Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 2 - 8 marzo
Expuestos códigos 2FA de Meta, Google y TikTok
Recientemente se informó acerca de que una base de datos expuesta de la empresa asiática YX International reveló códigos de seguridad únicos para cuentas de Facebook, Google y TikTok, entre otros. La base de datos, sin contraseña, permitía el acceso a datos confidenciales usando solo un navegador web e introduciendo la dirección IP pública.
El investigador de seguridad Anurag Sen descubrió la filtración y compartió los detalles con TechCrunch. Al parecer, la base de datos contenía registros mensuales que se remontaban a julio de 2023, incluyendo mensajes SMS con códigos de acceso y enlaces de restablecimiento de contraseña.
Por su parte, TechCrunch notificó a YX International de la la filtración, quien la solucionó protegiendo el acceso. Aunque YX International afirmó que el servidor no almacenaba registros de acceso, no revelaron por cuánto tiempo estuvo expuesta la base de datos. Asimismo, las empresas afectadas, como Meta, Google y TikTok, no han realizado ningún comentario sobre el incidente.
Parcheadas dos vulnerabilidades 0-day en Apple
Apple ha publicado actualizaciones de seguridad de emergencia para abordar dos vulnerabilidades 0-day en iOS, que han sido activamente explotadas. Las vulnerabilidades, denominadas como CVE-2024-23225 y CVE-2024-23296, afectan a varios modelos de iPhone y iPad. La primera vulnerabilidad es un fallo de corrupción de memoria del kernel, mientras que la segunda es un fallo de corrupción de memoria de RTKit.
Se recomienda a los usuarios actualizar sus dispositivos a las versiones de iOS 17.4, iPadOS 17.4, iOS 16.76 y iPad 16.7.6. Además, Apple ha solucionado un problema de privacidad relacionado con los datos sensibles de localización, CVE-2024-23243, y un problema en la navegación privada de Safari, CVE-2024-23256.
La APT Kimsuky explota vulnerabilidades de ScreenConnect para desplegar malware
El grupo norcoreano Kimsuky está explotando las vulnerabilidades de ScreenConnect recientemente parcheadas CVE-2024-1708 y CVE-2024-1709, con CVSSv3 de 8.4 y 10 respectivamente, para desplegar el malware ToddleShark. De acuerdo con Vulnera, esta APT (Amenaza Avanzada Persistente), también denominada Thallium y Velvet Chollima, estaría empleando este nuevo malware de características polimórficas con objetivos de espionaje.
En concreto, ToddleShark parece ser una variante de otros backdoors empleados por el grupo, como BabyShark y ReconShark, y tiene la capacidad de obtener persistencia mediante tareas programadas, evitar ser detectado mediante el uso de binarios de Microsoft y reducir las defensas del sistema comprometido al modificar el registro. Asimismo, ToddleShark codifica la información obtenida en certificados Privacy Enchanced Mail (PEM) y la exfiltra a la infraestructura de C2 de Kimsuky.
Polémica sobre la incautación del sitio web de BlackCat (ALPHV)
El sitio web de la banda de ransomware BlackCat (ALPHV) ha sido incautado de nuevo, aparentemente con la colaboración de las fuerzas de seguridad. Sin embargo, algunos expertos creen que ALPHV ha utilizado un banner de una incautación anterior y orquestado un falso desmantelamiento para distraer la atención mientras huye con los fondos generados por sus afiliados.
En febrero de 2024, la empresa de tecnología sanitaria Change Healthcare sufrió un ataque y pagó un rescate de 22 millones de dólares, poco después las cuentas de afiliados a ALPHV fueron bloqueadas y el actor amenaza puso a la venta el código fuente del ransomware. Días después aparece el banner de incautación en su web, suscitando dudas sobre la autenticidad de la incautación. De hecho, según Recorded Future, tanto el Departamento de Justicia de Estados Unidos como la Agencia Nacional del Crimen de Reino Unido y la Europol han negado haber clausurado la infraestructura de ALPHV.
Vulnerabilidad de TeamCity explotada activamente
Recientemente, JetBrains informó acerca de dos vulnerabilidades de alta criticidad en su producto TeamCity que fueron identificados como CVE-2024-27198 y CVE-2024-27199, CVSSv3 de 9.8 y 7.3 según fabricante respectivamente. Sin embargo, una vez que se hicieron públicos, actores maliciosos han comenzado a explotar la vulnerabilidad CVE-2024-27198 para realizar operaciones contra aquellos activos vulnerables.
En concreto, investigadores de seguridad han alertado que por una parte se estarían realizando distribuciones del ransomware Jasmin, así como, se están creando cientos de nuevos usuarios en instancias sin parches. Según el motor de búsqueda de vulnerabilidades LeakIX estiman que mas de 1 700 servidores de TeamCity, principalmente geolocalizados en Alemania, EE. UU. y Rusia, no habrían sido parcheados y que, de estos, 1 440 habrían sido comprometidos. Desde JetBrains recomiendan a sus usuarios actualizar a la última versión para corregir los fallos de seguridad.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
