Infosec en breve La infame banda de ransomware LockBit ha estado ocupada en los diez días transcurridos desde que una operación policial internacional derribó muchos de sus sistemas. Pero a pesar de su postura, la pandilla podría haber sufrido más de lo que deja ver. Si bien ha habido muchas revelaciones (y decepciones) desde que las autoridades se apoderaron del sitio web de LockBit e interrumpieron sus operaciones el 20 de febrero, la pandilla ha hecho todo menos desaparecer. LockBit creó rápidamente un nuevo sitio web y lo actualizó con una lista de los próximos plazos de rescate de las víctimas, uno de los cuales incluía datos supuestamente robados del condado de Fulton, Georgia. Entre esos datos, afirmó LockBit, había información sobre los casos judiciales en curso del expresidente Donald Trump en el condado, que según LockBit podrían haber afectado las elecciones presidenciales de 2024. Pero la fecha límite del 29 de febrero para que el condado de Fulton pagara el rescate llegó y pasó sin que se publicara ningún dato. LockBit afirmó que el condado de Fulton pagó el rescate para evitar que los datos quedaran expuestos, pero los funcionarios del condado de Fulton protestaron que no hicieron tal cosa, ni utilizaron un intermediario para pagar al grupo. Brett Callow, analista de amenazas de Emsisoft, sugirió que en lugar de que se pague el rescate, es más probable que los datos que LockBit haya tenido sobre el condado de Fulton o Donald Trump hayan sido confiscados por las autoridades a principios de este mes. «Creo que fue un caso en el que intentaron convencer a sus afiliados de que todavía estaban en buena forma», dijo Callow a Krebs on Security. Queda por ver si LockBit solo está tratando de salvar las apariencias y está efectivamente desactivado, pero Callow parece creer que ese es el caso. «Se trata de tratar de calmar los nervios de los afiliados y decir: ‘Todo está bien, no estábamos tan comprometidos como sugirieron las autoridades'», opinó Callow. «Pero creo que habría que ser un tonto para trabajar con una organización que ha sido pirateada tan profundamente como LockBit». Vulnerabilidades críticas de la semana No hay mucho que informar en términos de CVE con una calificación CVSS de 8.0 o superior esta semana; solo un par de vulnerabilidades en el sistema operativo del centro de datos NX-OS de Cisco. CVSS 8.6 – CVE-2024-20267: NX-OS maneja incorrectamente el tráfico MPLS, lo que podría permitir que un atacante remoto no autenticado provoque que el proceso netstack se reinicie, lo que provocaría que los dispositivos afectados no procesen el tráfico de red. CVSS 8.6 – CVE-2024-20321: La implementación eBGP de NX-OS asigna el tráfico a una cola limitadora de velocidad de hardware compartida, lo que significa que un atacante podría causar DoS al bombardear un dispositivo vulnerable con tráfico. Hay parches disponibles para ambos problemas, así que instálelos lo antes posible. Las mitigaciones de vulnerabilidades de Ivanti podrían no funcionar, advierte CISA. Todas esas vulnerabilidades de Ivanti bajo explotación activa podrían ser más difíciles de detectar y mitigar de lo que Ivanti ha hecho creer a sus clientes, según CISA y sus agencias asociadas. En un aviso de seguridad cibernética publicado el 29 de febrero, CISA explicó que la herramienta de verificación de integridad (TIC) de Ivanti publicada públicamente en respuesta a las vulnerabilidades reportadas a principios del mes pasado puede no solo no detectar el compromiso, sino que un restablecimiento de fábrica podría no eliminar la persistencia a nivel de raíz. obtenido por un atacante. Mientras tanto, Ivanti nos dijo que quiere que los clientes sepan que el aviso de CISA no incluía ninguna vulnerabilidad nueva y que no tiene conocimiento de ningún caso en el que un actor de amenazas gane persistencia después de la instalación de actualizaciones de seguridad y un restablecimiento de fábrica. Ivanti recomienda que los clientes sigan las instrucciones de aplicación de parches y ejecuten las TIC. CISA, por otro lado, dice que los usuarios de Ivanti deberían considerar su última advertencia «al determinar si continúan operando estos dispositivos». El próximo incidente de SolarWinds podría comenzar en la nube El devastador compromiso del software SolarWinds a finales de 2020 provocó un compromiso generalizado de las redes afectadas cuando los atacantes pudieron robar certificados de servidores ADFS instalados localmente y utilizarlos para falsificar tokens SAML. Los investigadores de seguridad advierten ahora que es posible un ataque similar, incluso contra empresas que utilizan proveedores de identidad ubicados en la nube. La vulnerabilidad, denominada Silver SAML por investigadores de Semperis, puede permitir a un atacante falsificar tokens SAML sin ningún acceso a ADFS. La clave de este ataque es el uso de certificados de firma SAML generados externamente, como el tipo utilizado por Microsoft Entra ID y otros servicios similares. Semperis no tiene conocimiento de ningún ataque que utilice la técnica recientemente reportada, pero advierte que cualquier organización que dependa de certificados generados externamente es vulnerable. Desafortunadamente, la única forma de protegerse contra un ataque de este tipo es proteger sus certificados, para que un futuro atacante no utilice dicho método con efectos devastadores. «Los ataques de Silver SAML tienen el potencial de ser leves o devastadores», escribieron los investigadores de Semperis en su informe. «Alentamos a las organizaciones a tomar medidas decisivas ahora para cerrar las brechas y vulnerabilidades en estos entornos». ®

Source link