Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 20 - 26 de enero
CISA ordena la mitigación de dos 0-day en Ivanti
CISA ha emitido la primera directiva de emergencia del año ordenando que que mitiguen inmediatamente dos vulnerabilidades 0-day de Ivanti Connect Secure e Ivanti Policy Secure. Las vulnerabilidades han sido clasificadas como CVE-2023-46805, la cuál se trata de una elusión de autentificación, y CVE-2024-21887, que se trata de una inyección de comandos.
El proveedor aún no ha publicado parches de seguridad por lo que los dos 0-day permiten a los atacantes moverse lateralmente dentro de la red de un objetivo, extraer datos y establecer persistencia al sistema mediante backdoors.
Explotan vulnerabilidad crítica RCE en Atlassian Confluence
Investigadores de seguridad han estado observando intentos de explotación de una vulnerabilidad crítica en Atlassian Confluence. La vulnerabilidad ha sido clasificada como CVE-2023-22527, se trata de un fallo de ejecución remota de código y afecta a versiones de Confluence anteriores al 5 de diciembre de 2023 junto con algunas versiones fuera de soporte.
El servicio de monitorización de amenazas Shadowserver ha informado de que sus sistemas registraron miles de intentos de explotar la vulnerabilidad, originándose los ataques desde algo más de 600 direcciones IP únicas.
Descubierta MOAB, la mayor filtración con 12 terabytes de información
Bob Dyachenko y el equipo de Cybernews han descubierto una filtración masiva de datos conocida como MOAB (Mother of all Breaches o Madre de todas las filtraciones) que ha expuesto más de 26.000 millones de registros, lo que la convierte en la filtración más grande descubierta hasta ahora. Esta filtración contiene datos de múltiples filtraciones anteriores y abarca 12 terabytes de información. Los investigadores advierten que estos datos pueden ser utilizados por actores maliciosos para llevar a cabo diversos ataques, como el robo de identidad, el phishing y el acceso no autorizado a cuentas personales.
Además, la filtración incluye registros de empresas y organizaciones, así como de varias organizaciones gubernamentales de países como EE. UU., Brasil o Alemania. Pese a parecer un compilado de brechas ya conocidas (Twitter, LinkedIn o Dropbox), no se descarta la inclusión de nuevos datos sensibles.
Lanzamiento de la nueva versión 122 de Mozilla Firefox
El pasado 23 de enero de 2024, Mozilla lanzó su versión 122, más centrada en la seguridad y la privacidad. Se corrigen un total de 15 vulnerabilidades, cinco de ellas consideradas de alta criticidad y las otras 10, medias. Además, se han introducido un sinfín de características y mejoras que pretenden redefinir la experiencia de navegación de los usuarios en diferentes plataformas.
Algunas de sus nuevas características son la resistencia a las huellas dactilares y la posibilidad de copiar URLs sin rastreo de sitios, mostrando así el compromiso de Mozilla de proteger a los usuarios de mecanismos de rastreo invasivos. El navegador también ha ampliado sus capacidades con los usuarios de macOS mediante la compatibilidad de las contraseñas almacenadas en el llavero de iCloud.
CherryLoader: malware disfrazado de CherryTree para desplegar Exploits
CherryLoader, un nuevo malware basado en Go, ha sido recientemente descubierto. Este software malicioso es un cargador modular de varias etapas, que con su nombre y logotipo imita la apariencia y el nombre de la aplicación legítima CherryTree para engañar a las víctimas e implementar exploits. Descubierto por investigadores de Arctic Wolf Labs en dos intrusiones recientes, CherryLoader elimina herramientas de escalada de privilegios como PrintSpoofer o JuicyPotatoNG.
Además, incorpora funciones modularizadas que permiten a los actores amenaza intercambiar exploits sin compilar el código. Aunque no se conoce su método de distribución, se ha observado que CherryLoader se encuentra en un archivo RAR alojado en una dirección IP específica.
En cuanto a su proceso de ataque, este implica la descarga de un ejecutable que descomprime e inicia el binario de Golang. Posteriormente, utiliza técnicas sin archivos para ejecutar exploits de escalada de privilegios y establecer persistencia en el dispositivo de la víctima.
⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse
