Boletín de Ciberseguridad, 14 - 20 de octubre

20 de octubre de 2023

Vulnerabilidad explotada activamente en Citrix NetScaler

El equipo de investigadores de Mandiant ha realizado una publicación en la que alerta sobre la explotación activa de una vulnerabilidad que afecta a Citrix NetScaler.

En concreto, el fallo de seguridad se trata del registrado como CVE-2023-4966, CVSSv3 de 7.5, el cual fue parcheado la pasada semana por parte del fabricante. Sin embargo, nuevos detalles de la investigación realizada por el equipo de Mandiant apuntan a que esta vulnerabilidad habría sido explotada por actores maliciosos desde el pasado mes de agosto.

Cabe indicar que el aprovechamiento de este fallo de seguridad se puede realizar sin requerir altos privilegios, interacción del usuario o alta complejidad, ya que el único requisito previo para explotar la vulnerabilidad es que el dispositivo esté configurado como puerta de enlace (servidor virtual VPN, proxy ICA, CVPN, proxy RDP) o servidor virtual AAA. Esto podría desencadenar en un acceso a información confidencial en los dispositivos afectados.

Desde Citrix recomiendan aplicar los correspondientes parches de seguridad, así como seguir una serie de recomendaciones adicionales facilitadas por el fabricante.

Más info.

El grupo iraní Crambus compromete durante 8 meses los sistemas de un gobierno de Oriente Medio

El grupo de ciberespionaje Crambus, también conocido como APT34, OilRig o Muddy Water, llevó a cabo una intrusión durante ocho meses en al menos 12 ordenadores de una red gubernamental de Oriente Medio.

De acuerdo con Symantec Threat Hunter Team, el grupo de origen iraní es conocido por sus operaciones de obtención de inteligencia mediante intrusiones de larga duración, y habría llevado a cabo ataques contra múltiples gobiernos, incluyendo Arabia Saudí, Albania y EE.UU.

En este último ataque, Crambus empleó diferentes tipos de malware combinados con herramientas legítimas para obtener, expandir y mantener su acceso en los sistemas de febrero a septiembre de 2023.

Entre los malwares empleados destaca Backdoor.Power.Exchange, puerta trasera conocida que no había sido atribuida a este grupo hasta ahora, y que permite iniciar sesión en un servidor de Exchange para monitorizar emails enviados por los atacantes con comandos para la ejecución de código arbitrario en la PowerShell.

Más info.

Descubierto un nuevo malware que apunta al Sudeste Asiático

Investigadores de Elastic Security Labs han identificado una nueva puerta trasera, apodada BLOODALCHEMY, utilizada en ataques dirigidos a gobiernos y organizaciones de la Asociación de Naciones de Asia Sudoriental (ASEAN).

Este nuevo malware es parte del conjunto de intrusión REF5961, vinculado a China, y se ha observado recientemente en ataques de espionaje contra el gobierno de Mongolia.

BLOODALCHEMY es una puerta trasera x86 escrita en C que se encuentra como código shell inyectado en un proceso benigno firmado; y requiere que se ejecute un cargador específico porque no tiene la capacidad de cargarse y ejecutarse por sí solo.

Además, no se compila como independiente de la posición por lo que cuando se carga en una dirección base diferente a la preferida, el binario debe parchearse para tener en cuenta la nueva posición. Asimismo, el malware se comunica mediante el protocolo HTTP para conectarse a C2, y aplica un método clásico de ofuscación.

Por otro lado, el análisis realizado destaca que el backdoor sólo contiene unos pocos comandos con efectos reales y funcionalidad limitada. Por lo que se deduce que el malware es parte de un conjunto de herramientas más grande y aún se encuentra en desarrollo activo debido a su falta de capacidades.

Más info.

Miles de dispositivos Cisco IOS XE vulnerados por 0-day

Esta semana la compañía Cisco emitió un aviso de seguridad alertando sobre la vulnerabilidad 0-day crítica, CVE-2023-20198, activamente explotada que afecta a su software IOS XE y se utiliza en switches empresariales, routers, controladores wireless, entre otros.

A raíz de estos hechos, investigadores de la empresa VulnCheck han publicado que actores maliciosos habrían infectado miles de dispositivos vulnerables, los cuales requieren que la función de interfaz de usuario web este habilitada, así como la función de servidor HTTP o HTTPS

Asimismo, la compañía ha puesto a disposición en su repositorio de GitHub una herramienta para identificar si los sistemas de quienes usen el software Cisco IOS XE se han visto vulnerados por dicho fallo de seguridad.

En último lugar, cabe indicar que pese a que aún no hay un parche disponible, se puede tomar como medida paliativa deshabilitar la interfaz web y eliminar todas las interfaces de administración de internet.

Más info.

BlackCat ransomware utiliza maquina virtual Muchkin en sus operaciones

La Unidad 42 de Palo Alto ha publicado los resultados de una investigación en la que señalan que han identificado en incidentes de ransomware BlackCat la utilización de una nueva máquina virtual, denominada Munchkin, en sus operaciones.

En concreto, esta se trata de una distribución personalizada de Alpine OS Linux que, tras comprometer un dispositivo, los operadores del ransomware instalan VirtualBox y crean una nueva máquina virtual utilizando la ISO de Munchkin. Cabe destacar que Munchkin permite que BlackCat se ejecute en sistemas remotos y/o cifre recursos compartidos de Server Message Block (SMB) o Common Internet File System (CIFS) remotos.

Asimismo, cabe indicar que Munchkin incluye un conjunto de scripts y utilidades que permiten a sus operadores implementar cargas útiles de malware eludiendo las correspondientes soluciones de seguridad del equipo de sus víctimas.

En último lugar, cabe indicar que los expertos señalan que el uso de máquinas virtuales por parte de operadores de ransomware en sus operaciones es una tendencia creciente.

Más info.

💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse

Imagen de Kjpargeter en Freepik.