37 vulnerabilidades parchadas en Android con actualizaciones de seguridad de noviembre de 2023 | |
Las actualizaciones de seguridad de Android publicadas resuelven 37 vulnerabilidades, incluido un error de divulgación de información crítica. | |
|
Los detalles de las vulnerabilidades más relevantes corregidas en la actualización de este mes son los siguientes:
CVE-2023-33045: vulnerabilidad de copia de búfer debido a que no se comprueba el tamaño de la entrada en el firmware de la WLAN, produciendo daños en la memoria en el firmware de WLAN mientras se analiza una trama de administración de NAN que lleva un atributo S3.
CVE-2023-22388: vulnerabilidad de uso del desplazamiento de puntero fuera de rango en el procesador de llamadas multimodo, de forma que, se producen daños en la memoria en el procesador de llamadas multimodo mientras se procesa la API de máscara de bits.
CVE-2023-21671: vulnerabilidad de validación de entrada incorrecta en el núcleo, que produce una corrupción de memoria durante la llamada al sistema para la función de comparación de fusibles de Sectools
CVE-2023-28574: vulnerabilidad de validación de entrada incorrecta en el núcleo que produce daños en la memoria en los servicios principales cuando el controlador Diag recibe un comando para configurar agentes de escucha de eventos.
CVE-2023-40113: vulnerabilidad de divulgación de información que afecta a las versiones de Android 11, 12, 12L, 13, en el componente del Sistema que podría resultar en la revelación de información local sin necesidad de privilegios adicionales de ejecución. El fallo se encuentra en estado reservado a fecha de publicación de este documento.
Productos afectados:
• Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14.
| |
Se recomienda validar si la organización o usuarios cuentan con alguna de las versiones afectadas indicadas en el boletín, de ser así, se recomienda aplicar la versión/parche más reciente | | | |
Resumen de ransomware - Knight | |
El ransomware, conocido como Rorschach o BabLock, llama la atención por su rapidez para encriptar información. Afectó a más de 3000 empresas y organismos públicos. | |
 | |
La empresa de servicios tecnológicos GTD sufrió, el 23 de octubre, un ataque ransomware que afectó a la plataforma de Infraestructura como Servicio (IaaS, por sus siglas en inglés), por lo que se comprometieron los servicios de data center, telefonía, VPN y conexión a internet de más de 3000 clientes en Chile y en menor medida Perú.
Tras el ataque con el ransomware Rorschach (también conocido como BabLock), la empresa decidió bajar sus IaaS para revisarlas de forma exhaustiva y evitar que se propague el software malicioso. Lentamente, fueron restableciéndose, y hasta el momento de publicarse este artículo, más de 300 clientes continuaban afectados.
Este tipo de ataques, con vías de acceso a los sistemas muy variadas, logran secuestrar información, encriptándola, para luego pedir un rescate, usualmente en criptomonedas a cambio de la clave para desencriptar y recuperar la información y datos secuestrados.
Según detalló el titular del Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), Cristian Bravo, —ante el Comité de Seguridad Ciudadana del Congreso—, entre los servicios más importantes que estuvieron afectados, se puede contar al sistema de atención a beneficiarios del Fondo Nacional de Salud (FONASA), Salud Responde; las firmas digitales del Ministerio Secretaría General de la Presidencia; el sistema RPE de la Alta Dirección Pública, que afectó a más de más 77 municipios; y gobiernos regionales, entre otros.
| |
|
Según reporta el medio Bleeping Computer, el ransomware usado en este ataque fue Rorschach, conocido también como BabLock, y, en este nuevo ataque, los investigadores no pudieron atribuirlo a un grupo cibercriminal en particular, pero alertaron que se trata de un encriptador sofisticado y muy veloz, que puede encriptar un dispositivo en 4:30 minutos.
Los criminales, según el reporte de inteligencia de amenazas del CSIRT, explotan una vulnerabilidad de archivos ejecutables para inyectar, mediante una DLL maliciosa, el payload del ransomware config[.]ini en un proceso de Notepad.
| | | |
|
Infraestructura como servicio (IaaS, por sus siglas en inglés) es un servicio de virtualización que ofrecen compañías como GTD, y se trata de un software que divide en pequeñas computadoras virtuales un computador físico más grande. El cliente puede utilizar el sistema, administrarlo, pero es la empresa proveedora quien se ocupa del mantenimiento del servidor.
En GTD este software que permite tomar un computador y dividirlo en computadoras virtuales más pequeñas es el que fue atacado, aprovechando una vulnerabilidad, y es lo que permitió que los atacantes tomaran las máquinas y secuestraran la información.
Es lo que se conoce como ataque a la cadena de suministro, en la cual un fallo de seguridad de un gran proveedor, es explotado por los ciberatacantes comprometiendo la integridad de los sistemas de gran cantidad de organizaciones a las que da servicio.
| |
Fuente: WeLiveSecurity by ESET | |
Directiva NIS2: Mitigación del riesgo en industrias críticas | |
Si bien la transformación digital está impulsando muchos desarrollos positivos en los sectores público y privado, esta rápida adopción de nuevas tecnologías también pone a las organizaciones en mayor riesgo de sufrir un ciberataque. | |
|
Las industrias críticas que dependen de una combinación de TI y tecnología operativa (OT) son de particular preocupación, ya que las entidades de estas industrias suelen ser objetivos principales para los actores maliciosos. Según el informe Fortinet 2023 State of Operational Technology and Security, casi el 80% de los encuestados dijeron que tenían más de 100 dispositivos OT habilitados para IP en su entorno, lo que destaca las complejidades de proteger una superficie de ataque en constante expansión. Además, el 75% de las organizaciones de OT experimentaron al menos una intrusión el año pasado.
Ante estos mayores riesgos, el Parlamento y el Consejo de la Unión Europea (UE) adoptaron la Directiva SRI 2 en diciembre de 2022, que exige a las organizaciones que operan en cualquiera de los 27 Estados miembros que prestan servicios críticos, incluidos los gobiernos y sectores como la energía, el transporte, la sanidad y la banca, que se adhieran a un conjunto coherente de medidas de ciberseguridad. normas y prácticas. La Directiva NIS2 cubre numerosos aspectos de la ciberseguridad, con muchos requisitos centrados en la estandarización de la gestión de riesgos y la presentación de informes, así como en una mayor colaboración e intercambio de información entre los Estados miembros.
| |
|
Ante estos mayores riesgos, el Parlamento y el Consejo de la Unión Europea (UE) adoptaron la Directiva SRI 2 en diciembre de 2022, que exige a las organizaciones que operan en cualquiera de los 27 Estados miembros que prestan servicios críticos, incluidos los gobiernos y sectores como la energía, el transporte, la sanidad y la banca, que se adhieran a un conjunto coherente de medidas de ciberseguridad. normas y prácticas. La Directiva NIS2 cubre numerosos aspectos de la ciberseguridad, con muchos requisitos centrados en la estandarización de la gestión de riesgos y la presentación de informes, así como en una mayor colaboración e intercambio de información entre los Estados miembros.
NIS2 está diseñado para establecer estándares de seguridad comunes en todos los estados miembros, al tiempo que se ajusta al alcance más amplio de las leyes existentes de la UE y los Estados miembros, mejorando en última instancia la resiliencia de las organizaciones frente a un panorama de amenazas en evolución. Los Estados miembros de la UE tendrán que transponer las disposiciones de la NIS2 a las leyes nacionales antes del 17 de octubre de 2024, y serán aplicables a partir de esa fecha.
| | |
|
Las organizaciones públicas y privadas en el ámbito de NIS2 tienen menos de un año para desarrollar e implementar un plan integral de preparación para el cumplimiento, adquirir tecnologías de seguridad certificadas y adoptar nuevos protocolos de gobernanza, prácticas y respuesta a incidentes. Nos alienta el hecho de que muchos Estados miembros ya estén avanzando hacia la adopción de estos requisitos en sus legislaciones nacionales.
Hungría
En Hungría, existe una normativa relacionada con la supervisión de la ciberseguridad para las entidades gubernamentales en la que las normas de cumplimiento son similares a las descritas en la Directiva NIS2. Dados los paralelismos, la regulación actual se está revisando para incorporar todas las normas NIS2, lo que significa que no solo se trata de entidades gubernamentales, sino también de empresas con 50 o más empleados o 10 millones de dólares o más en ingresos anuales.
Alemania
A principios de este año, el Ministerio Federal del Interior y del Interior publicó un documento de debate público sobre la actualización de la normativa NIS2. Se pidió a las asociaciones profesionales afectadas, como Bitkom y VDI, que hicieran comentarios. Esto representa un paso positivo, ya que las entidades tratan de comprender e implementar los requisitos descritos en la NIS2.
Nórdicos
En la región nórdica, esperamos que a principios de 2024 se publique una interpretación local de la nueva directiva. En Suecia, por ejemplo, se nombró una investigación gubernamental a principios de este año y debería completarse a más tardar en febrero de 2024. También estamos observando la interpretación local de la NIS2 combinada con la interpretación local de otras medidas clave de la UE en torno a la ciberresiliencia, como la Ley de Resiliencia Operativa Digital y la Directiva de Resiliencia de Entidades Críticas.
| |
CVE-2023-22518: Vulnerabilidad crítica de autorización incorrecta del servidor y el centro de datos de Atlassian Confluence | |
Atlassian advierte de los detalles públicos de vulnerabilidad de una falla crítica en el centro de datos y el servidor de Confluence, mientras su CISO insta a las organizaciones a aplicar parches de inmediato. | |
El 31 de octubre, Atlassian publicó un aviso sobre una vulnerabilidad crítica en Confluence Data Center and Server, una popular wiki basada en la web. | |
CVE-2023-22518 es una vulnerabilidad de autorización incorrecta en los puntos de conexión de configuración y restauración de Atlassian Confluence Data Center and Server. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de solicitudes especialmente diseñadas con los parámetros necesarios a los puntos finales vulnerables en una instancia de Confluence Data Center o Server. Según el aviso de Atlassian, la explotación exitosa de esta falla podría resultar en una "pérdida significativa de datos". Una publicación de blog de preguntas frecuentes de Atlassian señala que la explotación exitosa restablecería el contenido de una instancia, lo que requeriría una restauración a partir de una copia de seguridad como la única forma de recuperar los datos perdidos. | | |
|
El CISO de Atlassian emite una advertencia a los clientes
En un movimiento sin precedentes, el aviso de Atlassian incluye una declaración de su director de seguridad de la información (CISO), Bala Sathiamurthy, quien señaló específicamente que podría ocurrir una "pérdida significativa de datos" si es explotada por "un atacante no autenticado". En su nota, Sathiamurthy subrayó que los clientes "deben tomar medidas inmediatas para proteger sus instancias".
Los detalles de vulnerabilidades disponibles públicamente aumentan el riesgo de explotación potencial
El 2 de noviembre, Atlassian actualizó su aviso con la observación de que "la información crítica publicada públicamente sobre la vulnerabilidad" había estado disponible, lo que "aumenta el riesgo de explotación". La información observada incluye artículos sobre la vulnerabilidad por parte de los investigadores de seguridad, que podrían utilizarse para desarrollar un exploit de prueba de concepto que funcione. El aviso también señala que las instancias de acceso público son las que corren mayor riesgo.
Segunda falla crítica en Atlassian Confluence en el último mes
Esta es la segunda vulnerabilidad crítica revelada en Atlassian Confluence Data Center and Server en el último mes. En octubre, Atlassian parcheó CVE-2023-22515, otra falla crítica en Confluence Data Center and Server, que fue explotada en la naturaleza como un día cero.
Debido a que Confluence Data Center and Server suele ser un activo orientado a Internet, se ha convertido en un objetivo popular para los ciberdelincuentes en los últimos años. A partir del 3 de noviembre, no se ha observado ninguna explotación en la naturaleza para CVE-2023-22518. Sin embargo, con los detalles de la vulnerabilidad ahora públicos, anticipamos que los ataques en la naturaleza comenzarán pronto.
| |
|
Si la aplicación de parches no es factible en este momento, Atlassian recomienda realizar una copia de seguridad de la instancia de Confluence y aplicar las siguientes mitigaciones temporales hasta que se puedan aplicar parches:
Mitigación #1: Eliminar la instancia de Internet hasta que sea factible aplicar parches
- Al dejar una instancia vulnerable de Confluence accesible públicamente, son vulnerables a la explotación, por lo que se recomienda que los clientes restrinjan el acceso a la red externa hasta que se puedan aplicar parches
Mitigación #2: Bloquear el acceso a puntos de enlace vulnerables en instancias de Confluence
- Atlassian destaca tres puntos de conexión específicos que son vectores de ataque conocidos:
- /json/setup-restore.action
- /json/setup-restore-local.action
- /json/setup-restore-progress.action
- Se recomienda a los clientes que modifiquen los archivos de configuración específicos de Confluence y agreguen una restricción de seguridad para bloquear el acceso a estos puntos finales
| | | |
Resumen de seguridad: TA571 entrega el cargador bifurcado IcedID | |
Los investigadores de Proofpoint identificaron TA571 que ofrecía la variante bifurcada de IcedID en dos campañas, el 11 y el 18 de octubre de 2023. Ambas campañas incluyeron más de 6.000 mensajes, cada uno de los cuales impactó a más de 1.200 clientes en una variedad de industrias a nivel mundial. | |
Los correos electrónicos de las campañas pretendían ser respuestas a hilos existentes. Esto se conoce como secuestro de hilos. Los correos electrónicos contenían 404 URL de TDS que enlazaban con la descarga de un archivo zip protegido por contraseña con la contraseña que figuraba en el correo electrónico. La cadena de ataque incluía una serie de comprobaciones para validar al destinatario antes de entregar el archivo zip. | |
TA571 es un distribuidor de spam, y este actor envía campañas de correo electrónico no deseado de gran volumen para entregar e instalar una variedad de malware para sus clientes ciberdelincuentes, dependiendo de los objetivos del operador posterior. Proofpoint evalúa con un alto nivel de confianza que las infecciones TA571 pueden conducir a ransomware. | | |
|
El archivo zip contenía un script VBS y un archivo de texto benigno. El script VBS, si el usuario hacía doble clic, ejecutaba un cargador bifurcado IcedID incrustado con regsvr32. El cargador, a su vez, descargó el bot IcedID.
El uso de la variante Forked IcedID es inusual, ya que solo se ha observado en un pequeño número de campañas. Proofpoint identificó por primera vez esta variante en febrero de 2023. Una diferencia clave entre la variante original de IcedID y la variante bifurcada fue la eliminación de la funcionalidad bancaria. En ese momento, Proofpoint evaluó que los actores estaban utilizando las variantes modificadas para alejar el malware de la actividad típica de troyanos bancarios y fraudes bancarios para centrarse en la entrega de carga útil, lo que probablemente incluye priorizar la entrega de ransomware.
TA571 utiliza regularmente 404 TDS en campañas para distribuir malware, incluidos AsyncRAT, NetSupport y DarkGate. Los investigadores de Proofpoint han estado rastreando 404 TDS desde al menos septiembre de 2022, y es utilizado por varios actores de amenazas. Un sistema de distribución de tráfico (TDS) es una aplicación que se utiliza para enrutar el tráfico web a través de servidores controlados por el operador. Los actores de amenazas pueden utilizarlos para redirigir el tráfico a las descargas de malware y utilizar el filtrado de IP para determinar si se debe entregar una carga útil o redirigir a un sitio web de recolección de credenciales. Proofpoint evalúa que es probable que el 404 TDS se comparta o venda a otros actores debido a su participación en una variedad de campañas de phishing y malware no relacionadas.
| |
La entrega de la variante Forked IcedID por parte de TA571 es única, ya que Proofpoint no la observa a menudo en los datos de amenazas. Además, Proofpoint considera que TA571 es un sofisticado actor de amenazas cibercriminales. Su cadena de ataque incluye un filtrado único que utiliza "puertas" intermedias para que pase el tráfico. Estas puertas, que son URL intermediarias, filtrarán el tráfico en función de la IP y la geovalla. TA571 puede tener hasta dos puertas por campaña. Esto es para garantizar que solo los usuarios específicos reciban el malware y para evitar el sandboxing automatizado o la actividad de los investigadores. | | | |
¿Qué es NIS2 y cuál es la mejor manera de prepararse para los nuevos requisitos de ciberseguridad en la UE? | |
NIS2 es una directiva europea que incluye nuevas medidas para garantizar que las organizaciones que operan en la Unión Europea (UE) tengan un alto nivel común de seguridad de redes e infraestructuras. | |
|
La "directiva" esboza los objetivos que todos los Estados miembros de la UE deben alcanzar. Sin embargo, cada país lo implementará en su propia legislación, con espacio para algunas especificidades nacionales para alcanzar estos objetivos. Las directivas son vinculantes en cuanto a los requisitos mínimos de lo que debe aplicarse.
Por ejemplo, si la directiva impone multas a las organizaciones que no cumplen, los estados pueden decidir ir más allá de la multa mínima e imponer sanciones más altas a las entidades de su jurisdicción.
NIS2 es sucesora de la Directiva NIS1, que se considera la primera ley de ciberseguridad de la UE. Desde su aplicación en 2018, la SRI1 ha demostrado ser esencial para la aplicación de la Estrategia de Ciberseguridad de la UE, pero no suficiente para hacer frente a los retos que plantea el panorama actual de amenazas a la ciberseguridad. La NIS2 amplía el alcance de la legislación al incluir nuevos sectores y tipos de organizaciones que deben cumplir e introducir requisitos más estrictos para su ciberseguridad.
Dada la creciente importancia geopolítica de la ciberseguridad, la NIS2 es un paso lógico para crear capacidades de defensa más armonizadas y sólidas en toda la Unión Europea.
| |
|
¿Qué hay de nuevo en NIS2 en comparación con NIS1?
- Requisitos de ciberseguridad más estrictos.
- Ámbito de aplicación más amplio: gama más amplia de sectores y entidades afectados.
- Cambio del mecanismo de identificación: de la identificación activa a la autoidentificación.
- Requisitos adicionales para la ciberseguridad de la cadena de suministro.
- Supervisión más estricta del cumplimiento por parte de las autoridades nacionales.
- Multas administrativas claramente definidas en caso de incumplimiento.
- Establecimiento de acuerdos de intercambio de información sobre ciberseguridad entre las entidades interesadas, por ejemplo, una plataforma para el intercambio, herramientas automáticas y contenidos.
| | | |
|
Ejecutar código en el contexto de "SYSTEM" en Windows significa que se ejecuta con los privilegios más altos en la máquina. SYSTEM es una cuenta interna reservada para el sistema operativo y sus servicios. Los atacantes que obtienen este nivel de privilegios tienen control total sobre todos los archivos en la máquina víctima.
El resto de los problemas de seguridad que SolarWinds abordó en su Access Right Manager son de alta gravedad y los atacantes podrían explotarlos para aumentar los permisos o ejecutar código arbitrario en el host después de la autenticación
| |
|
Acerca de Bafing
Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.
El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
| | | | |
