Boletín de Ciberseguridad, 29 junio - 5 julio

5 de julio de 2024

Google parchea vulnerabilidades en Android

La compañía Google ha lanzado una actualización de seguridad para el sistema Android que corrige un total de 25 vulnerabilidades, de entre las cuales destaca una considerada como crítica. En concreto, dicho fallo de seguridad ha sido registrado como CVE-2024-31320 que afecta al componente Framework y cuyo aprovechamiento podría producir una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.

Cabe indicar que esta vulnerabilidad afecta a las versiones de Android 12 y 12L, además de que también se han abordado otros siete problemas de alta gravedad en dicho activo. Por otra parte, se han resuelto otras 17 vulnerabilidades en componentes Kernel, Arm, Imagination Technologies, MediaTek y Qualcomm. Google recomienda a los usuarios para actualizar los dispositivos para corregir estas vulnerabilidades.

Más info

Velvet Ant explota vulnerabilidad en Cisco NX-OS para distribuir malware

Recientemente, la firma de seguridad Sygnia informó que el grupo de ciberespionaje chino conocido como Velvet Ant está explotando una vulnerabilidad 0-day en el software Cisco NX-OS para distribuir malware. La falla, identificada como CVE-2024-20399 y con una puntuación CVSSv3 de 6.0 según fabricante, permite a un atacante local autenticado ejecutar comandos arbitrarios como root en los switches Cisco Nexus afectados.

Según los expertos, Velvet Ant ha utilizado esta vulnerabilidad para desplegar malware personalizado que le permite conectarse remotamente a los dispositivos comprometidos, cargar archivos adicionales y ejecutar código.

Por su parte, Cisco ha declarado que la vulnerabilidad se debe a una insuficiente validación de los argumentos en los comandos CLI de configuración, permitiendo a un usuario con privilegios de administrador ejecutar comandos sin generar mensajes syslog. Asimismo, ha lanzado actualizaciones de software para corregir esta vulnerabilidad, ya que no existen soluciones alternativas.

Más info

Juniper corrige una vulnerabilidad critica de evasión de autenticación

Juniper Networks ha lanzado una actualización de emergencia para solucionar una vulnerabilidad que permite eludir la autenticación en los productos Session Smart Router (SSR), Session Smart Conductor y WAN Assurance Router. Este fallo de seguridad, identificado como CVE-2024-2973 y con una puntuación CVSSv3 de 10.0 según fabricante, afecta a configuraciones redundantes de alta disponibilidad, y permite a un atacante eludir la autenticación y tomar el control total del dispositivo. La actualización se ha publicado en las versiones 5.6.15, 6.1.9-lts, 6.2.5-sts y posteriores para SSR.

En los entornos gestionados por Conductor, basta con actualizar sólo los nodos Conductor y la corrección se aplicará automáticamente a todos los routers conectados. En cuanto a WAN Assurance Routers, las actualizaciones se aplicarán automáticamente cuando están conectados a Mist Cloud. Por su parte, Juniper garantiza que la actualización no interrumpe el tráfico de producción y, aunque afirma no tener conocimiento de ninguna explotación activa de esta vulnerabilidad, recomienda aplicar las correcciones disponibles.

Más info

FakeBat es distribuido mediante técnicas drive-by download

FakeBat, también denominado EugenLoader y PaykLoader, es uno de los malware de tipo loader que más relevancia ha ganado en 2024, de acuerdo con una investigación publicada por Sekoia. Este malware se distribuye mediante la técnica drive-by download, empleando campañas de malvertising, actualizaciones de navegadores, ingeniería social y páginas maliciosas suplantando software legítimo, incluyendo AnyDesk y Google Chrome.

Asimismo, FakeBat actúa como Malware-as-a-Service (MaaS), desplegando las payloads de otros malware como IcedID, Lumma o Redline. Con respecto a su infraestructura de C2, los investigadores identificaron varios servidores empleados por los actores de amenazas para este cometido, así como para llevar a cabo tácticas de elusión de detección, incluyendo el filtrado de tráfico basado en valores User-Agent y direcciones IP.

Más info

Operadores de ransomware amenazan a sus víctimas con llamadas telefónicas

El equipo de investigadores de Halcyon ha publicado una investigación en la que señala que un nuevo grupo de ransomware, denominado Volcano Demon, estaría utilizando llamadas telefónicas para extorsionar a sus víctimas. Según los expertos, dicho actor emplearía técnicas de doble extorsión y llevaría al menos dos ataques a empresas de logística e industria infectándolas con el ransomware LukaLocker.

En cuanto a lo destacado del caso es que estos operadores de ransomware no disponen de un sitio web de filtraciones de información, sino que utilizan llamadas telefónicas casi diarias mediante números no identificados amenazando a sus víctimas. Cabe indicar que desde Halcyon no han podido confirmar si Volcano Demon opera de forma independiente, o si se trataría de una filial de algún grupo conocido de ransomware.

Más info