Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 21 - 27 de octubre
Vulnerabilidad Critica en Citrix NetScaler ADC y Gateway
Recientemente, Citrix emitió una nota sobre la vulnerabilidad crítica CVE-2023-4966 CVSS 9.4 que afecta a dispositivos NetScaler ADC y Gateway. A pesar de que Citrix había corregido la vulnerabilidad el 10 de octubre, la firma de seguridad Mandiant descubrió que actores de amenazas la estaban explotando desde agosto de 2023.
Esta vulnerabilidad permite a los atacantes robar sesiones de autenticación y secuestrar cuentas. Incluso después de aplicar el parche, las sesiones comprometidas persisten, lo que facilita el movimiento lateral en la red. Citrix recomienda la instalación inmediata de los parches y la finalización de todas las sesiones activas y persistentes mediante comandos específicos. CISA ha incluido esta vulnerabilidad en su catálogo y ha ordenado a las agencias federales proteger sus sistemas antes del 8 de noviembre.
Además, un equipo de investigadores de Assetnote ha publicado un exploit funcional para la misma vulnerabilidad, que se puede ejecutar a través de un script en Python publicado en Github. Este exploit permite verificar la existencia de la vulnerabilidad y obtener información sensible explotando un desbordamiento de búfer en el encabezado HTTP Host.
ExelaStealer: nuevo malware de robo de Información
El investigador de Fortinet FortiGuard Labs, James Slaughter, recientemente observó y analizó un nuevo malware de robo de información identificado. El infostealer, denominado ExelaStealer, está escrito en Python y con soporte para JavaScript, tiene la capacidad de capturar contraseñas, tokens de Discord, tarjetas de crédito, cookies, pulsaciones de teclas, capturas de pantalla y datos del portapapeles en sistemas Windows comprometidos.
Asimismo, se vende en foros underground y a través de un canal de Telegram, con opciones de pago que van desde 20 dólares al mes hasta 120 dólares por una licencia de por vida. Su bajo costo lo convierte en una herramienta atractiva para actores amenaza principiantes, ya que reduce significativamente la barrera de entrada para llevar a cabo ataques maliciosos.
Por otro lado, cabe indicar que el malware se distribuye a través de un ejecutable que simula ser un documento PDF. Lo hallazgos acerca de ExelaStealer demuestran que siempre hay cabida para nuevos actores y campañas que apuntan a la extracción de datos pertenecientes a corporaciones e individuos que pueden usarse para chantaje, espionaje o rescate.
Vulnerabilidades de alta gravedad en navegadores Chrome y Firefox
Esta semana los fabricantes Mozilla y Google han lanzado parches de seguridad para corregir vulnerabilidades en los navegadores Firefox y Chrome. En lo referente al primero de los navegadores señalados, Mozilla lanzó un parche que corrige 11 vulnerabilidades, de las cuales 3 son consideradas de alta gravedad, en concreto, son las registradas como CVE-2023-5721, CVE-2023-5730, CVE-2023-5731 que podrían desencadenar en la ejecución de código arbitrario.
Paralelamente, Google corrigió dos vulnerabilidades, incluido un problema de alta gravedad que ha sido registrado como CVE-2023-5472, cuya explotación podría permitir escapar del entorno del navegador para realizar una ejecución de código en el sistema operativo subyacente, siempre que se puedan combinar con otras fallas de seguridad.
En último lugar, cabe indicar que ambos fabricantes recomiendan actualizar sus navegadores para corregir los fallos indicados.
Análisis del actor amenaza Octo Tempest
El equipo de investigadores de Microsoft ha publicado un análisis sobre el actor amenaza denominado Octo Tempest, también conocido como 0ktapus, Scattered Spider y UNC3944.
Según los expertos, este actor amenaza habría comenzado su actividad a principios del año 2022 mediante la realización de ataques a organizaciones de subcontratación de procesos comerciales y telecomunicaciones móviles con la realización de acciones relacionadas con SIM swapping. Posteriormente, sus operaciones se enmarcaron en campañas de phishing empleando ingeniería social y el robo de datos apuntando a empresas de sectores del juego, hostelería, comercio, tecnología y finanzas.
Asimismo, desde Microsoft señalan que Octa Tempest se habría afiliado a los operadores del ransomware ALPHV/BlackCat. En último lugar, cabe indicar que los expertos señalan que dichos actores maliciosos serían de habla inglesa, así como facilitan herramientas utilizadas por Octo Tempest junto a una serie de recomendaciones que ayudarían a identificar a dicho actor mediante soluciones de seguridad.
Nueva campaña de distribución del malware DarkGate por Teams
La compañía malwarebytes ha realizado una publicación en la que informan sobre la identificación de una campaña de malware que utilizaba mensajes externos de Teams con el objetivo de distribuir DarKGate Loader. Informado públicamente por primera vez en 2018, DarkGate es un malware basado en Windows con una amplia gama de capacidades que incluyen el robo de credenciales y el acceso remoto a los endpoints de las víctimas.
En concreto, en la campaña actual de distribución, los expertos señalan que actores maliciosos tras estos hechos utilizaron como metodología de acción un intento de phishing a través de Microsoft Teams, enviando un archivo ZIP por este canal, con el objetivo de que la víctima cayese en el engaño y ejecutase el archivo para iniciar la infección del equipo.
💬 Para recibir noticias y reflexiones de nuestros expertos en Ciberseguridad, suscríbete a CyberSecurityPulse, nuestro canal en Telegram: https://t.me/cybersecuritypulse
