Descripción general El informe semanal de inteligencia de sensores de Cyble detalla docenas de campañas de ataque activas contra vulnerabilidades conocidas. Una novedad en la lista son los ataques a una vulnerabilidad en el sistema de publicación y gestión de contenidos de código abierto (CMS) de SPIP, mientras que las campañas reportadas anteriormente dirigidas a vulnerabilidades en PHP, sistemas Linux, frameworks Java y Python, y más, han continuado sin cesar. Las vulnerabilidades más antiguas de los dispositivos IoT y los sistemas integrados siguen explotándose a un ritmo alarmante. Una novedad en el informe de esta semana son las vulnerabilidades que aún pueden estar presentes en algunos productos y dispositivos de red de Siemens. Como es probable que estas vulnerabilidades existan en algunos entornos de infraestructura crítica, se recomienda a las organizaciones con dispositivos IoT y sistemas integrados con acceso a Internet que verifiquen la exposición al riesgo y apliquen las mitigaciones necesarias. Estos son algunos de los detalles del informe de inteligencia de sensores del 16 al 22 de octubre enviado a los clientes de Cyble. Ataques de SPIP CMS detectados por Cyble SPIP anterior a las versiones 4.3.2, 4.2.16 y 4.1.18 es vulnerable a un problema de inyección de comandos informado el mes pasado como CVE-2024-8517. Un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo enviando una solicitud HTTP de carga de archivo multiparte diseñada. Como la vulnerabilidad se encontró como parte de un desafío de piratería, varias PoC (pruebas de concepto) publicadas han aumentado las probabilidades de que se exploten versiones anteriores de SPIP. Se recomienda a los administradores de SPIP que actualicen lo antes posible. Su navegador no soporta la etiqueta de video. Persisten los ataques a dispositivos IoT y sistemas integrados Los ataques a dispositivos IoT detallados en el informe de la semana pasada disminuyeron significativamente, ya que los sensores honeypot de Cyble detectaron 31.000 ataques en CVE-2020-11899, una vulnerabilidad de lectura fuera de límites de gravedad media en la pila Treck TCP/IP. antes de 6.0.1.66. La semana pasada, los sensores de Cyble detectaron más de 411.000 ataques a la vulnerabilidad que intentaban obtener privilegios de administrador. CVE-2020-11899 también forma parte de la serie “Ripple20” de vulnerabilidades Treck TCP/IP que pueden provocar robo de datos, cambios en el comportamiento o función del dispositivo, intrusión en la red, toma de control del dispositivo y otras actividades maliciosas. Los sensores de Cyble han detectado casi 1 millón de intentos de explotación desde agosto en CVE-2020-11899 y otras dos vulnerabilidades “Ripple20” (CVE-2020-11900 y CVE-2020-11910), por lo que los propietarios de dispositivos vulnerables con acceso a Internet deben asumir un compromiso. También son motivo de preocupación para la infraestructura crítica los ataques a cuatro vulnerabilidades en el sistema operativo en tiempo real (RTOS) Wind River VxWorks para sistemas integrados en versiones anteriores a VxWorks 7 SR620: CVE-2019-12255, CVE-2019-12260, CVE-2019- 12261 y CVE-2019-12263. Los sensores Cyble suelen detectar entre 3.000 y 4.000 ataques por semana a estas vulnerabilidades, y pueden estar presentes en varios dispositivos Siemens SIPROTEC 5, RUGGEDCOM Win, Power Meters y otros dispositivos más antiguos, así como en varios dispositivos de red de las principales empresas de TI. , cualquier exposición a estas vulnerabilidades debe considerarse crítica. Linux, Java y otros ataques persisten Varios otros exploits recientes observados por Cyble permanecen activos: los ataques contra sistemas Linux y dispositivos QNAP y Cisco detallados en nuestro informe del 7 de octubre permanecen activos, y los ataques CoinMiner, Mirai e IRCBot siguen siendo amenazas activas contra Linux sistemas. Las vulnerabilidades reportadas anteriormente en PHP (CVE-2024-4577), GeoServer (CVE-2024-36401) y cámaras IP AVTECH (CVE-2024-7029) también permanecen bajo ataque activo por parte de actores de amenazas. El marco Spring Java (CVE-2024-38816) sigue siendo un objetivo de los actores de amenazas (TA), y los complementos de WordPress de ValvePress también siguen siendo el objetivo. El marco cliente/servidor Aiohttp para asyncio y Python también continúa siendo explotado. Estafas de phishing detectadas por Cyble Cyble detectó miles de estafas de phishing esta semana, incluidas 306 nuevas direcciones de correo electrónico de phishing. A continuación se muestra una tabla que enumera las líneas de asunto de los correos electrónicos y las direcciones de correo electrónico engañosas utilizadas en seis campañas de cámaras destacadas. Asunto del correo electrónico Estafadores ID de correo electrónico Tipo de estafa Descripción ¿Autorizó a alguien a reclamar sus fondos? Mr.Jecob.Philip@mail.com Estafa de reclamos Reembolso falso contra reclamos DEPARTAMENTO DE LOTERÍA INTERNACIONAL DE BMW ronnie_harrison@aliyun.com Estafa de lotería/premios Ganancias de premios falsos para extorsionar dinero o información Mi donación test@cinematajrobi.ir Estafa de donaciones Estafadores que se hacen pasar por donadores para donar dinero ¡¡COOPERACIÓN!! mrabdulm48@gmail.com Estafa de inversión Ofertas de inversión poco realistas para robar fondos o datos Re: Caja de envío info@hashtagamin.net Estafa de envío Truco de envío no reclamado para exigir tarifas o detalles Fondo de Compensación de la ONU info@usa.com Estafa de organización gubernamental Compensación gubernamental falsa para cobrar detalles financieros Ataques de fuerza bruta De los miles de ataques de fuerza bruta detectados por los sensores de Cyble en el período de informe más reciente, estos son los 5 principales países y puertos atacados: Los ataques que se originaron en los Estados Unidos y que tenían como objetivo los puertos estaban dirigidos a los puertos 5900 ( 43%), 3389 (35%), 22 (15%), 23 (4%) y 80 (3%). Los ataques procedentes de Rusia dirigidos a los puertos intentaron explotar los puertos 5900 (75%), 1433 (11%), 445 (8%), 1080 (3%) y 3306 (3%). Los Países Bajos, Grecia y Bulgaria se dirigieron principalmente a los puertos 3389, 1433, 5900 y 443. Se recomienda a los analistas de seguridad agregar bloques de sistemas de seguridad para los puertos atacados (como 22, 3389, 443, 445, 5900, 1433, 1080 y 3306). Recomendaciones y mitigaciones Los investigadores de Cyble recomiendan los siguientes controles de seguridad: Bloqueo de hashes de destino, URL e información de correo electrónico en los sistemas de seguridad (los clientes de Cyble recibieron una lista de IoC separada). Parche de inmediato todas las vulnerabilidades abiertas enumeradas aquí y supervise de forma rutinaria las principales alertas de Suricata en las redes internas. Verifique constantemente los ASN e IP de los atacantes. Bloquee las IP de ataque de fuerza bruta y los puertos de destino enumerados. Restablezca inmediatamente los nombres de usuario y contraseñas predeterminados para mitigar los ataques de fuerza bruta y aplicar cambios periódicos. Para los servidores, configure contraseñas seguras que sean difíciles de adivinar. Conclusión Al destacarse las amenazas activas contra múltiples sistemas, las empresas deben permanecer alerta y receptivas. La gran cantidad de ataques de fuerza bruta y campañas de phishing demuestra la crisis de vulnerabilidad que enfrentan las organizaciones. Para proteger sus activos digitales, las organizaciones deben abordar las vulnerabilidades conocidas e implementar los controles de seguridad recomendados, como bloquear IP maliciosas y proteger los puertos de red. Un enfoque de seguridad proactivo y por capas es clave para proteger las defensas contra la explotación y las violaciones de datos. Relacionado