05 de octubre de 2024Ravie LakshmananPrivacidad de datos/seguridad móvil Apple ha lanzado actualizaciones de iOS y iPadOS para abordar dos problemas de seguridad, uno de los cuales podría haber permitido que las contraseñas de un usuario se leyeran en voz alta mediante su tecnología de asistencia VoiceOver. La vulnerabilidad, identificada como CVE-2024-44204, se ha descrito como un problema lógico en la nueva aplicación Contraseñas que afecta a una gran cantidad de iPhones y iPads. Al investigador de seguridad Bistrit Daha se le atribuye el mérito de descubrir e informar la falla. «VoiceOver puede leer en voz alta las contraseñas guardadas de un usuario», dijo Apple en un aviso publicado esta semana, y agregó que se resolvió con una validación mejorada. La deficiencia afecta a los siguientes dispositivos: iPhone XS y posteriores iPad Pro de 13 pulgadas iPad Pro de 12,9 pulgadas de 3.ª generación y posteriores iPad Pro de 11 pulgadas de 1.ª generación y posteriores iPad Air de 3.ª generación y posteriores iPad de 7.ª generación y posteriores y iPad mini de 5.ª generación y posteriores Apple también ha parcheado una vulnerabilidad de seguridad (CVE-2024-44207) específica de los modelos de iPhone 16 recientemente lanzados que permite capturar audio antes de que se encienda el indicador del micrófono. Tiene sus raíces en el componente Media Session. «Los mensajes de audio en Mensajes pueden capturar unos segundos de audio antes de que se active el indicador del micrófono», señaló el fabricante del iPhone. El problema se solucionó con controles mejorados, agregó, dando crédito a Michael Jiménez y a un investigador anónimo por informarlo. Se recomienda a los usuarios que actualicen a iOS 18.0.1 y iPadOS 18.0.1 para proteger sus dispositivos contra riesgos potenciales. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Etiqueta: Seguridad informatica Página 1 de 29
04 de octubre de 2024Ravie LakshmananAtaque de phishing/crimen cibernético Microsoft y el Departamento de Justicia de EE. UU. (DoJ) anunciaron el jueves la incautación de 107 dominios de Internet utilizados por actores de amenazas patrocinados por el estado con vínculos con Rusia para facilitar el fraude y el abuso informático en el país. . «El gobierno ruso ejecutó este plan para robar información confidencial de los estadounidenses, utilizando cuentas de correo electrónico aparentemente legítimas para engañar a las víctimas para que revelen las credenciales de las cuentas», dijo la Fiscal General Adjunta Lisa Monaco. La actividad se ha atribuido a un actor de amenazas llamado COLDRIVER, que también es conocido con los nombres Blue Callisto, BlueCharlie (o TAG-53), Calisto (escrito alternativamente Callisto), Dancing Salome, Gossamer Bear, Iron Frontier, Star Blizzard (anteriormente SEABORGIUM), TA446 y UNC4057. Activo desde al menos 2012, se considera que el grupo es una unidad operativa dentro del Centro 18 del Servicio Federal de Seguridad de Rusia (FSB). En diciembre de 2023, los gobiernos del Reino Unido y Estados Unidos sancionaron a dos miembros del grupo (Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets) por sus actividades maliciosas de recolección de credenciales y campañas de phishing. Posteriormente, en junio de 2024, el Consejo Europeo impuso sanciones contra los mismos dos individuos. El Departamento de Justicia dijo que los 41 dominios recientemente incautados fueron utilizados por los actores de amenazas para «cometer violaciones de acceso no autorizado a una computadora para obtener información de un departamento o agencia de los Estados Unidos, acceso no autorizado a una computadora para obtener información de una computadora protegida, y causar daños a una computadora protegida.» Se alega que los dominios se utilizaron como parte de una campaña de phishing dirigida a las cuentas de correo electrónico del gobierno de EE. UU. y otras víctimas con el objetivo de recopilar credenciales y datos valiosos. Paralelamente al anuncio, Microsoft dijo que presentó una acción civil correspondiente para confiscar 66 dominios de Internet adicionales utilizados por COLDRIVER para identificar a más de 30 entidades y organizaciones de la sociedad civil entre enero de 2023 y agosto de 2024. Esto incluía ONG y grupos de expertos que apoyan a empleados gubernamentales y funcionarios militares y de inteligencia, en particular aquellos que brindan apoyo a Ucrania y en países de la OTAN como el Reino Unido y los EE. UU. El ataque de COLDRIVER a las ONG fue documentado previamente por Access Now y Citizen Lab en agosto de 2024. «Las operaciones de Star Blizzard son implacables y explotan la confianza , privacidad y familiaridad de las interacciones digitales cotidianas», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales (DCU) de Microsoft. «Han sido particularmente agresivos al atacar a ex funcionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos que residen en Estados Unidos». El gigante tecnológico dijo que identificó a 82 clientes que han sido atacados por el adversario desde enero de 2023, lo que demuestra una tenacidad por parte del grupo. para evolucionar con nuevas tácticas y lograr sus objetivos estratégicos. «Esta frecuencia subraya la diligencia del grupo a la hora de identificar objetivos de alto valor, elaborar correos electrónicos de phishing personalizados y desarrollar la infraestructura necesaria para el robo de credenciales», dijo Masada. «Sus víctimas, a menudo sin darse cuenta de la intención maliciosa, interactúan sin saberlo con estos mensajes que comprometen sus credenciales». ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
La falla de seguridad del complemento LiteSpeed Cache de WordPress expone los sitios a ataques XSS
04 de octubre de 2024Ravie LakshmananSeguridad/vulnerabilidad del sitio web Se ha revelado una nueva falla de seguridad de alta gravedad en el complemento LiteSpeed Cache para WordPress que podría permitir a actores malintencionados ejecutar código JavaScript arbitrario bajo ciertas condiciones. La falla, rastreada como CVE-2024-47374 (puntuación CVSS: 7.2), se ha descrito como una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas que afecta a todas las versiones del complemento hasta la 6.5.0.2 inclusive. Se solucionó en la versión 6.5.1 el 25 de septiembre de 2024, luego de la divulgación responsable por parte del investigador de Patchstack Alliance, TaiYou. «Podría permitir que cualquier usuario no autenticado robe información confidencial para, en este caso, escalar privilegios en el sitio de WordPress realizando una única solicitud HTTP», dijo Patchstack en un informe. La falla surge de la manera en que el complemento, el valor del encabezado HTTP «X-LSCACHE-VARY-VALUE», se analiza sin una desinfección adecuada y sin escape de salida, lo que permite la inyección de scripts web arbitrarios. Dicho esto, vale la pena señalar que las configuraciones de optimización de página «Combinar CSS» y «Generar UCSS» son necesarias para permitir que el exploit tenga éxito. También llamados ataques XSS persistentes, estas vulnerabilidades permiten almacenar un script inyectado de forma permanente en los servidores del sitio web de destino, como en una base de datos, en un foro de mensajes, en un registro de visitantes o en un comentario. Esto hace que el código malicioso incrustado en el script se ejecute cada vez que un visitante desprevenido del sitio llega al recurso solicitado, por ejemplo, la página web que contiene el comentario especialmente diseñado. Los ataques XSS almacenados pueden tener consecuencias graves, ya que podrían utilizarse como arma para generar vulnerabilidades basadas en navegadores, robar información confidencial o incluso secuestrar la sesión de un usuario autenticado y realizar acciones en su nombre. El escenario más dañino es cuando la cuenta de usuario secuestrada es la de un administrador del sitio, lo que permite que un actor de amenazas tome el control total del sitio web y realice ataques aún más poderosos. Los complementos y temas de WordPress son una vía popular para los ciberdelincuentes que buscan comprometer sitios web legítimos. Dado que LiteSpeed Cache cuenta con más de seis millones de instalaciones activas, las fallas en el complemento representan una superficie de ataque lucrativa para ataques oportunistas. El último parche llega casi un mes después de que los desarrolladores del complemento abordaran otra falla (CVE-2024-44000, puntuación CVSS: 7,5) que podría permitir a usuarios no autenticados tomar el control de cuentas arbitrarias. También sigue a la divulgación de una falla crítica de inyección de SQL sin parche en el complemento TI WooCommerce Wishlist (CVE-2024-43917, puntuación CVSS: 9.8) que, si se explota con éxito, permite a cualquier usuario ejecutar consultas SQL arbitrarias en la base de datos de WordPress. sitio. Otra vulnerabilidad de seguridad crítica se refiere al complemento de WordPress Jupiter X Core (CVE-2024-7772, puntuación CVSS: 9,8) que permite a atacantes no autenticados cargar archivos arbitrarios en el servidor del sitio afectado, lo que podría provocar la ejecución remota de código. Se ha solucionado en la versión 4.7.8, junto con una falla de omisión de autenticación de alta gravedad (CVE-2024-7781, puntuación CVSS: 8.1) que «hace posible que atacantes no autenticados inicien sesión como el primer usuario en iniciar sesión». con una cuenta de redes sociales, incluidas cuentas de administrador», dijo Wordfence. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Cloudflare ha revelado que mitigó un ataque récord de denegación de servicio distribuido (DDoS) que alcanzó un máximo de 3,8 terabits por segundo (Tbps) y duró 65 segundos. La compañía de seguridad e infraestructura web dijo que defendió «más de cien ataques DDoS hipervolumétricos L3/4 a lo largo del mes, muchos de los cuales superaron los 2 mil millones de paquetes por segundo (Bpps) y 3 terabits por segundo (Tbps)». Los ataques DDoS hipervolumétricos L3/4 han estado en curso desde principios de septiembre de 2024, señaló, y agregó que se dirigieron a múltiples clientes en las industrias de servicios financieros, Internet y telecomunicaciones. La actividad no se ha atribuido a ningún actor de amenaza específico. El récord anterior del mayor ataque DDoS volumétrico alcanzó un rendimiento máximo de 3,47 Tbps en noviembre de 2021, dirigido a un cliente anónimo de Microsoft Azure en Asia. Los ataques aprovechan el protocolo User Datagram Protocol (UDP) en un puerto fijo, con una avalancha de paquetes originados en Vietnam, Rusia, Brasil, España y los EE. UU. Estos incluyen dispositivos MikroTik, DVR y servidores web comprometidos. Cloudflare dijo que los ataques de alta tasa de bits probablemente emanan de una gran botnet que comprende enrutadores domésticos ASUS infectados que se explotan utilizando una falla crítica recientemente revelada (CVE-2024-3080, puntuación CVSS: 9,8). Según las estadísticas compartidas por la empresa de gestión de superficies de ataque Censys, un poco más de 157.000 modelos de enrutadores ASUS se vieron potencialmente afectados por la vulnerabilidad al 21 de junio de 2024. La mayoría de estos dispositivos están ubicados en EE. UU., Hong Kong y China. El objetivo final de la campaña, según Cloudflare, es agotar el ancho de banda de la red de ese objetivo, así como los ciclos de CPU, evitando así que los usuarios legítimos accedan al servicio. «Para defenderse contra ataques de alta velocidad de paquetes, es necesario poder inspeccionar y descartar los paquetes defectuosos utilizando la menor cantidad de ciclos de CPU posible, dejando suficiente CPU para procesar los paquetes buenos», dijo la compañía. «Muchos servicios en la nube con capacidad insuficiente, así como el uso de equipos locales, no son suficientes para defenderse contra ataques DDoS de este tamaño, debido al alto uso del ancho de banda que puede obstruir los enlaces de Internet y a la alta velocidad de paquetes que puede estrellar los electrodomésticos en línea». La banca, los servicios financieros y los servicios públicos son un objetivo importante para los ataques DDoS, habiendo experimentado un aumento del 55 % en los últimos cuatro años, según la empresa de monitoreo del rendimiento de la red NETSCOUT. Solo en la primera mitad de 2024, ha habido un aumento del 30% en los ataques volumétricos. El aumento en la frecuencia de los ataques DDoS, principalmente debido a actividades hacktivistas dirigidas a organizaciones e industrias globales, también ha ido acompañado del uso de DNS sobre HTTPS (DoH) para comando y control (C2) en un esfuerzo por facilitar la detección. desafiante. «La tendencia de implementar una infraestructura de botnet C2 distribuida, aprovechando los bots como nodos de control, complica aún más los esfuerzos de defensa porque no es sólo la actividad DDoS entrante sino también la actividad saliente de los sistemas infectados por bots lo que necesita ser clasificado y bloqueado», dijo NETSCOUT . El desarrollo se produce cuando Akamai reveló que las vulnerabilidades recientemente reveladas del Sistema de impresión común UNIX (CUPS) en Linux podrían ser un vector viable para montar ataques DDoS con un factor de amplificación de 600x en cuestión de segundos. El análisis de la compañía encontró que más de 58.000 (34%) de los aproximadamente 198.000 dispositivos a los que se puede acceder en la Internet pública podrían utilizarse para realizar ataques DDoS. «El problema surge cuando un atacante envía un paquete diseñado especificando la dirección de un objetivo como una impresora para agregar», dijeron los investigadores Larry Cashdollar, Kyle Lefton y Chad Seaman. «Por cada paquete enviado, el servidor CUPS vulnerable generará una solicitud IPP/HTTP más grande y parcialmente controlada por el atacante dirigida al objetivo especificado. Como resultado, no sólo el objetivo se ve afectado, sino que el host del servidor CUPS también se convierte en un víctima, ya que el ataque consume el ancho de banda de su red y los recursos de la CPU». Se estima que hay alrededor de 7.171 hosts que tienen servicios CUPS expuestos a través de TCP y son vulnerables a CVE-2024-47176, dijo Censys, calificándolo de subestimación debido al hecho de que «parece que hay más servicios CUPS accesibles a través de UDP que de TCP. » Se recomienda a las organizaciones que consideren eliminar CUPS si la funcionalidad de impresión no es necesaria y cortafuegos en los puertos de servicio (UDP/631) en los casos en que sean accesibles desde Internet en general. ¿Encontró interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
La Gestión Continua de la Exposición a Amenazas (CTEM) es un marco estratégico que ayuda a las organizaciones a evaluar y gestionar continuamente el riesgo cibernético. Desglosa la compleja tarea de gestionar las amenazas a la seguridad en cinco etapas distintas: alcance, descubrimiento, priorización, validación y movilización. Cada una de estas etapas desempeña un papel crucial a la hora de identificar, abordar y mitigar las vulnerabilidades, antes de que los atacantes puedan aprovecharlas. Sobre el papel, CTEM suena genial. Pero cuando el asunto llega a su fin, especialmente para los neófitos de CTEM, la implementación de CTEM puede parecer abrumadora. El proceso de poner en práctica los principios CTEM puede parecer prohibitivamente complejo al principio. Sin embargo, con las herramientas adecuadas y una comprensión clara de cada etapa, CTEM puede ser un método eficaz para fortalecer la postura de seguridad de su organización. Por eso he elaborado una guía paso a paso sobre qué herramientas utilizar en cada etapa. ¿Quieres saber más? Siga leyendo… Etapa 1: Determinación del alcance Cuando define los activos críticos durante la determinación del alcance, está dando el primer paso esencial para comprender los procesos y recursos más valiosos de su organización. Su objetivo aquí es identificar los activos que son vitales para sus operaciones, y esto a menudo implica aportes de una variedad de partes interesadas, no solo de su equipo de operaciones de seguridad (SecOps). El alcance no es sólo una tarea técnica, es una tarea de personas: se trata de comprender verdaderamente el contexto y los procesos de su negocio. Una forma útil de abordar esto es a través de talleres sobre activos críticos para el negocio. Estas sesiones reúnen a los tomadores de decisiones, incluidos los altos directivos, para alinear sus procesos comerciales con la tecnología que los respalda. Luego, para respaldar sus esfuerzos de determinación del alcance, puede utilizar herramientas como las tradicionales hojas de cálculo, sistemas más avanzados como bases de datos de gestión de configuración (CMDB) o soluciones especializadas como gestión de activos de software (SAM) y gestión de activos de hardware (HAM). Además, las herramientas de gestión de la postura de seguridad de los datos (DSPM) brindan información valiosa al analizar los activos y priorizar aquellos que necesitan mayor protección. (Lea más sobre el alcance aquí). Etapa 2: Descubrimiento El descubrimiento se centra en identificar activos y vulnerabilidades en todo el ecosistema de su organización, utilizando diversas herramientas y métodos para compilar una visión integral de su panorama tecnológico y permitir que sus equipos de seguridad evalúen los riesgos potenciales. Las herramientas de escaneo de vulnerabilidades se utilizan comúnmente para descubrir activos e identificar posibles debilidades. Estas herramientas buscan vulnerabilidades conocidas (CVE) dentro de sus sistemas y redes y luego entregan informes detallados sobre qué áreas necesitan atención. Además, Active Directory (AD) desempeña un papel crucial en el descubrimiento, especialmente en entornos donde prevalecen los problemas de identidad. Para entornos de nube, las herramientas de gestión de la postura de seguridad en la nube (CSPM) se utilizan para identificar configuraciones erróneas y vulnerabilidades en plataformas como AWS, Azure y GCP. Estas herramientas también manejan problemas de gestión de identidades específicos de los entornos de nube. (Lea más sobre Discovery aquí.) Etapa 3: Priorización La priorización efectiva es crucial porque garantiza que sus equipos de seguridad se concentren en las amenazas más impactantes, lo que en última instancia reduce el riesgo general para su organización. Es posible que ya esté utilizando soluciones tradicionales de gestión de vulnerabilidades que priorizan según las puntuaciones CVSS (Common Vulnerability Scoring System). Sin embargo, tenga en cuenta que estas puntuaciones a menudo no incorporan el contexto empresarial, lo que dificulta que las partes interesadas, tanto técnicas como no técnicas, comprendan la urgencia de amenazas específicas. Por el contrario, priorizar dentro del contexto de los activos críticos de su negocio hace que el proceso sea más comprensible para los líderes empresariales. Esta alineación permite a sus equipos de seguridad comunicar el impacto potencial de las vulnerabilidades de manera más efectiva en toda la organización. El mapeo de rutas de ataque y la gestión de rutas de ataque se reconocen cada vez más como componentes esenciales de la priorización. Estas herramientas analizan cómo los atacantes pueden moverse lateralmente dentro de su red, ayudándole a identificar puntos críticos donde un ataque podría infligir el mayor daño. Las soluciones que incorporan el mapeo de rutas de ataque le brindan una imagen más completa de los riesgos de exposición, lo que permite un enfoque más estratégico para la priorización. Finalmente, las plataformas externas de inteligencia sobre amenazas son clave en esta etapa. Estas herramientas le brindan datos en tiempo real sobre vulnerabilidades explotadas activamente, agregando un contexto crítico más allá de las puntuaciones CVSS. Además, las tecnologías basadas en IA pueden escalar la detección de amenazas y agilizar la priorización, pero es importante implementarlas con cuidado para evitar introducir errores en su proceso. (Lea más sobre Priorización aquí.) Etapa 4: Validación La etapa de validación de CTEM verifica que las vulnerabilidades identificadas realmente pueden explotarse, evaluando su impacto potencial en el mundo real. Esta etapa garantiza que no solo se afronten los riesgos teóricos, sino que se prioricen las amenazas genuinas que podrían provocar infracciones importantes si no se abordan. Uno de los métodos de validación más eficaces son las pruebas de penetración. Los probadores de penetración simulan ataques del mundo real, intentando explotar vulnerabilidades y probando hasta dónde pueden llegar a través de su red. Esto valida directamente si los controles de seguridad que tiene implementados son efectivos o si ciertas vulnerabilidades pueden usarse como armas. Ofrece una perspectiva práctica, más allá de las puntuaciones de riesgo teóricas. Además de las pruebas de penetración manuales, las herramientas de validación del control de seguridad como la simulación de ataques y violaciones (BAS) desempeñan un papel crucial. Estas herramientas simulan ataques dentro de un entorno controlado, lo que le permite verificar si vulnerabilidades específicas podrían eludir sus defensas existentes. Las herramientas que utilizan un modelo de gemelo digital le permiten validar rutas de ataque sin afectar los sistemas de producción, una gran ventaja sobre los métodos de prueba tradicionales que pueden interrumpir las operaciones. (Lea más sobre la Validación aquí). Etapa 5: Movilización La etapa de movilización aprovecha varias herramientas y procesos que mejoran la colaboración entre sus equipos de seguridad y operaciones de TI. Permitir que SecOps comunique vulnerabilidades y exposiciones específicas que requieren atención cierra la brecha de conocimiento, ayudando a las operaciones de TI a comprender exactamente qué se debe solucionar y cómo hacerlo. Además, la integración de sistemas de emisión de tickets como Jira o Freshworks puede agilizar el proceso de remediación. Estas herramientas le permiten rastrear vulnerabilidades y asignar tareas, asegurando que los problemas se prioricen en función de su impacto potencial en los activos críticos. Las notificaciones por correo electrónico también pueden ser valiosas para comunicar problemas urgentes y actualizaciones a las partes interesadas, mientras que las soluciones de gestión de eventos e información de seguridad (SIEM) pueden centralizar datos de varias fuentes, ayudando a sus equipos a identificar y responder rápidamente a las amenazas. Por último, es importante crear guías claras que describan los pasos para remediar las vulnerabilidades comunes. (Lea más sobre Movilización aquí). Cómo hacer que CTEM sea posible con XM Cyber Ahora que ha leído la larga lista de herramientas que necesitará para hacer de CTEM una realidad, ¿se siente más preparado para comenzar? A pesar de lo transformador que es CTEM, muchos equipos ven la lista anterior y, comprensiblemente, retroceden, sintiendo que es una tarea demasiado compleja y llena de matices. Desde el inicio de CTEM, algunos equipos han optado por renunciar a los beneficios, porque incluso con una hoja de ruta, les parece un esfuerzo demasiado engorroso. La forma más productiva de hacer de CTEM una realidad muy alcanzable es con un enfoque unificado de CTEM que simplifique la implementación al integrar todas las múltiples etapas de CTEM en una plataforma cohesiva. Esto minimiza la complejidad que a menudo se asocia con la implementación de herramientas y procesos dispares. Con XM Cyber, puede: Asignar procesos comerciales críticos a activos de TI subyacentes para priorizar las exposiciones en función del riesgo para el negocio. Descubra todos los CVE y no CVE (configuraciones erróneas, riesgos de identidad, permisos excesivos) en entornos locales y en la nube y en superficies de ataque internas y externas. Obtenga una priorización más rápida y precisa basada en Attack Graph Analysis™ patentado que aprovecha la inteligencia de amenazas, la complejidad de la ruta de ataque, la cantidad de activos críticos que están comprometidos y si se trata de puntos de estrangulamiento para múltiples rutas de ataque. Valide si los problemas son explotables en un entorno específico y si los controles de seguridad están configurados para bloquearlos. Mejorar la remediación, debido a un enfoque en evidencia basada en el contexto, orientación de remediación y alternativas. También se integra con herramientas de emisión de tickets, SIEM y SOAR para realizar un seguimiento del progreso de la remediación. CTEM: esta es la forma en que el enfoque unificado de XM Cyber para CTEM simplifica la implementación al integrar múltiples etapas en una plataforma cohesiva. Esto minimiza la complejidad asociada con la implementación de herramientas y procesos dispares. Con XM Cyber, obtiene visibilidad en tiempo real de sus exposiciones, lo que le permite priorizar los esfuerzos de remediación basados en el riesgo real en lugar de evaluaciones teóricas. La plataforma facilita una comunicación fluida entre SecOps y IT Ops, lo que garantiza que todos estén en sintonía con respecto a las vulnerabilidades y la remediación. Esta colaboración fomenta una postura de seguridad más eficiente y receptiva, lo que permite a su organización abordar amenazas potenciales de manera rápida y efectiva. (Para obtener más información sobre por qué XM Cyber es la respuesta más completa a CTEM, obtenga una copia de nuestra Guía del comprador de CTEM aquí). En última instancia, XM Cyber no solo mejora la capacidad de su equipo para gestionar exposiciones, sino que también le permite adaptarse continuamente a una situación en evolución. panorama de amenazas. Nota: Este artículo fue escrito y contribuido de manera experta por Karsten Chearis, líder del equipo de ingeniería de ventas de seguridad de EE. UU. en XM Cyber. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
03 de octubre de 2024Ravie LakshmananCiberespionaje/Inteligencia de amenazas Se ha observado que actores de amenazas con vínculos con Corea del Norte entregan una puerta trasera y un troyano de acceso remoto (RAT) previamente indocumentados llamado VeilShell como parte de una campaña dirigida a Camboya y probablemente a otros países del Sudeste Asiático. Se cree que la actividad, denominada SHROUDED#SLEEP por Securonix, es obra de APT37, que también se conoce como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet y ScarCruft. Activo desde al menos 2012, se considera que el colectivo adversario forma parte del Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Al igual que otros grupos alineados con el Estado, los afiliados a Corea del Norte, incluidos el Grupo Lazarus y Kimsuky, varían en su modus operandi y probablemente tengan objetivos en constante evolución basados en los intereses estatales. Un malware clave en su caja de herramientas es RokRAT (también conocido como Goldbackdoor), aunque el grupo también ha desarrollado herramientas personalizadas para facilitar la recopilación de inteligencia encubierta. Actualmente no se sabe cómo se entrega a los objetivos la carga útil de la primera etapa, un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK). Sin embargo, se sospecha que probablemente implique el envío de correos electrónicos de phishing. «El [VeilShell] El troyano de puerta trasera permite al atacante acceso completo a la máquina comprometida», dijeron los investigadores Den Iuzvyk y Tim Peck en un informe técnico compartido con The Hacker News. «Algunas características incluyen exfiltración de datos, registro y creación o manipulación de tareas programadas». , una vez iniciado, actúa como un cuentagotas en el sentido de que activa la ejecución del código PowerShell para decodificar y extraer los componentes de la siguiente etapa incrustados en él. Esto incluye un documento señuelo inofensivo, un documento de Microsoft Excel o un documento PDF, que se abre automáticamente, distrayendo al usuario. usuario mientras un archivo de configuración («d.exe.config») y un archivo DLL malicioso («DomainManager.dll») se escriben en segundo plano en la carpeta de inicio de Windows. También se copia en la misma carpeta un ejecutable legítimo llamado «dfsvc». .exe» que está asociado con la tecnología ClickOnce en Microsoft .NET Framework. El archivo se copia como «d.exe». Lo que hace que la cadena de ataque se destaque es el uso de una técnica menos conocida llamada inyección AppDomainManager para ejecutar DomainManager. .dll cuando se inicia «d.exe» al inicio y el binario lee el archivo «d.exe.config» adjunto ubicado en la misma carpeta de inicio. Vale la pena señalar que este enfoque también fue utilizado recientemente por el actor Earth Baxia, alineado con China, lo que indica que poco a poco está ganando terreno entre los actores de amenazas como una alternativa a la carga lateral de DLL. El archivo DLL, por su parte, se comporta como un simple cargador para recuperar código JavaScript de un servidor remoto, que, a su vez, llega a un servidor diferente para obtener la puerta trasera VeilShell. VeilShell es un malware basado en PowerShell que está diseñado para comunicarse con un servidor de comando y control (C2) para esperar más instrucciones que le permitan recopilar información sobre archivos, comprimir una carpeta específica en un archivo ZIP y cargarla nuevamente en el servidor C2. , descargue archivos desde una URL específica, cambie el nombre y elimine archivos, y extraiga archivos ZIP. «En general, los actores de amenazas fueron bastante pacientes y metódicos», observaron los investigadores. «Cada etapa del ataque presenta tiempos de suspensión muy prolongados en un esfuerzo por evitar las detecciones heurísticas tradicionales. Una vez que VeilShell se implementa, en realidad no se ejecuta hasta el siguiente reinicio del sistema». «La campaña SHROUDED#SLEEP representa una operación sofisticada y sigilosa dirigida al sudeste asiático que aprovecha múltiples capas de ejecución, mecanismos de persistencia y un RAT de puerta trasera versátil basado en PowerShell para lograr un control a largo plazo sobre los sistemas comprometidos». El informe de Securonix llega un día después de que Symantec, propiedad de Broadcom, revelara que el actor de amenazas norcoreano rastreó cómo Andariel atacó a tres organizaciones diferentes en los EE. UU. en agosto de 2024 como parte de una campaña con motivación financiera. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
03 de octubre de 2024Ravie LakshmananLinux/Malware Los servidores Linux son el objetivo de una campaña en curso que ofrece un malware sigiloso denominado perfctl con el objetivo principal de ejecutar un minero de criptomonedas y un software de proxyjacking. «Perfctl es particularmente esquivo y persistente, y emplea varias técnicas sofisticadas», dijeron los investigadores de seguridad de Aqua Assaf Morag e Idan Revivo en un informe compartido con The Hacker News. «Cuando un nuevo usuario inicia sesión en el servidor, inmediatamente detiene todas las actividades ‘ruidosas’ y permanece inactiva hasta que el servidor vuelve a estar inactivo. Después de la ejecución, elimina su binario y continúa ejecutándose silenciosamente en segundo plano como un servicio». Vale la pena señalar que algunos aspectos de la campaña fueron revelados el mes pasado por Cado Security, que detalló una campaña que apunta a instancias de Selenium Grid expuestas a Internet con software de minería de criptomonedas y proxyjacking. Específicamente, se descubrió que el malware perfctl explota una falla de seguridad en Polkit (CVE-2021-4043, también conocido como PwnKit) para escalar privilegios para rootear y eliminar un minero llamado perfcc. La razón detrás del nombre «perfctl» parece ser un esfuerzo deliberado para evadir la detección y mezclar procesos legítimos del sistema, ya que «perf» se refiere a una herramienta de monitoreo del rendimiento de Linux y «ctl» significa control en varias herramientas de línea de comandos, como systemctl, timedatectl y Rabbitmqctl. La cadena de ataque, como lo observó la empresa de seguridad en la nube contra sus servidores honeypot, implica violar servidores Linux explotando una instancia vulnerable de Apache RocketMQ para entregar una carga útil llamada «httpd». Una vez ejecutado, se copia a sí mismo en una nueva ubicación en el directorio «/tmp», ejecuta el nuevo binario, finaliza el proceso original y elimina el binario inicial en un intento de cubrir sus huellas. Además de copiarse a otras ubicaciones y darse nombres aparentemente inofensivos, el malware está diseñado para lanzar un rootkit para evadir la defensa y la carga útil del minero. Algunos casos también implican la recuperación y ejecución de software de proxyjacking desde un servidor remoto. Para mitigar el riesgo que plantea perfctl, se recomienda mantener los sistemas y todo el software actualizados, restringir la ejecución de archivos, deshabilitar los servicios no utilizados, aplicar la segmentación de la red e implementar el control de acceso basado en roles (RBAC) para limitar el acceso a archivos críticos. . «Para detectar malware perfecto, se buscan picos inusuales en el uso de la CPU o ralentización del sistema si el rootkit se ha implementado en su servidor», dijeron los investigadores. «Estos pueden indicar actividades de criptominería, especialmente durante los tiempos de inactividad». ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
03 de octubre de 2024Ravie LakshmananSeguridad/tecnología móvil Google ha revelado las diversas barreras de seguridad que se han incorporado en sus últimos dispositivos Pixel para contrarrestar la creciente amenaza que representan los ataques de seguridad de banda base. La banda base celular (es decir, módem) se refiere a un procesador en el dispositivo que es responsable de manejar toda la conectividad, como LTE, 4G y 5G, con una torre de telefonía móvil o una estación base a través de una interfaz de radio. «Esta función implica inherentemente el procesamiento de entradas externas, que pueden provenir de fuentes no confiables», dijeron Sherk Chung y Stephan Chen del equipo Pixel, y Roger Piqueras Jover e Ivan Lozano del equipo Android de la compañía en una publicación de blog compartida con The Hacker News. «Por ejemplo, los actores maliciosos pueden emplear estaciones base falsas para inyectar paquetes de red fabricados o manipulados. En ciertos protocolos como IMS (IP Multimedia Subsystem), esto se puede ejecutar de forma remota desde cualquier ubicación global utilizando un cliente IMS». Es más, el firmware que alimenta la banda base celular también podría ser vulnerable a fallos y errores que, si se explotan con éxito, podrían socavar la seguridad del dispositivo, particularmente en escenarios en los que conducen a la ejecución remota de código. En una presentación de Black Hat USA en agosto pasado, un equipo de ingenieros de seguridad de Google describió el módem como un componente «fundamental» y «crítico» de un teléfono inteligente con acceso a datos confidenciales y accesible de forma remota con varias tecnologías de radio. Las amenazas a la banda base no son teóricas. En octubre de 2023, una investigación publicada por Amnistía Internacional encontró que la alianza Intellexa detrás de Predator había desarrollado una herramienta llamada Triton para explotar vulnerabilidades en el software de banda base Exynos utilizado en dispositivos Samsung para entregar software espía mercenario como parte de ataques altamente dirigidos. El ataque implica realizar un ataque de degradación encubierto que obliga al dispositivo objetivo a conectarse a la red 2G heredada mediante un simulador de sitio celular, tras lo cual se utiliza un transceptor de estación base (BTS) 2G para distribuir la carga útil nefasta. Desde entonces, Google ha introducido una nueva función de seguridad en Android 14 que permite a los administradores de TI desactivar la compatibilidad con redes celulares 2G en sus dispositivos administrados. También ha destacado el papel que juegan los sanitizers de Clang (IntSan y BoundSan) a la hora de reforzar la seguridad de la banda base del móvil en Android. Luego, a principios de este año, el gigante tecnológico reveló que está trabajando con socios del ecosistema para agregar nuevas formas de alertar a los usuarios de Android si su conexión de red celular no está cifrada y si una estación base celular falsa o una herramienta de vigilancia está registrando su ubicación utilizando un identificador de dispositivo. La compañía también ha descrito los pasos que está tomando para combatir el uso de simuladores de sitios celulares como Stingrays por parte de actores de amenazas para inyectar mensajes SMS directamente en teléfonos Android, también llamado fraude SMS Blaster. «Este método para inyectar mensajes evita por completo la red del operador, evitando así todos los sofisticados filtros antispam y antifraude basados en la red», señaló Google en agosto. «SMS Blasters exponen una red LTE o 5G falsa que ejecuta una única función: degradar la conexión del usuario a un protocolo 2G heredado». Algunas de las otras defensas que la compañía ha agregado a su nueva línea Pixel 9 incluyen canarios de pila, integridad de flujo de control (CFI) e inicialización automática de variables de pila a cero para evitar la fuga de datos confidenciales o actuar como una vía para obtener código. ejecución. «Los canarios de pila son como cables trampa configurados para garantizar que el código se ejecute en el orden esperado», decía. «Si un pirata informático intenta explotar una vulnerabilidad en la pila para cambiar el flujo de ejecución sin tener en cuenta el canario, el canario se «dispara» y alerta al sistema de un posible ataque». «De manera similar a los canarios de pila, CFI se asegura de que la ejecución del código esté restringida a lo largo de un número limitado de rutas. Si un atacante intenta desviarse del conjunto permitido de rutas de ejecución, CFI hace que el módem se reinicie en lugar de tomar la ruta de ejecución no permitida. Encontré esto ¿Te interesa el artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Durante años, proteger los sistemas de una empresa era sinónimo de proteger su «perímetro». Existía lo que era seguro «dentro» y el mundo exterior inseguro. Construimos firewalls resistentes e implementamos sistemas de detección sofisticados, confiados en que mantener a los bárbaros fuera de los muros mantendría seguros nuestros datos y sistemas. El problema es que ya no operamos dentro de los límites de instalaciones físicas locales y redes controladas. Los datos y las aplicaciones ahora residen en entornos de nube distribuidos y centros de datos, a los que acceden usuarios y dispositivos que se conectan desde cualquier parte del planeta. Los muros se han derrumbado y el perímetro se ha disuelto, abriendo la puerta a un nuevo campo de batalla: la identidad. La identidad está en el centro de lo que la industria ha elogiado como el nuevo estándar de oro de la seguridad empresarial: «confianza cero». En este paradigma, la confianza explícita se vuelve obligatoria para cualquier interacción entre sistemas y no subsistirá ninguna confianza implícita. Cada solicitud de acceso, independientemente de su origen, debe ser autenticada, autorizada y validada continuamente antes de conceder el acceso. La naturaleza dual de la identidad La identidad es un concepto amplio con una realidad dual. Por un lado, las personas necesitan acceso a su correo electrónico y calendario, y algunos (en particular los ingenieros de software) acceso privilegiado a un servidor o base de datos para realizar su trabajo. La industria ha estado perfeccionando la gestión de estas identidades durante los últimos 20 años a medida que los empleados se unen, obtienen privilegios para ciertos sistemas y, finalmente, abandonan la empresa. Por otro lado, tenemos otro tipo de identidad: las identidades de máquina, también denominadas identidades no humanas (NHI), que representan la gran mayoría de todas las identidades (se estima que superan en número a las identidades humanas al menos en un factor de 45 a 45). 1). A diferencia de sus homólogos humanos, los NHI (que van desde servidores, aplicaciones o procesos) no están vinculados a individuos y, por lo tanto, plantean un problema completamente diferente: carecen de medidas de seguridad tradicionales porque, a diferencia de los usuarios humanos, no podemos simplemente aplicar MFA a un servidor. o una clave API. Cualquier persona de la empresa puede crearlos en cualquier momento (piense en Marketing conectando su CRM al cliente de correo electrónico) con poca o ninguna supervisión. Están dispersos en una diversidad de herramientas, lo que hace que gestionarlos sea increíblemente complejo. Son abrumadoramente demasiado privilegiados y muy a menudo «obsoletos»: a diferencia de las identidades humanas, es mucho más probable que los NHI permanezcan mucho tiempo después de haber sido utilizados. Esto crea una situación de alto riesgo en la que las credenciales sobreaprovisionadas con permisos amplios permanecen incluso después de que haya finalizado su uso previsto. Todo esto combinado presenta la tormenta perfecta para las grandes empresas que se enfrentan a entornos de nube en expansión y cadenas de suministro de software intrincadas. No es sorprendente que las identidades mal administradas (de las cuales la proliferación de secretos es un síntoma) sean ahora la causa fundamental de la mayoría de los incidentes de seguridad que afectan a las empresas en todo el mundo. El alto costo de la inacción: violaciones del mundo real Las consecuencias de descuidar la seguridad del NHI no son teóricas. Las noticias están repletas de ejemplos de violaciones de alto perfil en las que los NHI comprometidos sirvieron como punto de entrada para los atacantes, lo que provocó importantes pérdidas financieras, daños a la reputación y erosión de la confianza de los clientes. Dropbox, Sisense, Microsoft y The New York Times son ejemplos de empresas que admitieron haber sido afectadas por un NHI comprometido solo en 2024. Quizás lo peor es que estos incidentes tienen efectos dominó. En enero de 2024, los sistemas internos de Atlassian de Cloudflare fueron vulnerados porque los tokens y las cuentas de servicio (en otras palabras, NHI) estuvieron previamente comprometidos en Okta, una plataforma de identidad líder. Lo que es especialmente revelador aquí es que Cloudflare detectó rápidamente la intrusión y respondió rotando las credenciales sospechosas. Sin embargo, más tarde se dieron cuenta de que algunos tokens de acceso no se habían rotado correctamente, lo que les dio a los atacantes otra oportunidad de comprometer su infraestructura. Esta no es una historia aislada: el 80% de las organizaciones ha experimentado violaciones de seguridad relacionadas con la identidad, y la edición de 2024 del DBIR clasificó el «compromiso de identidad o credenciales» como el vector número uno para los ciberataques. ¿Deberías preocuparte? Si analizamos la historia de Cloudflare, aún no se conoce el impacto. Sin embargo, la empresa reveló que los esfuerzos de remediación incluyeron rotar las 5000 credenciales de producción, una evaluación forense exhaustiva y reiniciar todos los sistemas de la empresa. Considere el tiempo, los recursos y la carga financiera que un incidente de este tipo supondría para su organización. ¿Puede permitirse el lujo de correr ese riesgo? Abordar las identidades mal administradas, solucionando tanto las exposiciones actuales como los riesgos futuros, es un largo camino. Si bien no existe una solución mágica, es posible abordar uno de los mayores y más complejos riesgos de seguridad de nuestra era. Las organizaciones pueden mitigar los riesgos asociados con las identidades no humanas combinando acciones inmediatas con estrategias de mediano y largo plazo. Acompañar a los clientes de Fortune 500 en este proceso durante los últimos 7 años es lo que convirtió a GitGuardian en el líder de la industria en seguridad de secretos. Controlando los NHI, comenzando con la seguridad de los secretos Las organizaciones deben adoptar un enfoque proactivo e integral para la seguridad de los NHI, comenzando con la seguridad de los secretos. Obtener control sobre los NHI comienza con la implementación de capacidades efectivas de seguridad de secretos: 1. Establecer una visibilidad integral y continua No se puede proteger lo que no se conoce. La seguridad de Secrets comienza con el monitoreo de una amplia gama de activos a escala, desde repositorios de código fuente hasta sistemas de mensajería y almacenamiento en la nube. Es crucial ampliar su monitoreo más allá de las fuentes internas para detectar cualquier secreto relacionado con la empresa en áreas altamente expuestas como GitHub. Sólo entonces las organizaciones podrán comenzar a comprender el alcance de la exposición de su información confidencial y tomar medidas para corregir estas vulnerabilidades. GitGuardian Secret Detección cuenta con la mayor cantidad de detectores y la más amplia gama de activos monitoreados en el mercado, incluida toda la actividad pública de GitHub de los últimos 5 años. 2. Optimice la remediación La seguridad de Secrets no es una tarea única sino un proceso continuo. Debe integrarse en el desarrollo de software y otros flujos de trabajo para encontrar y corregir (revocar) secretos codificados y prevenir la causa raíz de las infracciones. Es fundamental disponer de capacidades de remediación oportunas y eficientes, limitar la fatiga de las alertas y optimizar el proceso de remediación a escala. Esto permite a las organizaciones abordar los problemas antes de que los atacantes puedan explotarlos, reduciendo el riesgo de manera efectiva y mensurable. La plataforma GitGuardian hace de la remediación la prioridad número uno. La gestión unificada de incidentes, las pautas de remediación personalizadas y la información detallada sobre incidentes permiten a las organizaciones abordar la amenaza de la proliferación de secretos a escala. 3. Integre con sistemas de identidad y secretos Analizar el contexto de un secreto filtrado es crucial para determinar su sensibilidad y el riesgo asociado. La integración con sistemas de gestión de identidad y acceso (IAM), sistemas de gestión de acceso privilegiado (PAM) y Secrets Managers proporciona una visión más completa de la huella y la actividad de los NHI. La asociación de GitGuardian con CyberArk Conjur, el líder en gestión de secretos y seguridad de identidades, es una primicia en la industria. Esta asociación trae al mercado seguridad de secretos de extremo a extremo, desbloqueando nuevos casos de uso, como la detección automatizada de exposición pública, la aplicación de políticas de gestión de secretos y la rotación automatizada después de una filtración. Cambiando la mentalidad: de la seguridad perimetral a la seguridad secreta La rápida proliferación de identidades no humanas ha creado un desafío de seguridad complejo y a menudo pasado por alto. Las medidas de seguridad tradicionales basadas en perímetros ya no son suficientes en los entornos distribuidos y centrados en la nube actuales. Los riesgos asociados con los SNS mal administrados son reales y potencialmente devastadores, como lo demuestran las violaciones de alto perfil que han resultado en importantes daños financieros y de reputación. Sin embargo, hay esperanza. Al cambiar nuestro enfoque hacia la seguridad de los secretos y adoptar un enfoque integral que incluya detección sólida, corrección automatizada e integración con sistemas de identidad, las organizaciones pueden reducir significativamente su superficie de ataque y reforzar su postura de seguridad general. Esto puede parecer desalentador, pero es una evolución necesaria en nuestro enfoque de la ciberseguridad. Ahora es el momento de actuar. La pregunta es: ¿estás preparado para tomar el control de la seguridad de tus secretos? Comience hoy con GitGuardian. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
03 de octubre de 2024Ravie LakshmananCibercrimen/fraude financiero INTERPOL ha anunciado el arresto de ocho personas en Costa de Marfil y Nigeria como parte de una ofensiva contra las estafas de phishing y el fraude cibernético romántico. La iniciativa, denominada Operación Contender 2.0, está diseñada para abordar los delitos cibernéticos en África Occidental, dijo la agencia. Una de esas amenazas implicó una estafa de phishing a gran escala dirigida a ciudadanos suizos que resultó en pérdidas financieras por una suma de más de 1,4 millones de dólares. Los ciberdelincuentes se hicieron pasar por compradores en pequeños sitios web publicitarios y utilizaron códigos QR para dirigir a las víctimas a sitios web fraudulentos que imitaban una plataforma de pago legítima. Esto permitió a las víctimas ingresar inadvertidamente información personal como sus credenciales o números de tarjetas. Los perpetradores también se hicieron pasar por agentes de servicio al cliente anónimos de la plataforma por teléfono para engañarlos aún más. Se dice que las autoridades suizas recibieron hasta 260 informes de estafa entre agosto de 2023 y abril de 2024, lo que dio lugar a una investigación colaborativa que rastreó las raíces de la campaña hasta Costa de Marfil. El principal sospechoso detrás de los ataques confesó haber participado en el plan y haber obtenido ganancias financieras ilícitas de más de 1,9 millones de dólares. También han sido arrestados otros cinco individuos que realizaban actividades cibercriminales en el mismo lugar. En un caso separado, las autoridades dijeron que detuvieron a un sospechoso y a su cómplice en Nigeria el 27 de abril de 2024, en relación con una estafa romántica después de que las autoridades finlandesas alertaran a la policía nigeriana a través de INTERPOL que una víctima había sido estafada con una «cantidad sustancial de dinero». dinero.» Estos delitos de captación financiera implican que los estafadores crean identidades falsas en línea en aplicaciones de citas y plataformas de redes sociales para desarrollar relaciones románticas o cercanas con posibles víctimas, sólo para robarles dinero. «Aprovechando la creciente dependencia de la tecnología en todos los aspectos de nuestra vida diaria, los ciberdelincuentes están empleando una variedad de técnicas para robar datos y ejecutar actividades fraudulentas», afirmó Neal Jetton, director de la Dirección de Delitos Cibernéticos. «Estas recientes colaboraciones exitosas, bajo el paraguas de la Operación Contender 2.0, demuestran la importancia de una cooperación internacional continua para combatir el cibercrimen y llevar a los perpetradores ante la justicia». El desarrollo se produce cuando el Departamento de Justicia de Estados Unidos (DoJ) dijo que Oludayo Kolawole John Adeagbo, ciudadano de Nigeria y Reino Unido de 45 años, ha sido sentenciado a siete años de prisión por su papel en un negocio multimillonario. Esquema de compromiso de correo electrónico (BEC). Adeagbo «conspiró con otros para participar en múltiples esquemas BEC cibernéticos que defraudaron a una universidad de Carolina del Norte por más de 1,9 millones de dólares e intentaron robar más de 3 millones de dólares de entidades víctimas en Texas, incluidas entidades gubernamentales locales, empresas constructoras y una universidad del área de Houston», dijo el Departamento de Justicia. También sigue al anuncio de Meta de que se está asociando con bancos del Reino Unido para combatir las estafas en sus plataformas como parte de un programa de asociación para compartir información denominado Fraud Intelligence Reciprocal Exchange (FIRE). ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.