Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín de Ciberseguridad, 9 - 15 marzo
Dos vulnerabilidades críticas en el Security Patch Day de Microsoft
Microsoft ha lanzado actualizaciones en el Patch Tuesday de marzo, corrigiendo varias vulnerabilidades en su software, incluyendo Windows, Office, Azure, .NET Framework, SQL Server, Skype, y Microsoft Dynamics. Dos de estas vulnerabilidades son consideradas críticas, mientras que las demás son clasificadas de gravedad alta.
Una de las vulnerabilidades, CVE-2024-21407 CVSSv3 8.1 según proveedor, permite la ejecución remota de código en Windows Hyper-V, mientras que la otra, CVE-2024-21408 CVSSv3 5.5 según fabricante, provoca una denegación de servicio en la misma plataforma. La vulnerabilidad más grave, CVE-2024-21334 CVSSv3 9.8 según Microsoft, es una vulnerabilidad de ejecución remota de código en Open Management Infrastructure (OMI), que permite a un atacante no autenticado ejecutar código en instancias de OMI accesibles a través de Internet.
Además, Microsoft también abordó una vulnerabilidad crítica de elevación de privilegios en Microsoft Azure Kubernetes, CVE-2024-21400 CVSSv3 9.0 según fabricante.
Detectada campaña de phishing distribuyendo VCURMS y STRRAT
Una nueva campaña de phishing está distribuyendo dos troyanos de acceso remoto (RAT) denominados como VCURMS y STRRAT. La campaña, identificada por FortiGuard Labs, utiliza un descargador malicioso basado en Java, almacenando los mencionados software maliciosos en servicios públicos como AWS y GitHub para evitar la detección. VCURMS utiliza una dirección de correo electrónico de Proton Mail para comunicarse con un servidor C2.
La cadena de ataque comienza con un correo electrónico de phishing que lleva a la descarga de un archivo JAR malicioso alojado en AWS. Este archivo JAR luego descarga dos archivos más que ejecutan los troyanos. Además, envía correos electrónicos periódicamente al servidor controlado por el atacante y puede ejecutar comandos arbitrarios, recopilar información del sistema y robar datos de aplicaciones como Discord y Steam, credenciales de navegadores, capturas de pantalla, entre otros.
En cuanto a STRRAT, este fue observado por primera vez desde 2020, también se propaga a través de archivos JAR fraudulentos y tiene capacidades similares a VCURMS. Esta campaña se dirige principalmente a plataformas con Java instalado, lo que representa un riesgo para cualquier organización que lo utilice.
PoC disponible para una vulnerabilidad en OpenEdge de Progress Software
El equipo de Progress Software ha publicado los detalles técnicos acerca de una vulnerabilidad crítica en Progress Software OpenEdge Authentication Gateway y Adminserver. La vulnerabilidad, identificada como CVE-2024-1403 y CVSS de 10.0, afecta a las versiones del software anteriores a 11.7.19, 12.2.14, 12.8.1 y es un fallo de omisión de autenticación, lo que puede derivar en un acceso no autorizado.
El fallo ha quedado solucionado en las versiones OpenEdge LTS Update 11.7.19, 12.2.14 y 12.8.1. Cabe destacar su criticidad, debido a que pese a la categorización de la misma, se ha lanzado una PoC, la cual indica que el origen de la vulnerabilidad se encuentra en la función connect() del activo afectado.
Detectado el uso de Dropbox como medio de ataques de phishing
Los investigadores de Darktrace han identificado un ataque en el que el actor de amenazas empleaba el servicio Dropbox para llevar a cabo ataques de phishing. En concreto, en este ataque varios empleados de una empresa recibieron un email proveniente de una dirección legítima de Dropbox que incluía un link, el cual llevaba a un archivo PDF que había sido nombrado como un socio de la empresa.
Asimismo, dicho PDF contenía un link a un dominio malicioso que se hacía pasar por una página de login de Microsoft, probablemente con el objetivo de robar las credenciales que el usuario introdujera en ella. Darktrace destaca que uno de los empleados que recibió este email accedió al dominio de phishing e introdujo sus credenciales, tras lo cual el actor de amenazas obtuvo un token MFA válido de esa cuenta y comenzó a llevar a cabo ataques de phishing contra otros empleados de la empresa mediante el email de la cuenta de Microsoft comprometida.
CISA afectada por incidente de seguridad
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha comunicado a varios medios digitales que durante el mes de febrero se vieron afectados por un incidente de seguridad. En concreto, la CISA señaló que identificaron actividad maliciosa que explotaron fallos de seguridad que afectaban a dos sistemas de Ivanti que utiliza la agencia.
A raíz de estos hechos, decidieron tomar la decisión de desconectar dichos activos para paliar el compromiso. Según comunicaron fuentes internas a Recorded Future News estos activos fueron Infrastructure Protection (IP) Gateway y the Chemical Security Assessment Tool (CSAT). Cabe indicar que se desconoce si se ha accedido a los datos y exfiltrado la información, aunque la CISA comunicó a TechTarget que estos hechos no han ocasionado impacto operativo en el momento de informarles sobre la situación.
En último lugar, la organización remite como recomendación a seguir la información proporcionada en un aviso de seguridad publicado el pasado 29 de febrero sobre las vulnerabilidades de Ivanti.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
