Todo lo que necesitas saber sobre tecnología

Etiqueta: software malicioso ransomware Página 1 de 17

Fallas críticas en CocoaPods exponen aplicaciones iOS y macOS a ataques a la cadena de suministro

Fallas críticas en CocoaPods exponen aplicaciones iOS y macOS a ataques a la cadena de suministro

01 de julio de 2024Sala de prensaCadena de suministro/Seguridad de software Se han descubierto tres fallas de seguridad en el administrador de dependencias CocoaPods para proyectos Swift y Objective-C Cocoa que podrían explotarse para organizar ataques a la cadena de suministro de software, poniendo a los clientes intermedios en graves riesgos. Las vulnerabilidades permiten que «cualquier actor malicioso reclame la propiedad de miles de pods no reclamados e inserte código malicioso en muchas de las aplicaciones iOS y macOS más populares», dijeron los investigadores de EVA Information Security, Reef Spektor y Eran Vaknin, en un informe publicado hoy. La firma israelí de seguridad de aplicaciones dijo que CocoaPods solucionó los tres problemas desde octubre de 2023. También restablece todas las sesiones de usuario en ese momento en respuesta a las divulgaciones. Una de las vulnerabilidades es CVE-2024-38368 (puntuación CVSS: 9,3), que hace posible que un atacante abuse del proceso «Reclama tus Pods» y tome el control de un paquete, lo que le permite alterar el código fuente y introducir cambios maliciosos. Sin embargo, esto requería que todos los mantenedores anteriores hubieran sido eliminados del proyecto. Las raíces del problema se remontan a 2014, cuando una migración al servidor Trunk dejó miles de paquetes con propietarios desconocidos (o no reclamados), lo que permitió a un atacante utilizar una API pública para reclamar pods y una dirección de correo electrónico que estaba disponible en CocoaPods. código fuente («unclaimed-pods@cocoapods.org») para tomar el control. El segundo error es aún más crítico (CVE-2024-38366, puntuación CVSS: 10.0) y aprovecha un flujo de trabajo de verificación de correo electrónico inseguro para ejecutar código arbitrario en el servidor Trunk, que luego podría usarse para manipular o reemplazar los paquetes. También se identifica en el servicio un segundo problema en el componente de verificación de dirección de correo electrónico (CVE-2024-38367, puntuación CVSS: 8,2) que podría incitar a un destinatario a hacer clic en un enlace de verificación aparentemente benigno, cuando, en realidad, redirige el enlace. solicitud a un dominio controlado por un atacante para obtener acceso a los tokens de sesión de un desarrollador. Para empeorar las cosas, esto puede convertirse en un ataque de apropiación de cuentas sin hacer clic falsificando un encabezado HTTP (es decir, modificando el campo del encabezado X-Fordered-Host) y aprovechando herramientas de seguridad de correo electrónico mal configuradas. «Hemos descubierto que casi todos los propietarios de pods están registrados con el correo electrónico de su organización en el servidor Trunk, lo que los hace vulnerables a nuestra vulnerabilidad de adquisición sin clic», dijeron los investigadores. Esta no es la primera vez que CocoaPods pasa por el escáner. En marzo de 2023, Checkmarx reveló que un subdominio abandonado asociado con el administrador de dependencias («cdn2.cocoapods[.]org») podría haber sido secuestrado por un adversario a través de GitHub Pages con el objetivo de alojar sus cargas útiles. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Productos de una empresa de software india fueron pirateados para difundir malware que roba datos

Productos de una empresa de software india fueron pirateados para difundir malware que roba datos

01 de julio de 2024Sala de prensaAtaque a la cadena de suministro / Inteligencia de amenazas Los instaladores de tres productos de software diferentes desarrollados por una empresa india llamada Conceptworld han sido troyanizados para distribuir malware que roba información. Los instaladores corresponden a Notezilla, RecentX y Copywhiz, según la firma de ciberseguridad Rapid7, que descubrió la vulneración de la cadena de suministro el 18 de junio de 2024. Desde entonces, Conceptworld ha solucionado el problema a partir del 24 de junio en las 12 horas siguientes a la divulgación responsable. «Los instaladores habían sido troyanizados para ejecutar malware que roba información y que tiene la capacidad de descargar y ejecutar cargas útiles adicionales», dijo la empresa, y agregó que las versiones maliciosas tenían un tamaño de archivo mayor que sus contrapartes legítimas. Específicamente, el malware está equipado para robar credenciales del navegador e información de la billetera de criptomonedas, registrar el contenido del portapapeles y las pulsaciones de teclas, y descargar y ejecutar cargas útiles adicionales en hosts de Windows infectados. También configura la persistencia mediante una tarea programada para ejecutar la carga útil principal cada tres horas. Actualmente no está claro cómo se creará el dominio oficial «conceptworld»[.]com» fue violado para preparar los instaladores falsificados. Sin embargo, una vez instalado, se le solicita al usuario que continúe con el proceso de instalación asociado con el software real, mientras que también está diseñado para colocar y ejecutar un binario «dllCrt32.exe» que es responsable de ejecutar un script por lotes «dllCrt.bat». Además de establecer la persistencia en la máquina, está configurado para ejecutar otro archivo («dllBus32.exe»), que, a su vez, establece conexiones con un servidor de comando y control (C2) e incorpora funcionalidad para robar datos confidenciales, así como recuperar y ejecutar más cargas útiles. Esto incluye la recopilación de credenciales y otra información de Google Chrome, Mozilla Firefox y múltiples billeteras de criptomonedas (por ejemplo, Atomic, Coinomi, Electrum, Exodus y Guarda). También es capaz de recolectar archivos que coincidan con un conjunto específico de extensiones (.txt, .doc, .png y .jpg), registrar pulsaciones de teclas y capturar el contenido del portapapeles. «Los instaladores maliciosos observados en este caso no están firmados y tienen un «El tamaño del archivo es inconsistente con las copias del instalador legítimo», dijo Rapid7. Se recomienda a los usuarios que hayan descargado un instalador para Notezilla, RecentX o Copywhiz en junio de 2024 que examinen sus sistemas en busca de signos de compromiso y tomen las medidas adecuadas, como volver a crear una imagen de los afectados, para deshacer las modificaciones nefastas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Nueva vulnerabilidad en OpenSSH podría llevar a que se utilice RCE como root en sistemas Linux

Nueva vulnerabilidad en OpenSSH podría llevar a que se utilice RCE como root en sistemas Linux

01 de julio de 2024Sala de prensaLinux/Vulnerabilidad Los mantenedores de OpenSSH han publicado actualizaciones de seguridad para contener una falla de seguridad crítica que podría resultar en la ejecución remota de código no autenticado con privilegios de root en sistemas Linux basados ​​en glibc. A la vulnerabilidad se le ha asignado el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones desde cualquiera de las aplicaciones cliente. «La vulnerabilidad, que es una condición de carrera del controlador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código (RCE) no autenticado como raíz en sistemas Linux basados ​​en glibc», dijo Bharat Jogi, director senior de la unidad de investigación de amenazas de Qualys. en una divulgación publicada hoy. «Esta condición de carrera afecta a sshd en su configuración predeterminada». La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestas a Internet, y agregó que es una regresión de una falla de 18 años ya parcheada rastreada como CVE-2006-5051, y que el problema se restableció en octubre de 2020. como parte de OpenSSH versión 8.5p1. «Se ha demostrado una explotación exitosa en sistemas Linux/glibc de 32 bits con [address space layout randomization]», dijo OpenSSH en un aviso. «En condiciones de laboratorio, el ataque requiere un promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará». La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Versiones anteriores a 4.4p1 También son vulnerables al error de condición de carrera a menos que estén parcheados para CVE-2006-5051 y CVE-2008-4109. Vale la pena señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Específicamente, Qualys descubrió que si. un cliente no se autentica dentro de los 120 segundos (una configuración definida por LoginGraceTime), entonces el controlador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para la señal asíncrona. El efecto neto de explotar CVE-2024-6387 es un compromiso total del sistema y su toma de control. , lo que permite a los actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robar datos e incluso mantener un acceso persistente. «Una falla, una vez solucionada, ha reaparecido en una versión de software posterior, generalmente debido a cambios o actualizaciones que se reintroducen inadvertidamente. el problema», dijo Jogi. «Este incidente resalta el papel crucial de las pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el medio ambiente». Si bien la vulnerabilidad tiene obstáculos importantes debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios que apliquen los parches más recientes para protegerse contra posibles amenazas. También se recomienda limitar el acceso SSH a través de controles basados ​​en la red y aplicar la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Elaborar un plan para proteger las identidades de sus máquinas

Elaborar un plan para proteger las identidades de sus máquinas

En el corazón de cada aplicación hay secretos. Credenciales que permiten la comunicación entre humanos y máquinas y entre máquinas. Las identidades de las máquinas superan en número a las identidades humanas en un factor de 45 a 1 y representan la mayoría de los secretos de los que debemos preocuparnos. Según la investigación reciente de CyberArk, el 93 % de las organizaciones tuvieron dos o más violaciones relacionadas con la identidad en el último año. Está claro que debemos abordar este creciente problema. Además, está claro que muchas organizaciones están de acuerdo con el uso de credenciales de texto sin formato para estas identidades en repositorios privados, pensando que seguirán siendo privadas. Sin embargo, la mala higiene en el código privado conduce a filtraciones públicas, como vemos en las noticias con demasiada frecuencia. Dado el alcance del problema, ¿qué podemos hacer? Lo que realmente necesitamos es un cambio en nuestros procesos, especialmente en torno a la creación, el almacenamiento y el trabajo con identidades de máquinas. Afortunadamente, existe un camino claro a seguir, que combina las soluciones de gestión de secretos existentes y las herramientas de detección y remediación de secretos, todo ello al tiempo que se atiende a los desarrolladores donde se encuentren. Elaboración de un plan de seguridad de secretos de extremo a extremo Cuando pensamos en solucionar el problema de identidad de la máquina, también conocido como proliferación de secretos, podemos resumir el problema en un par de oraciones. «Tenemos una cantidad desconocida de secretos válidos de texto simple de larga duración distribuidos en nuestro código, configuraciones, canales de integración continua, sistemas de gestión de proyectos y otras fuentes, que no podemos contabilizar, y sin una estrategia de rotación coherente. Mientras tanto, los desarrolladores siguen trabajando con secretos en texto simple, ya que es una forma confiable, aunque problemática, de hacer que la aplicación funcione». Al pensar en esta definición práctica, podemos elaborar un plan de varios pasos para abordar cada inquietud. Detección de secretos: busque en el código y los sistemas involucrados en el ciclo de vida del desarrollo de software para identificar las credenciales de texto simple existentes, recopilando la mayor cantidad de información posible sobre cada una. Gestión de secretos: contabilización de todos los secretos conocidos a través de una plataforma de bóveda centralizada. Flujos de trabajo de desarrolladores: ajuste los procesos y las herramientas para facilitar la creación, el almacenamiento y la invocación de secretos de forma segura. Escaneo de secretos: monitoreo continuo de nuevos secretos que se agreguen en texto simple. Rotación automática: el reemplazo regular de secretos válidos acorta su posible explotación por parte de actores maliciosos. Puede realizar este viaje paso a paso, tratándolo como una implementación por fases. Antes de que se dé cuenta, estará mucho más cerca de eliminar la proliferación de secretos y proteger todas las identidades de sus máquinas. Encontrar sus secretos El primer problema que encuentra todo equipo cuando intenta controlar la proliferación de secretos es determinar qué secretos tienen. Un esfuerzo de búsqueda manual para rastrear secretos desconocidos abrumaría rápidamente a cualquier equipo, pero afortunadamente, existen herramientas de escaneo de secretos, como GitGuardian, que pueden automatizar este proceso y brindar información sobre detalles críticos. Desde una plataforma estable, debe proporcionar una ruta de comunicación para trabajar con los desarrolladores para la remediación. Implementar una bóveda de secretos centralizada Un aspecto central de cualquier buena estrategia de administración de secretos es administrar cómo se almacenan y utilizan los secretos. Las bóvedas empresariales le permiten contabilizar de manera transparente todos los secretos conocidos, cifrándolos en reposo y en tránsito. Una buena solución de bóveda, que incluye Conjure de Cyberark y Hashicorp Vault Enterprise. Si toda su infraestructura es del mismo proveedor, como AWS o GCP, también son muy buenas opciones. Asegurar el flujo de trabajo del desarrollador La gestión de secretos históricamente se ha dejado en manos de los desarrolladores para que la descubran, lo que lleva a una amplia variedad de soluciones como archivos `.env` y, lamentablemente, la codificación rígida de secretos en la base de código. Aprovechar una solución de bóveda centralizada les brinda a los desarrolladores una forma consistente de invocar de manera segura las credenciales de sus aplicaciones en todos los entornos. Si puede ofrecer un enfoque estandarizado que sea tan fácil de implementar como lo que están haciendo actualmente, encontrará que muchos desarrolladores aprovecharán la oportunidad de garantizar que sus implementaciones no se bloqueen debido a este problema de seguridad. También querrá considerar desplazarse a la izquierda. Las herramientas de línea de comandos, como ggshield, permiten a los desarrolladores agregar ganchos Git automáticos para escanear las credenciales de texto sin formato antes de que se realice cualquier confirmación. Evitar que un secreto llegue a una confirmación significa que no hay incidentes con los que lidiar más tarde y solucionar el problema en el punto menos costoso del ciclo de vida del desarrollo de software. Escaneo de secretos en cada interacción compartida También necesitas una forma de tener en cuenta la realidad de que a veces ocurren accidentes. Se necesita un monitoreo continuo para observar cualquier problema nuevo que surja de desarrolladores existentes que cometan un error o cuando se contratan nuevos equipos o subcontratistas que simplemente aún no conocen tus procesos. Al igual que cuando se realiza la detección de secretos por primera vez, usar una plataforma que reúne la información en un incidente coherente te ayudará a responder rápidamente a estos nuevos problemas. GitGuardian, por ejemplo, se integra a nivel de repositorio de código para capturar nuevas credenciales de texto sin formato en segundos, automáticamente en cada push o comentario. Las credenciales de corta duración deberían ser el objetivo de la rotación automática Si un atacante encuentra un secreto válido, eso hace que su trabajo sea mucho más simple, ya que puede desbloquear cualquier puerta que encuentre. Si ese mismo atacante encuentra un secreto inválido, no puede hacer mucho con él. Con una bóveda centralizada en su lugar, puedes poner en marcha planes de rotación automática. La mayoría de las plataformas y servicios modernos tienen una forma de generar nuevas credenciales a través de una llamada API y una forma de invalidar los secretos existentes. Con un poco de programación, siguiendo una de las muchas guías publicadas por plataformas como AWS o CyberArk, es posible automatizar el reemplazo seguro de cualquier credencial de forma regular, incluso diaria. La seguridad de secretos de extremo a extremo requiere un plan El mejor momento para abordar los problemas relacionados con la seguridad de secretos de extremo a extremo es ahora mismo. Si aún no tiene un plan de acción, hoy es el mejor momento para comenzar a tener esas conversaciones. Comience por hacerse preguntas como «¿Qué secretos tenemos?» o «¿Tiene una bóveda preparada?». En definitiva, debemos dotar a los desarrolladores de flujos de trabajo y barreras de seguridad que les permitan centrarse en su flujo de desarrollo. Mantenerse alerta para descubrir nuevos secretos y abordarlos de inmediato es un proceso continuo. Requerirá esfuerzo, incluida la concientización y la adopción de los procesos y las tecnologías adecuados, pero cualquier empresa puede controlar mejor las identidades y los secretos de las máquinas, de principio a fin, en toda la organización. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Juniper Networks lanza una actualización de seguridad crítica para enrutadores

Juniper Networks lanza una actualización de seguridad crítica para enrutadores

01 de julio de 2024Sala de prensaVulnerabilidad / Seguridad de la red Juniper Networks ha publicado actualizaciones de seguridad fuera de banda para abordar una falla de seguridad crítica que podría provocar una omisión de autenticación en algunos de sus enrutadores. La vulnerabilidad, identificada como CVE-2024-2973, tiene una puntuación CVSS de 10,0, lo que indica una gravedad máxima. «Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en el enrutador o conductor inteligente de sesión de Juniper Networks que se ejecuta con un par redundante permite que un atacante basado en la red omita la autenticación y tome el control total del dispositivo», dijo la compañía en un aviso emitido la semana pasada. Según Juniper Networks, la deficiencia afecta solo a los enrutadores o conductores que se ejecutan en configuraciones redundantes de alta disponibilidad. La lista de dispositivos afectados se muestra a continuación: Session Smart Router (todas las versiones anteriores a 5.6.15, desde 6.0 hasta 6.1.9-lts y desde 6.2 hasta 6.2.5-sts) Session Smart Conductor (todas las versiones anteriores a 5.6.15, desde 6.0 hasta 6.1.9-lts y desde 6.2 hasta 6.2.5-sts) WAN Assurance Router (versiones 6.0 anteriores a 6.1.9-lts y versiones 6.2 anteriores a 6.2.5-sts) El fabricante de equipos de red, que fue comprado por Hewlett Packard Enterprise (HPE) por aproximadamente $ 14 mil millones a principios de este año, dijo que no encontró evidencia de explotación activa de la falla en la naturaleza. También dijo que descubrió la vulnerabilidad durante las pruebas internas del producto y que no hay soluciones alternativas que resuelvan el problema. «Esta vulnerabilidad ha sido parcheada automáticamente en los dispositivos afectados por los enrutadores WAN Assurance administrados por MIST conectados a Mist Cloud», señaló además. «Es importante tener en cuenta que la corrección se aplica automáticamente en los enrutadores administrados por un Conductor o en los enrutadores WAN Assurance y no tiene impacto en las funciones del plano de datos del enrutador». En enero de 2024, la empresa también implementó correcciones para una vulnerabilidad crítica en los mismos productos (CVE-2024-21591, puntuación CVSS: 9,8) que podría permitir a un atacante provocar una denegación de servicio (DoS) o una ejecución remota de código y obtener privilegios de root en los dispositivos. Con múltiples fallas de seguridad que afectaron a los firewalls SRX y los conmutadores EX de la empresa utilizados como armas por actores de amenazas el año pasado, es esencial que los usuarios apliquen los parches para protegerse contra posibles amenazas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Cómo mantenerse por delante de los actores amenazantes

Cómo mantenerse por delante de los actores amenazantes

La moderna cadena de destrucción está eludiendo a las empresas porque no protegen la infraestructura de los negocios modernos: SaaS. SaaS sigue dominando la adopción de software y representa la mayor parte del gasto en la nube pública. Pero tanto las empresas como las PYMES no han revisado sus programas de seguridad ni han adoptado herramientas de seguridad creadas para SaaS. Los equipos de seguridad siguen insertando clavijas locales en los agujeros de seguridad de SaaS. Los controles de seguridad maduros de los que dependían los CISO y sus equipos en la era del dominio local han desaparecido. Los firewalls ahora protegen un perímetro pequeño, la visibilidad es limitada e incluso si los proveedores de SaaS ofrecen registros, los equipos de seguridad necesitan un middleware local para digerirlos e insertarlos en su SIEM. Los proveedores de SaaS tienen alcances de seguridad bien definidos para sus productos, pero sus clientes deben gestionar el cumplimiento de SaaS y el gobierno de datos, la gestión de identidad y acceso (IAM) y los controles de aplicaciones, las áreas donde ocurren la mayoría de los incidentes. Si bien este modelo de responsabilidad compartida de SaaS es universal entre las aplicaciones SaaS, no hay dos aplicaciones SaaS que tengan configuraciones de seguridad idénticas. Figura 1. En el contexto de las preocupaciones de seguridad de SaaS, el proveedor de la aplicación es responsable de toda la infraestructura física, así como de la red, el sistema operativo y la aplicación. El cliente es responsable de la seguridad de los datos y la gestión de la identidad. El modelo de responsabilidad compartida de SaaS requiere que los clientes de SaaS asuman la propiedad de los componentes que los actores de amenazas atacan con mayor frecuencia. Ilustración cortesía de AppOmni. La investigación de AppOmni informa que, en promedio, una sola instancia de SaaS tiene 256 conexiones de SaaS a SaaS, muchas de las cuales ya no están en uso, pero aún tienen permisos excesivos en aplicaciones comerciales principales como Salesforce, Okta y GitHub, entre otras. .Entre la multitud de diferentes configuraciones de seguridad de SaaS y las constantes actualizaciones que las modifican, los equipos de seguridad no pueden monitorear estas conexiones de manera efectiva. La cantidad de puntos de entrada se multiplica exponencialmente cuando los empleados habilitan conexiones de SaaS a SaaS (también llamadas «terceros» o «máquinas»). Las identidades de las máquinas pueden utilizar claves API, secretos, sesiones, certificados digitales, claves de acceso a la nube y otras credenciales para permitir que las máquinas se comuniquen entre sí. A medida que la superficie de ataque migraba fuera del perímetro de la red, también lo hacía la cadena de destrucción, es decir, la forma en que los actores de amenazas orquestan las distintas fases de sus ataques. Mire el informe y análisis de amenazas SaaS de AppOmni SaaS es el nuevo campo de batalla de la ciberseguridad. Vea a los expertos en seguridad de AppOmni analizar ejemplos del mundo real de la cadena de eliminación de SaaS moderna y TTP comunes, y le mostrarán cómo reducir la probabilidad de éxito de los actores de amenazas. La cadena de eliminación de SaaS moderna generalmente implica: comprometer una identidad en el IdP a través de una campaña de phishing exitosa, comprar credenciales robadas de la web oscura, cadenas de credenciales, relleno de credenciales, aprovechar inquilinos de SaaS mal configurados o métodos similares. Realización de una fase de reconocimiento posterior a la autenticación. Este paso recuerda a los atacantes que irrumpían en las redes corporativas de antaño. Pero ahora están revisando repositorios de documentos, repositorios de código fuente, bóvedas de contraseñas, Slack, Teams y entornos similares para encontrar puntos de entrada de escalada privilegiados. Aprovechar sus hallazgos para avanzar lateralmente hacia otros inquilinos de SaaS, PaaS o IaaS y, a veces, hacia la infraestructura corporativa, dondequiera que puedan encontrar los datos más valiosos para la organización objetivo. Cifrar las joyas de la corona o entregar su nota de rescate e intentar evadir la detección. Figura 2. Las cadenas de eliminación exitosas de SaaS generalmente implican cuatro pasos generales: acceso inicial, reconocimiento, movimiento lateral y persistencia, y ejecución de ransomware y evasión de seguridad. Ilustración cortesía de AppOmni. Rompiendo una cadena de muerte de SaaS del mundo real: el último seminario web informativo sobre inteligencia de amenazas de AppOmni, líder en seguridad de SaaS de Scattered Spider/Starfraud, delineó la cadena de muerte del ataque exitoso de los grupos de actores de amenazas Scattered Spider/Starfraud (afiliados de ALPHV) a un objetivo no revelado en septiembre 2023: un usuario abrió un correo electrónico de phishing que contenía enlaces a una página de inicio de sesión de IdP falsa y, sin saberlo, inició sesión en la página de IdP falsa. Los grupos de actores de amenazas llamaron inmediatamente a ese usuario y lo convencieron, mediante ingeniería social, para que le proporcionara su token de contraseña de un solo uso basado en el tiempo (TOTP). Después de obtener las credenciales de inicio de sesión del usuario y el token TOTP, los actores de amenazas engañaron al protocolo MFA haciéndoles creer que eran el usuario legítimo. Mientras estaban en modo de reconocimiento, los actores de amenazas tenían acceso a una escalada privilegiada, lo que les permitía obtener credenciales en Amazon S3, luego en Azure AD y finalmente en Citrix VDI (infraestructura de escritorio virtual). Luego, los actores de amenazas implementaron su propio servidor malicioso en el entorno IaaS, en el que ejecutaron un ataque de escalada privilegiado de Azure AD. Los atacantes cifraron todos los datos a su alcance y entregaron una nota de rescate. Figura 3. La cadena de destrucción utilizada por los grupos de actores de amenazas Scattered Spider/Starfraud. Ilustración cortesía de AppOmni. Scattered Spider/Starfraud probablemente logró esta serie de eventos durante varios días. Cuando SaaS sirve como punto de entrada, un ataque grave puede incluir la red y la infraestructura corporativa. Esta conectividad SaaS/local es común en las superficies de ataque empresariales actuales. La actividad de ataques SaaS por parte de actores de amenazas conocidos y desconocidos está aumentando. La mayoría de las infracciones de SaaS no dominan los titulares, pero las consecuencias son significativas. IBM informa que las violaciones de datos en 2023 promediaron 4,45 millones de dólares por instancia, lo que representa un aumento del 15% en tres años. Los actores de amenazas dependen continuamente de los mismos TTP y el mismo manual de estrategias de la cadena de destrucción de Scattered Spider/Starfraud para obtener acceso no autorizado y escanear a los inquilinos de SaaS, incluidos Salesforce y M365, donde los problemas de configuración podrían manipularse para proporcionar acceso más adelante. Otros atacantes obtienen acceso inicial con secuestro de sesión y viajes imposibles. Una vez que han transferido la sesión secuestrada a un host diferente, su movimiento lateral a menudo involucra plataformas de comunicaciones como SharePoint, JIRA, DocuSign y Slack, así como repositorios de documentos como Confluence. Si pueden acceder a GitHub u otros repositorios de código fuente, los actores de amenazas extraerán ese código fuente y lo analizarán en busca de vulnerabilidades dentro de una aplicación de destino. Intentarán explotar estas vulnerabilidades para extraer los datos de la aplicación de destino. El informe de inteligencia de amenazas de AppOmni también informa que la filtración de datos mediante el intercambio de permisos sigue siendo un grave problema de seguridad de SaaS. Esto ocurre, por ejemplo, en Google Workspace cuando el usuario no autorizado cambia de directorio a un nivel de permisos muy abierto. El atacante puede compartirlos con otra entidad externa mediante el reenvío de correo electrónico o cambiando reglas condicionales para que los atacantes se incluyan como destinatarios BCC en una lista de distribución. ¿Cómo protege sus entornos SaaS? 1. Centrarse en la higiene de los sistemas SaaS Establezca un proceso de admisión y revisión de SaaS para determinar qué SaaS permitirá en su empresa. Este proceso debería requerir respuestas a preguntas de seguridad como: ¿Todos los SaaS deben tener certificación SOC 2 Tipo 2? ¿Cuál es la configuración de seguridad óptima para cada inquilino? ¿Cómo evitará su empresa la desviación de la configuración? ¿Cómo determinará si las actualizaciones automáticas de SaaS requerirán modificar la configuración de control de seguridad? Asegúrese de poder detectar Shadow IT SaaS (o aplicaciones SaaS no autorizadas) y tener un programa de respuesta para que las alertas no se creen en vano. Si no supervisa a sus inquilinos de SaaS y no incorpora todos sus registros con algún método unificado, nunca podrá detectar comportamientos sospechosos ni recibir alertas basadas en ellos. 2. Realizar un inventario y monitorear continuamente las cuentas/identidades de las máquinas. Los actores de amenazas apuntan a las identidades de las máquinas por su acceso privilegiado y estándares de autenticación laxos, y a menudo rara vez requieren MFA. En 2023, los actores de amenazas atacaron y violaron con éxito las principales herramientas de CI/CD, Travis CI, CircleCI y Heroku. , robando tokens de OAuth para todos los clientes de estos proveedores. En estas situaciones, el radio de la explosión se amplía considerablemente. Dado que una empresa promedio contiene 256 identidades de máquinas, a menudo falta higiene. Muchos de ellos se utilizan una o dos veces y luego permanecen estancados durante años. Haga un inventario de todas las identidades de sus máquinas y clasifique estos riesgos críticos. Una vez que los haya mitigado, cree políticas que prescriban: A qué tipo de cuentas se les otorgarán identidades de máquina y los requisitos que estos proveedores deben cumplir para obtener acceso. El período de tiempo durante el cual sus accesos/tokens están activos antes de que sean revocados, actualizados o concedidos nuevamente. Cómo supervisará el uso de estas cuentas y se asegurará de que sigan siendo necesarias si experimentan períodos de inactividad. 3. Cree una verdadera arquitectura Zero Trust en su patrimonio SaaS. La arquitectura Zero Trust se basa en el principio de privilegio mínimo (PLP) con un enfoque de «nunca confiar, siempre verificar». Si bien Zero Trust se ha establecido en redes tradicionales, rara vez se logra en entornos SaaS. El enfoque centrado en la red de Zero Trust Network Access (ZTNA) no puede detectar configuraciones erróneas, integraciones de máquinas o derechos de acceso de usuarios no deseados dentro y hacia las plataformas SaaS, que pueden tener miles o incluso millones de usuarios externos accediendo a los datos. Zero Trust Posture Management (ZTPM), una herramienta de seguridad SaaS emergente, extiende Zero Trust a su patrimonio SaaS. Cierra la brecha de seguridad de SaaS que crea SASE al: Prevenir la omisión no autorizada de ZTNA. Permitir decisiones de acceso afinadas. Hacer cumplir sus políticas de seguridad con ciclos de retroalimentación continuos. Extender Zero Trust a integraciones de máquinas y conexiones en la nube. Con SSPM, ZTPM y un programa de seguridad SaaS en En este lugar, su equipo obtendrá la visibilidad y la inteligencia que necesita para identificar intrusos en las etapas de bajo riesgo de su cadena de destrucción y detenerlos antes de que una infracción se vuelva devastadora. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Banda 8220 aprovecha fallas del servidor Oracle WebLogic para minar criptomonedas

Banda 8220 aprovecha fallas del servidor Oracle WebLogic para minar criptomonedas

28 de junio de 2024Sala de prensaLos investigadores de seguridad de malware/criptomonedas han arrojado más luz sobre la operación de minería de criptomonedas realizada por 8220 Gang mediante la explotación de fallas de seguridad conocidas en Oracle WebLogic Server. «El actor de amenazas emplea técnicas de ejecución sin archivos, utilizando reflexión de DLL e inyección de procesos, lo que permite que el código de malware se ejecute únicamente en la memoria y evite mecanismos de detección basados ​​en disco», dijeron en un comunicado los investigadores de Trend Micro Ahmed Mohamed Ibrahim, Shubham Singh y Sunil Bharti. Nuevo análisis publicado hoy. La firma de ciberseguridad está rastreando al actor con motivación financiera bajo el nombre de Water Sigbin, que es conocido por utilizar vulnerabilidades en Oracle WebLogic Server como CVE-2017-3506, CVE-2017-10271 y CVE-2023-21839 para acceso inicial y eliminación. la carga útil del minero mediante una técnica de carga de múltiples etapas. A un punto de apoyo exitoso le sigue la implementación del script PowerShell que es responsable de eliminar un cargador de primera etapa («wireguard2-3.exe») que imita la aplicación VPN WireGuard legítima, pero, en realidad, lanza otro binario («cvtres.exe»). «) en la memoria mediante una DLL («Zxpus.dll»). El ejecutable inyectado sirve como conducto para cargar el cargador PureCrypter («Tixrgtluffu.dll») que, a su vez, filtra información del hardware a un servidor remoto y crea tareas programadas para ejecutar el minero, además de excluir los archivos maliciosos del antivirus Microsoft Defender. . En respuesta, el servidor de comando y control (C2) responde con un mensaje cifrado que contiene los detalles de configuración de XMRig, tras lo cual el cargador recupera y ejecuta el minero desde un dominio controlado por el atacante haciéndole pasar por «AddinProcess.exe», un binario legítimo de Microsoft. El desarrollo se produce cuando el equipo de QiAnXin XLab detalló una nueva herramienta de instalación utilizada por 8220 Gang llamada k4spreader desde al menos febrero de 2024 para entregar la botnet Tsunami DDoS y el programa de minería PwnRig. El malware, que actualmente está en desarrollo y tiene una versión shell, ha estado aprovechando fallas de seguridad como Apache Hadoop YARN, JBoss y Oracle WebLogic Server para infiltrarse en objetivos susceptibles. «k4spreader está escrito en cgo, incluida la persistencia del sistema, la descarga y actualización del mismo, y la liberación de otro malware para su ejecución», dijo la compañía, agregando que también está diseñado para desactivar el firewall, terminar con botnets rivales (por ejemplo, kinsing) e imprimir el estado operativo. . ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

El nuevo ataque SnailLoad aprovecha la latencia de la red para espiar las actividades web de los usuarios

28 de junio de 2024Sala de prensaSeguridad de redes / Protección de datos Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario. «SnailLoad explota un cuello de botella presente en todas las conexiones a Internet», dijeron los investigadores en un estudio publicado esta semana. «Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad de red actual en la conexión a Internet de otra persona. Un atacante puede usar esta información para inferir los sitios web que visita un usuario o los videos que mira». Una característica definitoria de este enfoque es que evita la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar cerca físicamente de la conexión Wi-Fi para rastrear el tráfico de la red. En concreto, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como un canal secundario para determinar las actividades en línea en el sistema de la víctima. Para realizar un ataque de toma de huellas digitales de este tipo y obtener qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima a medida que se descarga el contenido del servidor mientras navega o visualiza. A continuación, implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para realizar la inferencia con una precisión de hasta el 98% para vídeos y el 63% para sitios web. En otras palabras, debido al cuello de botella de la red del lado de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta del paquete (RTT). Los rastros de RTT son únicos por vídeo y se pueden utilizar para clasificar el vídeo visto por la víctima. El ataque se llama así porque el servidor atacante transmite el archivo a paso de tortuga para controlar la latencia de la conexión durante un período prolongado de tiempo. «SnailLoad no requiere JavaScript, ninguna forma de ejecución de código en el sistema de la víctima y ninguna interacción del usuario, sino solo un intercambio constante de paquetes de red», explicaron los investigadores, y agregaron que «mide la latencia en el sistema de la víctima e infiere la actividad de red en el sistema de la víctima a partir de las variaciones de latencia». «La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, generalmente el último nodo antes del módem o enrutador del usuario, relacionado con un problema de calidad de servicio llamado bufferbloat». La revelación se produce después de que los académicos revelaran una falla de seguridad en la forma en que el firmware del enrutador maneja el mapeo de Traducción de Direcciones de Red (NAT) que podría ser explotada por un atacante conectado a la misma red Wi-Fi que la víctima para eludir la aleatorización incorporada en el Protocolo de Control de Transmisión (TCP). «La mayoría de los enrutadores, por razones de rendimiento, no inspeccionan rigurosamente los números de secuencia de los paquetes TCP», dijeron los investigadores. «En consecuencia, esto introduce vulnerabilidades de seguridad graves que los atacantes pueden explotar creando paquetes de reinicio falsificados (RST) para borrar maliciosamente las asignaciones NAT en el enrutador». El ataque básicamente permite al actor de la amenaza inferir los puertos de origen de otras conexiones de clientes, así como robar el número de secuencia y el número de reconocimiento de la conexión TCP normal entre el cliente víctima y el servidor para realizar la manipulación de la conexión TCP. Los ataques de secuestro dirigidos a TCP podrían luego ser utilizados como arma para envenenar la página web HTTP de una víctima o realizar ataques de denegación de servicio (DoS), según los investigadores, quienes dijeron que la comunidad OpenWrt, así como los proveedores de enrutadores como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti y Xiaomi, están preparando parches para la vulnerabilidad. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

Los investigadores advierten sobre las deficiencias de los equipos de análisis de gases industriales más utilizados

28 de junio de 2024Sala de prensaSeguridad industrial / Infraestructura crítica Se han revelado múltiples fallas de seguridad en los cromatógrafos de gases Emerson Rosemount que podrían ser explotadas por actores maliciosos para obtener información confidencial, inducir una condición de denegación de servicio (DoS) e incluso ejecutar comandos arbitrarios. Las fallas afectan a GC370XA, GC700XA y GC1500XA y residen en las versiones 4.1.5 y anteriores. Según la empresa de seguridad de tecnología operativa (OT) Claroty, las vulnerabilidades incluyen dos fallas de inyección de comandos y dos vulnerabilidades de autenticación y autorización independientes que podrían ser utilizadas por atacantes no autenticados para realizar una amplia gama de acciones maliciosas que van desde la omisión de la autenticación hasta la inyección de comandos. «La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado con acceso a la red ejecute comandos arbitrarios, acceda a información confidencial, provoque una condición de denegación de servicio y evite la autenticación para adquirir capacidades de administrador», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en un aviso publicado en enero. El cromatógrafo, que se utiliza para realizar mediciones críticas de gases, se puede configurar y administrar mediante un software llamado MON. El software también se puede utilizar para almacenar datos críticos y generar informes como cromatogramas, historial de alarmas, registros de eventos y registros de mantenimiento. El análisis de Claroty del firmware y el protocolo propietario utilizado para las comunicaciones entre el dispositivo y el cliente de Windows llamado MON2020 ha revelado las siguientes deficiencias: CVE-2023-46687 (puntuación CVSS: 9,8): un usuario no autenticado con acceso a la red podría ejecutar comandos arbitrarios en el contexto raíz desde una computadora remota CVE-2023-49716 (puntuación CVSS: 6,9): un usuario autenticado con acceso a la red podría ejecutar comandos arbitrarios desde una computadora remota CVE-2023-51761 (puntuación CVSS: 8,3): un usuario no autenticado con acceso a la red podría eludir la autenticación y adquirir capacidades de administrador restableciendo la contraseña asociada CVE-2023-43609 (puntuación CVSS: 6,9): un usuario no autenticado con acceso a la red podría obtener acceso a información confidencial o provocar una condición de denegación de servicio Tras una divulgación responsable, Emerson ha publicado [PDF] una versión actualizada del firmware que soluciona las vulnerabilidades. La empresa también recomienda a los usuarios finales que sigan las mejores prácticas de ciberseguridad y se aseguren de que los productos afectados no estén expuestos directamente a Internet. La revelación se produce cuando Nozomi Networks detalló varias fallas en AiLux RTU62351B que podrían usarse para acceder a recursos confidenciales en el dispositivo, alterar su configuración e incluso lograr la ejecución de comandos arbitrarios como root. Las vulnerabilidades se han denominado colectivamente I11USION. También se han identificado fallas en los dispositivos de monitoreo de temperatura Proges Plus y su software asociado, a saber, Sensor Net Connect y Thermoscan IP, que podrían permitir privilegios de administrador sobre sistemas médicos críticos, lo que hace posible que un actor malintencionado manipule la configuración del sistema, instale malware y exfiltre datos. Estas vulnerabilidades, que siguen sin parchearse, también podrían resultar en una condición de DoS de la infraestructura de monitoreo médico, lo que lleva al deterioro de medicamentos y vacunas sensibles a la temperatura. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Un fallo de inyección rápida en Vanna AI expone las bases de datos a ataques RCE

Investigadores de ciberseguridad han revelado una falla de seguridad de alta gravedad en la biblioteca Vanna.AI que podría explotarse para lograr una vulnerabilidad de ejecución remota de código mediante técnicas de inyección rápida. La vulnerabilidad, rastreada como CVE-2024-5565 (puntaje CVSS: 8.1), se relaciona con un caso de inyección rápida en la función «preguntar» que podría explotarse para engañar a la biblioteca para que ejecute comandos arbitrarios, dijo la firma de seguridad de la cadena de suministro JFrog. Vanna es una biblioteca de aprendizaje automático basada en Python que permite a los usuarios chatear con su base de datos SQL para obtener información «simplemente haciendo preguntas» (también conocidas como indicaciones) que se traducen a una consulta SQL equivalente utilizando un modelo de lenguaje grande (LLM). La rápida implementación de modelos de inteligencia artificial (IA) generativa en los últimos años ha puesto de relieve los riesgos de explotación por parte de actores maliciosos, que pueden convertir las herramientas en armas proporcionando entradas adversas que eluden los mecanismos de seguridad integrados en ellas. Una de esas clases destacadas de ataques es la inyección rápida, que se refiere a un tipo de jailbreak de IA que puede usarse para ignorar las barreras erigidas por los proveedores de LLM para evitar la producción de contenido ofensivo, dañino o ilegal, o llevar a cabo instrucciones que violen el objetivo previsto. propósito de la aplicación. Dichos ataques pueden ser indirectos, en los que un sistema procesa datos controlados por un tercero (por ejemplo, correos electrónicos entrantes o documentos editables) para lanzar una carga útil maliciosa que conduce a una fuga de IA. También pueden tomar la forma de lo que se llama jailbreak de muchos disparos o jailbreak de múltiples turnos (también conocido como Crescendo) en el que el operador «comienza con un diálogo inofensivo y dirige progresivamente la conversación hacia el objetivo prohibido previsto». Este enfoque se puede ampliar aún más para realizar otro novedoso ataque de jailbreak conocido como Skeleton Key. «Esta técnica de jailbreak de IA funciona mediante el uso de una estrategia de múltiples turnos (o múltiples pasos) para hacer que un modelo ignore sus barreras de seguridad», dijo Mark Russinovich, director de tecnología de Microsoft Azure. «Una vez que se ignoran las barreras de seguridad, un modelo no podrá determinar solicitudes maliciosas o no autorizadas de ningún otro». Skeleton Key también se diferencia de Crescendo en que una vez que el jailbreak es exitoso y se cambian las reglas del sistema, el modelo puede crear respuestas a preguntas que de otro modo estarían prohibidas, independientemente de los riesgos éticos y de seguridad involucrados. «Cuando el jailbreak de Skeleton Key tiene éxito, un modelo reconoce que ha actualizado sus pautas y posteriormente cumplirá con las instrucciones para producir cualquier contenido, sin importar cuánto viole sus pautas originales de IA responsable», dijo Russinovich. «A diferencia de otros jailbreaks como Crescendo, donde se debe preguntar a los modelos sobre las tareas indirectamente o con codificaciones, Skeleton Key pone a los modelos en un modo en el que un usuario puede solicitar tareas directamente. Además, la salida del modelo parece no estar completamente filtrada y revela el alcance de el conocimiento o la capacidad de un modelo para producir el contenido solicitado». Los últimos hallazgos de JFrog –también divulgados de forma independiente por Tong Liu– muestran cómo las inyecciones rápidas podrían tener graves impactos, particularmente cuando están vinculadas a la ejecución de una orden. CVE-2024-5565 aprovecha el hecho de que Vanna facilita la generación de texto a SQL para crear consultas SQL, que luego se ejecutan y se presentan gráficamente a los usuarios utilizando la biblioteca de gráficos Plotly. Esto se logra mediante una función «preguntar», por ejemplo, vn.ask («¿Cuáles son los 10 principales clientes por ventas?»), que es uno de los principales puntos finales de API que permite ejecutar consultas SQL en la base de datos. El comportamiento antes mencionado, junto con la generación dinámica del código Plotly, crea un agujero de seguridad que permite a un actor de amenazas enviar un mensaje especialmente diseñado que incorpora un comando para ejecutarse en el sistema subyacente. «La biblioteca Vanna utiliza una función de aviso para presentar al usuario resultados visualizados, es posible alterar el aviso usando la inyección de aviso y ejecutar código Python arbitrario en lugar del código de visualización deseado», dijo JFrog. «Específicamente, permitir la entrada externa al método ‘preguntar’ de la biblioteca con ‘visualizar’ configurado en Verdadero (comportamiento predeterminado) conduce a la ejecución remota de código». Tras una divulgación responsable, Vanna ha publicado una guía de refuerzo que advierte a los usuarios que la integración de Plotly podría usarse para generar código Python arbitrario y que los usuarios que expongan esta función deben hacerlo en un entorno de espacio aislado. «Este descubrimiento demuestra que los riesgos del uso generalizado de GenAI/LLM sin una gobernanza y seguridad adecuadas pueden tener implicaciones drásticas para las organizaciones», dijo en un comunicado Shachar Menashe, director senior de investigación de seguridad de JFrog. «Los peligros de la inyección rápida todavía no son muy conocidos, pero son fáciles de ejecutar. Las empresas no deberían confiar en la estimulación previa como mecanismo de defensa infalible y deberían emplear mecanismos más sólidos al conectar los LLM con recursos críticos como bases de datos o dinámicas. codigo de GENERACION.» ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Página 1 de 17

Funciona con WordPress & Tema de Anders Norén