Conclusiones clave Esta semana, los sensores honeypot de Cyble detectaron cinco exploits de vulnerabilidades recientes. Una falla de PHP de gravedad 9.8 identificada en junio sigue bajo ataque generalizado y se insta a las organizaciones a actualizar lo antes posible. Los investigadores de Cyble también identificaron 9 estafas de phishing, varias redes de ataques de fuerza bruta muy activas y los puertos más comúnmente atacados. Se recomienda a los equipos de seguridad que utilicen la información proporcionada para reforzar las defensas. Descripción general La red de inteligencia de sensores globales de Cyble, o CGSI, monitorea y captura datos de ataques en tiempo real a través de la red de sensores honeypot de Cyble. Esta semana, el servicio Threat Hunting de Cyble descubrió e investigó docenas de intentos de explotación, intrusiones de malware, fraude financiero y ataques de fuerza bruta. El informe completo está disponible para los suscriptores; aquí cubriremos una serie de ataques y exploits importantes que los equipos de seguridad deben tener en cuenta, además de las investigaciones de Cyble sobre campañas de phishing y ataques de fuerza bruta. El informe cubre la semana del 11 de septiembre al 15 de septiembre. 17. Estudios de casos de ataques El informe de Cyble Sensor Intelligence examinó 18 ataques en total; aquí hay cinco que se destacan. CVE-2024-7954: Vulnerabilidad de ejecución de código arbitrario en el complemento Porte Plume de SPIP CVE-2024-7954 afecta al complemento porte_plume en versiones de SPIP anteriores a 4.30-alpha2, 4.2.13 y 4.1.16, y permite a atacantes remotos no autenticados ejecutar código PHP arbitrario enviando una solicitud HTTP especialmente diseñada. Los usuarios deben actualizar a versiones parcheadas para mitigar esta vulnerabilidad. CVE-2024-7120: Vulnerabilidad de inyección de comandos del sistema operativo en dispositivos Raisecom MSG CVE-2024-7120 es una vulnerabilidad crítica de inyección de comandos del sistema operativo en la interfaz web de los dispositivos Raisecom MSG1200, MSG2100E, MSG2200 y MSG2300 que ejecutan la versión 3.90. La falla en el archivo list_base_config.php permite a atacantes remotos explotar el parámetro de plantilla para ejecutar comandos arbitrarios. Hay exploits públicos disponibles para esta vulnerabilidad. CVE-2024-4577: Vulnerabilidad de inyección de argumentos CGI en PHP CVE-2024-4577 es una vulnerabilidad crítica de PHP que afecta a las configuraciones CGI. Permite a los atacantes ejecutar comandos arbitrarios a través de parámetros de URL especialmente diseñados. Dada la importancia y el amplio uso de PHP, las organizaciones afectadas deben actualizar a una versión de PHP más segura lo antes posible. CVE-2024-36401: Vulnerabilidad de GeoServer que permite la ejecución remota de código a través de una evaluación XPath no segura CVE-2024-36401 es una vulnerabilidad crítica de RCE en versiones de GeoServer anteriores a 2.23.6, 2.24.4 y 2.25.2. La falla surge de la evaluación insegura de los parámetros de solicitud de OGC como expresiones XPath, lo que permite a los usuarios no autenticados ejecutar código arbitrario en instalaciones predeterminadas. El problema afecta a todas las instancias de GeoServer debido al manejo inadecuado de tipos de características simples. Hay parches disponibles y una solución alternativa implica eliminar la biblioteca gt-complex vulnerable, aunque puede afectar la funcionalidad. CVE-2024-7029: Vulnerabilidad de inyección de comandos de red sin autenticación en cámaras IP AVTECH CVE-2024-7029 permite a los atacantes remotos inyectar y ejecutar comandos a través de la red sin requerir autenticación. Esta falla crítica plantea un riesgo significativo, ya que permite el control no autorizado sobre los sistemas afectados. AVM1203, versión de firmware FullImg-1023-1007-1011-1009 y anteriores, están afectados, y otras cámaras IP y productos de grabación de video en red también pueden verse afectados. Estafas de phishing identificadas Los investigadores de Cyble identificaron nueve estafas de phishing por correo electrónico esta semana. A continuación se muestran las líneas de asunto y las direcciones de correo electrónico engañosas utilizadas en las estafas, junto con una descripción de cada una. Asunto del correo electrónico Identificación del correo electrónico de los estafadores Tipo de estafa Descripción FONDO DE COMPASIÓN DE 5,5 MILLONES DE DÓLARES. info@uba.group.org Estafa de caridad Fondo de caridad falso para robar detalles personales o financieros Compensación info.us.com Estafa de compensación Ofreciendo una compensación falsa para recopilar datos confidenciales ¡¡¡Estimado beneficiario!!! info@federalreservebank.com Estafa de suplantación de identidad Estafadores que se hacen pasar por el director ejecutivo de un banco para solicitar información confidencial REGALOS DE FACEBOOK info@fam-koeppel.de Estafa de obsequios en las redes sociales Simular ofrecer regalos para robar información personal REGALOS GANADORES fachrisalman.2020@student.uny.ac.id Estafa de lotería/premio Premios falsos para extorsionar dinero o información PROPUESTA DE INVERSIÓN David@uS.com Estafa de inversión Ofertas de inversión poco realistas para robar fondos o datos Fondo de compensación de la ONU info@usa.com Estafa de organización gubernamental Compensación falsa de la ONU para recopilar detalles financieros Su envío abandonado contact@wine.plala.or.jp Estafa de envío Truco de envío no reclamado para exigir tarifas o detalles RE: Solicitud comercial Necesitamos su producto accounts@eswil.com Estafa comercial comercial Solicitudes comerciales falsas para obtener bienes sin pago Ataques de fuerza bruta Los ataques de fuerza bruta consisten en que un atacante envíe muchas contraseñas o frases de contraseña con la esperanza de adivinar una combinación correctamente. El atacante comprueba sistemáticamente todas las contraseñas y frases de contraseña posibles hasta encontrar la correcta. Un ataque de fuerza bruta utiliza el método de prueba y error para adivinar la información de inicio de sesión y las claves de cifrado o para encontrar una página web oculta. Los piratas informáticos trabajan con todas las combinaciones posibles, con la esperanza de adivinar correctamente. Cyble observó miles de ataques de fuerza bruta en la última semana. Una inspección minuciosa de la distribución de los puertos atacados en función de los cinco principales países atacantes reveló que los ataques originados en los Estados Unidos se dirigieron a los puertos 3389 (60%), 445 (19%), 22 (13%), 5900 (6%) y 9200 (3%). Los ataques originados en Rusia se dirigieron a los puertos 5900 (96%), 445 (2%), 25 (1%), 3389 (1%) y 1025 (1%). Los ataques originados en los Países Bajos, India y Bulgaria se dirigieron principalmente a los puertos 5900 y 445. Se recomienda a los analistas de seguridad que agreguen bloques de sistema de seguridad para los puertos atacados (como 22, 3389, 443, 445, 5900 y 3306). Los nombres de usuario y contraseñas utilizados con más frecuencia en ataques de fuerza bruta se muestran en la siguiente figura. El informe de análisis indica que los ataques de fuerza bruta en software de automatización de TI y servidores emplean con frecuencia nombres de usuario como 3comcso, elasticsearch y hadoop y ataques de bases de datos como en mysql y Postgres. Algunas de las combinaciones de nombre de usuario/contraseña más comunes fueron «root», «admin», «password», «123456», etc. Por lo tanto, es de vital importancia configurar contraseñas seguras para servidores y dispositivos, y cambiar siempre las credenciales predeterminadas. Recomendaciones de Cyble Los investigadores de Cyble ofrecieron una serie de recomendaciones para los suscriptores en el informe: Bloquear los hashes, URL e información de correo electrónico enumerados en los sistemas de seguridad. Aplicar parches de inmediato a todas las vulnerabilidades abiertas que se enumeran aquí y supervisar de forma rutinaria las principales alertas de Suricata en las redes internas. Comprobar constantemente los ASN y las IP de los atacantes en la tabla de ataques en tiempo real. Bloquear las IP de ataques de fuerza bruta y los puertos objetivo que se enumeran en la tabla de IoC en los productos de seguridad. Restablecer de inmediato los nombres de usuario y las contraseñas predeterminados para mitigar los ataques de fuerza bruta y aplicar cambios periódicos. Para los servidores, configurar contraseñas seguras que sean difíciles de adivinar.