Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 27 abril - 3 mayo
Ataques masivos de credential stuffing contra cuentas de Okta
La compañía Okta ha emitido un aviso de seguridad en donde alerta sobre una campaña masiva de ataques de tipo credential stuffing que ha afectado a cuentas de usuario. En concreto, dicha campaña llevaría produciéndose desde mediados del pasado mes de marzo y habría conseguido comprometer un pequeño porcentaje de cuentas, sin especificar número. Cabe indicar que todas las solicitudes registradas en estos ataques llegaron a través de la red TOR y de varios servidores proxy como NSOCKS, Luminati y DataImpulse.
Según Okta, los ataques observados fueron particularmente exitosos contra organizaciones que ejecutan Okta Classic Engine con ThreatInsight configurado en modo de solo auditoría en lugar de modo de registro y aplicación. Debido a estos hechos, la compañía ha emitido una serie de recomendaciones de seguridad para paliar estas campañas mediante la habilitación de ThreatInsight en modo Log and Enforce, denegar el acceso a servidores proxy anónimos o cambiar a Okta Identity Engine.
Palo Alto actualiza la solución para la vulnerabilidad CVE-2024-3400 en PAN-OS
Palo Alto ha actualizado la solución publicada originalmente para la vulnerabilidad CVE-2024-3400 (CVSSv3 10.0 según fabricante) debido al creciente número de ataques exitosos registrados tras la publicación del parche, en especial tras la divulgación de diversas pruebas de concepto que lograban explotar con éxito el problema.
Palo Alto recomienda tomar medidas basadas en la actividad sospechosa identificada previamente. Si ha habido actividad de sondeo o prueba, los usuarios deben actualizar a la última revisión de PAN-OS y proteger las configuraciones en ejecución, crear una clave maestra y elegir AES-256-GCM.
Más de 100 detenidos por la estafa del “hijo en apuros” en España
La Guardia Civil ha publicado una nota de prensa en la que detalla la detención de más de 100 personas en varias provincias, acusadas de llevar a cabo la estafa telefónica del “hijo en apuros”. En este tipo de estafas, los atacantes estudian a las víctimas buscando potenciales familias que tengan un hijo emancipado, viviendo fuera o de viaje, con el objetivo de hacerse pasar por ellos y, aludiendo a que tienen un problema, manipulan a las víctimas para que les envíen dinero.
La operación Hiwaso, que es como ha sido denominada, descubrió que los estafadores obtenían transferencias de entre 800 y 55 000 euros por cada víctima, llegando a defraudar al menos 850 000 euros solo en la provincia de Alicante.
HPE Aruba Networking corrige vulnerabilidades críticas
La compañía HPE Aruba Networking ha emitido un aviso de seguridad que enumera un total de diez vulnerabilidades que afectan a múltiples versiones de ArubaOS, de las cuales cuatro son consideradas críticas.
En concreto estos fallos de seguridad son los registrados como CVE-2024-26304, CVE-2024-26305, CVE-2024-33511 y CVE-2024-33512, todos ellos clasificados con un CVSSv3 de 9.8 según fabricante. Actores maliciosos podrían aprovechar estas vulnerabilidades y desencadenar condiciones de ejecución remota de código (RCE). En cuanto a su afectación, cabe indicar que todas las versiones de ArubaOS y SD-WAN con EoL, ArubaOS 10.5.1.0 y anteriores, 10.4.1.0 y anteriores, 8.11.2.1 y anteriores, y 8.10.0.10 y anteriores se encuentran afectadas. Asimismo, diferentes conductores de movilidad también se han visto afectados.
En base a estos hechos Aruba recomienda habilitar la seguridad PAPI y actualizar los activos a las últimas versiones disponibles, también indica que, por el momento, no se ha identificado PoC ni explotación activa.
Incidente de Seguridad en Dropbox Sign
Dropbox emitió un comunicado en el que informa acerca de que actores de amenaza comprometieron su plataforma Dropbox Sign eSignature, accediendo a tokens de autenticación, claves MFA y datos de clientes. El acceso no autorizado fue detectado el 24 de abril y la empresa rápidamente inició una investigación que reveló el compromiso de una herramienta de configuración del sistema, que permitió a los actores de amenazas ejecutar aplicaciones y servicios automatizados con privilegios elevados logrando así obtener acceso a la base de datos.
Los datos expuestos incluyen correos electrónicos, nombres de usuario, números de teléfono y contraseñas, así como configuraciones y claves API. Aunque no se accedió a documentos o acuerdos de clientes, Dropbox reseteó contraseñas, cerró sesiones y restringió el uso de claves API. Asimismo, la compañía aconseja a los usuarios cambiar sus contraseñas y configuraciones MFA, y estar alertas ante posibles correos de phishing, advirtiendo que es fundamental realizar cualquier acción de recuperación de contraseña directamente en el sitio web de Dropbox Sign y hacer caso omiso a enlaces de correos electrónicos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
