Etiqueta: noticias de hackers Página 1 de 2

01 de julio de 2024Sala de prensaCadena de suministro/Seguridad de software Se han descubierto tres fallas de seguridad en el administrador de dependencias CocoaPods para proyectos Swift y Objective-C Cocoa que podrían explotarse para organizar ataques a la cadena de suministro de software, poniendo a los clientes intermedios en graves riesgos. Las vulnerabilidades permiten que «cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones iOS y macOS más populares», dijeron los investigadores de EVA Information Security, Reef Spektor y Eran Vaknin, en un informe publicado hoy. La firma israelí de seguridad de aplicaciones dijo que CocoaPods solucionó los tres problemas desde octubre de 2023. También restablece todas las sesiones de usuario en ese momento en respuesta a las divulgaciones. Una de las vulnerabilidades es CVE-2024-38368 (puntuación CVSS: 9,3), que hace posible que un atacante abuse del proceso «Reclama tus Pods» y tome el control de un paquete, lo que le permite alterar el código fuente y introducir cambios maliciosos. Sin embargo, esto requería que todos los mantenedores anteriores hubieran sido eliminados del proyecto. Las raíces del problema se remontan a 2014, cuando una migración al servidor Trunk dejó miles de paquetes con propietarios desconocidos (o no reclamados), lo que permitió a un atacante utilizar una API pública para reclamar pods y una dirección de correo electrónico que estaba disponible en CocoaPods. código fuente («unclaimed-pods@cocoapods.org») para tomar el control. El segundo error es aún más crítico (CVE-2024-38366, puntuación CVSS: 10.0) y aprovecha un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, que luego podría usarse para manipular o reemplazar los paquetes. También se identifica en el servicio un segundo problema en el componente de verificación de dirección de correo electrónico (CVE-2024-38367, puntuación CVSS: 8,2) que podría incitar a un destinatario a hacer clic en un enlace de verificación aparentemente benigno, cuando, en realidad, redirige el enlace. solicitud a un dominio controlado por un atacante para obtener acceso a los tokens de sesión de un desarrollador. Para empeorar las cosas, esto puede convertirse en un ataque de apropiación de cuentas sin hacer clic falsificando un encabezado HTTP (es decir, modificando el campo del encabezado X-Fordered-Host) y aprovechando herramientas de seguridad de correo electrónico mal configuradas. «Hemos descubierto que casi todos los propietarios de pods están registrados con el correo electrónico de su organización en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de adquisición sin clic», dijeron los investigadores. Esta no es la primera vez que CocoaPods pasa por el escáner. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con el administrador de dependencias («cdn2.cocoapods[.]org») podría haber sido secuestrado por un adversario a través de GitHub Pages con el objetivo de alojar sus cargas útiles. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Productos de una empresa de software india fueron pirateados para difundir malware que roba datos

01 de julio de 2024Sala de prensaAtaque a la cadena de suministro / Inteligencia de amenazas Los instaladores de tres productos de software diferentes desarrollados por una empresa india llamada Conceptworld han sido troyanizados para distribuir malware que roba información. Los instaladores corresponden a Notezilla, RecentX y Copywhiz, según la firma de ciberseguridad Rapid7, que descubrió la vulneración de la cadena de suministro el 18 de junio de 2024. Desde entonces, Conceptworld ha solucionado el problema a partir del 24 de junio en las 12 horas siguientes a la divulgación responsable. «Los instaladores habían sido troyanizados para ejecutar malware que roba información y que tiene la capacidad de descargar y ejecutar cargas útiles adicionales», dijo la empresa, y agregó que las versiones maliciosas tenían un tamaño de archivo mayor que sus contrapartes legítimas. Específicamente, el malware está equipado para robar credenciales del navegador e información de la billetera de criptomonedas, registrar el contenido del portapapeles y las pulsaciones de teclas, y descargar y ejecutar cargas útiles adicionales en hosts de Windows infectados. También configura la persistencia mediante una tarea programada para ejecutar la carga útil principal cada tres horas. Actualmente no está claro cómo se creará el dominio oficial «conceptworld»[.]com» fue violado para preparar los instaladores falsificados. Sin embargo, una vez instalado, se le solicita al usuario que continúe con el proceso de instalación asociado con el software real, mientras que también está diseñado para colocar y ejecutar un binario «dllCrt32.exe» que es responsable de ejecutar un script por lotes «dllCrt.bat». Además de establecer la persistencia en la máquina, está configurado para ejecutar otro archivo («dllBus32.exe»), que, a su vez, establece conexiones con un servidor de comando y control (C2) e incorpora funcionalidad para robar datos confidenciales, así como recuperar y ejecutar más cargas útiles. Esto incluye la recopilación de credenciales y otra información de Google Chrome, Mozilla Firefox y múltiples billeteras de criptomonedas (por ejemplo, Atomic, Coinomi, Electrum, Exodus y Guarda). También es capaz de recolectar archivos que coincidan con un conjunto específico de extensiones (.txt, .doc, .png y .jpg), registrar pulsaciones de teclas y capturar el contenido del portapapeles. «Los instaladores maliciosos observados en este caso no están firmados y tienen un «El tamaño del archivo es inconsistente con las copias del instalador legítimo», dijo Rapid7. Se recomienda a los usuarios que hayan descargado un instalador para Notezilla, RecentX o Copywhiz en junio de 2024 que examinen sus sistemas en busca de signos de compromiso y tomen las medidas adecuadas, como volver a crear una imagen de los afectados, para deshacer las modificaciones nefastas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El software espía CapraRAT disfrazado de aplicaciones populares amenaza a los usuarios de Android

01 de julio de 2024Sala de prensaSeguridad móvil/spyware El actor de amenazas conocido como Transparent Tribe ha seguido desatando aplicaciones de Android con malware como parte de una campaña de ingeniería social dirigida a personas de interés. «Estos APK continúan la tendencia del grupo de incorporar software espía en aplicaciones de navegación de videos seleccionadas, con una nueva expansión dirigida a jugadores móviles, entusiastas de las armas y fanáticos de TikTok», dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un nuevo informe compartido con The Hacker News. La campaña, denominada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, y el equipo de piratas informáticos empleó aplicaciones de Android armadas que se hacían pasar por aplicaciones legítimas como YouTube para entregar un software espía llamado CapraRAT, una versión modificada de AndroRAT con capacidades para capturar una amplia gama de informacion delicada. La Tribu Transparente, que se sospecha es de origen paquistaní, ha aprovechado CapraRAT durante más de dos años en ataques contra el gobierno y el personal militar de la India. El grupo tiene un historial de recurrir al phishing y a los ataques de abrevadero para entregar una variedad de software espía para Windows y Android. «La actividad destacada en este informe muestra la continuación de esta técnica con actualizaciones de los pretextos de ingeniería social, así como esfuerzos para maximizar la compatibilidad del software espía con versiones anteriores del sistema operativo Android mientras se expande la superficie de ataque para incluir versiones modernas de Android». explicó Delamotte. La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente: Crazy Game (com.maeps.crygms.tktols) Sexy Videos (com.nobra.crygms.tktols) TikToks (com.maeps.vdosa.tktols) Weapons (com. maeps.vdosa.tktols) CapraRAT utiliza WebView para iniciar una URL a YouTube o a un sitio de juegos móviles llamado CrazyGames[.]com, mientras que, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telefónicas; tomar capturas de pantalla; o grabar audio y vídeo. Un cambio notable en el malware es que permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y REQUEST_INSTALL_PACKAGES ya no se solicitan, lo que sugiere que los actores de amenazas pretenden utilizarlo como una herramienta de vigilancia y no como una puerta trasera. «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable», dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de individuos en el gobierno indio o en el espacio militar, que probablemente no utilicen dispositivos que ejecuten versiones anteriores de Android, como Lollipop, que fue lanzado hace 8 años.» La divulgación se produce cuando Promon reveló un nuevo tipo de malware bancario para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia. «Ciego de nieve […] realiza un ataque de reempaquetado normal, pero utiliza una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos anti-manipulación», dijo la compañía. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y aprovechan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable. » Dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinee con el objetivo sostenido del grupo de personas en el gobierno indio o en el espacio militar, que es poco probable que utilicen dispositivos que ejecutan versiones anteriores de Android, como como Lollipop, que se lanzó hace 8 años». La divulgación se produce cuando Promon reveló un nuevo tipo de malware para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de forma subrepticia. manera. […] «FjordPhantom y Snowblind realizan un ataque de reempaquetado normal, pero utilizan una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos antimanipulación», afirmó la empresa. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Nueva vulnerabilidad en OpenSSH podría llevar a que se utilice RCE como root en sistemas Linux

01 de julio de 2024Sala de prensaLinux/Vulnerabilidad Los mantenedores de OpenSSH han publicado actualizaciones de seguridad para contener una falla de seguridad crítica que podría resultar en la ejecución remota de código no autenticado con privilegios de root en sistemas Linux basados en glibc. A la vulnerabilidad se le ha asignado el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones desde cualquiera de las aplicaciones cliente. «La vulnerabilidad, que es una condición de carrera del controlador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código (RCE) no autenticado como raíz en sistemas Linux basados en glibc», dijo Bharat Jogi, director senior de la unidad de investigación de amenazas de Qualys. en una divulgación publicada hoy. «Esta condición de carrera afecta a sshd en su configuración predeterminada». La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestas a Internet, y agregó que es una regresión de una falla de 18 años ya parcheada rastreada como CVE-2006-5051, y que el problema se restableció en octubre de 2020. como parte de OpenSSH versión 8.5p1. «Se ha demostrado una explotación exitosa en sistemas Linux/glibc de 32 bits con [address space layout randomization]», dijo OpenSSH en un aviso. «En condiciones de laboratorio, el ataque requiere un promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará». La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Versiones anteriores a 4.4p1 También son vulnerables al error de condición de carrera a menos que estén parcheados para CVE-2006-5051 y CVE-2008-4109. Vale la pena señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Específicamente, Qualys descubrió que si. un cliente no se autentica dentro de los 120 segundos (una configuración definida por LoginGraceTime), entonces el controlador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para la señal asíncrona. El efecto neto de explotar CVE-2024-6387 es un compromiso total del sistema y su toma de control. , lo que permite a los actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robar datos e incluso mantener un acceso persistente. «Una falla, una vez solucionada, ha reaparecido en una versión de software posterior, generalmente debido a cambios o actualizaciones que se reintroducen inadvertidamente. el problema», dijo Jogi. «Este incidente resalta el papel crucial de las pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el medio ambiente». Si bien la vulnerabilidad tiene obstáculos importantes debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios que apliquen los parches más recientes para protegerse contra posibles amenazas. También se recomienda limitar el acceso SSH a través de controles basados en la red y aplicar la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Elaborar un plan para proteger las identidades de sus máquinas

En el corazón de cada aplicación hay secretos. Credenciales que permiten la comunicación entre humanos y máquinas y entre máquinas. Las identidades de las máquinas superan en número a las identidades humanas en un factor de 45 a 1 y representan la mayoría de los secretos de los que debemos preocuparnos. Según la investigación reciente de CyberArk, el 93 % de las organizaciones tuvieron dos o más violaciones relacionadas con la identidad en el último año. Está claro que debemos abordar este creciente problema. Además, está claro que muchas organizaciones están de acuerdo con el uso de credenciales de texto sin formato para estas identidades en repositorios privados, pensando que seguirán siendo privadas. Sin embargo, la mala higiene en el código privado conduce a filtraciones públicas, como vemos en las noticias con demasiada frecuencia. Dado el alcance del problema, ¿qué podemos hacer? Lo que realmente necesitamos es un cambio en nuestros procesos, especialmente en torno a la creación, el almacenamiento y el trabajo con identidades de máquinas. Afortunadamente, existe un camino claro a seguir, que combina las soluciones de gestión de secretos existentes y las herramientas de detección y remediación de secretos, todo ello al tiempo que se atiende a los desarrolladores donde se encuentren. Elaboración de un plan de seguridad de secretos de extremo a extremo Cuando pensamos en solucionar el problema de identidad de la máquina, también conocido como proliferación de secretos, podemos resumir el problema en un par de oraciones. «Tenemos una cantidad desconocida de secretos válidos de texto simple de larga duración distribuidos en nuestro código, configuraciones, canales de integración continua, sistemas de gestión de proyectos y otras fuentes, que no podemos contabilizar, y sin una estrategia de rotación coherente. Mientras tanto, los desarrolladores siguen trabajando con secretos en texto simple, ya que es una forma confiable, aunque problemática, de hacer que la aplicación funcione». Al pensar en esta definición práctica, podemos elaborar un plan de varios pasos para abordar cada inquietud. Detección de secretos: busque en el código y los sistemas involucrados en el ciclo de vida del desarrollo de software para identificar las credenciales de texto simple existentes, recopilando la mayor cantidad de información posible sobre cada una. Gestión de secretos: contabilización de todos los secretos conocidos a través de una plataforma de bóveda centralizada. Flujos de trabajo de desarrolladores: ajuste los procesos y las herramientas para facilitar la creación, el almacenamiento y la invocación de secretos de forma segura. Escaneo de secretos: monitoreo continuo de nuevos secretos que se agreguen en texto simple. Rotación automática: el reemplazo regular de secretos válidos acorta su posible explotación por parte de actores maliciosos. Puede realizar este viaje paso a paso, tratándolo como una implementación por fases. Antes de que se dé cuenta, estará mucho más cerca de eliminar la proliferación de secretos y proteger todas las identidades de sus máquinas. Encontrar sus secretos El primer problema que encuentra todo equipo cuando intenta controlar la proliferación de secretos es determinar qué secretos tienen. Un esfuerzo de búsqueda manual para rastrear secretos desconocidos abrumaría rápidamente a cualquier equipo, pero afortunadamente, existen herramientas de escaneo de secretos, como GitGuardian, que pueden automatizar este proceso y brindar información sobre detalles críticos. Desde una plataforma estable, debe proporcionar una ruta de comunicación para trabajar con los desarrolladores para la remediación. Implementar una bóveda de secretos centralizada Un aspecto central de cualquier buena estrategia de administración de secretos es administrar cómo se almacenan y utilizan los secretos. Las bóvedas empresariales le permiten contabilizar de manera transparente todos los secretos conocidos, cifrándolos en reposo y en tránsito. Una buena solución de bóveda, que incluye Conjure de Cyberark y Hashicorp Vault Enterprise. Si toda su infraestructura es del mismo proveedor, como AWS o GCP, también son muy buenas opciones. Asegurar el flujo de trabajo del desarrollador La gestión de secretos históricamente se ha dejado en manos de los desarrolladores para que la descubran, lo que lleva a una amplia variedad de soluciones como archivos `.env` y, lamentablemente, la codificación rígida de secretos en la base de código. Aprovechar una solución de bóveda centralizada les brinda a los desarrolladores una forma consistente de invocar de manera segura las credenciales de sus aplicaciones en todos los entornos. Si puede ofrecer un enfoque estandarizado que sea tan fácil de implementar como lo que están haciendo actualmente, encontrará que muchos desarrolladores aprovecharán la oportunidad de garantizar que sus implementaciones no se bloqueen debido a este problema de seguridad. También querrá considerar desplazarse a la izquierda. Las herramientas de línea de comandos, como ggshield, permiten a los desarrolladores agregar ganchos Git automáticos para escanear las credenciales de texto sin formato antes de que se realice cualquier confirmación. Evitar que un secreto llegue a una confirmación significa que no hay incidentes con los que lidiar más tarde y solucionar el problema en el punto menos costoso del ciclo de vida del desarrollo de software. Escaneo de secretos en cada interacción compartida También necesitas una forma de tener en cuenta la realidad de que a veces ocurren accidentes. Se necesita un monitoreo continuo para observar cualquier problema nuevo que surja de desarrolladores existentes que cometan un error o cuando se contratan nuevos equipos o subcontratistas que simplemente aún no conocen tus procesos. Al igual que cuando se realiza la detección de secretos por primera vez, usar una plataforma que reúne la información en un incidente coherente te ayudará a responder rápidamente a estos nuevos problemas. GitGuardian, por ejemplo, se integra a nivel de repositorio de código para capturar nuevas credenciales de texto sin formato en segundos, automáticamente en cada push o comentario. Las credenciales de corta duración deberían ser el objetivo de la rotación automática Si un atacante encuentra un secreto válido, eso hace que su trabajo sea mucho más simple, ya que puede desbloquear cualquier puerta que encuentre. Si ese mismo atacante encuentra un secreto inválido, no puede hacer mucho con él. Con una bóveda centralizada en su lugar, puedes poner en marcha planes de rotación automática. La mayoría de las plataformas y servicios modernos tienen una forma de generar nuevas credenciales a través de una llamada API y una forma de invalidar los secretos existentes. Con un poco de programación, siguiendo una de las muchas guías publicadas por plataformas como AWS o CyberArk, es posible automatizar el reemplazo seguro de cualquier credencial de forma regular, incluso diaria. La seguridad de secretos de extremo a extremo requiere un plan El mejor momento para abordar los problemas relacionados con la seguridad de secretos de extremo a extremo es ahora mismo. Si aún no tiene un plan de acción, hoy es el mejor momento para comenzar a tener esas conversaciones. Comience por hacerse preguntas como «¿Qué secretos tenemos?» o «¿Tiene una bóveda preparada?». En definitiva, debemos dotar a los desarrolladores de flujos de trabajo y barreras de seguridad que les permitan centrarse en su flujo de desarrollo. Mantenerse alerta para descubrir nuevos secretos y abordarlos de inmediato es un proceso continuo. Requerirá esfuerzo, incluida la concientización y la adopción de los procesos y las tecnologías adecuados, pero cualquier empresa puede controlar mejor las identidades y los secretos de las máquinas, de principio a fin, en toda la organización. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Juniper Networks lanza una actualización de seguridad crítica para enrutadores

01 de julio de 2024Sala de prensaVulnerabilidad / Seguridad de la red Juniper Networks ha publicado actualizaciones de seguridad fuera de banda para abordar una falla de seguridad crítica que podría provocar una omisión de autenticación en algunos de sus enrutadores. La vulnerabilidad, identificada como CVE-2024-2973, tiene una puntuación CVSS de 10,0, lo que indica una gravedad máxima. «Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en el enrutador o conductor inteligente de sesión de Juniper Networks que se ejecuta con un par redundante permite que un atacante basado en la red omita la autenticación y tome el control total del dispositivo», dijo la compañía en un aviso emitido la semana pasada. Según Juniper Networks, la deficiencia afecta solo a los enrutadores o conductores que se ejecutan en configuraciones redundantes de alta disponibilidad. La lista de dispositivos afectados se muestra a continuación: Session Smart Router (todas las versiones anteriores a 5.6.15, desde 6.0 hasta 6.1.9-lts y desde 6.2 hasta 6.2.5-sts) Session Smart Conductor (todas las versiones anteriores a 5.6.15, desde 6.0 hasta 6.1.9-lts y desde 6.2 hasta 6.2.5-sts) WAN Assurance Router (versiones 6.0 anteriores a 6.1.9-lts y versiones 6.2 anteriores a 6.2.5-sts) El fabricante de equipos de red, que fue comprado por Hewlett Packard Enterprise (HPE) por aproximadamente $ 14 mil millones a principios de este año, dijo que no encontró evidencia de explotación activa de la falla en la naturaleza. También dijo que descubrió la vulnerabilidad durante las pruebas internas del producto y que no hay soluciones alternativas que resuelvan el problema. «Esta vulnerabilidad ha sido parcheada automáticamente en los dispositivos afectados por los enrutadores WAN Assurance administrados por MIST conectados a Mist Cloud», señaló además. «Es importante tener en cuenta que la corrección se aplica automáticamente en los enrutadores administrados por un Conductor o en los enrutadores WAN Assurance y no tiene impacto en las funciones del plano de datos del enrutador». En enero de 2024, la empresa también implementó correcciones para una vulnerabilidad crítica en los mismos productos (CVE-2024-21591, puntuación CVSS: 9,8) que podría permitir a un atacante provocar una denegación de servicio (DoS) o una ejecución remota de código y obtener privilegios de root en los dispositivos. Con múltiples fallas de seguridad que afectaron a los firewalls SRX y los conmutadores EX de la empresa utilizados como armas por actores de amenazas el año pasado, es esencial que los usuarios apliquen los parches para protegerse contra posibles amenazas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Google bloqueará los certificados Entrust en Chrome a partir de noviembre de 2024

el junio 29, 2024

29 de junio de 2024Sala de prensaCiberseguridad/Seguridad de sitios web Google ha anunciado que comenzará a bloquear sitios web que utilizan certificados de Entrust a partir del 1 de noviembre de 2024 en su navegador Chrome, citando fallas de cumplimiento y la incapacidad de la autoridad certificadora para abordar problemas de seguridad en de manera oportuna. «En los últimos años, los informes de incidentes divulgados públicamente resaltaron un patrón de comportamientos preocupantes por parte de Entrust que no cumplen con las expectativas anteriores y han erosionado la confianza en su competencia, confiabilidad e integridad como empresa de confianza pública. [certificate authority] propietario», dijo el equipo de seguridad de Chrome de Google. Con ese fin, el gigante tecnológico dijo que tiene la intención de ya no confiar en los certificados de autenticación del servidor TLS de Entrust a partir de las versiones 127 y superiores del navegador Chrome de forma predeterminada. Sin embargo, dijo que estas configuraciones se pueden anular Por parte de los usuarios de Chrome y los clientes empresariales si así lo desean, Google señaló además que las autoridades de certificación desempeñan un papel privilegiado y confiable al garantizar conexiones cifradas entre navegadores y sitios web, y que la falta de progreso de Entrust en lo que respecta a informes de incidentes divulgados públicamente y no realizados. Los compromisos de mejora plantean riesgos para el ecosistema de Internet. Se espera que la acción de bloqueo cubra las versiones del navegador para Windows, macOS, ChromeOS, Android y Linux. La excepción notable es Chrome para iOS y iPadOS, debido a las políticas de Apple que no lo permiten. Como resultado, los usuarios que navegan a un sitio web que ofrece un certificado emitido por Entrust o AffirmTrust serán recibidos con un mensaje intersticial que les advierte que su conexión no es segura ni privada. Se insta a los operadores de sitios web afectados a que recurran al propietario de una autoridad de certificación de confianza pública para minimizar las interrupciones antes del 31 de octubre de 2024. Según el sitio web de Entrust, sus soluciones son utilizadas por Microsoft, Mastercard, VISA y VMware, entre otros. «Si bien los operadores de sitios web podrían retrasar el impacto de la acción de bloqueo al optar por recopilar e instalar un nuevo certificado TLS emitido por Entrust antes de que comience la acción de bloqueo de Chrome el 1 de noviembre de 2024, los operadores de sitios web inevitablemente necesitarán recopilar e instalar un nuevo certificado TLS de uno de las muchas otras CA incluidas en Chrome Root Store», dijo Google. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Cómo mantenerse por delante de los actores amenazantes

el junio 28, 2024

La moderna cadena de destrucción está eludiendo a las empresas porque no protegen la infraestructura de los negocios modernos: SaaS. SaaS sigue dominando la adopción de software y representa la mayor parte del gasto en la nube pública. Pero tanto las empresas como las PYMES no han revisado sus programas de seguridad ni han adoptado herramientas de seguridad creadas para SaaS. Los equipos de seguridad siguen insertando clavijas locales en los agujeros de seguridad de SaaS. Los controles de seguridad maduros de los que dependían los CISO y sus equipos en la era del dominio local han desaparecido. Los firewalls ahora protegen un perímetro pequeño, la visibilidad es limitada e incluso si los proveedores de SaaS ofrecen registros, los equipos de seguridad necesitan un middleware local para digerirlos e insertarlos en su SIEM. Los proveedores de SaaS tienen alcances de seguridad bien definidos para sus productos, pero sus clientes deben gestionar el cumplimiento de SaaS y el gobierno de datos, la gestión de identidad y acceso (IAM) y los controles de aplicaciones, las áreas donde ocurren la mayoría de los incidentes. Si bien este modelo de responsabilidad compartida de SaaS es universal entre las aplicaciones SaaS, no hay dos aplicaciones SaaS que tengan configuraciones de seguridad idénticas. Figura 1. En el contexto de las preocupaciones de seguridad de SaaS, el proveedor de la aplicación es responsable de toda la infraestructura física, así como de la red, el sistema operativo y la aplicación. El cliente es responsable de la seguridad de los datos y la gestión de la identidad. El modelo de responsabilidad compartida de SaaS requiere que los clientes de SaaS asuman la propiedad de los componentes que los actores de amenazas atacan con mayor frecuencia. Ilustración cortesía de AppOmni. La investigación de AppOmni informa que, en promedio, una sola instancia de SaaS tiene 256 conexiones de SaaS a SaaS, muchas de las cuales ya no están en uso, pero aún tienen permisos excesivos en aplicaciones comerciales principales como Salesforce, Okta y GitHub, entre otras. .Entre la multitud de diferentes configuraciones de seguridad de SaaS y las constantes actualizaciones que las modifican, los equipos de seguridad no pueden monitorear estas conexiones de manera efectiva. La cantidad de puntos de entrada se multiplica exponencialmente cuando los empleados habilitan conexiones de SaaS a SaaS (también llamadas «terceros» o «máquinas»). Las identidades de las máquinas pueden utilizar claves API, secretos, sesiones, certificados digitales, claves de acceso a la nube y otras credenciales para permitir que las máquinas se comuniquen entre sí. A medida que la superficie de ataque migraba fuera del perímetro de la red, también lo hacía la cadena de destrucción, es decir, la forma en que los actores de amenazas orquestan las distintas fases de sus ataques. Mire el informe y análisis de amenazas SaaS de AppOmni SaaS es el nuevo campo de batalla de la ciberseguridad. Vea a los expertos en seguridad de AppOmni analizar ejemplos del mundo real de la cadena de eliminación de SaaS moderna y TTP comunes, y le mostrarán cómo reducir la probabilidad de éxito de los actores de amenazas. La cadena de eliminación de SaaS moderna generalmente implica: comprometer una identidad en el IdP a través de una campaña de phishing exitosa, comprar credenciales robadas de la web oscura, cadenas de credenciales, relleno de credenciales, aprovechar inquilinos de SaaS mal configurados o métodos similares. Realización de una fase de reconocimiento posterior a la autenticación. Este paso recuerda a los atacantes que irrumpían en las redes corporativas de antaño. Pero ahora están revisando repositorios de documentos, repositorios de código fuente, bóvedas de contraseñas, Slack, Teams y entornos similares para encontrar puntos de entrada de escalada privilegiados. Aprovechar sus hallazgos para avanzar lateralmente hacia otros inquilinos de SaaS, PaaS o IaaS y, a veces, hacia la infraestructura corporativa, dondequiera que puedan encontrar los datos más valiosos para la organización objetivo. Cifrar las joyas de la corona o entregar su nota de rescate e intentar evadir la detección. Figura 2. Las cadenas de eliminación exitosas de SaaS generalmente implican cuatro pasos generales: acceso inicial, reconocimiento, movimiento lateral y persistencia, y ejecución de ransomware y evasión de seguridad. Ilustración cortesía de AppOmni. Rompiendo una cadena de muerte de SaaS del mundo real: el último seminario web informativo sobre inteligencia de amenazas de AppOmni, líder en seguridad de SaaS de Scattered Spider/Starfraud, delineó la cadena de muerte del ataque exitoso de los grupos de actores de amenazas Scattered Spider/Starfraud (afiliados de ALPHV) a un objetivo no revelado en septiembre 2023: un usuario abrió un correo electrónico de phishing que contenía enlaces a una página de inicio de sesión de IdP falsa y, sin saberlo, inició sesión en la página de IdP falsa. Los grupos de actores de amenazas llamaron inmediatamente a ese usuario y lo convencieron, mediante ingeniería social, para que le proporcionara su token de contraseña de un solo uso basado en el tiempo (TOTP). Después de obtener las credenciales de inicio de sesión del usuario y el token TOTP, los actores de amenazas engañaron al protocolo MFA haciéndoles creer que eran el usuario legítimo. Mientras estaban en modo de reconocimiento, los actores de amenazas tenían acceso a una escalada privilegiada, lo que les permitía obtener credenciales en Amazon S3, luego en Azure AD y finalmente en Citrix VDI (infraestructura de escritorio virtual). Luego, los actores de amenazas implementaron su propio servidor malicioso en el entorno IaaS, en el que ejecutaron un ataque de escalada privilegiado de Azure AD. Los atacantes cifraron todos los datos a su alcance y entregaron una nota de rescate. Figura 3. La cadena de destrucción utilizada por los grupos de actores de amenazas Scattered Spider/Starfraud. Ilustración cortesía de AppOmni. Scattered Spider/Starfraud probablemente logró esta serie de eventos durante varios días. Cuando SaaS sirve como punto de entrada, un ataque grave puede incluir la red y la infraestructura corporativa. Esta conectividad SaaS/local es común en las superficies de ataque empresariales actuales. La actividad de ataques SaaS por parte de actores de amenazas conocidos y desconocidos está aumentando. La mayoría de las infracciones de SaaS no dominan los titulares, pero las consecuencias son significativas. IBM informa que las violaciones de datos en 2023 promediaron 4,45 millones de dólares por instancia, lo que representa un aumento del 15% en tres años. Los actores de amenazas dependen continuamente de los mismos TTP y el mismo manual de estrategias de la cadena de destrucción de Scattered Spider/Starfraud para obtener acceso no autorizado y escanear a los inquilinos de SaaS, incluidos Salesforce y M365, donde los problemas de configuración podrían manipularse para proporcionar acceso más adelante. Otros atacantes obtienen acceso inicial con secuestro de sesión y viajes imposibles. Una vez que han transferido la sesión secuestrada a un host diferente, su movimiento lateral a menudo involucra plataformas de comunicaciones como SharePoint, JIRA, DocuSign y Slack, así como repositorios de documentos como Confluence. Si pueden acceder a GitHub u otros repositorios de código fuente, los actores de amenazas extraerán ese código fuente y lo analizarán en busca de vulnerabilidades dentro de una aplicación de destino. Intentarán explotar estas vulnerabilidades para extraer los datos de la aplicación de destino. El informe de inteligencia de amenazas de AppOmni también informa que la filtración de datos mediante el intercambio de permisos sigue siendo un grave problema de seguridad de SaaS. Esto ocurre, por ejemplo, en Google Workspace cuando el usuario no autorizado cambia de directorio a un nivel de permisos muy abierto. El atacante puede compartirlos con otra entidad externa mediante el reenvío de correo electrónico o cambiando reglas condicionales para que los atacantes se incluyan como destinatarios BCC en una lista de distribución. ¿Cómo protege sus entornos SaaS? 1. Centrarse en la higiene de los sistemas SaaS Establezca un proceso de admisión y revisión de SaaS para determinar qué SaaS permitirá en su empresa. Este proceso debería requerir respuestas a preguntas de seguridad como: ¿Todos los SaaS deben tener certificación SOC 2 Tipo 2? ¿Cuál es la configuración de seguridad óptima para cada inquilino? ¿Cómo evitará su empresa la desviación de la configuración? ¿Cómo determinará si las actualizaciones automáticas de SaaS requerirán modificar la configuración de control de seguridad? Asegúrese de poder detectar Shadow IT SaaS (o aplicaciones SaaS no autorizadas) y tener un programa de respuesta para que las alertas no se creen en vano. Si no supervisa a sus inquilinos de SaaS y no incorpora todos sus registros con algún método unificado, nunca podrá detectar comportamientos sospechosos ni recibir alertas basadas en ellos. 2. Realizar un inventario y monitorear continuamente las cuentas/identidades de las máquinas. Los actores de amenazas apuntan a las identidades de las máquinas por su acceso privilegiado y estándares de autenticación laxos, y a menudo rara vez requieren MFA. En 2023, los actores de amenazas atacaron y violaron con éxito las principales herramientas de CI/CD, Travis CI, CircleCI y Heroku. , robando tokens de OAuth para todos los clientes de estos proveedores. En estas situaciones, el radio de la explosión se amplía considerablemente. Dado que una empresa promedio contiene 256 identidades de máquinas, a menudo falta higiene. Muchos de ellos se utilizan una o dos veces y luego permanecen estancados durante años. Haga un inventario de todas las identidades de sus máquinas y clasifique estos riesgos críticos. Una vez que los haya mitigado, cree políticas que prescriban: A qué tipo de cuentas se les otorgarán identidades de máquina y los requisitos que estos proveedores deben cumplir para obtener acceso. El período de tiempo durante el cual sus accesos/tokens están activos antes de que sean revocados, actualizados o concedidos nuevamente. Cómo supervisará el uso de estas cuentas y se asegurará de que sigan siendo necesarias si experimentan períodos de inactividad. 3. Cree una verdadera arquitectura Zero Trust en su patrimonio SaaS. La arquitectura Zero Trust se basa en el principio de privilegio mínimo (PLP) con un enfoque de «nunca confiar, siempre verificar». Si bien Zero Trust se ha establecido en redes tradicionales, rara vez se logra en entornos SaaS. El enfoque centrado en la red de Zero Trust Network Access (ZTNA) no puede detectar configuraciones erróneas, integraciones de máquinas o derechos de acceso de usuarios no deseados dentro y hacia las plataformas SaaS, que pueden tener miles o incluso millones de usuarios externos accediendo a los datos. Zero Trust Posture Management (ZTPM), una herramienta de seguridad SaaS emergente, extiende Zero Trust a su patrimonio SaaS. Cierra la brecha de seguridad de SaaS que crea SASE al: Prevenir la omisión no autorizada de ZTNA. Permitir decisiones de acceso afinadas. Hacer cumplir sus políticas de seguridad con ciclos de retroalimentación continuos. Extender Zero Trust a integraciones de máquinas y conexiones en la nube. Con SSPM, ZTPM y un programa de seguridad SaaS en En este lugar, su equipo obtendrá la visibilidad y la inteligencia que necesita para identificar intrusos en las etapas de bajo riesgo de su cadena de destrucción y detenerlos antes de que una infracción se vuelva devastadora. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Kimsuky usa la extensión TRANSLATEXT de Chrome para robar datos confidenciales

el junio 28, 2024