Etiqueta: noticias de piratería Página 5 de 11

La Oficina de Control de Activos Extranjeros (OFAC) del Departamento de EE. UU. Renovó las sanciones contra la plataforma de intercambio de criptomonedas rusa Garantex para facilitar los actores de ransomware y otros ciberdelincuentes al procesar más de $ 100 millones en transacciones vinculadas a actividades ilícitas desde 2019. El Tesoro dijo que también imponen sanciones a los sucesores de Garantex, granja, así como tres ejecutivos de Garantex, y las compañías de Seis. Russia and the Kyrgyz Republic that have enabled these activities – Sergey Mendeleev (Co-founder) Aleksandr Mira Serda (Co-founder) Pavel Karavatsky (Co-founder) Independent Decentralized Finance Smartbank and Ecosystem (InDeFi Bank) Exved Old Vector A7 LLC A71 LLC A7 Agent LLC «Digital assets play a crucial role in global innovation and El desarrollo económico y los Estados Unidos no tolerarán el abuso de esta industria para apoyar la evasión del delito cibernético y las sanciones «, dijo bajo el Secretario del Tesoro de Terrorismo e Inteligencia Financiera, John K. Hurley. «Explotar los intercambios de criptomonedas para lavar el dinero y facilitar los ataques de ransomware no solo amenaza nuestra seguridad nacional, sino que también empaña la reputación de los proveedores legítimos de servicios de activos virtuales». Garantex fue sancionado por primera vez por los Estados Unidos en abril de 2022 para facilitar las transacciones de los mercados de Darknet y actores ilícitos como Hydra y Conti. El sitio web del intercambio de criptomonedas fue incautado como parte de una operación coordinada de aplicación de la ley en marzo de 2025, y su cofundador, Aleksej Besciokov, fue arrestado en India. D solo meses después, TRM Labs reveló que Garantex puede haber renombrado como Grinex, probablemente en un esfuerzo por evadir las sanciones, y el primero continuó procesando más de $ 100 millones en transacciones desde que se impusieron las sanciones. El ochenta y dos por ciento de su volumen total estaba vinculado a entidades sancionadas en todo el mundo. «Días después del derribo de Garantex, los canales de telegrama afiliados al intercambio comenzaron a promover Grinex, una plataforma con una interfaz casi idéntica, registrada en Kirguistán en diciembre de 2024», señaló TRM Labs en mayo. El Tesoro de los Estados Unidos dijo que los usuarios criminales usan Garantex para lavar sus fondos maltratados, procesando fondos de aquellos relacionados con las variantes de ransomware Conti, Black Basta, Lockbit, Netwalker y Phoenix Cryptolocker. También dijo que Garantex trasladó su infraestructura y depósitos de clientes a Grinex poco después de las acciones de aplicación de la ley de marzo. Además, se dice que Garantex trabajó con los clientes afectados para recuperar el acceso a sus cuentas utilizando un stablecoin respaldado por rublo llamado Token A7A5, que es emitido por una empresa kirguaja llamada Old Vector. El creador del token es A7 LLC. Según un informe de Elliptic, A7A5 se ha utilizado para transferir no menos de $ 1 mil millones por día, con el valor agregado de las transferencias A7A5 fijadas en $ 41.2 mil millones. En total, se estima que Grinex ha facilitado la transferencia de miles de millones de dólares en transacciones de criptomonedas en los pocos meses que ha estado operativo. «Garantex también ha brindado servicios de cuentas e intercambios a actores asociados con la pandilla de ransomware Ryuk», dijo la agencia. «Ekaterina Zhdanova, un prolífico lavado de dinero, intercambió más de $ 2 millones en Bitcoin por Tether (USDT) a través de Garantex». Los fondos salientes de Garantex desde septiembre de 2024 hasta mayo de 2025 Zhdanova fueron sancionados previamente por los Estados Unidos en noviembre de 2023 para lavar la moneda virtual para las élites del país y las tripulaciones cibernéticas, incluido Ryuk. «Los altos ejecutivos de Garantex han apoyado su capacidad para permitir la evasión del delito cibernético y las sanciones al adquirir infraestructura informática para Garantex, registrar sus marcas registradas y participar en los esfuerzos de desarrollo empresarial para hacer que sus actividades parezcan legítimas», agregó el Tesoro. «La red de empresas asociadas de Garantex también le ha permitido mover dinero, incluidos los fondos ilícitos, fuera de Rusia». El Departamento de Estado de los Estados Unidos ha anunciado una recompensa de $ 5 millones por información que conduce al arresto de Serda y $ 1 millón por información sobre otros líderes clave de Garantex. Vale la pena señalar que A7 fue sancionado por el Reino Unido en mayo de 2025 y por la Unión Europea el mes pasado. «El derribo multinacional de marzo de 2025 no detuvo estas actividades», dijo TRM Labs. «En cambio, el liderazgo de Garantex activó rápidamente un plan de contingencia que parece haber estado en su lugar durante meses». «La integración de A7A5 en Grinex representa solo el capítulo más reciente en el papel de larga data de Garantex en las finanzas ilícitas. Tanto antes como después de su designación por el Tesoro de los Estados Unidos, Garantex operaba como un conducto clave para el lavado de ransomware, las transacciones de mercado de Darknet, la evasión de sanciones y el movimiento de los fondos a través de redes financieras rusas de alto riesgo». La nueva ola de sanciones se produce cuando el Departamento de Justicia de los Estados Unidos (DOJ) reveló seis órdenes de selección que autorizan la incautación de más de $ 2.8 millones en criptomonedas, $ 70,000 en efectivo y un vehículo de lujo. La criptomoneda, dijo el Departamento de Justicia, fue incautada de una billetera de criptomonedas controlada por Ianis Aleksandrovich Antropenko, quien ha sido acusado en los Estados Unidos por supuestamente usar ransomware Zeppelin para atacar a personas, empresas y organizaciones de todo el mundo. «La criptomoneda y otros activos son los ingresos de (o participaron en el lavado de la actividad de ransomware», según el Departamento de Justicia. «Esos activos se lavaron de varias maneras, incluso mediante el uso del chipmixer del servicio de mezcla de criptomonedas, que se eliminó en una operación internacional coordinada en 2023. Antropenko también lavó la criptomoneda al intercambiar criptomonedas por efectivo y depositando el efectivo en depósitos de efectivo estructurados». En un desarrollo relacionado, más de $ 300 millones en activos de criptomonedas vinculados al delito cibernético y los esquemas de fraude, incluidas las estafas de cebo romántico (también conocido como Butchering), se han congelado como parte de un esfuerzo continuo para identificar e interrumpir las redes criminales.

Aug 14, 2025Rravie Lakshmananserver Security / Vulnerabilidad múltiples implementaciones HTTP / 2 se han encontrado susceptibles a una nueva técnica de ataque llamada MadeYoureset que podría explorarse para realizar poderosos ataques de negación de servicio (DOS). «MadeYoureset omite el límite típico impuesto al servidor de 100 solicitudes HTTP/2 concurrentes por conexión TCP de un cliente. Este límite está destinado a mitigar los ataques de DOS restringiendo el número de solicitudes simultáneas que un cliente puede enviar», los investigadores Gal Bar Nahum, Anat Bremler-Barr y Yaniv Harel. «Con MadeYoureset, un atacante puede enviar miles de solicitudes, creando una condición de denegación de servicio para usuarios legítimos y, en algunas implementaciones de proveedores, se convierte en bloqueos fuera de memoria». A la vulnerabilidad se le ha asignado el identificador CVE genérico, CVE-2025-8671, aunque el problema afecta a varios productos, incluidos Apache Tomcat (CVE-2025-48989), F5 Big-IP (CVE-2025-54500) y Netty (CVE-2025-55163). MadeYoureset es el último defecto en HTTP/2 después de un restablecimiento rápido (CVE-2023-444487) y la inundación de continuación HTTP/2 que puede ser potencialmente armada para organizar ataques DOS a gran escala. Al igual que los otros dos ataques aprovechan el marco RST_STREAM y los marcos de continuación, respectivamente, en el protocolo HTTP/2 para lograr el ataque, MadeYoureset se basa en un reinicio rápido y su mitigación, lo que limita el número de flujos que un cliente puede cancelar usando RST_STREAM. Específicamente, aprovecha el hecho de que el marco RST_STREAM se usa tanto para la cancelación iniciada por el cliente como para los errores de flujo de señalización. Esto se logra enviando marcos cuidadosamente elaborados que desencadenan violaciones de protocolo de manera inesperada, lo que lleva al servidor a restablecer la transmisión emitiendo un RST_STREAM. «Para que MadeYoureset funcione, la transmisión debe comenzar con una solicitud válida en la que el servidor comience a trabajar, luego activar un error de transmisión para que el servidor emita RST_STREAM mientras el backend continúa calculando la respuesta», explicó Bar Nahum. «Al elaborar ciertos marcos de control no válidos o violar la secuenciación del protocolo en el momento justo, podemos hacer que el servidor envíe rst_stream para una secuencia que ya tenía una solicitud válida». Las seis primitivas que hacen que el servidor envíe los marcos rst_stream incluyen – window_update marco con un incremento del marco de 0prioridad cuya longitud no es 5 (la única longitud válida para él) marco de prioridad que hace que un flujo dependiente de sí mismo sea un marco de secuencia de flujo en sí mismo con el marco de la ventana de la ventana que se envía en sí mismo después del cliente ha cerrado el stream (el stream de la ventana). El cliente ha cerrado la transmisión (a través del indicador End_Stream) Este ataque es notable no menos importante porque obvia la necesidad de que un atacante envíe un marco RST_STREAM, sin pasar por completo las mitigaciones de reinicio rápido, y también logra el mismo impacto que este último. En un aviso, el Centro de Coordinación CERT (CERT/CC) dijo que MadeYoureset explota un desajuste causado por los restos de flujo entre las especificaciones HTTP/2 y las arquitecturas internas de muchos servidores web del mundo real, lo que resulta en el agotamiento de los recursos, algo que un atacante puede explotar para inducir un ataque DOS. «El descubrimiento de las vulnerabilidades de reinicio rápido desencadenado por el servidor resalta la complejidad evolutiva del abuso moderno de protocolo», dijo Imperva. «Como HTTP/2 sigue siendo una base de la infraestructura web, protegiéndola contra ataques sutiles y compatibles con especificaciones como MadeYoureset es más crítico que nunca». HTTP/1.1 debe morir La divulgación de MadeYoureset viene cuando la firma de seguridad de aplicaciones Portswigger detalló novedosos ataques HTTP/1.1 Desync (también conocido como contrabando de solicitudes HTTP), incluida una variante de Cl.0 llamada 0.CL, exponiendo millones de sitios web a la adquisición hostil. Akamai (CVE-2025-32094) y Cloudflare (CVE-2025-4366) han abordado los problemas. El contrabando de solicitudes HTTP es una explotación de seguridad que afecta el protocolo de la capa de aplicación que abusa de la inconsistencia en el análisis de las solicitudes HTTP que no cumplen con RFC por los servidores front-end y de fondo, lo que permite a un atacante «pasar de contrarrestar» una solicitud y medidas de seguridad de lado. «HTTP/1.1 tiene un defecto fatal: los atacantes pueden crear una ambigüedad extrema sobre dónde termina una solicitud, y la siguiente solicitud comienza», dijo James Kettle de Portswigger. «HTTP/2+ elimina esta ambigüedad, haciendo que los ataques de desync sea prácticamente imposible. Sin embargo, simplemente habilitar HTTP/2 en su servidor Edge es insuficiente; debe usarse para la conexión aguas arriba entre su proxy inverso y servidor de origen».

Aug 14, 2025Rravie Lakshmanancryptomoneda / Crimen financiero Google dijo que está implementando una nueva política que requiere que los desarrolladores de intercambios de criptomonedas y billeteras obtengan licencias gubernamentales antes de publicar aplicaciones en 15 jurisdicciones para «garantizar un ecosistema seguro y cumplido para los usuarios». La política se aplica a mercados como Bahrein, Canadá, Hong Kong, Indonesia, Israel, Japón, Filipinas, Sudáfrica, Corea del Sur, Suiza, Tailandia, los Emiratos Árabes Unidos, el Reino Unido, los Estados Unidos y la Unión Europea. Los cambios no se aplican a las billeteras no custodiales. Esto significa que los desarrolladores que publiquen las aplicaciones de intercambio de criptomonedas y billeteras deben mantener las licencias apropiadas o estar registrados con autoridades relevantes como la Autoridad de Conducta Financiera (FCA) o la Red de Control de Delitos Financieros (FINCEN), o autorizados como un proveedor de servicios cripto-asignación (CASP) bajo los mercados en regulación de los mercados de los mercados (MICA) antes de la distribución. «Si su ubicación específica no está en la lista, puede continuar publicando intercambios de criptomonedas y billeteras de software. Sin embargo, debido al panorama regulatorio en rápida evolución en todo el mundo, se espera que los desarrolladores obtengan requisitos de licencia adicionales según las leyes locales», dijo el gigante tecnológico. Google señaló que los desarrolladores tienen que declarar en la sección de contenido de la aplicación que su aplicación es un intercambio de criptomonedas y/o una billetera de software en la declaración de características financieras. Además, la compañía dijo que puede solicitar a los desarrolladores que proporcionen más información sobre su cumplimiento en una jurisdicción dada que no está cubierta en la lista antes mencionada. Se insta a los desarrolladores que no tienen la información de registro o licencia requerida para ciertas ubicaciones a eliminar las aplicaciones de esos países/regiones dirigidos. La divulgación se produce cuando la Oficina Federal de Investigación de los Estados Unidos (FBI) emitió una advertencia de alerta actualizada sobre las estafas de criptomonedas en las que las empresas afirman falsamente para ayudar a las víctimas a recuperar sus fondos robados para defraudarlos aún más. Se han observado que los estafadores se hacen pasar por abogados que representan firmas de abogados ficticios, que se acercan a las víctimas de estafas en las redes sociales y otras plataformas de mensajería para ayudar con la recuperación de fondos, solo para engañarlos por segunda vez bajo el pretexto de recibir su información del FBI, la Oficina de Protección Financiera del Consumidor (CFPB) u otra agencia gubernamental. «Entre febrero de 2023 y febrero de 2024, las víctimas de estafadores de criptomonedas que fueron explotadas por firmas de abogados ficticios informaron que las pérdidas por un total de más de $ 9.9 millones», dijo el FBI en una alerta en junio pasado. El FBI también enumeró una serie de posibles banderas rojas que se aconseja a los usuarios que busquen que puedan indicar una estafa potencial: suplantación de entidades gubernamentales o abogados reales referencias referencias a un gobierno ficticio o entidades reguladoras que solicitan pago en criptomonedas o tarjetas de obsequios prepagos (el gobierno de los Estados Unidos no solicita el pago de los servicios de la ley que se proporcionan) que tienen conocimiento de los montos exactos y los datos de transfiers anteriores y los terceros y el tercer lugar a los victorias. Los fondos estafados que indican que la víctima estaba en una lista de víctimas de estafadores afiliadas al gobierno que remiten a las víctimas a un «bufete de abogados de recuperación de criptomonedas» que indica que los fondos de las víctimas se encuentran en una cuenta mantenida en un banco extranjero y les indican a que registren una cuenta en ese banco que coloca a las víctimas en un chat grupal en WhatsApp, o otras solicitudes de mensajería, por supuesto que la seguridad de los clientes solicita un pago de la compañía de pagos a un bancario por la compañía de operaciones de la compañía de seguridad para mantener la compañía de pago de la empresa de seguridad y otras solicitudes de seguridad. Credenciales o una licencia «Tenga cuidado con las firmas de abogados que se comunican con usted inesperadamente, especialmente si no ha informado el delito a ninguna agencia de aplicación de la ley o de protección civil», dijo el FBI, instando a los ciudadanos a ejercer la debida diligencia y adoptar un modelo de confianza cero. «Solicite verificación o documentación de video o una foto de su licencia de ley. Solicite la verificación del empleo para cualquier persona que haga trabajar para el gobierno o la aplicación de la ley de los Estados Unidos».

Aug 13, 2025Ravie Lakshmananvulnerabilidad / Software Security Zoom y Xerox han abordado fallas críticas de seguridad en los clientes de Zoom para Windows y FreeFlow Core que podrían permitir la escalada de privilegios y la ejecución de código remoto. La vulnerabilidad que afecta a los clientes de Zoom para Windows, rastreados como CVE-2025-49457 (puntaje CVSS: 9.6), se relaciona con un caso de una ruta de búsqueda no confiable que podría allanar el camino para una escalada privilegiada. «La ruta de búsqueda no confiable en ciertos clientes de Zoom para Windows puede permitir que un usuario no autenticado realice una escalada de privilegios a través del acceso a la red», dijo Zoom en un boletín de seguridad el martes. El problema, informado por su propio equipo de seguridad ofensivo, afecta los siguientes productos: Zoom Workplace para Windows antes de la versión 6.3.10 Zoom Workplace VDI para Windows antes de la versión 6.3.10 (excepto 6.1.16 y 6.2.12) Las habitaciones de zoom para Windows antes de la versión 6.3.10 Zoom Rooms Controller para Windows antes de la versión 6.3.10 Zoom se reunen con SDK para Windows antes de la versión 6.3.10 La revelación de múltiples vulnerabilidades se ha descrito vulnerabilidades vulnerneracidades se ha descrito a vulnerabilidades. el más severo de los cuales podría dar lugar a la ejecución de código remoto. Los problemas, que se han abordado en la versión 8.0.4, incluyen-CVE-2025-8355 (puntaje CVSS: 7.5)-Vulnerabilidad de inyección de entidad externa XML (xxe) que conduce a falsificaciones de solicitudes del lado del servidor (SSRF) CVE-2025-8356 (puntuación CVSS: 9.8)-Vulnerabilidad de Código Remoto Vulnerabilidades a vulnerabilidades remotas a vulnerabilidades de Código Remoto «Vulnerabilidades de vulnerabilidades de vulnerabilidades Remotas son vulnerabilidades de vulnerabilidades remotas». Explotación y si es explotada, podría permitir que un atacante ejecute comandos arbitrarios en el sistema afectado, robe datos confidenciales o intente moverse lateralmente a un entorno corporativo determinado para continuar su ataque «, dijo Horizon3.ai.

Aug 12, 2025Ravie Lakshmananmalware / Container Security New Research ha descubierto imágenes de Docker en Docker Hub que contienen la infame Backdoor de XZ, más de un año después del descubrimiento del incidente. Más preocupante es el hecho de que se han construido otras imágenes sobre estas imágenes base infectadas, propagando efectivamente la infección aún más de manera transitiva, dijo Binarly Research en un informe compartido con Hacker News. La compañía de seguridad de firmware dijo que descubrió un total de 35 imágenes que se envían con la puerta trasera. El incidente una vez más destaca los riesgos que enfrenta la cadena de suministro de software. El evento de la cadena de suministro XZ utiliza (CVE-2024-3094, puntaje CVSS: 10.0) salió a la luz a fines de marzo de 2024, cuando Andres Freund sonó la alarma en una puerta trasera incrustada dentro de las versiones de XZ Utils 5.6.0 y 5.6.1. Un análisis posterior del código malicioso y el compromiso más amplio condujeron a varios descubrimientos sorprendentes, el primero y más importante es que la puerta trasera podría conducir a un acceso remoto no autorizado y habilitar la ejecución de cargas útiles arbitrarias a través de SSH. Específicamente, la puerta trasera, colocada en la biblioteca Liblzma.so y utilizada por el servidor OpenSSH, fue diseñado de tal manera que se activó cuando un cliente interactúa con el servidor SSH infectado. Al secuestrar la función RSA_Public_Decrypt utilizando el mecanismo de IFUNC del GLIBC, el código malicioso permitió que un atacante que poseía una clave privada específica para evitar la autenticación y ejecutar comandos raíz de forma remota, «explicó binarly. Responsabilidades, señalización de la naturaleza meticulosa del ataque. de 12 imágenes de Docker de Debian que contienen una de las imágenes de XZ Utils, y otro conjunto de imágenes de segundo orden que incluyen las imágenes de Debian comprometidas. Dejar las imágenes de Docker disponibles públicamente que contienen una posible puerta trasera en red con la red conllevan un riesgo de seguridad significativo, a pesar de los criterios requeridos para la explotación exitosa de la red al dispositivo infectado con el servicio SSH en ejecución «, el incidente de la puerta trasera XZ demuestra que incluso el código malicioso de breve puede permanecer sin tener en cuenta en el contenedor oficial durante un tiempo largo. La forma en que estos artefactos pueden persistir y propagar silenciosamente a través de tuberías de CI y ecosistemas de contenedores, lo que refuerza la necesidad crítica de un monitoreo continuo a nivel binario más allá del simple seguimiento de versión «.

AUG 11, 2025RAVIE LAKSHMANANECRITION / SEGURIDAD DE NETA Los investigadores de seguridad cibernética han descubierto un nuevo conjunto de problemas de seguridad en el protocolo de comunicaciones de radio troncal terrestre (TETRA) que exhibe el mecanismo de cifrado de extremo de extremo a fin de la propietario (E2EE) que exhibe el sistema a los ataques de reproducción de fines de extremo. Los detalles de las vulnerabilidades, denominado 2tetra: 2burst, se presentaron en la Conferencia de Seguridad Black Hat USA la semana pasada por los investigadores de Midnight Blue Carlo Meijer, Wouter Bokslag y Jos Wetzels. TETRA es un estándar de radio móvil europeo que es ampliamente utilizado por los operadores de la aplicación de la ley, militares, transporte, servicios públicos y de infraestructura crítica. Fue desarrollado por el European Telecommunications Standards Institute (ETSI). Aligue cuatro algoritmos de cifrado: Tea1, Tea2, Tea3 y Tea4. La divulgación se produce poco más de dos años después de que la compañía de seguridad cibernética con sede en los Países Bajos descubrió un conjunto de vulnerabilidades de seguridad en Tetra Standard llamado Tetra: Burst, contando lo que se describió como una «puerta trasera intencional» que podría explotarse para fugas de información sensible a fugas. Los problemas recién descubiertos se relacionan con un caso de inyección de paquetes en Tetra, así como con una solución insuficiente para CVE-2022-24401, uno de los cinco problemas de tetra: ráfaga, para evitar ataques de recuperación de llave. Los problemas identificados se enumeran a continuación: CVE-2025-52940-TETRA Las corrientes de voz encriptadas de extremo a extremo son vulnerables al ataque de reproducción. Además, un atacante sin conocimiento de la clave puede inyectar corrientes de voz arbitrarias, que se reproducen indistinguemente del tráfico auténtico por los receptores de llamadas legítimas. CVE-2025-52941-Algoritmo de cifrado de extremo a extremo TETRA ID 135 se refiere a una implementación AES-128 intencionalmente debilitada que tiene su entropía de clave de tráfico efectiva reducida de 128 a 56 bits, lo que la hace vulnerable a los ataques con fuerza bruta. CVE-2025-52942-Los mensajes TETRA SDS cifrados de extremo a extremo cuentan con protección de reproducción, lo que permite una repetición arbitraria de mensajes hacia humanos o máquinas. CVE-2025-52943-Las redes TETRA que admiten múltiples algoritmos de cifrado de interfaz de aire son vulnerables a los ataques de recuperación clave ya que la clave de red SCK/CCK es idéntica para todos los algoritmos compatibles. Cuando se admite TEA1, se puede usar una tecla TEA1 fácilmente recuperada (CVE-2022-24402) para descifrar o inyectar el tráfico Tea2 o Tea3 en la red. CVE-2025-52944: el protocolo TETRA carece de autenticación de mensajes y, por lo tanto, permite la inyección de mensajes arbitrarios como la voz y los datos. La solución de ETSI para CVE-2022-24401 es ineficaz en la prevención de los ataques de recuperación de llave (sin CVE, asignado un identificador de marcador de posición MBPH-2025-001) Midnight Blue dijo que el impacto de 2Tetra: 2Burst depende de los casos de uso y los aspectos de configuración de cada tetra en particular, y que las redes que usan tetra en una capacidad de datos de datos están particularmente de la capacidad de los datos de los datos. Ataques de inyección, lo que puede permitir a los atacantes interceptar comunicaciones por radio e inyectar tráfico de datos maliciosos. «Los escenarios de reproducción de voz o inyección (CVE-2025-52940) pueden causar confusión entre los usuarios legítimos, que pueden usarse como un factor amplificador en un ataque a mayor escala», dijo la compañía. «Los usuarios de Tetra E2EE (también aquellos que no usan Sepura E2EE incrustado) deben validar si pueden estar utilizando la variante debilitada de 56 bits (CVE-2025-52941)». «La inyección de tráfico de enlace descendente suele ser factible utilizando el tráfico de texto sin formato, ya que descubrimos que las radios aceptarán y procesarán el tráfico de enlace descendente sin cifrar incluso en las redes cifradas. Para la inyección de tráfico de enlace ascendente, la llave de tecla debe recuperarse». No hay evidencia de que estas vulnerabilidades sean explotadas en la naturaleza. Dicho esto, no hay parches que aborden las deficiencias, con la excepción de MBPH-2025-001, para los cuales se espera que se lance una solución. Las mitigaciones para otros defectos se enumeran a continuación: CVE-2025-52940, CVE-2025-52942-Migra a la solución E2EE scrutinizada y segura CVE-2025-52941-Migra a la variante E2EE no acumulada CVE-2025-52943-Dispatía Tea1 y rotación All Aie Keys CVE-2025-2025-2025- Uso de TETRA en una capacidad de carga de datos: agregue la capa TLS/VPN sobre TETRA «Si opera o usa una red TETRA, ciertamente se ve afectado por CVE-2025-52944, en el que demostramos que es posible inyectar tráfico malicioso en una red Tetra, incluso con autenticación y/o encerrado», dijo Midnight Blue. «Además, CVE-2022-24401 probablemente lo afecte, ya que permite a los adversarios recolectar una llave de teclado para incumplimiento de confidencialidad o integridad. Si opera una red de múltiples cifras, CVE-2025-52943 plantea un riesgo de seguridad crítico». En una declaración compartida con Wired, ETSI dijo que el mecanismo E2EE utilizado en las radios basadas en TETRA no es parte del estándar ETSI, y agregó que fue producido por el Grupo de Seguridad y Prevención de Fraude de la Asociación de Comunicaciones Críticas (TCCA) (SFPG). ETSI también señaló que los compradores de radios con sede en Tetra son libres de implementar otras soluciones para E2EE en sus radios. The findings also coincide with the discovery of three flaws in the Sepura SC20 series of mobile TETRA radios that allow attackers with physical access to the device to achieve unauthorized code execution – CVE-2025-52945 – Defective file management restrictions CVE-2025-8458 – Insufficient key entropy for SD card encryption Exfiltration of all TETRA and TETRA E2EE key materials with the Se espera que la excepción de la clave específica del dispositivo (sin CVE, asignada un identificador de marcador de posición MBPH-2025-003) para CVE-2025-52945 y CVE-2025-8458 se pongan a disposición en el tercer trimestre de 2025, lo que requiere que los usuarios se aconsejan que implementen políticas de administración de tetra mejoradas mejoradas. MBPH-2025-003, por otro lado, no puede remediarse debido a las limitaciones arquitectónicas. «Las vulnerabilidades permiten a un atacante obtener la ejecución del código en un dispositivo Sepura Gen 3», dijo la compañía. «Los escenarios de ataque con CVE-2025-8458 implican la ejecución persistente del código a través del acceso a la tarjeta SD de un dispositivo. El abuso de CVE-2025-52945 es aún más directo, ya que solo requiere un acceso breve al conector PEI del dispositivo». «A partir de la premisa de la ejecución del código, los múltiples escenarios de ataque son viables, como la exfiltración de materiales clave TETRA (MBPH-2025-003) o la implantación de una puerta trasera persistente en el firmware de radio. Esto conduce a la pérdida de confidencialidad e integridad de las comunicaciones de Tetra».

Aug 10, 2025Ravie Lakshmananvulnerabilidad / Seguridad de la red Una nueva técnica de ataque podría ser armado para colocar miles de controladores de dominios públicos (DC) en todo el mundo para crear una botnet maliciosa y usarla para realizar ataques de negación de servicio distribuidos de poder (DDOS). El enfoque ha sido nombrado en código Win-DDOS por investigadores de SafeBreach o Yair y Shahak Morag, quienes presentaron sus hallazgos en la Conferencia de Seguridad Def Con 33 hoy. «Mientras exploramos las complejidades del código del cliente LDAP de Windows, descubrimos un defecto significativo que nos permitió manipular el proceso de referencia de URL para apuntar a DCS a un servidor de víctimas para abrumarlo», dijeron Yair y Morag en un informe compartido con las noticias de los hackers. «Como resultado, pudimos crear Win-DDOS, una técnica que permitiría a un atacante aprovechar el poder de decenas de miles de DC públicas en todo el mundo para crear una botnet maliciosa con grandes recursos y tasas de carga. Todo sin comprar nada y sin dejar una huella trazable». Al transformar DCS en un bot DDOS sin la necesidad de ejecución de código o credenciales, el ataque esencialmente convierte la plataforma de Windows en convertirse en la víctima y el arma. El flujo de ataque es el siguiente: el atacante envía una llamada RPC a DCS que los desencadena a convertirse en clientes CLDAP DCS Envía la solicitud CLDAP al servidor CLDAP del atacante, que luego devuelve una respuesta de referencia que refiere el servidor LDAP del atacante del atacante. Responde con una respuesta de referencia LDAP que contiene una larga lista de URL de referencia LDAP, todo lo cual apunta a un solo puerto en una sola dirección IP DCS envía una consulta LDAP en ese puerto, lo que provoca el servidor web que puede servir a través del puerto para cerrar el TCP «Una vez que la conexión TCP se atribuye, los DCS continúan con la siguiente derivación en la lista de la misma lista a la misma servidor a la misma servidor, lo que dice el mismo servidor.», Dicho la conexión. «. «Y este comportamiento se repite hasta que todas las URL en la lista de referencias terminan, creando nuestra innovadora técnica de ataque Win-DDOS». Lo que hace que Win-DDOS sea significativo es que tiene un alto ancho de banda y no requiere un atacante para comprar una infraestructura dedicada. Tampoco les requiere violar ningún dispositivo, lo que les permite volar bajo el radar. Un análisis posterior del proceso de referencia del código del cliente LDAP ha revelado que es posible activar un bloqueo de LSASS, reiniciar o una pantalla azul de muerte (BSOD) enviando largas listas de referencia a DC al aprovechar el hecho de que no hay límites en los tamaños de listas de referencias y las referencias no se lanzan desde la memoria de DC hasta que la información se recupere con éxito. Además de eso, se ha encontrado que el código de transporte agnóstico que se ejecuta a las solicitudes de los clientes del servidor alberga tres nuevas vulnerabilidades de denegación de servicio (DOS) que pueden bloquear los controladores de dominio sin la necesidad de autenticación, y una falla de DOS adicional que proporciona a cualquier usuario autenticado con la capacidad de bloquear un controlador de dominio o un computadora de Windows en un dominio. The identified shortcomings are listed below – CVE-2025-26673 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Lightweight Directory Access Protocol (LDAP) allows an unauthorized attacker to deny service over a network (Fixed in May 2025) CVE-2025-32724 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Local Security Authority El servicio del subsistema (LSASS) permite a un atacante no autorizado negar el servicio a través de una red (fijada en junio de 2025) CVE-2025-49716 (puntaje CVSS: 7.5)-Consumo de recursos no controlado en Windows Netlogon permite a un atacante no autorizado a negar el servicio a través de una red (fijo en julio 2025) CVE-2025-4972 (CVSS CVSS: 5. El consumo de recursos no controlado en los componentes de la bgas de impresión de Windows permite a un atacante autorizado negar el servicio a través de una red adyacente (fijada en julio de 2025), como las vulnerabilidad LDAPNightMare (CVE-2024-49113) detalladas a principios de enero, los últimos hallazgos muestran que existen lugares ciegos en Windows a las que podrían ser apuntadas y explojadas de operaciones empresariales. «Las vulnerabilidades que descubrimos son vulnerabilidades no autenticadas con clic cero que permiten a los atacantes bloquear estos sistemas de forma remota si son accesibles públicamente, y también muestran cómo los atacantes con un acceso mínimo a una red interna pueden desencadenar los mismos resultados contra la infraestructura privada», dijeron los investigadores. «Nuestros hallazgos rompen suposiciones comunes en el modelado de amenazas empresariales: que los riesgos de DOS solo se aplican a los servicios públicos, y que los sistemas internos están a salvo de abuso a menos que sean totalmente comprometidos. Las implicaciones para la resiliencia empresarial, el modelado de riesgos y las estrategias de defensa son significativas».

Aug 09, 2025Ravie Lakshmananvulnerabilidad / Seguridad de hardware Los investigadores de ciberseguridad han revelado vulnerabilidades en cámaras web modelo seleccionadas de Lenovo que podrían convertirlos en dispositivos de ataque Badusb. «Esto permite a los atacantes remotos inyectar pulsaciones de teclas encubiertas y lanzar ataques independientemente del sistema operativo host», dijeron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael en un informe compartido con las noticias de Hacker. Las vulnerabilidades han sido nombradas en código BADCAM por la compañía de seguridad de firmware. Los hallazgos se presentaron en la Conferencia de Seguridad Def Con 33 hoy. Es probable que el desarrollo marca la primera vez que se ha demostrado que los actores de amenaza que obtienen el control de un periférico USB basado en Linux que ya está conectado a una computadora se pueden armarse para una intención maliciosa. En un escenario de ataque hipotético, un adversario puede aprovechar la vulnerabilidad para enviar a una víctima una cámara web trasera, o adjuntarla a una computadora si es capaz de asegurar el acceso físico y emitir comandos de forma remota para comprometer una computadora para llevar a cabo la actividad de explotación posterior. Badusb, demostrado por primera vez hace más de una década por los investigadores de seguridad Karsten Nohl y Jakob Lell en la Conferencia Black Hat 2014, es un ataque que explota una vulnerabilidad inherente en el firmware USB, esencialmente reprogramándolo para ejecutar comandos discretos o ejecutar programas maliciosos en la computadora del víctima. «A diferencia del malware tradicional, que vive en el sistema de archivos y a menudo puede ser detectado por las herramientas antivirus, BadUSB vive en la capa de firmware», señala Ivanti en una explicación de la amenaza publicada a fines del mes pasado. «Una vez conectado a una computadora, un dispositivo BADUSB puede: emular un teclado para escribir comandos maliciosos, instalar puertas traseras o keyloggers, redirigir el tráfico de Internet, [and] Datos confidenciales del exfiltrado «. En los últimos años, Mandiant, propiedad de Google, y la Oficina Federal de Investigación de los Estados Unidos (FBI) han advertido que el grupo de amenazas motivado financieramente rastreado como FIN7 ha recurrido a enviar correos de organizaciones con sede en los Estados Unidos» Badusb «Maliciosos dispositivos USB para entregar un Malware llamado DiCelower. Inicialmente destinado a ser malicioso, puede ser un vector para un ataque BADUSB, marcando una escalada significativa. HID o para emular dispositivos USB adicionales «, explicaron los investigadores.» Una vez armado, la cámara web aparentemente inocua puede inyectar pulsaciones de teclas, entregar cargas útiles maliciosas o servir como un punto de apoyo para una persistencia más profunda, todo mientras se mantiene la apariencia externa y la funcionalidad central de una cámara estándar «. Reinfectar la computadora víctima con malware incluso después de que se haya limpiado y el sistema operativo se reinstale. Después de la divulgación responsable con Lenovo en abril de 2025, el fabricante de la PC ha lanzado actualizaciones de firmware (versión 4.8.0) para mitigar las vulnerabilidades y ha trabajado con la compañía china SigMastar para lanzar una herramienta que conecta la herramienta que a menudo confía en el problema. Sus propios sistemas operativos y aceptar instrucciones remotas, «Eclypsium dijo». En el contexto de las cámaras web de Linux, el firmware sin firmar o mal protegido permite que un atacante subvierta no solo el host, sino también en el futuro, la cámara se conecta, propagando la infección y eludir los controles tradicionales «.

Los investigadores de seguridad cibernética han descubierto más de una docena de vulnerabilidades en bóvedas seguras empresariales de Cybark y Hashicorp que, si se explotan con éxito, pueden permitir a los atacantes remotos descifrar sistemas de identidad corporativa y extraer secretos y tokens empresariales de ellos. Las 14 vulnerabilidades, nombradas colectivamente Fault Vault, afectan el administrador de los secretos de Cybark, autohospedados y conjurando el código abierto y la bóveda de Hashicorp, según un informe de una firma de seguridad de identidad Cyata. Después de la divulgación responsable en mayo de 2025, las fallas se han abordado en las siguientes versiones: estos incluyen derivaciones de autenticación, suplantación, errores de escalada de privilegios, vías de ejecución de código y robo de token raíz. The most severe of the issues allows for remote code execution, allowing attackers to takeover the vault under certain conditions without any valid credentials – CVE-2025-49827 (CVSS score: 9.1) – Bypass of IAM authenticator in CyberArk Secrets Manager CVE-2025-49831 (CVSS score: 9.1) – Bypass of IAM authenticator in CyberArk Secrets Manager via a misconfigured network device CVE-2025-49828 (CVSS score: 8.6) – Remote code execution in CyberArk Secrets Manager CVE-2025-6000 (CVSS score: 9.1) – Arbitrary remote code execution via plugin catalog abuse in HashiCorp Vault CVE-2025-5999 (CVSS score: 7.2) – Privilege escalation to root via policy La normalización en la bóveda de Hashicorp, además, las vulnerabilidades también se han descubierto en la lógica de protección de bloqueo de Vault de Hashicorp, que está diseñada para acelerar los intentos de fuerza bruta, que podría permitir que un atacante infiera qué nombres de usuario son válidos al aprovechar un canal lateral a base de tiempo e incluso restablecer el contador de bloqueos al cambiar el caso de un nombre de usuario conocido (EG, administrador). Otras dos deficiencias identificadas por la compañía israelí permitieron debilitar la aplicación de bloqueo y el omitir la autenticación multifactor (MFA) cuando UserName_As_alias = true en la configuración de autenticación LDAP y la aplicación de la aplicación de MFA se aplica a nivel de entidad o grupo de identidad. En la cadena de ataque detallada por la compañía de seguridad cibernética, es posible aprovechar un problema de suplantación de entidad certificado (CVE-2025-6037) con CVE-2025-5999 y CVE-2025-6000 para romper la capa de autenticación, privilegios escalados y la ejecución de código. Se dice que CVE-2025-6037 y CVE-2025-6000 existieron durante más de ocho y nueve años, respectivamente. Armado con esta capacidad, un actor de amenaza podría armarse aún más el acceso para eliminar el archivo «Core/HSM/_Barrier-Unseal-Keys», convirtiendo efectivamente una función de seguridad en un vector de ransomware. Además, la función de grupo de control se puede socavar para enviar solicitudes HTTP y recibir respuestas sin ser auditadas, creando un canal de comunicación sigiloso. «Esta investigación muestra cómo la autenticación, la aplicación de políticas y la ejecución de complementos se pueden subvertir a través de errores lógicos, sin tocar la memoria, desencadenar bloqueos o romper la criptografía», dijo el investigador de seguridad Yarden Porat. En una línea similar, las vulnerabilidades descubiertas en Cybark Secrets Manager/Conjur permiten el derivación de la autenticación, la escalada de privilegios, la divulgación de información y la ejecución del código arbitrario, abriendo efectivamente la puerta a un escenario en el que un atacante puede elaborar una cadena de explotación para obtener el acceso no autenticado y la ejecución arbitraria arbitraria. La secuencia de ataque se desarrolla de la siguiente manera: la autenticación de IAM omitiendo al forjar las respuestas de getCalleridentity de aspecto válido se autentica como un abuso de recursos políticos, el punto final de la fábrica del host para crear un nuevo anfitrión que se hace pasar por una plantilla de política válida asignada un punto de pago de rubí (ERB) malicioso de la cadena de acceso a la cadena de acceso de la política «. a la ejecución completa del código remoto sin proporcionar una contraseña, token o credenciales de AWS «, señaló Porat. La divulgación se produce cuando Cisco Talos detalló las fallas de seguridad en el firmware ControlVault3 de Dell y sus API de Windows asociadas que los atacantes podrían haber abusado de los atacantes para evitar el inicio de sesión de Windows, extraer claves criptográficas, así como mantener el acceso incluso después de una nueva instalación del sistema operativo al implementar implantes maliciosos indetectables en la firma. Juntas, estas vulnerabilidades crean un potente método remoto de persistencia posterior a la compromiso para el acceso encubierto a entornos de alto valor. The identified vulnerabilities are as follows – CVE-2025-25050 (CVSS score: 8.8) – An out-of-bounds write vulnerability exists in the cv_upgrade_sensor_firmware functionality that could lead to an out-of-bounds write CVE-2025-25215 (CVSS score: 8.8) – An arbitrary free vulnerability exists in the cv_close functionality that could lead a un CVE-2025-24922 gratuito arbitrario (puntaje CVSS: 8.8): existe una vulnerabilidad de desbordamiento de búfer basada en la pila en la funcionalidad SecureBio_identify que podría conducir a la ejecución de código arbitraria CVE-2025-24311 (puntaje CVSS: 8.4)-Una información de la Fuidosa de Fuidio CVSEND_BLOCKDAT de CVSS que podría conducir a la Fuidad de la Fuidad de la Fuidosa. CVE-2025-24919 (puntaje CVSS: 8.1): existe una deserialización de la vulnerabilidad de entrada no confiable en la funcionalidad CVHDecapsulateCmd que podría conducir a la ejecución del código arbitrario, las vulnerabilidades han sido nombradas en codenado Revault. Más de 100 modelos de computadoras portátiles Dell que ejecutan Broadcom BCM5820X se ven afectados los chips de la serie. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza. La compañía de seguridad cibernética también señaló que un atacante local con acceso físico a la computadora portátil de un usuario podría abrirla y acceder a la placa de Security Security Hub (USH), lo que permite a un atacante explotar cualquiera de las cinco vulnerabilidades sin tener que iniciar sesión o poseer una contraseña de cifrado de disco completo. «El ataque de Revault se puede utilizar como una técnica de persistencia posterior a la compromiso que puede permanecer incluso en las reinstalaciones de Windows», dijo el investigador de Cisco Talos, Philippe Laulheret. «El ataque de Revault también se puede utilizar como un compromiso físico para evitar el inicio de sesión de Windows y/o para cualquier usuario local obtener privilegios de administración/sistema». Para mitigar el riesgo planteado por estos defectos, se recomienda a los usuarios que apliquen las soluciones proporcionadas por Dell; Deshabilite los servicios de ControlVault si los periféricos como los lectores de huellas digitales, los lectores de tarjetas inteligentes y los lectores de comunicación de campo cercano (NFC) no se están utilizando; y apague el inicio de sesión de la huella digital en situaciones de alto riesgo.