Las botnets siguen explotando CVE-2023-1389 para propagarse a gran escala | |
El año pasado, se reveló una vulnerabilidad de inyección de comandos, CVE-2023-1389, y se desarrolló una solución para la interfaz de administración web del TP-Link Archer AX21 (AX1800). FortiGuard Labs ha desarrollado una firma IPS para abordar este problema. | |
Recientemente, observamos múltiples ataques centrados en esta vulnerabilidad de hace un año, destacando botnets como Moobot, Miori, el agente "AGoent" basado en Golang y la variante Gafgyt. Los picos causados por estas amenazas son evidentes en la siguiente figura. Este artículo explorará sus patrones de tráfico de infección y ofrecerá información sobre estas botnets. | |
|
Infección - CVE-2023-1389
Se trata de una vulnerabilidad de inyección de comandos no autenticada en la API "locale" disponible a través de la interfaz de administración web. Los usuarios consultan el formulario especificado "país" y realizan una operación de "escritura", que es manejada por la función "set_country". Llama a la función "merge_config_by_country" y concatena el argumento de la forma especificada "country" en una cadena de comandos, que es ejecutada por la función "popen". Dado que el campo "país" no se vaciará, el atacante puede lograr la inyección de comandos.
| | | |
|
Como de costumbre, las botnets apuntan implacablemente a las vulnerabilidades de IoT, intentando explotarlas continuamente. A pesar del descubrimiento y de la corrección proporcionada para la vulnerabilidad CVE-2023-1389 el año pasado, numerosas campañas siguen explotándola, lo que da lugar a picos significativos en nuestra telemetría IPS.
Los usuarios deben estar atentos a las botnets DDoS y aplicar rápidamente parches para proteger sus entornos de red de infecciones, evitando que se conviertan en bots para actores de amenazas maliciosas.
| |
Resumen ejecutivo de PinnacleOne: Navegando por los conflictos internacionales y las dinámicas de escalada | |
PinnacleOne detalló cómo las empresas pueden navegar por la era de la IA en ciberseguridad y las herramientas emergentes para mantenerse al día con el avance de las amenazas. Ahora, SentinelOne se centra en la reciente dinámica de escalada en el conflicto en curso en Oriente Medio. | |
|
El conflicto entre Israel e Irán se cocinó a fuego lento durante décadas antes del más reciente aumento de las tensiones. La causa inmediata del ataque de Irán contra Israel este fin de semana fue el resultado de que ese país violó normas bien establecidas. Israel bombardeó una instalación diplomática iraní adyacente a la principal embajada en Siria, matando a generales iraníes de alto rango. Las embajadas y sus recintos se consideran la tierra soberana del país que representan: en los EE. UU., las agencias de aplicación de la ley (como la policía local) tienen prohibido poner un pie dentro de sus muros.
La decisión de Israel de atacar (sin previo aviso a EE.UU.) Las instalaciones diplomáticas de Irán en Siria para matar a varios oficiales militares iraníes importantes cruzaron esa línea roja establecida. En respuesta, Irán cruzó una línea en su relación con Israel que no se había visto en las últimas cuatro décadas. Misiles y enjambres de aviones no tripulados de Irak, Yemen, Siria e Irán atacaron a Israel durante el fin de semana.
| |
|
El ataque iraní se hace eco de los bombardeos combinados de drones, misiles de crucero y misiles balísticos que Rusia utiliza contra Ucrania. En el ataque incluso se utilizaron los mismos drones y misiles iraníes. Un portavoz militar israelí informó que el ataque del fin de semana involucró más de 170 drones, 30 misiles de crucero y al menos 110 misiles balísticos.
Sin embargo, los funcionarios estadounidenses informaron que aproximadamente la mitad de estos misiles balísticos fueron interceptados con éxito (por sistemas combinados de EE. UU., Israel, Francia, Gran Bretaña e incluso Jordania), y la mayoría de los restantes no lograron despegar o se estrellaron: solo un puñado alcanzó sus objetivos, causando principalmente daños cosméticos a las bases militares israelíes. Este fracaso puede atribuirse a una combinación de sistemas conjuntos de defensa aérea, que fueron preposicionados en el teatro de operaciones dada una fuerte inteligencia sobre el ataque iraní telegrafiado.
| | | |
|
Si bien fue un espectáculo secundario, la noche del ataque, un grupo de piratas informáticos afiliado a Irán conocido como "CyberAv3ngers" afirmó haber interrumpido la infraestructura eléctrica en Tel Aviv. Si bien esto fue rápidamente cuestionado y no se materializó ninguna evidencia de tal interrupción, una serie de cuentas de alto perfil en X amplificaron las afirmaciones, lo que sirvió para inyectar incertidumbre en el ya inestable en torno de la información.
Cabe señalar que los gobiernos de EE. UU. e Israel atribuyeron el año pasado a los CyberAv3ngers, afiliados al IRGC, compromisos de los controles lógicos programables de la serie Unitronics Vision utilizados en agua y aguas residuales y otras industrias. Si bien ninguna infraestructura crítica se vio comprometida en el ataque de este fin de semana, eso no debería inducir una falsa confianza de que los actores de amenazas iraníes carecen de la intención o la capacidad para hacerlo en el futuro.
| |
Vulnerabilidad de inyección de comandos del sistema operativo en GlobalProtect Gateway | |
Los atacantes están explotando una vulnerabilidad de inyección de comandos (CVE-2024-3400) que afecta los firewalls de Palo Alto Networks, advirtió la compañía e instó a los clientes a implementar mitigaciones temporales y ponerse en contacto para verificar si sus dispositivos se han visto comprometidos. | |
|
Una vulnerabilidad de inyección de comandos en la función GlobalProtect del software PAN-OS de Palo Alto Networks para versiones específicas de PAN-OS y configuraciones de funciones distintas puede permitir que un atacante no autenticado ejecute código arbitrario con privilegios de root en el firewall.
La vulnerabilidad afecta a las versiones 11.1, 11.0 y 10.2 de PAN-OS que tienen configuraciones habilitadas tanto para la puerta de enlace GlobalProtect como para la telemetría del dispositivo. Se solucionará con las revisiones 11.1.2-h3, 11.0.4-h1 y 10.2.9-h1, cuyo lanzamiento está previsto para el 14 de abril.
Cloud NGFW, los dispositivos Panorama y Prisma Access no se ven afectados por esta vulnerabilidad. Todas las demás versiones de PAN-OS tampoco se ven afectadas.
| |
|
Versiones Afectadas:
− Pan-Os 10.2
− Pan-Os 11.0
− Pan-Os 11.1
Este problema se aplica solo a los firewalls con las versiones indicadas, con las configuraciones para la puerta de enlace GlobalProtect y la telemetría del dispositivo habilitadas.
"Puede verificar si tiene una puerta de enlace GlobalProtect configurada comprobando las entradas en la interfaz web de su firewall (Red > GlobalProtect > Puertas de enlace) y verificar si tiene la telemetría del dispositivo habilitada verificando la interfaz web de su firewall (Dispositivo > Configuración > Telemetría)" explicó Palo Alto Networks.
| | | |
|
Recomendaciones:
- Actualizar los paquetes afectados cuando el proveedor lance la última versión para abordar estas vulnerabilidades, según lo siguiente:
- Pan-Os 10.2, actualizar a 10.2.9-h1
- Pan-Os 11.0, actualizar a 11.0.4-h1
- Pan-Os 11.1, actualizar a 11.1.2-h3
- Bloquear los ataques de esta vulnerabilidad habilitando el ID de amenaza 95187 (introducido en la versión 8833-8682 del contenido de Aplicaciones y amenazas), esto para los clientes con una suscripción a Prevención de amenazas.
- Aplicar un perfil de seguridad de protección contra vulnerabilidades a la interfaz GlobalProtect para evitar la explotación de este problema en su dispositivo.
- Deshabilitar temporalmente la telemetría del dispositivo hasta que el dispositivo se actualice a una versión fija de PAN-OS. Una vez actualizado, la telemetría del dispositivo debe volver a habilitarse en el dispositivo.
| |
Fuente: Centro Nacional de Seguridad Nacional | |
La actualización del parche crítico de Oracle de abril de 2024 aborda 239 CVE | |
Oracle aborda 239 CVE en su segunda actualización trimestral de 2024 con 441 parches, incluidas 38 actualizaciones críticas. | |
El 16 de abril, Oracle lanzó su actualización de parches críticos (CPU) para abril de 2024, la segunda actualización trimestral del año. Esta CPU contiene correcciones para 239 CVE en 441 actualizaciones de seguridad en 30 familias de productos de Oracle. De las 441 actualizaciones de seguridad publicadas este trimestre, al 8,6% de los parches se les asignó una gravedad crítica. Los parches de gravedad media representaron la mayor parte de los parches de seguridad con un 44,4 %, seguidos de los parches de gravedad alta con un 42,6 %. | |
|
Este trimestre, la familia de productos Oracle Commerce contenía el mayor número de parches con 93, lo que representa el 21,1% del total de parches, seguido de Oracle Financial Services Applications con 51 parches, que representaron el 11,6% del total de parches.
En la siguiente tabla se puede ver un desglose completo de los parches de este trimestre, que también incluye un recuento de vulnerabilidades que se pueden explotar a través de una red sin autenticación.
| | | |
La actualización de este trimestre incluye 38 parches críticos en 21 CVE. | |
Ransomware en México: Panorama del primer trimestre del 2024 | |
Te acercamos un repaso de las familias de ransomware que atacaron durante este primer trimestre a industrias y organismos de México, y consejos para afianzar las buenas prácticas para hacerles frente. | |
México se ubicaba a fines de 2023 en el segundo país de Latinoamérica, solo detrás de Perú, con más detecciones únicas en cuanto refiere a Ransomware con un total del 16.3% de distribución en LATAM conforme a la telemetría de ESET. | |
|
La tendencia para este año 2024 es que el ransomware seguirá siendo un enorme desafío en nuestra región y para México en particular. Los ciberdelincuentes no distinguirán entre sectores públicos o privados, empresas grandes o pequeñas.
Durante este primer trimestre, y a pesar de los enormes esfuerzos de las diferentes agencias gubernamentales como el FBI por detener estas actividades ilícitas, la forma en que siguen operando estos grupos es a través del Ransomware-as-a-Service.
| | | |
|
Los grupos que han sido desmantelados o frenados resurgieron al invitar a sus afiliados a migrar a otros medios haciendo de esto un tipo de cooperación entre comunidades, es decir, por si el grupo A falla, pueden asociarse al grupo B o C dependiendo de las ideologías y motivaciones que persigan sus nuevos usuarios.
En México, se observan también exafiliados a estos grupos que deciden mantener el código fuente aún funcional y adaptarlo a distintas circunstancias para sus fines nada éticos.
| |
Fuente: WeLiveSecurity by ESET | |
El virus OfflRouter hace que los usuarios ucranianos carguen documentos confidenciales en VirusTotal | |
Durante un ejercicio de búsqueda de amenazas, Cisco Talos descubrió documentos con información potencialmente confidencial procedente de Ucrania. Los documentos contenían código VBA malicioso, lo que indica que pueden usarse como señuelos para infectar organizaciones. | |
|
Como parte de un ejercicio regular de búsqueda de amenazas, Cisco Talos monitorea los archivos cargados en repositorios de código abierto en busca de posibles señuelos que puedan apuntar a organizaciones gubernamentales y militares. Los señuelos se crean a partir de documentos legítimos agregando contenido que desencadenará un comportamiento malicioso y, a menudo, son utilizados por los actores de amenazas.
Por ejemplo, el grupo Gamaredon utiliza señuelos de documentos maliciosos con plantillas de referencia externa escritas en ucraniano como vector de infección inicial. Talos ha descubierto previamente señuelos de temática militar en ucraniano y polaco, imitando los archivos oficiales de PowerPoint y Excel, para lanzar el llamado "cargador Picasso", que instala troyanos de acceso remoto (RAT) en los sistemas de las víctimas.
| |
|
Aunque el virus está activo en Ucrania, no hay indicios de que haya sido creado por un autor de esa región. Incluso la cadena de base de datos de depuración utilizada para nombrar el virus "E:\Projects\OfflRouter2\OfflRouter2\obj\Release\ctrlpanel.pdb" presente en el ctrlpanel.exe no apunta a un hablante que no sea de inglés.
A partir de la elección del mecanismo de infección, la generación de código VBA, varios errores en el código y la aparente falta de pruebas, estimamos que el autor es un programador inexperto pero inventivo.
Las decisiones tomadas durante el desarrollo limitaron el virus a una ubicación geográfica específica y le permitieron permanecer activo durante casi 10 años.
| | | |
|
En febrero de 2024, Talos descubrió varios documentos con contenido que parece proceder de organizaciones gubernamentales locales ucranianas y de la Policía Nacional de Ucrania subidos a VirusTotal. Los documentos contenían código VBA para soltar y ejecutar un ejecutable con el nombre 'ctrlpanel.exe', lo que levantó nuestras sospechas y nos llevó a investigar más a fondo.
Eventualmente, descubrimos más de 100 documentos cargados con información potencialmente confidencial sobre las actividades gubernamentales y policiales en Ucrania. El análisis del código mostró resultados inesperados: en lugar de señuelos utilizados por actores avanzados, los documentos cargados estaban infectados con un virus de macro VBA multicomponente OfflRouter, creado en 2015. El virus sigue activo en Ucrania y está provocando que se carguen documentos potencialmente confidenciales en repositorios de documentos de acceso público.
| |
|
Acerca de Bafing
Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.
El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
| | | | |
