Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities.jpg)
Boletín de Ciberseguridad, 16 - 22 de septiembre
Apple parchea tres nuevas 0-day
Apple ha lanzado dos actualizaciones de seguridad de emergencia que parchean tres nuevas vulnerabilidades 0-day que podrían haber sido explotadas.
Por un lado, en el primero de los security advisories publicados por Apple, centrado en macOS Ventura, se tratan CVE-2023-41992, que afecta al Kernel Framework y puede explotarse por un actor amenaza para una elevación de privilegios, y CVE-2023-41991, fallo que afecta al Security Framework y puede ser empleado para evitar la validación de firmas usando aplicaciones maliciosas.
Por otro lado, el segundo advisory trata de iOS y iPadOS e incluye además el parcheo de la vulnerabilidad CVE-2023-41993, que afecta al motor de navegación WebKit y permitiría a un atacante ejecutar código arbitrario remotamente.
Las tres 0-day han sido parcheadas con el lanzamiento de las versiones macOS 12.7/13.6, iOS 16.7/17.0.1, iPadOS 16.7/17.0.1, and watchOS 9.6.3/10.0.1.
Silent Skimmer, campaña de skimming de tarjetas de crédito
El equipo de BlackBerry ha descubierto una campaña con motivación financiera, a la que han denominado Silent Skimmer.
La campaña, que llevaría activa más de un año, se dirigió en primer lugar a empresas en las regiones de Asia y el Pacífico, si bien últimamente ha fijado como objetivos América del Norte y América Latina.
Los actores amenaza explotan vulnerabilidades en aplicaciones web para obtener acceso a los sitios, de forma que, si el servicio web tiene permisos de escritura, el exploit carga una DLL maliciosa que instala malware como Magecart para robar datos de tarjetas de crédito del sitio.
Finalmente, los investigadores indican que los actores tendrían habilidades técnicas debido al uso de un gran conjunto de herramientas para escalar privilegios, herramienta para el acceso remoto, un exploit para la ejecución remota de código, además de su infraestructura C2.
Microsoft expone 38 Terabytes de datos privados a través de GitHub
El equipo de investigadores de Wiz ha descubierto que Microsoft sufrió una filtración accidental de datos que afectó a su repositorio público de GitHub. Según los expertos, el problema comenzó en julio de 2020 y se ha mantenido durante casi tres años hasta que los investigadores identificaron que un empleado de Microsoft había compartido una URL de almacenamiento de Azure mal configurada.
La exposición de datos se produjo debido a un token de acceso compartido (SAS). Además de modelos de IA de código abierto, se filtraron aproximadamente 38TB de datos privados, incluyendo copias de seguridad de información personal de empleados de Microsoft, contraseñas y mensajes internos de Microsoft Teams.
A pesar de la gran cantidad de documentación expuesta, Microsoft afirmó que no se comprometieron datos de clientes ni servicios internos. Wiz informó el incidente a MSRC el 22 de junio de 2023, que revocó el token SAS para bloquear todo acceso externo a la cuenta de almacenamiento de Azure, mitigando el problema el 24 de junio de 2023.
La CISA y FBI publican análisis sobre ransomware Snatch
La Agencia de Seguridad de Infraestructura y Ciberseguridad y el FBI han publicado un aviso de seguridad donde analizan el ransomware Snatch. Según los investigadores, se estima que, desde mediados de 2021, los operadores Snatch han evolucionado constantemente sus tácticas en las operaciones realizadas, asimismo, cabe indicar que esta familia de ransomware utiliza la conocida técnica de doble extorsión.
En cuanto a la victimología, se han dirigido a una amplia gama de sectores de infraestructura críticas, como sectores de defensa, alimentación, tecnológico, entre otros. En concreto, la compañía de seguridad Optiv calcura que entre 2022 y 2023 existen hasta un total de 70 ataques de Snatch, la mayoría geolocalizados en EE.UU.
En último lugar, tanto el FBI como la CISA recomiendan a las organizaciones implementar las recomendaciones de la sección Mitigaciones de este CSA para reducir la probabilidad y el impacto de incidentes de ransomware.
Vulnerabilidades en MOVEit Transfer permiten acceso a bases de datos
Progress Community ha publicado actualizaciones para MOVEit Transfer tras la divulgación de tres vulnerabilidades en el producto.
La primera de ellas, identificada como CVE-2023-42660, y con CVSS 8.8, es un fallo de inyección SQL descubierto en la interfaz de la máquina MOVEit Transfer. Un atacante autenticado podría aprovechar el fallo enviando un payload a la interfaz, y modificar y divulgar el contenido de la base de datos MOVEit.
Por su parte, el fallo CVE-2023-40043 y CVSS 7.2, también se trata de una vulnerabilidad de inyección SQL en la interfaz web de MOVEit Transfer, que podría derivar en el acceso no autorizado a la base de datos.
En este caso el requisito para el aprovechamiento del fallo es que el atacante tenga acceso a una cuenta de administrador. Finalmente, la identificada como CVE-2023-42656, con CVSS 6.1, se refiere a una vulnerabilidad XSS reflejada; a través de la que un actor amenaza puede enviar un payload y ejecutar JavaScript malicioso en el navegador de la víctima.
Las tres vulnerabilidades, que afectan a MySQL o MSSQL DB de MOVEit Transfer han quedado resueltas con el lanzamiento del Service Pack de septiembre.
Iamgen jcomp / Freepik.
