Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Boletín semanal de Ciberseguridad, 25 – 31 de marzo
GitHub expone su clave de host RSA SSH por error
GitHub anunció el pasado viernes que habían reemplazado su clave de host RSA SSH utilizada para proteger las operaciones de Git.
Según la compañía, la semana pasada esta clave fue expuesta accidentalmente en un repositorio público de GitHub, tras lo cual se actuó rápidamente para contener la exposición y se dio comienzo a una investigación para descubrir la causa y el impacto.
Si bien esta clave no da acceso a la infraestructura de GitHub ni a los datos de los usuarios, esta medida se ha tomado para evitar posibles suplantaciones. Se recomienda a los usuarios eliminar la clave y sustituirla por la nueva.
Más info →
* * *
Apple corrige un 0-day explotado activamente
Apple ha lanzado actualizaciones de seguridad en los que se corrige una vulnerabilidad 0-day explotada activamente en iPhone, macOS y iPad antiguos.
El fallo, identificado como CVE-2023-23529, es un error de confusión de tipo WebKit, que cuenta con un CVSS de 8.8 y que podría dar lugar a la ejecución de código arbitrario, robo de datos, acceso a los datos de Bluetooth, etc.
Cabe destacar que, en cuanto a los dispositivos, la vulnerabilidad afecta a iPhone 6s, iPhone 7, iPhone SE, iPad Air 2, iPad mini y iPod touch, además de Safari 16.3 en macOS Big Sur y Monterey, macOs Ventura, tvOS y watchOS. La compañía recomienda actualizar lo antes posible para evitar posibles intentos de explotación.
Más info →
* * *
Campaña maliciosa suplantando al Gobierno de España y entidades bancarias
La Oficina de Seguridad del Internauta (OSI) ha emitido un aviso de seguridad en el que informa sobre una campaña maliciosa de smishing suplantando a organismos gubernamentales y entidades bancarias.
En concreto, actores maliciosos están empleando técnicas de ingeniería social mediante la remisión de campañas de smishing en las que se pretende engañar a la víctima de que dispone de un reembolso debido a la campaña de impuestos.
En caso de que la víctima acceda al enlace malicioso esta accederá a un sitio web que simula ser la web de La Moncloa, en la que se solicita indicar a qué entidad bancaria pertenece, la cual una vez se seleccione, la víctima será nuevamente redirigida a un phishing que suplanta el nombre y logo del banco seleccionado.
El objetivo por parte de actores maliciosos tras esta campaña consiste en la exfiltración de credenciales bancarias de sus víctimas.
Más info →
* * *
Ataque a la cadena de suministro mediante la plataforma de videoconferencia 3XC
Investigadores de diversas firmas de seguridad como SentinelOne, Sophos y CrowdStrike han alertado de un ataque a la cadena de suministro a través del programa de videoconferencias 3CX.
Si bien la investigación del ataque sigue en curso, se habría confirmado su afectación para plataformas Windows donde la aplicación 3CXDesktopApp comprometida descargaría archivos ICO desde GitHub llevando finalmente a la instalación de un malware de tipo stealer.
Las primeras detecciones de comportamientos sospechosos de la aplicación en soluciones de seguridad se habrían dado a mediados del presente mes de marzo de 2023, pero los investigadores habrían identificado infraestructura empleada en el ataque con fechas de registro en febrero del año pasado.
La campaña, a la que SentinelOne ha denominado SmoothOperator, no tendría una atribución clara, si bien algunos investigadores señalan a posibles conexiones con Labyrinth Chollima, parte del grupo norcoreano Lazarus Group. 3CX no ha realizado ninguna declaración al respecto de la campaña.
Más info →
* * *
Análisis sobre campañas aprovechando 0-days en Android, iOS y Chrome
El Threat Analysis Group de Google ha publicado un informe en el que comparten detalles acerca de dos campañas en las que se utilizaron exploits 0-day contra Android, iOS y Chrome.
En cuanto a la primera campaña, se detectaron cadenas de exploits 0-days dirigidos a Android e iOS, que se distribuían mediante enlaces acortados enviados por SMS a usuarios localizados en Italia, Malasia y Kazajstán.
La vulnerabilidad, ya corregida en 2022, que afectaba en iOS en versiones anteriores a la 15.1, es la identificada como CVE-2022-42856 y CVSS 8.8, la cual hace referencia un error de confusión de tipos del compilador JIT que puede dar lugar a la ejecución de código arbitrario.
Por otro lado, la identificada como CVE-2021-30900, con CVSS 7.8, también corregida, trata sobre un error de escritura fuera de los límites y escalada de privilegios. En cuanto a la cadena de exploits de Android, estos se dirigían a los usuarios de teléfonos con una GPU ARM que ejecutaba versiones anteriores a la 106.
En cuanto a los fallos, todos corregidos, uno de ellos es el CVE-2022-3723 (CVSS 8.8), de confusión de tipos en Chrome; el CVE-2022-4135 (CVSS 9.6), desbordamiento de búfer en la GPU de Chrome y el CVE-2022-38181 (CVSS 8.8), de escalada de privilegios.
Cabe destacar que de esta última vulnerabilidad se detectó su explotación activa. La segunda campaña, dirigida por SMS a dispositivos de Emiratos Árabes Unidos, consta de varios 0-day y n-day dirigidos al navegador de Internet de Samsung.
El enlace redirige a los usuarios a una página desarrollada por el proveedor de spyware Variston y explota las vulnerabilidades CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 y CVE-2023-0266.
Más info →
