Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 13 - 19 de enero
Vulnerabilidades 0-day en Citrix activamente explotadas
Citrix ha emitido un aviso de seguridad en donde alerta sobre la explotación de dos 0-day que afectan a sus productos NetScaler ADC y NetScaler Gateway.
En concreto, los fallos de seguridad registrados como CVE-2023-6548, CVSSv3 de 5.5 y CVE-2023-6549, CVSSv3 de 8.2 según la emrpesa, afectan la interfaz de administración de NetScaler y su aprovechamiento podrían derivar en una ejecución remota de código y en ataques de denegación de servicio, respectivamente.
Cabe indicar que para realizar una ejecución de código se requiere que los atacantes inicien sesión en cuentas con pocos privilegios con acceso a NSIP, CLIP o SNIP de la interfaz de administración. Asimismo, los dispositivos deben estar configurados como una puerta de enlace o un servidor virtual AAA para que sean vulnerables a ataques DoS.
En último lugar, cabe indicar que desde Shadowserver señalan que alrededor de 1.500 activos se encuentran expuestos en la red.
Corregido un nuevo 0-day activamente explotado en Chrome
Google ha lanzado actualizaciones de seguridad para solucionar la primera vulnerabilidad 0-day de Chrome que ha sido explotada desde principios de año.
La empresa ha corregido la falla para los usuarios de Windows, Mac y Linux. La vulnerabilidad, conocida como CVE-2024-0519, se debe a una debilidad de acceso a memoria fuera de límites en el motor JavaScript V8 de Chrome, lo que podría permitir a los atacantes acceder a datos confidenciales o causar bloqueos.
Además de esta vulnerabilidad, Google también ha parcheado otros fallos, como CVE-2024-0517 y CVE-2024-0518, que permitían la ejecución de código arbitrario en dispositivos comprometidos. Aunque Google tiene conocimiento de los exploits utilizados en ataques, no ha proporcionado más detalles sobre estos incidentes.
Infostealers evaden protección XProtect en macOS
El equipo de investigadores de SentinelOne han publicado un informe en el que analizan tres ejemplos de infostealers que tienen la capacidad de evadir la solución de seguridad integrada en los sistemas operativos macOS denominada XProtect.
- En primer lugar, destacan el software malicioso KeySteal que se distribuye como un binario Mach-O y su objetivo es establecer persistencia y exfiltrar información del sistema de administración de contraseñas de macOS Keychain.
- En segundo lugar, analizan Atomic Stealer, otro infostealer que está escrito en Go, pero que desde SentinelOne señalan que ya han observado variantes en C++ que pueden evadir la detección, ya que ha reemplazado la ofuscación del código con AppleScript e incluye capacidades de antianálisis en una máquina virtual para su análisis.
En último lugar, señalan al malware CherryPie que destaca por estar escrito en Go y disponer de herramientas de antianálisis, al igual que en el caso anterior.
Reaparece el malware Azorult con nuevas capacidades
El malware Azorult, inicialmente descubierto en 2016, ha resurgido nuevamente, de acuerdo con los investigadores de Cyble.
Este malware presenta capacidades de infostealer, pudiendo robar credenciales de acceso, historiales de búsqueda y detalles de billeteras de criptomonedas; así como de downloader, lo que le permite descargar un loader de un servidor remoto para posteriormente ejecutar el malware final.
Hay que destacar que tanto la ejecución final como la carga del loader evitan ser detectados al ejecutarse en memoria, sin dejar indicios en el disco.
Aunque el vector inicial no ha sido confirmado, los investigadores hipotetizan que se podría haber empleado ataques de phishing para distribuir los archivos de acceso directo que se hacen pasar por PDF, conteniendo realmente el malware, que detectaron en VirusTotal.
Finalmente, se destaca que en los archivos de acceso directo se detectó un script de PowerShell ofuscado y comandos para ejecutar un archivo por lotes empleando un programados de tareas.
GitLab advierte sobre vulnerabilidad crítica zero-click
GitLab ha publicado actualizaciones de seguridad para las ediciones Community y Enterprise con el fin de solucionar dos vulnerabilidades críticas, una de las cuales permite el secuestro de cuentas sin interacción del usuario.
La vulnerabilidad zero-click ha sido clasificada como CVE-2023-7028, tiene la máxima puntuación de gravedad (10 sobre 10) y se trata de un problema de autenticación que permite que las solicitudes de restablecimiento de contraseña se envíen a direcciones de correo electrónico arbitrarias y no verificadas, lo que permite hacerse con la cuenta.
La segunda vulnerabilidad crítica se identifica como CVE-2023-5356, tiene una puntuación de gravedad de 9,6 sobre 10 y un atacante podría aprovecharla para abusar de las integraciones de Slack/Mattermost para ejecutar comandos de barra como otro usuario.
Algunas otras vulnerabilidades reportadas han sido clasificadas como CVE-2023-4812, CVE-2023-6955 y CVE-2023-2030.
⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse
