Conclusiones clave Los sensores honeypot de Cyble detectaron varios ataques cibernéticos nuevos en los últimos días, dirigidos a vulnerabilidades en la biblioteca Ruby SAML, dispositivos NAS D-Link, el marco cliente-servidor aiohttp, un complemento de WordPress y más. La unidad de Inteligencia de Vulnerabilidad de Cyble también descubrió nuevas campañas de phishing y ataques de fuerza bruta. Se insta a los clientes a abordar las vulnerabilidades identificadas en el informe y aplicar las mejores prácticas. Descripción general La unidad Cyble Vulnerability Intelligence identificó varios ataques cibernéticos nuevos durante la semana del 2 al 8 de octubre. Entre los objetivos se encuentran la biblioteca Ruby SAML, varios dispositivos NAS D-Link, el marco cliente-servidor aiohttp utilizado para asyncio y Python, y un popular complemento de WordPress utilizado por restaurantes y otras empresas. Los sensores de Cyble también descubrieron más de 350 nuevas direcciones de correo electrónico de phishing y miles de ataques de fuerza bruta. Vulnerabilidades atacadas por actores de amenazas El informe completo para clientes analizó más de 40 vulnerabilidades bajo explotación activa por parte de actores de amenazas. Aquí hay cuatro nuevos ataques identificados en el informe. Ruby SAML Verificación inadecuada de la vulnerabilidad de la firma criptográfica La biblioteca Ruby SAML implementa el lado del cliente de la autorización SAML. Ruby-SAML en versiones hasta 1.12.2 y 1.13.0 hasta 1.16.0 no verifica correctamente la firma de la respuesta SAML. Al explotar la vulnerabilidad CVE-2024-45409 de gravedad 9,8, un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede falsificar una respuesta/afirmación SAML con contenido arbitrario. Esto permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable. La vulnerabilidad se solucionó en 1.17.0 y 1.12.3. aiohttp Path Traversal CVE-2024-23334 es una vulnerabilidad de Path Traversal en aiohttp, un marco cliente/servidor HTTP asíncrono para asyncio y Python. Cuando se utiliza aiohttp como servidor web y se configuran rutas estáticas, es necesario especificar la ruta raíz para los archivos estáticos. Además, la opción ‘follow_symlinks’ se puede utilizar para determinar si se deben seguir enlaces simbólicos fuera del directorio raíz estático. Cuando ‘follow_symlinks’ se establece en Verdadero, no hay validación para verificar si la lectura de un archivo está dentro del directorio raíz. Esto puede generar vulnerabilidades de cruce de directorios, lo que resulta en acceso no autorizado a archivos arbitrarios en el sistema, incluso cuando no hay enlaces simbólicos presentes. Se recomiendan mitigaciones deshabilitar follow_symlinks y usar un proxy inverso. La versión 3.9.2 soluciona este problema. Vulnerabilidad de credenciales codificadas en dispositivos NAS D-Link Una vulnerabilidad de gravedad 9,8, CVE-2024-3272, está dirigida a dispositivos NAS D-Link DNS-320L, DNS-325, DNS-327L y DNS al final de su vida útil. -340L hasta 20240403. El problema afecta a un procesamiento desconocido del archivo /cgi-bin/nas_sharing.cgi del componente HTTP GET Request Handler. La manipulación del argumento usuario con el bus de mensajes de entrada conduce a credenciales codificadas. El ataque puede iniciarse de forma remota y el exploit se ha divulgado al público. El identificador asociado de esta vulnerabilidad es VDB-259283. Se contactó al proveedor tempranamente y se confirmó de inmediato que el producto ha llegado al final de su vida útil. Debería retirarse y reemplazarse. La vulnerabilidad de inyección SQL de PriceListo CVE-2024-38793 es una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL («inyección SQL») en el complemento de WordPress PriceListo Best Restaurant Menu, lo que permite ataques de inyección SQL. El problema afecta a Best Restaurant Menu de PriceListo hasta la versión 1.4.1. Las vulnerabilidades reportadas anteriormente en PHP (CVE-2024-4577), GeoServer (CVE-2024-36401) y cámaras IP AVTECH (CVE-2024-7029) también permanecen bajo ataque activo por parte de actores de amenazas. Ataques de fuerza bruta Los sensores de Cyble también detectaron miles de ataques de fuerza bruta. Entre los cinco principales países atacantes, los investigadores de Cyble observaron ataques originados en Vietnam dirigidos a los puertos 22 (43%), 445 (32%), 23 (17%) y 3389 (8%). Los ataques procedentes de Rusia se dirigieron a los puertos 3389 (58%), 5900 (35%), 1433 (5%), 3306 (1%) y 445 (1%). Grecia, Colombia y Bulgaria se dirigieron principalmente a los puertos 1433, 5900 y 445. Se recomienda a los analistas de seguridad agregar bloques de sistemas de seguridad para los puertos atacados (como 22, 3389, 443, 445, 5900 y 3306). Nuevas campañas de phishing identificadas Los sensores de Cyble también detectaron 351 nuevas direcciones de correo electrónico de phishing. A continuación se presentan seis estafas de phishing destacadas identificadas por Cyble: Asunto del correo electrónico Estafadores ID de correo electrónico Tipo de estafa Descripción Directivas de reclamo info@szhualilian.com Estafa de reclamo Reembolso falso contra reclamos ESTIMADO GANADOR contact@wine.plala.or.jp Estafa de lotería/premio falso ganancias de premios para extorsionar dinero o información DIOS LOS BENDIGA…. info@advanceairsystem.com Estafa de donaciones Estafadores que se hacen pasar por donantes para donar dinero ELEGIDO- CORREO ELECTRÓNICO test@mps.elnusa.co.id Estafa de inversiones Ofertas de inversión poco realistas para robar fondos o datos Pedido 3038137699167518: despacho de aduana support@otm4n3-recrypto.to Envío Estafa Truco de envío no reclamado para exigir tarifas o detalles Fondo de Compensación de la ONU info@usa.com Estafa de organización gubernamental Compensación gubernamental falsa para recopilar detalles financieros Recomendaciones de Cyble Los investigadores de Cyble recomiendan los siguientes controles de seguridad: Bloqueo de hashes de destino, URL e información de correo electrónico en los sistemas de seguridad ( Los clientes de Cyble recibieron una lista de IoC separada). Parche de inmediato todas las vulnerabilidades abiertas enumeradas aquí y supervise de forma rutinaria las principales alertas de Suricata en las redes internas. Verifique constantemente los ASN e IP de los atacantes. Bloquee las IP de ataques de fuerza bruta y los puertos de destino enumerados. Restablezca inmediatamente los nombres de usuario y contraseñas predeterminados para mitigar los ataques de fuerza bruta y aplicar cambios periódicos. Para los servidores, configure contraseñas seguras que sean difíciles de adivinar. Relacionado