Boletín de Ciberseguridad, 19 – 23 de junio
Vulnerabilidades críticas en routers de la marca Asus
La compañía Asus ha emitido un aviso de seguridad en donde aborda un total de 9 vulnerabilidades que afectan a múltiples modelos de routers. Entre estos fallos de seguridad destacan por su criticidad el registrado como CVE-2022-26376 que se debe a una corrupción de memoria en el firmware Asuswrt que podría permitir a los actores de amenazas realizar ataques de denegación de servicios o permitir la ejecución de código.
Asimismo, la vulnerabilidad registrada como CVE-2018-1160 que se produce debido a una debilidad de Netatalk de escritura fuera de los límites, cuyo aprovechamiento podría permitir la ejecución de código arbitrario en dispositivos vulnerables.
Asimismo, desde Asus señalan que, es caso de no poder instalar la nueva versión del firmware en los dispositivos afectados, se recomienda deshabilitar los servicios accesibles desde el lado WAN para evitar posibles afectaciones.
Vulnerabilidades críticas en complementos de WordPress
Investigadores de Defiant han identificado dos vulnerabilidades críticas de omisión de autenticación en dos complementos de WordPress que disponen de decenas de miles de instalaciones.
Por una parte, se encuentra el fallo de seguridad registrado como CVE-2023-2986, CVSSv3 de 9.8, y que afecta a Abandoned Cart Lite para WooCommerce. El aprovechamiento de esta vulnerabilidad podría permitir a actores maliciosos iniciar sesión como clientes o acceder a cuentas de administrador llegando a realizar un compromiso del sitio web afectado. No obstante, el problema se ha parcheado en la versión 5.15.1 de Abandoned Cart Lite para WooCommerce.
Por otra parte, se encuentra la vulnerabilidad CVE-2023-2834 que afecta al complemento Booklt de WordPress. Un atacante podría aprovechar este fallo para obtener acceso a cualquier cuenta del sitio web afectado, incluida la cuenta del administrador, conociendo únicamente la dirección de correo electrónico. Dicho problema se ha corregido en la versión 2.3.8 de BookIt.
Apple parchea los dos 0-days usados en la Operation Triangulation
Apple ha lanzado una actualización de seguridad de urgencia para parchear las dos vulnerabilidades 0-day usadas en la Operation Triangulation, como llamó Kaspersky, descubridor del incidente, a la campaña.
Las dos vulnerabilidades, CVE-2023-32434 y CVE-2023-32435, eran explotadas en un ataque zero-click (la recepción del mensaje desencadena la infección sin necesidad de interacción del usuario) contra dispositivos iOS a través de iMessage.
Esta actualización de seguridad de Apple coincide con la publicación de Kaspersky de su análisis final sobre la llamada Operation Triangulation y el spyware en el que explota los dos 0-days.
Kaspersky destaca que éste tiene capacidades para manipular archivos, interferir en procesos en ejecución, exfiltración de credenciales y certificados, así como transmisión de datos de geolocalización, incluidas las coordenadas, la altitud, la velocidad y la dirección del movimiento del dispositivo.
Fallo en Microsoft Teams permite distribuir malware
El equipo de investigadores de Jumpsec han publicado los resultados de una investigación en la que señalan haber identificado un error de seguridad en Microsoft Teams que podría permitir la distribución de malware.
En concreto, los expertos señalan que han descubierto la forma de que una cuenta de fuera de la organización objetivo logre evadir las correspondientes medidas de seguridad para permitir la remisión de software malicioso directamente en la bandeja de entrada. La metodología de ataque funciona en caso de que la víctima ejecute Microsoft Teams con la configuración predeterminada, asimismo el atacante necesita cambiar la identificación del destinatario interno y externo en la solicitud POST de un mensaje, engañando así al sistema para que trate a un usuario externo como interno.
De esta forma, cuando se envía el ejecutable, en realidad está alojada en un dominio de SharePoint y el objetivo lo descarga desde allí. Desde Microsoft reconocen el problema, sin embargo han señalado que no cumple con los requisitos para solucionar el fallo de forma inmediata.
Nueva variante de Mirai que aprovecha múltiples exploits de IoT
Una variante de la botnet Mirai ha sido descubierta por investigadores de la Unidad 42 de Palo Alto Networks. Esta variante se dirige a casi dos docenas de vulnerabilidades de dispositivos de marcas como D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear y MediaTek, con el objetivo de utilizarlos en ataques DDoS.
El malware ha sido identificado en dos campañas en curso que comenzaron en marzo y han aumentado en abril y junio; y apunta a un total de 22 agujeros de seguridad conocidos en diversos productos conectados, como routers, DVR, NVR, sistemas de control de acceso, entre otros. El ataque comienza explotando una de las fallas mencionadas y luego descarga un cliente de botnet adecuado para el dispositivo comprometido y accede directamente a las cadenas cifradas, lo que dificulta su detección.
A diferencia de otras variantes de Mirai, esta no tiene la capacidad de obtener credenciales de inicio de sesión de fuerza bruta, por lo que depende de la explotación manual de vulnerabilidades por parte de los operadores. Los signos de infección de esta botnet en dispositivos IoT incluyen sobrecalentamiento, cambios en la configuración, desconexiones frecuentes y una disminución general del rendimiento.
.jpg)
.jpg)
.jpg)