Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio
Descubierta puerta trasera en cientos de placas base Gigabyte
Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte, un reconocido fabricante taiwanés.
Cada vez que se reinicia una máquina con una de estas placas base, se activa silenciosamente una aplicación de actualización descargada y ejecutada por el firmware de la placa, lo que permite la instalación de otro software, posiblemente malicioso.
El firmware de estos sistemas elimina un binario de Windows al iniciar el sistema operativo y descarga y ejecuta otra carga útil desde los servidores de Gigabyte a través de una conexión insegura sin verificar la legitimidad del archivo.
Se identificaron 271 versiones diferentes de placas base como vulnerables. Aunque la función parece estar relacionada con el Gigabyte App Center, es difícil descartar la posibilidad de una puerta trasera maliciosa debido a la falta de autenticación adecuada y el uso de conexiones HTTP inseguras en lugar de HTTPS, lo que podría permitir ataques man-in-the-middle.
Incluso si Gigabyte soluciona el problema, las actualizaciones de firmware pueden fallar en las máquinas de los usuarios debido a su complejidad y dificultad para emparejarse con el hardware. Además, el actualizador podría ser utilizado maliciosamente por actores en la misma red para instalar su propio malware.
Campaña de SharpPanda contra el G20
Cyble ha publicado una investigación en la que comparte sus hallazgos sobre la campaña que está desarrollando actualmente el grupo de espionaje SharpPanda, supuestamente respaldado por el gobierno chino, contra los países miembros del G20 (el foro internacional que reúne a los países más industrializados del mundo junto con organizaciones como la ONU o el Banco Mundial).
Según explica Cyble, la campaña empieza con la distribución de emails a altos funcionarios de los países objetivo en los que se incluye un archivo .docx supuestamente generado por el G7 (grupo de países dentro del G20). Este archivo descarga un documento RTF que incluye el kit de malware RoyalRoad.
El exploit crea una tarea programada y ejecuta un downloader de malware DLL, que ejecuta otra DLL del Command & Control (C2). RoyalRoad aprovecha un conjunto específico de vulnerabilidades, incluidas CVE-2018-0802 , CVE-2018-0798 y CVE-2017-11882 , dentro de Microsoft Office.
Vulnerabilidad 0-day explotada activamente en Email Security Gateway durante meses
Recientemente Barracuda emitió un comunicado en el que advertía a sus clientes sobre una vulnerabilidad 0-day activamente explotada en su activo Email Security Gateway. En concreto, dicho fallo de seguridad fue identificado como CVE-2023-2868 y se señala que su aprovechamiento podría permitir a un atacante remoto realizar ejecución de código en sistemas vulnerables.
Sin embargo, han surgido nuevas informaciones que han identificado que la explotación de esta vulnerabilidad llevaría produciéndose desde el pasado mes de octubre de 2022 empleando hasta un total de tres cepas diferentes de malware, los cuales son Saltwater, Seaspy y Seaside.
Desde Barracuda no han dado información sobre las víctimas de forma pública, pero identificaron evidencias en donde se habrían producido exfiltración de información en algunas víctimas a las cuales se ha reportado toda la información.
En último lugar, cabe destacar que dicha vulnerabilidad afecta las versiones 5.1.3.001 a 9.2.0.006 y que fue corregida el pasado 20 y 21 de mayo.
Nuevo análisis del ransomware BlackCat
El equipo de investigadores de IBM ha publicado un análisis en el que menciona nuevas variantes de ransomware que permiten una mejor exfiltración de datos y evasión de soluciones de seguridad.
En concreto, los expertos señalan que los operadores del ransomware BlackCat/ALPHV continúan evolucionando la herramienta, especialmente desde dos perspectivas. Por una parte, los operadores de este software malicioso utilizarían en sus operaciones el malware ExMatter, cuya función consiste en optimizar los procesos de exfiltración de archivos.
Por otra parte, desde IBM señalan que ha analizado una nueva cepa de BlackCat, a la que han denominado Sphynx, la cual destaca por disponer de una serie de capacidades que le permiten evadir más eficazmente soluciones de seguridad.
Desde IBM señalan que estas evoluciones de ransomware evidencian que los operadores detrás de estas amenazas cada vez conocen más las infraestructuras de los sistemas y tratan de mejorar su eficiencia en las operaciones.
La CISA ha alertado acerca de dos vulnerabilidades en sistemas de control industrial
La CISA ha publicado un aviso acerca de dos vulnerabilidades que afectan a sistemas de control industrial, específicamente al producto MXsecurity de Moxa.
En primer lugar, la vulnerabilidad identificada como CVE-2023-33235, con CVSS de 7.2, es de inyección de comandos y puede ser aprovechada por atacantes que hayan obtenido privilegios de autorización, pudiendo salir del shell restringido y ejecutar código arbitrario.
Por otro lado, la CVE-2023-33236, con CVSS 9.8, puede ser explotada para crear tokens JWT arbitrarios y omitir la autenticación de las API basadas en la web. Cabe destacar que Moxa ha abordado estos fallos con la actualización a la versión v1.0.1.
Por su parte, la CISA recomienda a los usuarios implantar medidas defensivas para minimizar el riesgo de explotación, como minimizar la exposición de la red para los dispositivos, utilizar firewalls y VPN.
Foto principal: DCStudio en Freepik.
.jpg)
.jpg)
.jpg)