Boletín de Ciberseguridad, 4 - 10 mayo
Comprometido el sitio web del ransomware Lockbit e identificado y sancionado su líder
Las autoridades judiciales nuevamente han comprometido el sitio web utilizado por los operadores de ransomware LockBit, modificando su contenido, prometiendo revelar información sobre los integrantes del grupo y estableciendo una nueva cuenta regresiva que finalizó el 7 de mayo. Sin embargo, investigadores de VX-underground contradijeron esta afirmación, aseverando que el grupo continuaba operando normalmente, añadiendo nuevas víctimas a su lista.
Días más tarde, la Agencia Nacional del Crimen del Reino Unido identificaba y sancionaba al líder de LockBit, un ciudadano de origen ruso llamado Dmitry Yuryevich Khoroshev. Estados Unidos ha ofrecido una recompensa de 10 millones de dólares por su captura, y se ha compartido información detallada sobre él en redes sociales y otros medios.
Nuevo ataque TunnelVision filtra el tráfico de VPN
Leviathan Security ha identificado un nuevo ataque denominado TunnelVision que puede dirigir el tráfico fuera del túnel de cifrado de una VPN, permitiendo a los atacantes espiar el tráfico no cifrado mientras mantienen la apariencia de una conexión VPN segura. Este método se basa en el abuso de la opción 121 del Protocolo de Configuración Dinámica de Host (DHCP), que posibilita la configuración de rutas estáticas sin clases. Los atacantes configuran un servidor DHCP fraudulento que altera las tablas de enrutamiento, desviando el tráfico de la VPN hacia la red local o hacia una puerta de enlace maliciosa, sin pasar por el túnel VPN cifrado. La raíz del problema reside en la ausencia de un mecanismo de autenticación de DHCP para los mensajes entrantes que podrían manipular las rutas, y se le ha asignado el identificador de vulnerabilidad CVE-2024-3661, CVSSv3 7.6 según CISA. Los investigadores han divulgado públicamente este problema junto con un exploit PoC para generar conciencia y presionar a los proveedores de VPN para que implementen medidas de protección.
Boletín de seguridad de Android mayo 2024
Google ha emitido el boletín de seguridad del sistema operativo Android correspondiente al mes de mayo de 2024. En esta ocasión, los parches de seguridad solucionan hasta 35 vulnerabilidades que afectan al sistema operativo, así como a múltiples componentes, que podrían provocar una escalada de privilegios o divulgación de información. Entre los fallos de seguridad destaca uno identificado como CVE-2024-23706, que fue considerado de gravedad crítica. Este se trata de una vulnerabilidad que lanza una excepción al intentar instanciar un token de registro de cambios sin tipos de registro, lo que podría dar lugar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.
El boletín también aborda vulnerabilidades en los componentes Healthfitness, Media Framework y Permission Controller, así como fallos en el kernel en los componentes Arm, el hardware MediaTek y componentes de Qualcomm. Se recomienda a los usuarios actualizar los dispositivos a la última versión disponible para corregir todos los fallos indicados en el boletín.
Nuevo método de bypass del MFA en Azure Entra ID
Los investigadores de Pen Test Partners (PTP) descubrieron durante un ejercicio de Red Team un nuevo método de bypass en Microsoft Azure Entra ID que les permitía obtener acceso a recursos protegidos sin necesidad de contraseñas. En concreto, PTP afirma haber conseguido sobrepasar la autenticación multifactor (MFA) del SSO de Azure cambiando el user-agent del navegador, ya que Azure no siempre requiere introducir la MFA en dispositivos Linux.
Sin embargo, para poder completar el ataque los investigadores tenían que unir uno de sus equipos al dominio mediante un proxy o instalar una versión portable de Firefox en un dispositivo domain joined, que fue configurado para permitir el SSO en Windows. Finalmente, los investigadores inyectaron dos tickets TGS previamente obtenidos del on premise Active Directory, consiguiendo de esta manera acceder al portal de Azure y obtener los datos de la nube.
Zscaler descarta que se haya comprometido su entorno de producción
Zscaler descartó que su entorno corporativo, de producción y de clientes se haya visto afectado por un acceso no autorizado de un actor de amenazas y subrayó que no había ningún impacto ni compromiso para sus clientes después de que un usuario de un foro de hacking anunciase la venta de un acceso a los sistemas de la compañía.
Zscaler descubrió un entorno de prueba expuesto, que desconectó para realizar los pertinentes análisis forenses, y afirma que este estaba aislado sin conectividad con los entornos de producción y sin ningún dato de clientes. Asimismo, Zscaler ha destacado que continuarán con la actual investigación en curso, añadiendo que toman todas las amenazas potenciales seriamente.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →