.1 o superiores.
NIST publica un informe sobre ataques de adversarial machine learning
Investigadores del National Institute of Standards and Technology (NIST) publicaron un informe acerca de ataques que implican adversarial machine learning, así como las posibles mitigaciones de estos.
En la guía publicada se incluyen los cuatro principales tipos de ataques que pueden ser empleados contra sistemas de inteligencia artificial: evasión, envenenamiento, privacidad y abuso.
Mientras que los ataques de evasión implican alterar una entrada para cambiar la respuesta del sistema, los de envenenamiento consisten en la introducción de datos corruptos en la fase de entrenamiento de la IA. Por otro lado, en los ataques de privacidad los atacantes intentan obtener datos valiosos preguntando a la IA y en los de abuso el objetivo es comprometer las fuentes legítimas de entrenamiento.
Aunque la agencia destaca que en la actualidad no existe un método infalible de protección, ha animado a la comunidad a mantener la búsqueda de mejores defensas ante este tipo de ataques.
APT Sea Turtle fija como objetivos organizaciones europeas
Según una investigación de Hunt & Hackett, Sea Turtle, también conocido como SILICON, es un grupo de amenazas persistentes avanzadas (APT) con sede en Turquía que se dedica al espionaje y robo de información mediante el secuestro de DNS.
El grupo se enfoca en organizaciones de Europa y Oriente Próximo, especialmente en organismos gubernamentales, grupos políticos kurdos, ONG, entidades de telecomunicaciones, ISP, proveedores de servicios de IT y organizaciones de prensa y entretenimiento. Su objetivo es robar datos valiosos y confidenciales, como registros de llamadas y metadatos de conexiones a sitios web.
Su modus operandi consiste en interceptar el tráfico de Internet hacia los sitios web de las víctimas para permitir el acceso no autorizado a redes gubernamentales y sistemas organizativos, utilizando para ello un mecanismo de shell inverso para agilizar la recopilación de datos.
⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse
