Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín semanal ciberseguridad 12-18 de febrero
Vulnerabilidad crítica en Magento y Adobe Commerce
El equipo de seguridad ofensiva de Positive Technologies ha desarrollado una Prueba de Concepto (PoC) para la vulnerabilidad CVE-2022-24086 CVSSv3 9.8, asegurando que permitiría obtener el control del sistema con los permisos del servidor web. No obstante, los investigadores han comunicado que no tienen intención de publicar este exploit ni de manera pública ni de forma privada para otros analistas del sector.
Esta vulnerabilidad crítica que afecta a Adobe Commerce y Magento Open Source fue corregida por Adobe el pasado domingo en una actualización de seguridad. El aprovechamiento de este fallo permitiría a un atacante sin autenticar ejecutar código arbitrario de forma remota, aunque cabe mencionar que, pese a no requerir autenticación, sólo puede ser explotada por un atacante con privilegios de administrador. El fallo afecta a las versiones de Magento Open Source y Adobe Commerce 2.4.3-p1 y 2.3.7-p2 y anteriores, a excepción de las versiones previas a la 2.3.3 de Adobe Commerce.
Asimismo, durante el día de ayer, Adobe actualizaba este boletín de seguridad para añadir un nuevo fallo, CVE-2022-24087, también del tipo Validación de Entrada Impropia, que cuenta también con una puntuación CVSSv3 de 9.8 y permitiría a un atacante sin autenticar ejecutar código arbitrario de manera remota. Se recomienda instalar los parches de ambas vulnerabilidades críticas lo antes posible.
Conoce todos los detalles: https://helpx.adobe.com/security/products/magento/apsb22-12.html
0-day en Chrome siendo explotado activamente
Este lunes, Google ha publicado correcciones para ocho fallos de seguridad en el navegador Google Chrome, incluida una vulnerabilidad de criticidad alta que estaría siendo explotada activamente. Esta vulnerabilidad del tipo use-after-free reside en el componente de animación, ha sido identificada como CVE-2022-0609 y, en caso de ser explotada con éxito, permitiría a un atacante ejecutar código arbitrario de manera remota, así como alterar información legítima.
Google ha abordado también otras 4 vulnerabilidades con criticidad alta del tipo use-after-free que afectan al gestor de archivos, ANGLE, GPU y Webstore API, así como una vulnerabilidad del tipo heap buffer overflow en Tab Groups y una implementación inapropiada en Gamepad API. Desde Google recomiendan actualizar Google Chrome a la versión 98.0.4758.102 para corregir estos fallos.
Más información: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
Campaña de TA2541 persistente en el tiempo
Investigadores de Proofpoint han publicado un nuevo artículo en el que atribuyen al grupo TA2541 una campaña de ataques, persistente en el tiempo y que tendría como objetivo sectores como la aviación, el aeroespacial, transporte, manufactura y defensa, en las regiones de Norteamérica, Europa y Oriente Medio. La actividad de este grupo se remontaría a 2017 y, desde ese año, han utilizado unas TTPs que se han mantenido en el tiempo. El vector de entrada habitual identificado son campañas de phishing en inglés que emplean temáticas relacionadas con la aviación, el transporte o los viajes, en lugar de aprovecharse de temáticas actuales como hacen frecuentemente otros grupos, aunque en alguna ocasión también han mezclado sus temáticas habituales con otras actuales como el COVID-19.
En estos correos se incluyen adjuntos que descargan ya los payloads de distintos RATS, fundamentalmente familias que se pueden adquirir de forma sencilla en foros de cibercrimen, destacando por encima del resto AsyncRAT, NetWire y WSH RAT.
En los últimos tiempos, el grupo habría incorporado una mejora en sus campañas y ya no estaría enviando los payloads en documentos adjuntos, sino en links incluidos en los correos que conectan con servicios en la nube.
Descubre todos los detalles: https://www.proofpoint.com/us/blog/threat-insight/charting-ta2541s-flight
Información clasificada de Estados Unidos exfiltrada por actores rusos
La CISA ha publicado un aviso de seguridad donde alertan de una campaña de ciberespionaje que se remontaría al menos a enero de 2020. En concreto, exponen que actores amenaza de procedencia rusa habrían comprometido y exfiltrado información de contratistas de defensa autorizados por Estados Unidos (CDC), entidades privadas que tienen autorización para poder acceder a información altamente sensible con el fin de poder licitar contratos, acceder a información de las áreas de inteligencia, armamentística, aeronaves, informática, entre otras.
Entre las técnicas utilizadas como vector de entrada, los atacantes habrían utilizado campañas de spearphishing, recolección de credenciales, técnicas de fuerza bruta, password spraying o la explotación de vulnerabilidades.
Una vez comprometidas las empresas, los atacantes habrían conseguido establecer persistencia en alguna de ellas durante, al menos, seis meses, permitiendo así a Rusia conseguir información estratégica con la que habría podido establecer prioridades militares, planes estratégicos, además de acelerar desarrollos de software, entre otros.
Toda la info: https://www.cisa.gov/uscert/ncas/alerts/aa22-047a
