Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín de Ciberseguridad, 30 marzo - 5 abril
Vulnerabilidad crítica hallada en XZ apunta a posible ataque contra la cadena de suministro
Se ha detectado la vulnerabilidad crítica CVE-2024-3094, CVSSv3 10 según Red Hat, en las versiones 5.6.0 y 5.6.1 de la utilidad de compresión XZ y sus bibliotecas liblzma asociadas. El código malicioso, no presente en los repositorios Git públicos pero encontrado en los tarballs de lanzamiento oficial, fue insertado intencionalmente por un contribuidor del proyecto y representa una amenaza significativa contra sistemas Linux al manipular procesos de autenticación elementales empleados, por ejemplo, en servidores de OpenSSH.
El amplio uso de XZ en distribuciones de Linux y sistemas macOS amplifica el impacto potencial, ya que los sistemas que ejecutan versiones comprometidas del software son vulnerables al acceso no autorizado y la ejecución de código remoto si exponen públicamente servidores SSHD. El incidente ha motivado advertencias urgentes de CISA y de varios proveedores como RedHat, aconsejando el retorno a la versión 5.4.6 de XZ que no incluiría la puerta trasera.
En paralelo, se están llevando a cabo investigaciones adicionales sobre otras contribuciones realizadas por el desarrollador que introdujo este cambio a otros repositorios de alto impacto.
Detectada campaña de Venom RAT que apunta a varios sectores de Latinoamérica
Recientemente se observó una nueva campaña masiva de phishing, atribuida al actor de amenazas TA558, que ha golpeado a múltiples sectores en Latinoamérica, con el objetivo de distribuir Venom RAT. Según informa Idan Tarab, investigador de Perception Point, la campaña ha afectado a los sectores turismo y ocio, comercial, financiero, manufacturero, industrial y gubernamental en varios países de la región.
Se conoce que TA558 ha estado activo desde 2018, y ha utilizado varios tipos de malware como Loda RAT, Vjw0rm y Revenge RAT en ataques anteriores en la región. En esta nueva campaña, la cadena de infección utiliza correos electrónicos de phishing para instalar Venom RAT, una ramificación de Quasar RAT, que permite la recolección de datos sensibles y el control remoto de sistemas. La mayoría de los ataques han sido observados en México, Colombia, Brasil, República Dominicana y Argentina. No obstante, también se han visto afectados países como España, Estados Unidos y Portugal.
Informe sobre el incidente de Storm-0558 contra Microsoft
El pasado año Microsoft publicó un informe en el que explicó cómo habría mitigado un ataque del actor chino conocido como Storm-0558 y que estaba dirigido a cuentas de correo electrónico de múltiples entidades distintas, entre ellas agencias del gobierno de EE. UU, incluido el Departamento de Estado. Según el informe, el actor de la amenaza explotó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo corporativo.
Sin embargo, recientemente la Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional de EE. UU. publicó un informe advirtiendo que la compañía debe mejorar la seguridad de los datos y ser más sincera sobre cómo los actores maliciosos robaron la clave de firma, ya que dicha institución afirma que no hay ninguna evidencia definitiva sobre cómo el actor de amenazas obtuvo la clave de firma. No obstante, señalan que podría haberse producido debido a una concatenación de fallos de seguridad en Microsoft.
Desde la CSRB destacan que el agente amenaza habría obtenido unos 60 000 correos únicamente pertenecientes al Departamento de Estado.
CONTINUATION Flood permite ataques DoS con solo una conexión TCP
Las vulnerabilidades recientemente descubiertas, denominadas CONTINUATION Flood, que afectan al protocolo HTTP/2 pueden llevar a ataques de Denegación de Servicio (DoS) mediante una única conexión TCP. De acuerdo con el investigador Barket Nowotarski, este fallo se debería a la omisión de frame checks en mensajes HTTP/2, permitiendo a los atacantes mandar una cadena de frames sin la flag “END_HEADERS” y con una longitud tal que causaría interrupciones en el servidor.
Asimismo, se destaca que estos ataques DoS podrían ocurrir debido a una falta de memoria o un agotamiento de recursos de la CPU causado por el procesamiento de estos frames, cuyo tamaño no estaría limitado debido al uso de frames de tipo “CONTINUATION”. Algunas de las vulnerabilidades detectadas hasta el momento relacionadas con CONTINUATION Flood incluyen CVE-2024-27983, CVE-2024-27919 (CVSSv3 7.5 según GitHub), CVE-2024-2758 y CVE-2024-2653.
Darcula: análisis de plataforma de Phishing as a Service
El equipo de investigadores de Netcraft ha realizado una publicación en la que analizan el servicio de Phishing as a Service denominado Darcula. En concreto, los investigadores señalan que dicha plataforma emplearía más de 20 000 dominios en 11 000 direcciones IP para falsificar a más de 200 marcas con el objetivo de engañar a usuarios tanto de dispositivos Android como iPhone de más de 100 países.
Según los expertos, Darcula destaca por emplear JavaScript, React, Docker y Harbour, lo que permite actualizaciones continuas y nuevas funciones sin necesidad de reinstalar kits de phishing. Asimismo, Darcula no utiliza la clásica remisión de mensajes SMS, en su lugar utiliza RCS (Android) e iMessage (iOS) para enviar mensajes a las víctimas con enlaces a las URL de phishing.
Netcraft además señala que los TLD más comunes son .top y .com, seguidos de otros TLD de bajo coste, y recomiendan sospechar de todos los mensajes entrantes que insten a acceder a URL, especialmente si no se reconoce al remitente.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
