Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 27 de enero - 2 de febrero
NSA admite la compra masiva de datos de navegación sin autorización
La agencia Reuters publicó recientemente que La Agencia de Seguridad Nacional de Estados Unidos (NSA) confirmó haber adquirido registros de navegación en Internet a intermediarios de datos para identificar sitios web y aplicaciones utilizadas por los estadounidenses sin una orden judicial, según declaraciones del senador Ron Wyden.
Al parecer, Wyden habría expresado a través de un comunicado su preocupación por financiar una industria cuestionable que aparentemente viola la privacidad y la legalidad; ya que los metadatos de navegación podrían exponer riesgos de privacidad, especialmente en temas sensibles como salud.
Por su parte, La NSA aseguró haber tomado medidas de cumplimiento y minimización de datos, pero admitió la compra de información confidencial a terceros. Estos hechos se suman a la tendencia de agencias de inteligencia acerca de comprar datos a empresas, revelando prácticas poco transparentes y posibles violaciones de privacidad.
Finalmente, Wyden destaca la falta de notificaciones a los consumidores sobre la venta de datos, señalando que la infracción podría afectar a toda la industria.
Nueva vulnerabilidad 0-day de Ivanti explotada activamente
La compañía Ivanti ha emitido un nuevo aviso de seguridad alertando sobre dos nuevas vulnerabilidades, de las cuales una se trata de una 0-day que está siendo activamente explotada. En concreto, este nuevo fallo de seguridad ha sido registrado como CVE-2024-21893, CVSSv3 de 8.2, y se trata de una vulnerabilidad de falsificación de solicitudes del lado del servidor en el componente SAML cuyo aprovechamiento permitiría a atacantes eludir la autenticación y acceder a recursos restringidos en dispositivos vulnerables.
El otro de los fallos de seguridad es el registrado como CVE-2024-21888, CVSSv3 de 8.8, que afecta al componente web de las puertas de enlace permitiendo a actores amenaza escalar privilegios.
Según Ivanti, estos fallos de seguridad afectan a todas las versiones 9.x y 22.x. En último lugar, cabe indicar que la compañía también ha lanzado parches para dos vulnerabilidades 0-day revelados a comienzos de enero CVE-2024-21887, CVSSv3 de 9.1 y CVE-2023-46805, CVSSv3 de 8.2.
Expuestas credenciales de operadores de red
El equipo de investigadores de Resecurity ha publicado un artículo en el que señala que han identificado un total de 1.572 credenciales pertenecientes a los registros de internet RIPE, AFRINIC y LACNIC expuestas en sitios alojados en la Dark Web.
Esta investigación viene dada debido al reciente ciberataque producido contra Orange España, quienes sufrieron una intrusión en su cuenta del Centro de Coordinación de Red RIPE desencadenando en un sabotaje que propició la interrupción del servicio de red a sus clientes durante varias horas.
Según los expertos, las credenciales identificadas durante la investigación habrían sido exfiltradas mediante el uso de infostealers como Redline, Azorult o Vidar, entre otros. Cabe indicar que entre las cuentas identificadas se encontraría organizaciones que no se han identificado de índole financiera de Kenia y España, una agencia gubernamental iraquí y proveedores tecnológicos, entre otras.
Debido a la criticidad de estos activos, los cuales pueden llegar a derivar en ciberataques masivos, los investigadores señalan la necesidad de tomar medidas de seguridad para proteger activos críticos.
Campaña de cryptojacking dirigida a la API de Docker
La API de Docker está siendo atacada por una campaña de cryptojacking llamada Commando Cat. Los atacantes utilizan contenedores benignos generados con el proyecto Commando para escapar y ejecutar cargas útiles en el host Docker. La campaña ha estado activa desde principios de 2024 y utiliza Docker como vector de acceso inicial para liberar una serie de cargas útiles, como un minero de criptomonedas y un backdoor.
La campaña utiliza comprobaciones para determinar si ciertos servicios están activos en el sistema comprometido antes de pasar a la siguiente fase. Se han observado similitudes con grupos de cryptojacking anteriores, como TeamTNT.
En general, Commando Cat es capaz de robar credenciales, actuar como una puerta trasera y minar criptomonedas, lo que lo hace muy versátil.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
