Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 9 - 15 noviembre
Ivanti corrige múltiples vulnerabilidades en sus productos
La compañía Ivanti ha publicado su Patch Tuesday para corregir múltiples vulnerabilidades en sus productos Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS) and Ivanti Secure Access Client (ISAC). De entre los fallos de seguridad publicados en su boletín, destacan ocho considerados como críticos que afectan a sus productos señalados.
En concreto, se tratan de las vulnerabilidades registradas como CVE-2024-38655, CVE-2024-38656, CVE-2024-39710, CVE-2024-39711, CVE-2024-39712, CVE-2024-11005, CVE-2024-11006 y CVE-2024-11007 todas ellas con CVSSv3 de 9.1. Cabe indicar que estas vulnerabilidades se describen como fallos de inyección de argumentos y comandos que podrían permitir a atacantes autenticados con privilegios de administrador realizar una ejecución de código remoto.
En base a ello, Ivanti recomienda a sus usuarios actualizar los productos a las siguientes versiones Connect Secure versión 22.7R2.3 y Policy Secure versión 22.7R1.2 para corregir estos fallos como el resto de los publicados.
Patch Tuesday de Microsoft corrige 91 vulnerabilidades, incluidas cuatro 0-days
Microsoft ha publicado el aviso correspondiente al Patch Tuesday del mes de noviembre, el cual incluye actualizaciones de seguridad para 91 fallos. Entre estos, se observan cuatro vulnerabilidades 0-day, dos de las cuales habrían sido explotadas activamente. En concreto, se tratan de los fallos registrados como CVE-2024-43451, CVSSv3 de 6.5, el cual produce una suplantación de divulgación de hash NTLM que expone los hashes NTLMv2 a atacantes remotos con una interacción mínima del usuario, así como de la vulnerabilidad CVE-2024-49039, CVSSv3 de 8.8, de elevación de privilegios del Programador de tareas de Windows que permite a los atacantes ejecutar funciones de RPC normalmente restringidas a cuentas privilegiadas derivando en una ejecución de código o acceso a recursos no autorizados.
En cuanto a las otras dos vulnerabilidades, CVE-2024-49040, CVSSv3 de 7.5 y CVE-2024-49041, se tratan de fallos de suplantación de identidad en Microsoft Exchange Server y MSHTML respectivamente.
Confluencias entre el nuevo ransomware Ymir y RustyStealer
Los investigadores de Kaspersky han publicado un informe en el que señalan la asociación entre el nuevo ransomware Ymir con el infostealer RustyStealer en sus operaciones. Según los expertos, esta nueva cepa de ransomware destaca por su ejecución en memoria, el uso del idioma africano lingala en su código, utilizar un cifrado ChaCha20, el uso de archivos PDF como notas de rescate y sus opciones de configuración de extensiones. Asimismo, Kaspersky señala que Ymir se conecta a servidores externos que podrían facilitar la exfiltración de datos, ya que este ransomware no tiene tal capacidad.
En cuanto al informe, además, analiza la participación de RustyStealer, software malicioso que se encarga de la recolección de credenciales y permite a los atacantes obtener acceso no autorizado a los sistemas al comprometer cuentas legítimas con altos privilegios al conseguir realizar movimientos laterales una vez se accede a la red de la víctima. Ymir ha sido visto atacando víctimas en Colombia.
Campaña maliciosa distribuyendo Strela Stealer en Alemania, España y Ucrania
El equipo de investigadores de IBM X-Force ha publicado una investigación en la que informa sobre la detección de una campaña de distribución del malware Strela Stealer por parte del actor malicioso denominado Hive0145. Según los expertos, dicha campaña estaría apuntando principalmente contra Alemania, España y Ucrania y se estaría realizando mediante la remisión de correos maliciosos.
En concreto, Hive0145 estaría distribuyendo Strela Stealer mediante el uso de cuentas vulneradas correos simulando ser facturas y recibos con adjuntos que al ejecutarse por parte de la víctima infectan el equipo con dicho malware. Asimismo, los investigadores señalan que Hive0145 ha ido evolucionando sus TTP desde al menos 2022, la última versión del malware, además de robar información, recopila información del sistema, recupera lista de aplicaciones instaladas y comprueba el idioma del teclado de la víctima para atacar únicamente a quienes utilicen español, alemán, catalán, polaco, italiano, vasco o ucraniano.
Bitdefender publica una herramienta para el descifrado de ShrinkLocker
Bitdefender ha publicado un informe en el que detalla el funcionamiento del ransomware ShrinkLocker y, además, una herramienta gratuita para descifrar los archivos encriptados con este malware. ShrinkLocker, que comenzó a actuar a principios de este año, abusa de la herramienta legítima de Windows Bitlocker para cifrar archivos y luego elimina las opciones de recuperación.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
