Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 8 - 13 junio
Vulnerabilidad crítica en PHP para Windows
El investigador de seguridad Orange Tsai realizó una publicación en la que explica el descubrimiento de una vulnerabilidad crítica de PHP para Windows. En concreto, el fallo de seguridad fue registrado como CVE-2024-4577, CVSSv3 de 9.8 según fabricante, y se debe a un fallo en el manejo de las conversiones de codificación de caracteres, específicamente la función “Best-Fit” en Windows cuando PHP se usa en modo CGI.
Cabe indicar que dicho descubrimiento fue realizado el 7 de mayo, momento en el que el investigador se puso en contacto con los desarrolladores de PHP, para posteriormente lanzar un parche de seguridad antes de su publicación. La vulnerabilidad afecta a todas las versiones desde la 5.x y desde Shadowserver alertan tanto de que actores maliciosos ya están comenzando a explotar el fallo de seguridad, como de que ya existe una PoC publicada.
Campaña contra entornos Snowflake por parte de UNC5537
El equipo de investigadores de Mandiant publicó una investigación en la que señalan que alrededor de 165 organizaciones se habrían visto afectadas por una campaña perpetrada por el actor amenaza UNC5537 contra sistemas de almacenamiento en la nube Snowflake. Según los expertos, dicho actor malicioso habría comprometido cientos de instancias de Snowflake utilizando credenciales de clientes robadas mediante malware como Lumma, Meta, Racoon Stealer, Redline, Risepro y Vidar. Posteriormente, UNC5537 se habría dirigido contra cuentas que no contaban con las protecciones de doble factor de autenticación para acceder a los entornos de las víctimas.
Mandiant señala que no ha encontrado ninguna evidencia que sugiera que el acceso no autorizado a las cuentas de los clientes de Snowflake surgiera de un compromiso en la compañía Snowflake. Asimismo, estos señalan que los ataques comenzaron el pasado 14 de abril, momento en el que el actor comenzó a acceder a instancias ejecutando repetidamente comandos SQL para realizar reconocimientos y organizar y exfiltrar datos.
Patch Tuesday de Microsoft de junio
Microsoft publicó su Patch Tuesday correspondiente al mes de junio en el que se corrigen un total de 51 vulnerabilidades, de las cuales una es considerada con riesgo crítico, 43 como importante y 7 han sido clasificadas como desconocido. Asimismo, cabe destacar que, de entre el total, hay una que se trata de una 0-day. En concreto, esta vulnerabilidad ha sido registrada como CVE-2023-50868, y se considera de tal manera debido a que es un fallo de seguridad divulgado previamente a tener una solución oficial disponible.
Esta se refiere a una vulnerabilidad en la validación de DNSSEC, donde un atacante podría explotar los protocolos DNSSEC estándar destinados a la integridad de DNS mediante el uso de recursos, lo que provocaría una denegación de servicio para usuarios legítimos. Aparte de este fallo, destaca la considerada crítica, la cual ha sido registrada como CVE-2024-30080, CVSSv3 de 9.8, y que se trata de una vulnerabilidad de ejecución remota de código en Microsoft Message Queuing.
Nueva campaña de distribución de Agent Tesla dirigida a hispanohablantes
La nueva campaña de distribución del malware Agent Tesla mediante emails de phishing estaría siendo dirigida contra usuarios hispanohablantes. De acuerdo con lo publicado por los investigadores de FortiGuard Labs, la cadena de ataque comenzaría con un email que incluiría un archivo Excel con un hiperlink OLE que se abriría automáticamente con Excel y que incluiría código para explotar la vulnerabilidad CVE-2017-0199 (CVSSv3 7.8). Posteriormente, también se aprovecharía el fallo CVE-2017-11882 (CVSSv3 7.8) para ejecutar código remoto en el Equation Editor de Microsoft Office.
Los investigadores destacan que esta campaña estaría dirigida contra sistemas operativos Windows, y su finalidad sería la de obtener información sensible de las víctimas. Concretamente, la variante de Agent Tesla, un troyano de acceso remoto (RAT) escrito en .Net, detectada en esta campaña se caracteriza por presentar la capacidad de sustraer información de más de 80 aplicaciones, incluyendo credenciales de acceso, datos bancarios y capturas de pantalla.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
