Todo lo que necesitas saber sobre tecnología

Etiqueta: noticias de seguridad cibernética hoy Página 1 de 17

El software espía CapraRAT disfrazado de aplicaciones populares amenaza a los usuarios de Android

El software espía CapraRAT disfrazado de aplicaciones populares amenaza a los usuarios de Android

01 de julio de 2024Sala de prensaSeguridad móvil/spyware El actor de amenazas conocido como Transparent Tribe ha seguido desatando aplicaciones de Android con malware como parte de una campaña de ingeniería social dirigida a personas de interés. «Estos APK continúan la tendencia del grupo de incorporar software espía en aplicaciones de navegación de videos seleccionadas, con una nueva expansión dirigida a jugadores móviles, entusiastas de las armas y fanáticos de TikTok», dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un nuevo informe compartido con The Hacker News. La campaña, denominada CapraTube, fue descrita por primera vez por la empresa de ciberseguridad en septiembre de 2023, y el equipo de piratas informáticos empleó aplicaciones de Android armadas que se hacían pasar por aplicaciones legítimas como YouTube para entregar un software espía llamado CapraRAT, una versión modificada de AndroRAT con capacidades para capturar una amplia gama de informacion delicada. La Tribu Transparente, que se sospecha es de origen paquistaní, ha aprovechado CapraRAT durante más de dos años en ataques contra el gobierno y el personal militar de la India. El grupo tiene un historial de recurrir al phishing y a los ataques de abrevadero para entregar una variedad de software espía para Windows y Android. «La actividad destacada en este informe muestra la continuación de esta técnica con actualizaciones de los pretextos de ingeniería social, así como esfuerzos para maximizar la compatibilidad del software espía con versiones anteriores del sistema operativo Android mientras se expande la superficie de ataque para incluir versiones modernas de Android». explicó Delamotte. La lista de nuevos archivos APK maliciosos identificados por SentinelOne es la siguiente: Crazy Game (com.maeps.crygms.tktols) Sexy Videos (com.nobra.crygms.tktols) TikToks (com.maeps.vdosa.tktols) Weapons (com. maeps.vdosa.tktols) CapraRAT utiliza WebView para iniciar una URL a YouTube o a un sitio de juegos móviles llamado CrazyGames[.]com, mientras que, en segundo plano, abusa de sus permisos para acceder a ubicaciones, mensajes SMS, contactos y registros de llamadas; hacer llamadas telefónicas; tomar capturas de pantalla; o grabar audio y vídeo. Un cambio notable en el malware es que permisos como READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS y ​​REQUEST_INSTALL_PACKAGES ya no se solicitan, lo que sugiere que los actores de amenazas pretenden utilizarlo como una herramienta de vigilancia y no como una puerta trasera. «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable», dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinea con el objetivo sostenido del grupo de individuos en el gobierno indio o en el espacio militar, que probablemente no utilicen dispositivos que ejecuten versiones anteriores de Android, como Lollipop, que fue lanzado hace 8 años.» La divulgación se produce cuando Promon reveló un nuevo tipo de malware bancario para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de manera subrepticia. «Ciego de nieve […] realiza un ataque de reempaquetado normal, pero utiliza una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos anti-manipulación», dijo la compañía. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y aprovechan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». «Las actualizaciones del código CapraRAT entre la campaña de septiembre de 2023 y la campaña actual son mínimas, pero sugieren que los desarrolladores se centran en hacer que la herramienta sea más confiable y estable. » Dijo Delamotte. «La decisión de pasar a versiones más nuevas del sistema operativo Android es lógica y probablemente se alinee con el objetivo sostenido del grupo de personas en el gobierno indio o en el espacio militar, que es poco probable que utilicen dispositivos que ejecutan versiones anteriores de Android, como como Lollipop, que se lanzó hace 8 años». La divulgación se produce cuando Promon reveló un nuevo tipo de malware para Android llamado Snowblind que, de manera similar a FjordPhantom, intenta eludir los métodos de detección y hacer uso de la API de servicios de accesibilidad del sistema operativo de forma subrepticia. manera. […] «FjordPhantom y Snowblind realizan un ataque de reempaquetado normal, pero utilizan una técnica menos conocida basada en seccomp que es capaz de eludir muchos mecanismos antimanipulación», afirmó la empresa. «Curiosamente, FjordPhantom y Snowblind apuntan a aplicaciones del sudeste asiático y utilizan nuevas y poderosas técnicas de ataque. Eso parece indicar que los autores de malware en esa región se han vuelto extremadamente sofisticados». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Google bloqueará los certificados Entrust en Chrome a partir de noviembre de 2024

Google bloqueará los certificados Entrust en Chrome a partir de noviembre de 2024

29 de junio de 2024Sala de prensaCiberseguridad/Seguridad de sitios web Google ha anunciado que comenzará a bloquear sitios web que utilizan certificados de Entrust a partir del 1 de noviembre de 2024 en su navegador Chrome, citando fallas de cumplimiento y la incapacidad de la autoridad certificadora para abordar problemas de seguridad en de manera oportuna. «En los últimos años, los informes de incidentes divulgados públicamente resaltaron un patrón de comportamientos preocupantes por parte de Entrust que no cumplen con las expectativas anteriores y han erosionado la confianza en su competencia, confiabilidad e integridad como empresa de confianza pública. [certificate authority] propietario», dijo el equipo de seguridad de Chrome de Google. Con ese fin, el gigante tecnológico dijo que tiene la intención de ya no confiar en los certificados de autenticación del servidor TLS de Entrust a partir de las versiones 127 y superiores del navegador Chrome de forma predeterminada. Sin embargo, dijo que estas configuraciones se pueden anular Por parte de los usuarios de Chrome y los clientes empresariales si así lo desean, Google señaló además que las autoridades de certificación desempeñan un papel privilegiado y confiable al garantizar conexiones cifradas entre navegadores y sitios web, y que la falta de progreso de Entrust en lo que respecta a informes de incidentes divulgados públicamente y no realizados. Los compromisos de mejora plantean riesgos para el ecosistema de Internet. Se espera que la acción de bloqueo cubra las versiones del navegador para Windows, macOS, ChromeOS, Android y Linux. La excepción notable es Chrome para iOS y iPadOS, debido a las políticas de Apple que no lo permiten. Como resultado, los usuarios que navegan a un sitio web que ofrece un certificado emitido por Entrust o AffirmTrust serán recibidos con un mensaje intersticial que les advierte que su conexión no es segura ni privada. Se insta a los operadores de sitios web afectados a que recurran al propietario de una autoridad de certificación de confianza pública para minimizar las interrupciones antes del 31 de octubre de 2024. Según el sitio web de Entrust, sus soluciones son utilizadas por Microsoft, Mastercard, VISA y VMware, entre otros. «Si bien los operadores de sitios web podrían retrasar el impacto de la acción de bloqueo al optar por recopilar e instalar un nuevo certificado TLS emitido por Entrust antes de que comience la acción de bloqueo de Chrome el 1 de noviembre de 2024, los operadores de sitios web inevitablemente necesitarán recopilar e instalar un nuevo certificado TLS de uno de las muchas otras CA incluidas en Chrome Root Store», dijo Google. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Cómo mantenerse por delante de los actores amenazantes

Cómo mantenerse por delante de los actores amenazantes

La moderna cadena de destrucción está eludiendo a las empresas porque no protegen la infraestructura de los negocios modernos: SaaS. SaaS sigue dominando la adopción de software y representa la mayor parte del gasto en la nube pública. Pero tanto las empresas como las PYMES no han revisado sus programas de seguridad ni han adoptado herramientas de seguridad creadas para SaaS. Los equipos de seguridad siguen insertando clavijas locales en los agujeros de seguridad de SaaS. Los controles de seguridad maduros de los que dependían los CISO y sus equipos en la era del dominio local han desaparecido. Los firewalls ahora protegen un perímetro pequeño, la visibilidad es limitada e incluso si los proveedores de SaaS ofrecen registros, los equipos de seguridad necesitan un middleware local para digerirlos e insertarlos en su SIEM. Los proveedores de SaaS tienen alcances de seguridad bien definidos para sus productos, pero sus clientes deben gestionar el cumplimiento de SaaS y el gobierno de datos, la gestión de identidad y acceso (IAM) y los controles de aplicaciones, las áreas donde ocurren la mayoría de los incidentes. Si bien este modelo de responsabilidad compartida de SaaS es universal entre las aplicaciones SaaS, no hay dos aplicaciones SaaS que tengan configuraciones de seguridad idénticas. Figura 1. En el contexto de las preocupaciones de seguridad de SaaS, el proveedor de la aplicación es responsable de toda la infraestructura física, así como de la red, el sistema operativo y la aplicación. El cliente es responsable de la seguridad de los datos y la gestión de la identidad. El modelo de responsabilidad compartida de SaaS requiere que los clientes de SaaS asuman la propiedad de los componentes que los actores de amenazas atacan con mayor frecuencia. Ilustración cortesía de AppOmni. La investigación de AppOmni informa que, en promedio, una sola instancia de SaaS tiene 256 conexiones de SaaS a SaaS, muchas de las cuales ya no están en uso, pero aún tienen permisos excesivos en aplicaciones comerciales principales como Salesforce, Okta y GitHub, entre otras. .Entre la multitud de diferentes configuraciones de seguridad de SaaS y las constantes actualizaciones que las modifican, los equipos de seguridad no pueden monitorear estas conexiones de manera efectiva. La cantidad de puntos de entrada se multiplica exponencialmente cuando los empleados habilitan conexiones de SaaS a SaaS (también llamadas «terceros» o «máquinas»). Las identidades de las máquinas pueden utilizar claves API, secretos, sesiones, certificados digitales, claves de acceso a la nube y otras credenciales para permitir que las máquinas se comuniquen entre sí. A medida que la superficie de ataque migraba fuera del perímetro de la red, también lo hacía la cadena de destrucción, es decir, la forma en que los actores de amenazas orquestan las distintas fases de sus ataques. Mire el informe y análisis de amenazas SaaS de AppOmni SaaS es el nuevo campo de batalla de la ciberseguridad. Vea a los expertos en seguridad de AppOmni analizar ejemplos del mundo real de la cadena de eliminación de SaaS moderna y TTP comunes, y le mostrarán cómo reducir la probabilidad de éxito de los actores de amenazas. La cadena de eliminación de SaaS moderna generalmente implica: comprometer una identidad en el IdP a través de una campaña de phishing exitosa, comprar credenciales robadas de la web oscura, cadenas de credenciales, relleno de credenciales, aprovechar inquilinos de SaaS mal configurados o métodos similares. Realización de una fase de reconocimiento posterior a la autenticación. Este paso recuerda a los atacantes que irrumpían en las redes corporativas de antaño. Pero ahora están revisando repositorios de documentos, repositorios de código fuente, bóvedas de contraseñas, Slack, Teams y entornos similares para encontrar puntos de entrada de escalada privilegiados. Aprovechar sus hallazgos para avanzar lateralmente hacia otros inquilinos de SaaS, PaaS o IaaS y, a veces, hacia la infraestructura corporativa, dondequiera que puedan encontrar los datos más valiosos para la organización objetivo. Cifrar las joyas de la corona o entregar su nota de rescate e intentar evadir la detección. Figura 2. Las cadenas de eliminación exitosas de SaaS generalmente implican cuatro pasos generales: acceso inicial, reconocimiento, movimiento lateral y persistencia, y ejecución de ransomware y evasión de seguridad. Ilustración cortesía de AppOmni. Rompiendo una cadena de muerte de SaaS del mundo real: el último seminario web informativo sobre inteligencia de amenazas de AppOmni, líder en seguridad de SaaS de Scattered Spider/Starfraud, delineó la cadena de muerte del ataque exitoso de los grupos de actores de amenazas Scattered Spider/Starfraud (afiliados de ALPHV) a un objetivo no revelado en septiembre 2023: un usuario abrió un correo electrónico de phishing que contenía enlaces a una página de inicio de sesión de IdP falsa y, sin saberlo, inició sesión en la página de IdP falsa. Los grupos de actores de amenazas llamaron inmediatamente a ese usuario y lo convencieron, mediante ingeniería social, para que le proporcionara su token de contraseña de un solo uso basado en el tiempo (TOTP). Después de obtener las credenciales de inicio de sesión del usuario y el token TOTP, los actores de amenazas engañaron al protocolo MFA haciéndoles creer que eran el usuario legítimo. Mientras estaban en modo de reconocimiento, los actores de amenazas tenían acceso a una escalada privilegiada, lo que les permitía obtener credenciales en Amazon S3, luego en Azure AD y finalmente en Citrix VDI (infraestructura de escritorio virtual). Luego, los actores de amenazas implementaron su propio servidor malicioso en el entorno IaaS, en el que ejecutaron un ataque de escalada privilegiado de Azure AD. Los atacantes cifraron todos los datos a su alcance y entregaron una nota de rescate. Figura 3. La cadena de destrucción utilizada por los grupos de actores de amenazas Scattered Spider/Starfraud. Ilustración cortesía de AppOmni. Scattered Spider/Starfraud probablemente logró esta serie de eventos durante varios días. Cuando SaaS sirve como punto de entrada, un ataque grave puede incluir la red y la infraestructura corporativa. Esta conectividad SaaS/local es común en las superficies de ataque empresariales actuales. La actividad de ataques SaaS por parte de actores de amenazas conocidos y desconocidos está aumentando. La mayoría de las infracciones de SaaS no dominan los titulares, pero las consecuencias son significativas. IBM informa que las violaciones de datos en 2023 promediaron 4,45 millones de dólares por instancia, lo que representa un aumento del 15% en tres años. Los actores de amenazas dependen continuamente de los mismos TTP y el mismo manual de estrategias de la cadena de destrucción de Scattered Spider/Starfraud para obtener acceso no autorizado y escanear a los inquilinos de SaaS, incluidos Salesforce y M365, donde los problemas de configuración podrían manipularse para proporcionar acceso más adelante. Otros atacantes obtienen acceso inicial con secuestro de sesión y viajes imposibles. Una vez que han transferido la sesión secuestrada a un host diferente, su movimiento lateral a menudo involucra plataformas de comunicaciones como SharePoint, JIRA, DocuSign y Slack, así como repositorios de documentos como Confluence. Si pueden acceder a GitHub u otros repositorios de código fuente, los actores de amenazas extraerán ese código fuente y lo analizarán en busca de vulnerabilidades dentro de una aplicación de destino. Intentarán explotar estas vulnerabilidades para extraer los datos de la aplicación de destino. El informe de inteligencia de amenazas de AppOmni también informa que la filtración de datos mediante el intercambio de permisos sigue siendo un grave problema de seguridad de SaaS. Esto ocurre, por ejemplo, en Google Workspace cuando el usuario no autorizado cambia de directorio a un nivel de permisos muy abierto. El atacante puede compartirlos con otra entidad externa mediante el reenvío de correo electrónico o cambiando reglas condicionales para que los atacantes se incluyan como destinatarios BCC en una lista de distribución. ¿Cómo protege sus entornos SaaS? 1. Centrarse en la higiene de los sistemas SaaS Establezca un proceso de admisión y revisión de SaaS para determinar qué SaaS permitirá en su empresa. Este proceso debería requerir respuestas a preguntas de seguridad como: ¿Todos los SaaS deben tener certificación SOC 2 Tipo 2? ¿Cuál es la configuración de seguridad óptima para cada inquilino? ¿Cómo evitará su empresa la desviación de la configuración? ¿Cómo determinará si las actualizaciones automáticas de SaaS requerirán modificar la configuración de control de seguridad? Asegúrese de poder detectar Shadow IT SaaS (o aplicaciones SaaS no autorizadas) y tener un programa de respuesta para que las alertas no se creen en vano. Si no supervisa a sus inquilinos de SaaS y no incorpora todos sus registros con algún método unificado, nunca podrá detectar comportamientos sospechosos ni recibir alertas basadas en ellos. 2. Realizar un inventario y monitorear continuamente las cuentas/identidades de las máquinas. Los actores de amenazas apuntan a las identidades de las máquinas por su acceso privilegiado y estándares de autenticación laxos, y a menudo rara vez requieren MFA. En 2023, los actores de amenazas atacaron y violaron con éxito las principales herramientas de CI/CD, Travis CI, CircleCI y Heroku. , robando tokens de OAuth para todos los clientes de estos proveedores. En estas situaciones, el radio de la explosión se amplía considerablemente. Dado que una empresa promedio contiene 256 identidades de máquinas, a menudo falta higiene. Muchos de ellos se utilizan una o dos veces y luego permanecen estancados durante años. Haga un inventario de todas las identidades de sus máquinas y clasifique estos riesgos críticos. Una vez que los haya mitigado, cree políticas que prescriban: A qué tipo de cuentas se les otorgarán identidades de máquina y los requisitos que estos proveedores deben cumplir para obtener acceso. El período de tiempo durante el cual sus accesos/tokens están activos antes de que sean revocados, actualizados o concedidos nuevamente. Cómo supervisará el uso de estas cuentas y se asegurará de que sigan siendo necesarias si experimentan períodos de inactividad. 3. Cree una verdadera arquitectura Zero Trust en su patrimonio SaaS. La arquitectura Zero Trust se basa en el principio de privilegio mínimo (PLP) con un enfoque de «nunca confiar, siempre verificar». Si bien Zero Trust se ha establecido en redes tradicionales, rara vez se logra en entornos SaaS. El enfoque centrado en la red de Zero Trust Network Access (ZTNA) no puede detectar configuraciones erróneas, integraciones de máquinas o derechos de acceso de usuarios no deseados dentro y hacia las plataformas SaaS, que pueden tener miles o incluso millones de usuarios externos accediendo a los datos. Zero Trust Posture Management (ZTPM), una herramienta de seguridad SaaS emergente, extiende Zero Trust a su patrimonio SaaS. Cierra la brecha de seguridad de SaaS que crea SASE al: Prevenir la omisión no autorizada de ZTNA. Permitir decisiones de acceso afinadas. Hacer cumplir sus políticas de seguridad con ciclos de retroalimentación continuos. Extender Zero Trust a integraciones de máquinas y conexiones en la nube. Con SSPM, ZTPM y un programa de seguridad SaaS en En este lugar, su equipo obtendrá la visibilidad y la inteligencia que necesita para identificar intrusos en las etapas de bajo riesgo de su cadena de destrucción y detenerlos antes de que una infracción se vuelva devastadora. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Kimsuky usa la extensión TRANSLATEXT de Chrome para robar datos confidenciales

Kimsuky usa la extensión TRANSLATEXT de Chrome para robar datos confidenciales

28 de junio de 2024Sala de prensaEspionaje cibernético / Ataque cibernético El actor de amenazas vinculado a Corea del Norte conocido como Kimsuky ha sido vinculado al uso de una nueva extensión maliciosa de Google Chrome que está diseñada para robar información confidencial como parte de un esfuerzo continuo de recopilación de inteligencia. Zscaler ThreatLabz, que observó la actividad a principios de marzo de 2024, ha denominado a la extensión TRANSLATEXT, destacando su capacidad para recopilar direcciones de correo electrónico, nombres de usuario, contraseñas, cookies y capturas de pantalla del navegador. Se dice que la campaña dirigida ha estado dirigida contra el mundo académico de Corea del Sur, específicamente aquellos centrados en los asuntos políticos de Corea del Norte. Kimsuky es un conocido equipo de piratas informáticos de Corea del Norte que se sabe que está activo desde al menos 2012, orquestando espionaje cibernético y ataques con motivaciones financieras dirigidos a entidades surcoreanas. Un grupo hermano del grupo Lazarus y parte del Reconnaissance General Bureau (RGB), también se lo rastrea bajo los nombres APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail y Velvet Chollima. En las últimas semanas, el grupo ha utilizado como arma una falla de seguridad conocida en Microsoft Office (CVE-2017-11882) para distribuir un keylogger y ha utilizado señuelos con temas de trabajo en ataques dirigidos a los sectores aeroespacial y de defensa con el objetivo de lanzar una herramienta de espionaje con funcionalidades de recopilación de datos y ejecución de carga útil secundaria. «La puerta trasera, que no parece haber sido documentada públicamente antes, permite al atacante realizar un reconocimiento básico y lanzar cargas útiles adicionales para tomar el control de la máquina o controlarla de forma remota», dijo la empresa de ciberseguridad CyberArmor. Le ha dado a la campaña el nombre de Niki. El modo exacto de acceso inicial asociado con la actividad recién descubierta actualmente no está claro, aunque se sabe que el grupo aprovecha los ataques de phishing y de ingeniería social para activar la cadena de infección. El punto de partida del ataque es un archivo ZIP que supuestamente trata sobre la historia militar de Corea y que contiene dos archivos: un documento de procesador de textos Hangul y un ejecutable. Al ejecutar el ejecutable, se recupera un script de PowerShell de un servidor controlado por el atacante, que, a su vez, exporta información sobre la víctima comprometida a un repositorio de GitHub y descarga código de PowerShell adicional mediante un archivo de acceso directo de Windows (LNK). Zscaler dijo que encontró la cuenta de GitHub, creada el 13 de febrero de 2024, que aloja brevemente la extensión TRANSLATEXT con el nombre «GoogleTranslate.crx», aunque actualmente se desconoce su método de entrega. «Estos archivos estaban presentes en el repositorio el 7 de marzo de 2024 y se eliminaron al día siguiente, lo que implica que Kimsuky tenía la intención de minimizar la exposición y usar el malware durante un corto período para atacar a individuos específicos», dijo el investigador de seguridad Seongsu Park. TRANSLATEXT, que se hace pasar por Google Translate, incorpora código JavaScript para eludir las medidas de seguridad de servicios como Google, Kakao y Naver; extraer direcciones de correo electrónico, credenciales y cookies; capturar capturas de pantalla del navegador; y exfiltrar datos robados. También está diseñado para obtener comandos de una URL de Blogger Blogspot con el fin de tomar capturas de pantalla de las pestañas recién abiertas y eliminar todas las cookies del navegador, entre otras cosas. «Uno de los principales objetivos del grupo Kimsuky es llevar a cabo vigilancia sobre el personal académico y gubernamental con el fin de reunir información valiosa», dijo Park. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

GitLab lanza un parche para una vulnerabilidad crítica en el pipeline de CI/CD y otras 13

GitLab lanza un parche para una vulnerabilidad crítica en el pipeline de CI/CD y otras 13

28 de junio de 2024Sala de prensaSoftware Security / DevOps GitLab ha lanzado actualizaciones de seguridad para abordar 14 fallas de seguridad, incluida una vulnerabilidad crítica que podría explotarse para ejecutar canales de integración e implementación continuas (CI/CD) como cualquier usuario. Las debilidades, que afectan a GitLab Community Edition (CE) y Enterprise Edition (EE), se solucionaron en las versiones 17.1.1, 17.0.3 y 16.11.5. La más grave de las vulnerabilidades es CVE-2024-5655 (puntuación CVSS: 9,6), que podría permitir a un actor malintencionado activar una canalización como otro usuario en determinadas circunstancias. Afecta a las siguientes versiones de CE y EE: 17.1 anterior a 17.1.1, 17.0 anterior a 17.0.3 y 15.8 anterior a 16.11.5. GitLab dijo que la solución introduce dos cambios importantes como resultado de los cuales la autenticación GraphQL usando CI_JOB_TOKEN está deshabilitada por default y las canalizaciones ya no se ejecutarán automáticamente cuando se redireccione una solicitud de fusión después de fusionar su rama de destino anterior. Algunas de las otras fallas importantes corregidas como parte de la última versión se enumeran a continuación: CVE-2024-4901 (puntaje CVSS: 8.7) – Una vulnerabilidad XSS almacenada podría importarse desde un proyecto con notas de confirmación maliciosas CVE-2024-4994 (CVSS puntuación: 8.1) – Un ataque CSRF a la API GraphQL de GitLab que conduce a la ejecución de mutaciones arbitrarias de GraphQL CVE-2024-6323 (puntuación CVSS: 7.5) – Una falla de autorización en la función de búsqueda global que permite la fuga de información confidencial de un sitio privado repositorio dentro de un proyecto público CVE-2024-2177 (puntuación CVSS: 6,8): una vulnerabilidad de falsificación de ventanas cruzadas que permite a un atacante abusar del flujo de autenticación OAuth a través de una carga útil diseñada. Si bien no hay evidencia de explotación activa de las fallas, los usuarios Se recomienda aplicar los parches para mitigar posibles amenazas. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

28 de junio de 2024Sala de prensaSeguridad de redes / Protección de datos Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario. «SnailLoad explota un cuello de botella presente en todas las conexiones a Internet», dijeron los investigadores en un estudio publicado esta semana. «Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad de red actual en la conexión a Internet de otra persona. Un atacante puede usar esta información para inferir los sitios web que visita un usuario o los videos que mira». Una característica definitoria de este enfoque es que evita la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar cerca físicamente de la conexión Wi-Fi para rastrear el tráfico de la red. En concreto, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como un canal secundario para determinar las actividades en línea en el sistema de la víctima. Para realizar un ataque de toma de huellas digitales de este tipo y obtener qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima a medida que se descarga el contenido del servidor mientras navega o visualiza. A continuación, implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para realizar la inferencia con una precisión de hasta el 98% para vídeos y el 63% para sitios web. En otras palabras, debido al cuello de botella de la red del lado de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta del paquete (RTT). Los rastros de RTT son únicos por vídeo y se pueden utilizar para clasificar el vídeo visto por la víctima. El ataque se llama así porque el servidor atacante transmite el archivo a paso de tortuga para controlar la latencia de la conexión durante un período prolongado de tiempo. «SnailLoad no requiere JavaScript, ninguna forma de ejecución de código en el sistema de la víctima y ninguna interacción del usuario, sino solo un intercambio constante de paquetes de red», explicaron los investigadores, y agregaron que «mide la latencia en el sistema de la víctima e infiere la actividad de red en el sistema de la víctima a partir de las variaciones de latencia». «La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, generalmente el último nodo antes del módem o enrutador del usuario, relacionado con un problema de calidad de servicio llamado bufferbloat». La revelación se produce después de que los académicos revelaran una falla de seguridad en la forma en que el firmware del enrutador maneja el mapeo de Traducción de Direcciones de Red (NAT) que podría ser explotada por un atacante conectado a la misma red Wi-Fi que la víctima para eludir la aleatorización incorporada en el Protocolo de Control de Transmisión (TCP). «La mayoría de los enrutadores, por razones de rendimiento, no inspeccionan rigurosamente los números de secuencia de los paquetes TCP», dijeron los investigadores. «En consecuencia, esto introduce vulnerabilidades de seguridad graves que los atacantes pueden explotar creando paquetes de reinicio falsificados (RST) para borrar maliciosamente las asignaciones NAT en el enrutador». El ataque básicamente permite al actor de la amenaza inferir los puertos de origen de otras conexiones de clientes, así como robar el número de secuencia y el número de reconocimiento de la conexión TCP normal entre el cliente víctima y el servidor para realizar la manipulación de la conexión TCP. Los ataques de secuestro dirigidos a TCP podrían luego ser utilizados como arma para envenenar la página web HTTP de una víctima o realizar ataques de denegación de servicio (DoS), según los investigadores, quienes dijeron que la comunidad OpenWrt, así como los proveedores de enrutadores como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti y Xiaomi, están preparando parches para la vulnerabilidad. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

28 de junio de 2024Sala de prensaSeguridad industrial / Infraestructura crítica Se han revelado múltiples fallas de seguridad en los cromatógrafos de gases Emerson Rosemount que podrían ser explotadas por actores maliciosos para obtener información confidencial, inducir una condición de denegación de servicio (DoS) e incluso ejecutar comandos arbitrarios. Las fallas afectan a GC370XA, GC700XA y GC1500XA y residen en las versiones 4.1.5 y anteriores. Según la empresa de seguridad de tecnología operativa (OT) Claroty, las vulnerabilidades incluyen dos fallas de inyección de comandos y dos vulnerabilidades de autenticación y autorización independientes que podrían ser utilizadas por atacantes no autenticados para realizar una amplia gama de acciones maliciosas que van desde la omisión de la autenticación hasta la inyección de comandos. «La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado con acceso a la red ejecute comandos arbitrarios, acceda a información confidencial, provoque una condición de denegación de servicio y evite la autenticación para adquirir capacidades de administrador», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en un aviso publicado en enero. El cromatógrafo, que se utiliza para realizar mediciones críticas de gases, se puede configurar y administrar mediante un software llamado MON. El software también se puede utilizar para almacenar datos críticos y generar informes como cromatogramas, historial de alarmas, registros de eventos y registros de mantenimiento. El análisis de Claroty del firmware y el protocolo propietario utilizado para las comunicaciones entre el dispositivo y el cliente de Windows llamado MON2020 ha revelado las siguientes deficiencias: CVE-2023-46687 (puntuación CVSS: 9,8): un usuario no autenticado con acceso a la red podría ejecutar comandos arbitrarios en el contexto raíz desde una computadora remota CVE-2023-49716 (puntuación CVSS: 6,9): un usuario autenticado con acceso a la red podría ejecutar comandos arbitrarios desde una computadora remota CVE-2023-51761 (puntuación CVSS: 8,3): un usuario no autenticado con acceso a la red podría eludir la autenticación y adquirir capacidades de administrador restableciendo la contraseña asociada CVE-2023-43609 (puntuación CVSS: 6,9): un usuario no autenticado con acceso a la red podría obtener acceso a información confidencial o provocar una condición de denegación de servicio Tras una divulgación responsable, Emerson ha publicado [PDF] una versión actualizada del firmware que soluciona las vulnerabilidades. La empresa también recomienda a los usuarios finales que sigan las mejores prácticas de ciberseguridad y se aseguren de que los productos afectados no estén expuestos directamente a Internet. La revelación se produce cuando Nozomi Networks detalló varias fallas en AiLux RTU62351B que podrían usarse para acceder a recursos confidenciales en el dispositivo, alterar su configuración e incluso lograr la ejecución de comandos arbitrarios como root. Las vulnerabilidades se han denominado colectivamente I11USION. También se han identificado fallas en los dispositivos de monitoreo de temperatura Proges Plus y su software asociado, a saber, Sensor Net Connect y Thermoscan IP, que podrían permitir privilegios de administrador sobre sistemas médicos críticos, lo que hace posible que un actor malintencionado manipule la configuración del sistema, instale malware y exfiltre datos. Estas vulnerabilidades, que siguen sin parchearse, también podrían resultar en una condición de DoS de la infraestructura de monitoreo médico, lo que lleva al deterioro de medicamentos y vacunas sensibles a la temperatura. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Nacional ruso acusado de ciberataques a Ucrania antes de la invasión de 2022

Nacional ruso acusado de ciberataques a Ucrania antes de la invasión de 2022

27 de junio de 2024Sala de prensaCibercrimen/Guerra cibernética Un ciudadano ruso de 22 años ha sido acusado en Estados Unidos por su presunto papel en la organización de ciberataques destructivos contra Ucrania y sus aliados en los días previos a la invasión militar en toda regla de Rusia. de Ucrania a principios de 2022. Se considera que Amin Timovich Stigal, el acusado en cuestión, está afiliado a la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). Sigue prófugo. Si es declarado culpable, enfrenta una pena máxima de cinco años de prisión. Simultáneamente con la acción, el programa de Recompensas por la Justicia del Departamento de Estado de EE.UU. ofrece una recompensa de hasta 10 millones de dólares por información relativa a su paradero o los ataques cibernéticos maliciosos con los que está asociado. «El acusado conspiró con la inteligencia militar rusa en vísperas de la injusta y no provocada invasión rusa de Ucrania para lanzar ataques cibernéticos contra el gobierno ucraniano y luego contra sus aliados, incluido Estados Unidos», dijo el fiscal general Merrick B. Garland en un comunicado. Los ataques implicaron el uso de un malware de limpieza con nombre en código WhisperGate (también conocido como PAYWIPE) que se utilizó en intrusiones dirigidas a entidades gubernamentales, sin fines de lucro y de tecnología de la información en Ucrania. Los ataques se registraron por primera vez a mediados de enero de 2022. «El malware está disfrazado de ransomware pero, si el atacante lo activa, dejaría el sistema informático infectado inoperable», dijo Microsoft en ese momento. El gigante tecnológico está rastreando el grupo bajo su apodo de temática meteorológica Cadet Blizzard. Según documentos judiciales, se dice que Stigal et al utilizaron los servicios de una empresa anónima con sede en EE. UU. para distribuir WhisperGate y extraer datos confidenciales, incluidos los registros médicos de los pacientes. Además, desfiguraron los sitios web y pusieron a la venta la información robada en foros sobre delitos cibernéticos en un aparente esfuerzo por sembrar preocupación entre la población ucraniana en general con respecto a la seguridad de los sistemas y datos gubernamentales. «Desde el 5 de agosto de 2021 hasta el 3 de febrero de 2022, los conspiradores aprovecharon la misma infraestructura informática que utilizaron en los ataques relacionados con Ucrania para investigar las computadoras pertenecientes a una agencia del gobierno federal en Maryland de la misma manera que habían investigado inicialmente a Ucrania. Redes gubernamentales», dijo el Departamento de Justicia (DoJ). Hombre de Florida condenado por robos violentos en viviendas para robar criptomonedas El acontecimiento se produce un día después de que el Departamento de Justicia anunciara la condena de Remy St Felix, un hombre de Florida de 24 años, por irrumpir en las casas de las personas, secuestrarlas y agredirlas violentamente, y robar criptomoneda. Fue arrestado en julio de 2023. «Las víctimas de los allanamientos de viviendas de San Félix fueron secuestradas en sus propios hogares y se les dijo que accedieran y vaciaran sus cuentas de criptomonedas», dijo la agencia, y agregó que «San Félix y sus cómplices obtuvieron acceso no autorizado a sus objetivos». ‘cuentas de correo electrónico y realizó vigilancia física antes de intentar los robos con allanamiento de morada». En un caso destacado por el Departamento de Justicia, St Felix y un cómplice agredieron, ataron y retuvieron a una víctima y a su cónyuge a punta de pistola, mientras que los demás transfirieron más de $150,000 en criptomonedas desde la cuenta Coinbase de la víctima utilizando el escritorio remoto AnyDesk. software. El brutal incidente tuvo lugar en Carolina del Norte en abril de 2023. Los activos digitales robados luego se lavaron a través de servicios como Monero y plataformas financieras descentralizadas que no siguieron los controles de conocimiento de su cliente (KYC) para encubrir el rastro, y los acusados ​​hicieron uso de aplicaciones de mensajería cifrada para tramar sus esquemas. St Felix, quien fue declarado culpable de nueve cargos relacionados con conspiración, secuestro, robo según la Ley Hobbs, fraude electrónico y blandir un arma de fuego, enfrenta una pena mínima de cárcel de siete años y una pena máxima de cadena perpetua. Su sentencia debe ser el 11 de septiembre de 2024. ¿Le pareció interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Investigadores de ciberseguridad han revelado una falla de seguridad de alta gravedad en la biblioteca Vanna.AI que podría explotarse para lograr una vulnerabilidad de ejecución remota de código mediante técnicas de inyección rápida. La vulnerabilidad, rastreada como CVE-2024-5565 (puntaje CVSS: 8.1), se relaciona con un caso de inyección rápida en la función «preguntar» que podría explotarse para engañar a la biblioteca para que ejecute comandos arbitrarios, dijo la firma de seguridad de la cadena de suministro JFrog. Vanna es una biblioteca de aprendizaje automático basada en Python que permite a los usuarios chatear con su base de datos SQL para obtener información «simplemente haciendo preguntas» (también conocidas como indicaciones) que se traducen a una consulta SQL equivalente utilizando un modelo de lenguaje grande (LLM). La rápida implementación de modelos de inteligencia artificial (IA) generativa en los últimos años ha puesto de relieve los riesgos de explotación por parte de actores maliciosos, que pueden convertir las herramientas en armas proporcionando entradas adversas que eluden los mecanismos de seguridad integrados en ellas. Una de esas clases destacadas de ataques es la inyección rápida, que se refiere a un tipo de jailbreak de IA que puede usarse para ignorar las barreras erigidas por los proveedores de LLM para evitar la producción de contenido ofensivo, dañino o ilegal, o llevar a cabo instrucciones que violen el objetivo previsto. propósito de la aplicación. Dichos ataques pueden ser indirectos, en los que un sistema procesa datos controlados por un tercero (por ejemplo, correos electrónicos entrantes o documentos editables) para lanzar una carga útil maliciosa que conduce a una fuga de IA. También pueden tomar la forma de lo que se llama jailbreak de muchos disparos o jailbreak de múltiples turnos (también conocido como Crescendo) en el que el operador «comienza con un diálogo inofensivo y dirige progresivamente la conversación hacia el objetivo prohibido previsto». Este enfoque se puede ampliar aún más para realizar otro novedoso ataque de jailbreak conocido como Skeleton Key. «Esta técnica de jailbreak de IA funciona mediante el uso de una estrategia de múltiples turnos (o múltiples pasos) para hacer que un modelo ignore sus barreras de seguridad», dijo Mark Russinovich, director de tecnología de Microsoft Azure. «Una vez que se ignoran las barreras de seguridad, un modelo no podrá determinar solicitudes maliciosas o no autorizadas de ningún otro». Skeleton Key también se diferencia de Crescendo en que una vez que el jailbreak es exitoso y se cambian las reglas del sistema, el modelo puede crear respuestas a preguntas que de otro modo estarían prohibidas, independientemente de los riesgos éticos y de seguridad involucrados. «Cuando el jailbreak de Skeleton Key tiene éxito, un modelo reconoce que ha actualizado sus pautas y posteriormente cumplirá con las instrucciones para producir cualquier contenido, sin importar cuánto viole sus pautas originales de IA responsable», dijo Russinovich. «A diferencia de otros jailbreaks como Crescendo, donde se debe preguntar a los modelos sobre las tareas indirectamente o con codificaciones, Skeleton Key pone a los modelos en un modo en el que un usuario puede solicitar tareas directamente. Además, la salida del modelo parece no estar completamente filtrada y revela el alcance de el conocimiento o la capacidad de un modelo para producir el contenido solicitado». Los últimos hallazgos de JFrog –también divulgados de forma independiente por Tong Liu– muestran cómo las inyecciones rápidas podrían tener graves impactos, particularmente cuando están vinculadas a la ejecución de una orden. CVE-2024-5565 aprovecha el hecho de que Vanna facilita la generación de texto a SQL para crear consultas SQL, que luego se ejecutan y se presentan gráficamente a los usuarios utilizando la biblioteca de gráficos Plotly. Esto se logra mediante una función «preguntar», por ejemplo, vn.ask («¿Cuáles son los 10 principales clientes por ventas?»), que es uno de los principales puntos finales de API que permite ejecutar consultas SQL en la base de datos. El comportamiento antes mencionado, junto con la generación dinámica del código Plotly, crea un agujero de seguridad que permite a un actor de amenazas enviar un mensaje especialmente diseñado que incorpora un comando para ejecutarse en el sistema subyacente. «La biblioteca Vanna utiliza una función de aviso para presentar al usuario resultados visualizados, es posible alterar el aviso usando la inyección de aviso y ejecutar código Python arbitrario en lugar del código de visualización deseado», dijo JFrog. «Específicamente, permitir la entrada externa al método ‘preguntar’ de la biblioteca con ‘visualizar’ configurado en Verdadero (comportamiento predeterminado) conduce a la ejecución remota de código». Tras una divulgación responsable, Vanna ha publicado una guía de refuerzo que advierte a los usuarios que la integración de Plotly podría usarse para generar código Python arbitrario y que los usuarios que expongan esta función deben hacerlo en un entorno de espacio aislado. «Este descubrimiento demuestra que los riesgos del uso generalizado de GenAI/LLM sin una gobernanza y seguridad adecuadas pueden tener implicaciones drásticas para las organizaciones», dijo en un comunicado Shachar Menashe, director senior de investigación de seguridad de JFrog. «Los peligros de la inyección rápida todavía no son muy conocidos, pero son fáciles de ejecutar. Las empresas no deberían confiar en la estimulación previa como mecanismo de defensa infalible y deberían emplear mecanismos más sólidos al conectar los LLM con recursos críticos como bases de datos o dinámicas. codigo de GENERACION.» ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

La botnet P2PInfect basada en Rust evoluciona con cargas útiles de minero y ransomware

La botnet P2PInfect basada en Rust evoluciona con cargas útiles de minero y ransomware

Se ha descubierto que la botnet de malware peer-to-peer conocida como P2PInfect apunta a servidores Redis mal configurados con ransomware y mineros de criptomonedas. El desarrollo marca la transición de la amenaza de lo que parecía ser una botnet inactiva con motivos poco claros a una operación con motivación financiera. «Con sus últimas actualizaciones del cripto minero, la carga útil del ransomware y los elementos del rootkit, demuestra los continuos esfuerzos del autor del malware para sacar provecho de su acceso ilícito y difundir aún más la red, mientras continúa invadiendo Internet», dijo Cado Security en un informe publicado esta semana. P2PInfect salió a la luz hace casi un año y desde entonces ha recibido actualizaciones para arquitecturas MIPS y ARM. A principios de enero, Nozomi Networks descubrió el uso del malware para entregar cargas útiles a los mineros. Por lo general, se propaga apuntando a los servidores Redis y su función de replicación para transformar los sistemas víctimas en un nodo seguidor del servidor controlado por el atacante, permitiéndole posteriormente emitirles comandos arbitrarios. El gusano basado en Rust también presenta la capacidad de escanear Internet en busca de servidores más vulnerables, sin mencionar la incorporación de un módulo de distribución de contraseñas SSH que intenta iniciar sesión utilizando contraseñas comunes. Además de tomar medidas para evitar que otros atacantes apunten al mismo servidor, se sabe que P2PInfect cambia las contraseñas de otros usuarios, reinicia el servicio SSH con permisos de root e incluso realiza una escalada de privilegios. «Como sugiere el nombre, es una botnet peer-to-peer, donde cada máquina infectada actúa como un nodo en la red y mantiene una conexión con varios otros nodos», dijo el investigador de seguridad Nate Bill. «Esto da como resultado que la botnet forme una enorme red de malla, que el autor del malware utiliza para enviar archivos binarios actualizados a través de la red, a través de un mecanismo de chismes. El autor simplemente necesita notificar a un par, y este informará a todos sus pares y y así sucesivamente hasta que el nuevo binario se propague por completo a través de la red». Entre los nuevos cambios de comportamiento de P2PInfect se incluye el uso del malware para eliminar cargas útiles de mineros y ransomware, el último de los cuales está diseñado para cifrar archivos que coinciden con ciertas extensiones de archivo y entregar una nota de rescate instando a las víctimas a pagar 1 XMR (~$165). «Como se trata de un ataque oportunista y no dirigido, es probable que las víctimas sean de bajo valor, por lo que es de esperar un precio bajo», señaló Bill. También es de destacar un nuevo rootkit en modo de usuario que utiliza la variable de entorno LD_PRELOAD para ocultar sus procesos y archivos maliciosos de las herramientas de seguridad, una técnica también adoptada por otros grupos de criptojacking como TeamTNT. Se sospecha que P2PInfect se anuncia como un servicio de botnet de alquiler, que actúa como un conducto para desplegar las cargas útiles de otros atacantes a cambio de un pago. Esta teoría se ve reforzada por el hecho de que las direcciones de billetera para el minero y el ransomware son diferentes, y que el proceso minero está configurado para consumir la mayor potencia de procesamiento posible, lo que interfiere con el funcionamiento del ransomware. «La elección de una carga útil de ransomware para malware dirigido principalmente a un servidor que almacena datos efímeros en memoria es extraña, y P2Pinfect probablemente obtendrá muchas más ganancias de su minero que de su ransomware debido a la cantidad limitada de archivos de bajo valor que contiene. puede acceder debido a su nivel de permiso», dijo Bill. «La introducción del rootkit en modo de usuario es una adición ‘buena en el papel’ al malware. Si el acceso inicial es Redis, el rootkit en modo de usuario también será completamente ineficaz ya que sólo puede agregar la precarga para la cuenta de servicio de Redis, que otros usuarios probablemente no iniciará sesión como.» La divulgación sigue a las revelaciones del Centro de Inteligencia de Seguridad de AhnLab (ASEC) de que servidores web vulnerables que tienen fallas sin parchear o están mal protegidos están siendo atacados por presuntos actores de amenazas de habla china para implementar criptomineros. «El control remoto se facilita a través de shells web instalados y NetCat, y dada la instalación de herramientas proxy destinadas al acceso RDP, la filtración de datos por parte de los actores de amenazas es una clara posibilidad», dijo ASEC, destacando el uso de Behinder, China Chopper, Godzilla, BadPotato, cpolar y RingQ. También se produce cuando Fortinet FortiGuard Labs señaló que botnets como UNSTABLE, Condi y Skibidi están abusando de operadores legítimos de servicios informáticos y de almacenamiento en la nube para distribuir cargas útiles de malware y actualizaciones a una amplia gama de dispositivos. «Usar servidores en la nube para [command-and-control] «Las operaciones garantizan una comunicación persistente con los dispositivos comprometidos, lo que dificulta que los defensores interrumpan un ataque», dijeron los investigadores de seguridad Cara Lin y Vincent Li. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Página 1 de 17

Funciona con WordPress & Tema de Anders Norén