Etiqueta: software malicioso ransomware Página 2 de 6

05 de abril de 2024Sala de prensaMalware / Endpoint Security Se están utilizando instaladores falsos para Adobe Acrobat Reader para distribuir un nuevo malware multifuncional denominado Byakugan. El punto de partida del ataque es un archivo PDF escrito en portugués que, al abrirlo, muestra una imagen borrosa y pide a la víctima que haga clic en un enlace para descargar la aplicación Reader y ver el contenido. Según Fortinet FortiGuard Labs, al hacer clic en la URL se entrega un instalador («Reader_Install_Setup.exe») que activa la secuencia de infección. Los detalles de la campaña fueron revelados por primera vez por el Centro de Inteligencia de Seguridad de AhnLab (ASEC) el mes pasado. La cadena de ataque aprovecha técnicas como el secuestro de DLL y la omisión del control de acceso de usuarios de Windows (UAC) para cargar un archivo de biblioteca de vínculos dinámicos (DLL) malicioso llamado «BluetoothDiagnosticUtil.dll», que, a su vez, libera la carga útil final. También implementa un instalador legítimo para un lector de PDF como Wondershare PDFelement. El binario está equipado para recopilar y filtrar metadatos del sistema a un servidor de comando y control (C2) y soltar el módulo principal («chrome.exe») de un servidor diferente que también actúa como su C2 para recibir archivos y comandos. «Byakugan es un malware basado en node.js empaquetado en su ejecutable por pkg», dijo el investigador de seguridad Pei Han Liao. «Además del script principal, existen varias bibliotecas correspondientes a funciones». Esto incluye configurar la persistencia, monitorear el escritorio de la víctima usando OBS Studio, capturar capturas de pantalla, descargar mineros de criptomonedas, registrar pulsaciones de teclas, enumerar y cargar archivos y capturar datos almacenados en navegadores web. «Existe una tendencia creciente a utilizar componentes limpios y maliciosos en el malware, y Byakugan no es una excepción», dijo Fortinet. «Este enfoque aumenta la cantidad de ruido generado durante el análisis, lo que dificulta las detecciones precisas». La revelación se produce cuando ASEC reveló una nueva campaña que propaga el ladrón de información Rhadamanthys bajo la apariencia de un instalador de software colaborativo. «El actor de amenazas creó un sitio web falso para parecerse al sitio web original y lo expuso a los usuarios utilizando la función de publicidad en los motores de búsqueda», dijo la firma de ciberseguridad de Corea del Sur. «El malware que se distribuye utiliza la técnica de llamada indirecta al sistema para ocultarse de los ojos de las soluciones de seguridad». También se descubre que actores de amenazas no identificados están empleando una versión manipulada de Notepad++ para propagar el malware WikiLoader (también conocido como WailingCrab). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

06 de abril de 2024Sala de prensaSkimmer / Threat Intelligence Se ha descubierto que los actores de amenazas explotan una falla crítica en Magento para inyectar una puerta trasera persistente en sitios web de comercio electrónico. El ataque aprovecha CVE-2024-20720 (puntuación CVSS: 9,1), que Adobe ha descrito como un caso de «neutralización inadecuada de elementos especiales» que podría allanar el camino para la ejecución de código arbitrario. La empresa lo abordó como parte de las actualizaciones de seguridad publicadas el 13 de febrero de 2024. Sansec dijo que descubrió una «plantilla de diseño inteligentemente diseñada en la base de datos» que se utiliza para inyectar automáticamente código malicioso para ejecutar comandos arbitrarios. «Los atacantes combinan el analizador de diseño de Magento con el paquete beberlei/assert (instalado por defecto) para ejecutar comandos del sistema», dijo la compañía. «Debido a que el bloque de diseño está vinculado al carrito de pago, este comando se ejecuta siempre que Se solicita /checkout/cart». El comando en cuestión es sed, que se utiliza para insertar una puerta trasera de ejecución de código que luego es responsable de entregar un skimmer de pagos de Stripe para capturar y filtrar información financiera a otra tienda Magento comprometida. El desarrollo llega como el El gobierno ruso ha acusado a seis personas por utilizar malware skimmer para robar información de pagos y tarjetas de crédito de tiendas de comercio electrónico extranjeras al menos desde finales de 2017. Los sospechosos son Denis Priymachenko, Alexander Aseyev, Alexander Basov, Dmitry Kolpakov, Vladislav Patyuk y Anton Tolmachev. Recorded Future News informó que las detenciones se realizaron hace un año, citando documentos judiciales: «Como resultado, los miembros del grupo de hackers se apoderaron ilegalmente de información sobre casi 160 mil tarjetas de pago de ciudadanos extranjeros, después de lo cual las vendieron a través de la sombra». sitios de Internet», dijo la Fiscalía General de la Federación de Rusia. ¿Le pareció interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Los requisitos de cumplimiento están destinados a aumentar la transparencia y la rendición de cuentas en materia de ciberseguridad. A medida que aumentan las amenazas cibernéticas, también aumenta el número de marcos de cumplimiento y la especificidad de los controles, políticas y actividades de seguridad que incluyen. Para los CISO y sus equipos, eso significa que el cumplimiento es un proceso lento y de alto riesgo que exige sólidas habilidades organizativas y de comunicación, además de experiencia en seguridad. Recurrimos al grupo de expertos del CISO para conocer su opinión sobre las mejores formas de abordar los requisitos de cumplimiento de privacidad y seguridad de los datos. En este blog, comparten estrategias para reducir el dolor de lidiar con el proceso de cumplimiento, incluida la gestión de riesgos y la alineación de las partes interesadas. Siga leyendo para conocer recomendaciones para convertir el cumplimiento de un «mal necesario» en una herramienta estratégica que le ayude a evaluar el riesgo cibernético, ganar presupuesto y aceptación, y aumentar la confianza de los clientes y accionistas. ¿Qué CISO se preocupan más por el cumplimiento? La forma en que los CISO ven el cumplimiento de la ciberseguridad puede variar mucho, según el tamaño de la empresa, la geografía, el sector, la sensibilidad de los datos y el nivel de madurez del programa. Por ejemplo, si es una empresa que cotiza en bolsa en los Estados Unidos, no tendrá más remedio que cumplir con múltiples regulaciones, así como mantener evaluaciones de riesgos y planes de acciones correctivas. Si es una agencia gubernamental o vende a una, deberá cumplir con requisitos específicos del sector público. Los bancos, las organizaciones de atención médica, las infraestructuras, las empresas de comercio electrónico y otras empresas deben seguir reglas de cumplimiento específicas de la industria. Seguridad no es igual a cumplimiento. Incluso si no pertenece a ninguna de estas categorías, existen muchas razones por las que necesitará demostrar las mejores prácticas de seguridad, como buscar una certificación SOC o solicitar un seguro de ciberseguridad. Para todas las organizaciones, marcos amplios de cumplimiento de ciberseguridad como NIST CSF e ISO proporcionan modelos a seguir y estructuras para comunicar resultados. Dicho esto, «seguridad no es igual a cumplimiento» es un mantra que se escucha a menudo entre los CISO. Ciertamente, el hecho de que usted cumpla no significa que esté seguro. Las organizaciones de ciberseguridad altamente maduras pueden considerar el cumplimiento como mínimo e ir mucho más allá de los componentes requeridos para proteger sus organizaciones. El cumplimiento como facilitador del negocio Si bien un CISO puede recomendar inversiones y prácticas de ciberseguridad para cumplir con los requisitos de cumplimiento, no es quien toma las decisiones en última instancia. Por lo tanto, una responsabilidad clave de un CISO es comunicar el riesgo de incumplimiento y trabajar con otros líderes de la empresa para decidir qué iniciativas priorizar. El riesgo, en este contexto, incorpora no sólo el riesgo técnico, sino también el riesgo empresarial. A Steve Zalewski, ex CISO de Levi Strauss, le gusta utilizar la metáfora del «palo y la zanahoria». «Históricamente, la auditoría y el cumplimiento han sido el bastón que te obliga a hacer algo», comparte en el podcast Defense-in-Depth, «pero hacer [you] hacerlo no significa que la empresa esté alineada con el valor de hacerlo». Para evitar fricciones, recomienda mostrar a la gente el valor empresarial de la ciberseguridad compatible. «Tiene que haber un componente de zanahoria para hacerles sentir que tienen una elección en el asunto», dice. El liderazgo debe sopesar los costos y beneficios de garantizar el cumplimiento con los costos potenciales del incumplimiento. Digamos que una organización no cumple plenamente con las mejores prácticas de seguridad para la gestión de privilegios. Si bien el incumplimiento podría resultar En multas regulatorias y demandas de accionistas, las brechas de seguridad subyacentes podrían causar un impacto aún mayor en el negocio, incluido tiempo de inactividad, pagos de ransomware y pérdida de ingresos. Cumplir con los requisitos de cumplimiento, por otro lado, podría generar valor comercial, como ventas más rápidas. asociaciones más sólidas o tasas de seguro cibernético más bajas. Como parte de un programa integral de gestión de riesgos, las juntas directivas y el liderazgo ejecutivo deben sopesar los costos y beneficios de garantizar el cumplimiento con los costos potenciales del incumplimiento. En algunos casos, pueden decidir que un cierto nivel de riesgo es aceptable y optar por no implementar salvaguardias adicionales. En otros casos, pueden duplicar su apuesta. Cómo los CISO utilizan los marcos de cumplimiento para planificar su hoja de ruta de ciberseguridad Algunos CISO utilizan los marcos de cumplimiento como metodología para incorporar técnicas y procesos en su programa de ciberseguridad. Básicamente, informan las prioridades del programa y crean una lista de compras de soluciones imprescindibles que se alinean con el programa que están intentando crear. En el podcast Audience First, Brian Haugli, ex CISO de Fortune 500, ve una diferencia entre depender del cumplimiento y utilizar marcos de cumplimiento para guiar la gestión de riesgos informada. «No podemos ser blancos y negros. Tenemos que ser capaces de tomar decisiones basadas en el riesgo, de decir: ‘Aceptaré este riesgo porque no puedo darme el lujo de cerrarlo ahora mismo’. Pero haré estas cosas para mitigar el riesgo a un nivel lo suficientemente bajo que me permita aceptarlo». Los CISO necesitan socios para el cumplimiento. Los CISO no están solos en el barco del cumplimiento. Deben crear asociaciones con equipos legales, funcionarios de privacidad y comités de auditoría o riesgos para comprender los cambios en los requisitos de cumplimiento y decidir cómo abordarlos. A veces, estos socios internos requieren que los equipos de seguridad implementen controles más estrictos, pero también pueden tomar frenos. Como nos dijo un CISO de un proveedor de tecnología de rápido crecimiento: «Francamente, lo legal me supera todos los días de la semana. Me dicen lo que puedo y no puedo hacer. Me encantaría poder monitorear el comportamiento de todos, pero la privacidad Las leyes dicen que no puedo hacer eso». Los equipos de cumplimiento hacen muchas cosas para las que los ingenieros y analistas de seguridad no tienen tiempo ni recursos. Responsabilizan a la seguridad y verifican dos veces que los controles funcionen como se espera. Actúan como intermediarios entre los equipos de seguridad, los reguladores y los auditores para demostrar el cumplimiento, ya sea que eso signifique recopilar evidencia a través de cuestionarios de seguridad manuales o mediante integraciones tecnológicas. Por ejemplo, para una certificación del sector público, los controles de seguridad deben monitorearse, registrarse y conservarse durante al menos seis meses de datos para evidenciar que han hecho lo que dijeron que iban a hacer. Herramientas y recursos que apoyan el cumplimiento Los registros de riesgos son útiles para alinear a todas las partes interesadas al documentar todos los riesgos y organizarlos por prioridad. Si todos miran la misma información, podrán ponerse de acuerdo sobre las acciones apropiadas. Como parte de un programa de gestión de riesgos, las políticas, estándares y procedimientos se revisan periódicamente y cualquier cambio se aprueba antes de su implementación. Al utilizar herramientas como los sistemas GRC y el monitoreo continuo del cumplimiento, las organizaciones pueden realizar un seguimiento de las actividades de seguridad en curso e informar los resultados. Los sistemas GRC pueden vincularse a SIEM para recopilar registros y escáneres de vulnerabilidades que muestran que se completaron las comprobaciones. «En lugar de barajar hojas de cálculo, hemos creado varios conectores que se integran con nuestra plataforma GRC para demostrar que cumplimos», explica el CISO de tecnología. «Asignan todas las certificaciones en un solo panel, de modo que cuando llega un auditor, le mostramos una pantalla que dice: ‘Aquí está la evidencia'». Además de las herramientas, muchas empresas dependen de terceros para realizar evaluaciones de cumplimiento. Pueden realizar una auditoría de cumplimiento interna antes que una externa para asegurarse de que no haya sorpresas si los reguladores llaman. Cumplir una vez, aplicar a muchas La mayoría de las organizaciones tienen numerosos organismos de cumplimiento a los que deben responder, así como proveedores, clientes y socios de seguros cibernéticos. Si bien el cumplimiento puede ser una carga, la buena noticia es que existen técnicas para agilizar el proceso de evaluación. «Si analizamos los principales organismos de cumplimiento, aproximadamente el 80% de los requisitos son los mismos», afirma el CISO de un proveedor de SaaS. «Puedes alinearte con un marco como el NIST y aplicar las mismas prácticas en todos ellos». Por ejemplo, los requisitos de gestión de acceso privilegiado (PAM), como la gestión de contraseñas, la autenticación multifactor (MFA) y los controles de acceso basados ​​en roles, son comunes en todos los marcos de cumplimiento. Puede profundizar en los detalles para ver cómo aparece PAM en una variedad de requisitos de cumplimiento en Delinea.com. Requisitos de cumplimiento emergentes El cumplimiento es un espacio fluido con requisitos que evolucionan para abordar los patrones de riesgo y las condiciones comerciales cambiantes. Los CISO buscan orientación en los organismos de cumplimiento sobre la gestión de riesgos cibernéticos emergentes, como la Inteligencia Artificial. En el futuro, los CISO esperan que garantizar el cumplimiento se convierta en una parte aún mayor de su trabajo. A medida que la industria enfrenta amenazas cada vez mayores, el cumplimiento es una parte clave de un enfoque estratégico e integral para la gestión de riesgos de ciberseguridad. Para obtener más información sobre este tema, consulte el episodio del podcast 401 Access Denied de Delinea: Securing Compliance: Expert Insights with Steven Ursillo ¿Necesita una guía paso a paso para planificar su viaje estratégico hacia la seguridad del acceso privilegiado? Comience con una lista de verificación PAM gratuita y personalizable. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

05 de abril de 2024Sala de prensaInteligencia artificial/ataque a la cadena de suministro Una nueva investigación ha descubierto que los proveedores de inteligencia artificial (IA) como servicio, como Hugging Face, son susceptibles a dos riesgos críticos que podrían permitir a los actores de amenazas aumentar privilegios y obtener beneficios cruzados. -Acceso de inquilino a los modelos de otros clientes, e incluso hacerse cargo de los canales de integración continua e implementación continua (CI/CD). «Los modelos maliciosos representan un riesgo importante para los sistemas de IA, especialmente para los proveedores de IA como servicio porque los atacantes potenciales pueden aprovechar estos modelos para realizar ataques entre inquilinos», dijeron los investigadores de Wiz Shir Tamari y Sagi Tzadik. «El impacto potencial es devastador, ya que los atacantes pueden acceder a millones de modelos y aplicaciones privados de IA almacenados en proveedores de IA como servicio». El desarrollo se produce cuando los canales de aprendizaje automático han surgido como un nuevo vector de ataque a la cadena de suministro, con repositorios como Hugging Face convirtiéndose en un objetivo atractivo para organizar ataques adversarios diseñados para recopilar información confidencial y acceder a entornos objetivo. Las amenazas tienen dos frentes y surgen como resultado de la adquisición compartida de la infraestructura de inferencia y de la adquisición compartida de CI/CD. Permiten ejecutar modelos que no son de confianza cargados en el servicio en formato pickle y hacerse cargo de la canalización de CI/CD para realizar un ataque a la cadena de suministro. Los hallazgos de la firma de seguridad en la nube muestran que es posible violar el servicio que ejecuta los modelos personalizados cargando un modelo no autorizado y aprovechando técnicas de escape de contenedores para escapar de su propio inquilino y comprometer todo el servicio, lo que permite de manera efectiva que los actores de amenazas obtengan información cruzada. acceso de inquilinos a los modelos de otros clientes almacenados y ejecutados en Hugging Face. «Hugging Face seguirá permitiendo al usuario inferir el modelo cargado basado en Pickle en la infraestructura de la plataforma, incluso cuando se considere peligroso», explicaron los investigadores. Básicamente, esto permite a un atacante crear un modelo PyTorch (Pickle) con capacidades de ejecución de código arbitrario al cargarlo y encadenarlo con configuraciones erróneas en Amazon Elastic Kubernetes Service (EKS) para obtener privilegios elevados y moverse lateralmente dentro del clúster. «Los secretos que obtuvimos podrían haber tenido un impacto significativo en la plataforma si estuvieran en manos de un actor malicioso», dijeron los investigadores. «Los secretos dentro de entornos compartidos a menudo pueden provocar acceso entre inquilinos y fuga de datos confidenciales. Para mitigar el problema, se recomienda habilitar IMDSv2 con límite de saltos para evitar que los pods accedan al servicio de metadatos de instancia (IMDS) y obtengan el rol de un nodo dentro del clúster. La investigación también encontró que es posible lograr la ejecución remota de código a través de un Dockerfile especialmente diseñado cuando se ejecuta una aplicación en el servicio Hugging Face Spaces, y usarlo para extraer y enviar (es decir, sobrescribir) todas las imágenes que están disponibles en un registro de contenedores interno. Hugging Face, en divulgación coordinada, dijo que ha abordado todos los problemas identificados. También insta a los usuarios a emplear modelos solo de fuentes confiables, habilitar la autenticación multifactor (MFA) y abstenerse de usar pickle. archivos en entornos de producción: «Esta investigación demuestra que el uso de modelos de IA que no son de confianza (especialmente los basados ​​en Pickle) podría tener graves consecuencias para la seguridad», dijeron los investigadores. «Además, si pretende permitir que los usuarios utilicen modelos de IA que no son de confianza en su entorno, es extremadamente importante asegurarse de que se ejecuten en un entorno aislado». La divulgación sigue a otra investigación de Lasso Security de que es posible que modelos de IA generativa como OpenAI ChatGPT y Google Gemini distribuyan paquetes de códigos maliciosos (e inexistentes) a desarrolladores de software desprevenidos. En otras palabras, la idea es encontrar una recomendación para un paquete no publicado y publicar un paquete troyanizado en su lugar para propagar el malware. El fenómeno de las alucinaciones de paquetes de IA subraya la necesidad de tener cuidado al confiar en modelos de lenguaje grandes (LLM) para soluciones de codificación. La empresa de inteligencia artificial Anthropic, por su parte, también ha detallado un nuevo método llamado «jailbreaking de muchos disparos» que puede usarse para eludir las protecciones de seguridad integradas en los LLM para producir respuestas a consultas potencialmente dañinas aprovechando la ventana de contexto de los modelos. «La capacidad de ingresar cantidades cada vez mayores de información tiene ventajas obvias para los usuarios de LLM, pero también conlleva riesgos: vulnerabilidades de jailbreak que explotan la ventana de contexto más larga», dijo la compañía a principios de esta semana. La técnica, en pocas palabras, implica introducir una gran cantidad de diálogos falsos entre un humano y un asistente de IA dentro de un solo mensaje para el LLM en un intento de «dirigir el comportamiento del modelo» y responder a consultas que de otro modo no haría (por ejemplo, , «¿Cómo construyo una bomba?»). ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Se ha observado que un presunto actor de amenazas de origen vietnamita ataca a víctimas en varios países asiáticos y del sudeste asiático con malware diseñado para recopilar datos valiosos desde al menos mayo de 2023. Cisco Talos está rastreando el clúster bajo el nombre CoralRaider y lo describe como motivado financieramente. Los objetivos de la campaña incluyen India, China, Corea del Sur, Bangladesh, Pakistán, Indonesia y Vietnam. «Este grupo se centra en robar las credenciales de las víctimas, datos financieros y cuentas de redes sociales, incluidas cuentas comerciales y publicitarias», dijeron los investigadores de seguridad Chetan Raghuprasad y Joey Chen. «Usan RotBot, una variante personalizada de Quasar RAT, y XClient Stealer como cargas útiles». Otro malware básico utilizado por el grupo comprende una combinación de troyanos de acceso remoto y ladrones de información como AsyncRAT, NetSupport RAT y Rhadamanthys. El objetivo de cuentas comerciales y publicitarias ha sido un foco particular para los atacantes que operan desde Vietnam, con varias familias de malware ladrón como Ducktail, NodeStealer y VietCredCare implementadas para tomar el control de las cuentas para una mayor monetización. El modus operandi implica el uso de Telegram para extraer la información robada de las máquinas de las víctimas, que luego se comercializa en mercados clandestinos para generar ingresos ilícitos. «Los operadores de CoralRaider tienen su sede en Vietnam, según los mensajes de los actores en sus canales de bots de Telegram C2 y la preferencia de idioma al nombrar sus bots, cadenas PDB y otras palabras vietnamitas codificadas en sus binarios de carga útil», dijeron los investigadores. Las cadenas de ataques comienzan con un archivo de acceso directo de Windows (LNK), aunque actualmente no hay una explicación clara sobre cómo se distribuyen estos archivos a los objetivos. Si se abre el archivo LNK, se descarga y ejecuta un archivo de aplicación HTML (HTA) desde un servidor de descarga controlado por el atacante, que, a su vez, ejecuta un script de Visual Basic integrado. El script, por su parte, descifra y ejecuta secuencialmente otros tres scripts de PowerShell que se encargan de realizar comprobaciones anti-VM y anti-análisis, eludir el control de acceso de usuarios (UAC) de Windows, deshabilitar las notificaciones de aplicaciones y Windows, y descargar y ejecutar RotBot. RotBot está configurado para contactar a un bot de Telegram y recuperar el malware ladrón XClient y ejecutarlo en la memoria, lo que en última instancia facilita el robo de cookies, credenciales e información financiera de navegadores web como Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox, y Ópera; Datos de Discord y Telegram; y capturas de pantalla. XClient también está diseñado para extraer datos de las cuentas de Facebook, Instagram, TikTok y YouTube de las víctimas, recopilando detalles sobre los métodos de pago y permisos asociados con sus cuentas comerciales y publicitarias de Facebook. «RotBot es una variante del cliente Quasar RAT que el actor de amenazas ha personalizado y compilado para esta campaña», dijeron los investigadores. «[XClient] tiene una amplia capacidad de robo de información a través de su módulo de complemento y varios módulos para realizar tareas administrativas remotas». El desarrollo se produce cuando Bitdefender reveló detalles de una campaña de publicidad maliciosa en Facebook que está aprovechando los rumores que rodean a las herramientas de inteligencia artificial generativa para impulsar una variedad de ladrones de información. como Rilide, Vidar, IceRAT y un nuevo participante conocido como Nova Stealer. El punto de partida del ataque es que el actor de amenazas se apodera de una cuenta de Facebook existente y modifica su apariencia para imitar herramientas de inteligencia artificial conocidas de Google, OpenAI y Midjourney. y ampliar su alcance mediante la publicación de anuncios patrocinados en la plataforma. Una de ellas es la página impostora que se hace pasar por Midjourney que tenía 1,2 millones de seguidores antes de ser eliminada el 8 de marzo de 2023. Los actores de amenazas que administraban la página eran principalmente de Vietnam, EE. UU. e Indonesia. , el Reino Unido y Australia, entre otros. «Las campañas de publicidad maliciosa tienen un enorme alcance a través del sistema de anuncios patrocinados de Meta y se han dirigido activamente a usuarios europeos de Alemania, Polonia, Italia, Francia, Bélgica, España, Países Bajos, Rumania, Suecia y en otros lugares», afirmó la empresa rumana de ciberseguridad. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

04 de abril de 2024Sala de prensaSeguridad de red/vulnerabilidad Ivanti ha publicado actualizaciones de seguridad para abordar cuatro fallas de seguridad que afectan a Connect Secure y Policy Secure Gateways y que podrían resultar en la ejecución de código y denegación de servicio (DoS). La lista de fallas es la siguiente: CVE-2024-21894 (puntaje CVSS: 8.2): una vulnerabilidad de desbordamiento de montón en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado enviar solicitudes especialmente diseñadas para bloquear el servicio y provocar así un ataque DoS. En determinadas condiciones, esto puede dar lugar a la ejecución de código arbitrario. CVE-2024-22052 (puntuación CVSS: 7,5): una vulnerabilidad de desreferencia de puntero nulo en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado envíe solicitudes especialmente diseñadas para bloquear el servicio provocando así un ataque DoS. CVE-2024-22053 (puntuación CVSS: 8,2): una vulnerabilidad de desbordamiento de montón en el componente IPSec de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un usuario malintencionado no autenticado envíe solicitudes especialmente diseñadas para bloquear el servicio provocando así un ataque DoS o, en determinadas condiciones, leer contenidos de la memoria. CVE-2024-22023 (puntuación CVSS: 5,3): una expansión de entidad XML o vulnerabilidad XEE en el componente SAML de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure permite que un atacante no autenticado envíe solicitudes XML especialmente diseñadas en para causar temporalmente el agotamiento de los recursos, lo que resulta en un DoS por tiempo limitado. La compañía, que ha estado lidiando con un flujo constante de fallas de seguridad en sus productos desde principios de año, dijo que no tiene conocimiento de «ningún cliente que haya sido explotado por estas vulnerabilidades en el momento de la divulgación». A fines del mes pasado, Ivanti envió parches para deficiencias críticas en su producto Standalone Sentry (CVE-2023-41724, puntuación CVSS: 9.6) que podrían permitir que un actor de amenazas no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente. También resolvió otra falla crítica que afectaba las versiones locales de Neurons for ITSM (CVE-2023-46808, puntuación CVSS: 9.9) que un atacante remoto autenticado podría abusar para realizar escrituras de archivos arbitrarias y obtener ejecución de código. En una carta abierta publicada el 3 de abril de 2023, el director ejecutivo de Ivanti, Jeff Abbott, dijo que la compañía está «analizando de cerca» su propia postura y procesos para cumplir con los requisitos del panorama de amenazas actual. Abbott también dijo que «los acontecimientos de los últimos meses han sido humillantes» y que está ejecutando un plan que esencialmente cambia su modelo operativo de seguridad al adoptar principios de seguridad desde el diseño, compartir información con los clientes con total transparencia y rediseñar su ingeniería, seguridad y prácticas de gestión de vulnerabilidades. «Estamos intensificando nuestras capacidades de escaneo interno, explotación manual y prueba, involucrando a terceros confiables para aumentar nuestra investigación interna y facilitando la divulgación responsable de vulnerabilidades con mayores incentivos en torno a un programa mejorado de recompensas por errores», dijo Abbott. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

03 de abril de 2024Sala de prensaSeguridad móvil/Día Cero Google ha revelado que empresas forenses han explotado dos fallos de seguridad de Android que afectan a sus teléfonos inteligentes Pixel. Las vulnerabilidades de día cero de alta gravedad son las siguientes: CVE-2024-29745: una falla de divulgación de información en el componente del gestor de arranque CVE-2024-29748: una falla de escalada de privilegios en el componente de firmware «Hay indicios de que el [vulnerabilities] puede estar bajo explotación limitada y dirigida», dijo Google en un aviso publicado el 2 de abril de 2024. Si bien el gigante tecnológico no reveló ninguna otra información sobre la naturaleza de los ataques que explotan estas deficiencias, los mantenedores de GrapheneOS dijeron que «están siendo activamente explotado en estado salvaje por empresas forenses». «CVE-2024-29745 se refiere a una vulnerabilidad en el firmware fastboot utilizado para soportar el desbloqueo/flasheo/bloqueo», dijeron en una serie de publicaciones en X (anteriormente Twitter). «Compañías forenses están reiniciando dispositivos en el estado Después del primer desbloqueo en modo fastboot en Pixels y otros dispositivos para explotar vulnerabilidades allí y luego volcar la memoria». GrapheneOS señaló que CVE-2024-29748 podría ser utilizado como arma por atacantes locales para interrumpir un restablecimiento de fábrica activado a través del administrador del dispositivo. API: La divulgación se produce más de dos meses después de que el equipo de GrapheneOS revelara que las empresas forenses están explotando las vulnerabilidades del firmware que afectan a los teléfonos Google Pixel y Samsung Galaxy para robar datos y espiar a los usuarios cuando el dispositivo no está en reposo. También instó a Google a introducir una función de reinicio automático para dificultar la explotación de fallas de firmware. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

Las soluciones en la nube son más comunes y, por lo tanto, más expuestas que nunca. Solo en 2023, un asombroso 82 % de las filtraciones de datos se produjeron en entornos de nube pública, privada o híbrida. Es más, casi el 40% de las infracciones abarcaron múltiples entornos de nube. El costo promedio de una vulneración de la nube estuvo por encima del promedio general, con 4,75 millones de dólares. En una época en la que la nube se ha convertido en el estándar de facto –con el 65% de los tomadores de decisiones de TI confirmando que los servicios basados ​​en la nube son su primera opción al actualizar o comprar nuevas soluciones–, a pesar de su abrumadora prominencia, la seguridad en la nube aún enfrenta múltiples desafíos. Desafíos de seguridad en la nube Un obstáculo importante es la falta de visibilidad. A diferencia de los servidores físicos que se pueden ver y tocar, los recursos de la nube suelen estar distribuidos en vastas redes, lo que dificulta el seguimiento de actividades sospechosas y deja vulnerabilidades sin detectar. Otro desafío es la inconsistencia entre los sistemas de gestión de permisos de los proveedores de la nube. Los diferentes proveedores tienen diferentes controles sobre quién puede acceder y modificar los datos. Esta inconsistencia crea complejidad y aumenta el riesgo de configuraciones erróneas accidentales, que son una de las principales causas de infracciones. Además, con múltiples equipos involucrados en las implementaciones de la nube (desarrollo, operaciones, seguridad), la propiedad y la responsabilidad claras sobre la seguridad de la nube pueden resultar borrosas. Esta falta de coordinación puede llevar a situaciones en las que se pasan por alto o se pasan por alto las mejores prácticas de seguridad. Además, muchos ataques se trasladan a través de la nube a entornos locales y viceversa, lo que puede poner en riesgo ambos entornos. Todos estos desafíos resaltan la necesidad urgente de soluciones sólidas de seguridad en la nube que brinden visibilidad integral, gestión de permisos estandarizada y líneas de responsabilidad claras. Sin embargo, los recursos de seguridad son escasos incluso en los equipos mejor equipados, y se espera que los equipos de seguridad en la nube investiguen y remedien miles de exposiciones que tal vez no todas tengan el mismo impacto en los recursos críticos. Esto genera incertidumbre sobre qué solucionar primero y cómo abordar realmente todas las exposiciones identificadas, dejando los entornos de nube expuestos a ataques cibernéticos. La gestión continua de la exposición es esencial En lugar de perseguir innumerables vulnerabilidades, los equipos de seguridad deben priorizar las más críticas. Esto significa poder identificar rápidamente las rutas de ataque más peligrosas y tomar medidas preventivas contra los métodos de ataque avanzados en la nube. Al centrarse en áreas de alto riesgo, los equipos de seguridad en la nube pueden crear planes de remediación específicos que eviten ataques importantes, agilicen los flujos de trabajo e informen con precisión sobre amenazas reales en múltiples entornos de nube. La clave para lograrlo es la Gestión Continua de la Exposición a Amenazas (CTEM), un programa o marco proactivo y continuo de cinco etapas que reduce la exposición a los ciberataques. Introducido por primera vez por Gartner en 2022, CTEM ha demostrado ser esencial para prevenir ataques de alto impacto, mejorar la eficiencia de la remediación e informar sobre riesgos reales. Deje de permitir que los piratas informáticos jueguen a conectar los puntos con la seguridad de su nube. Descubra el mapa secreto que no quieren que tenga en nuestro libro electrónico: ‘El poder de las rutas de ataque en la nube’ Aprenda a visualizar, interceptar y proteger su fortaleza digital como nunca antes. CTEM se introdujo para resolver el problema de las listas interminables de exposiciones, y más específicamente de vulnerabilidades, en entornos locales. No poder resaltar y corregir las exposiciones que son más críticas deja a los equipos de seguridad arreglando CVE que pueden o no ser explotables o impactantes en su entorno específico. En entornos de múltiples nubes, las listas de vulnerabilidades pueden ser más cortas, pero junto con las configuraciones erróneas y el acceso altamente privilegiado, se suman a una larga lista de exposiciones que los atacantes pueden utilizar para violar el entorno de múltiples nubes y que los equipos de seguridad deben abordar. La única forma de bloquear los ataques es identificando y solucionando las exposiciones que tienen mayor impacto en su negocio. Eso requiere adoptar el marco CTEM en el entorno de la nube. Solucione lo que importa en múltiples nubes Para ayudar a los equipos de seguridad de la nube a solucionar lo que importa y bloquear ataques de alto impacto en entornos de múltiples nubes, un programa CTEM integral resaltará las entidades más impactantes que pueden comprometer los recursos de la nube. Estas soluciones identifican los recursos de la nube que pueden verse comprometidos y descubren todas las exposiciones que los atacantes pueden utilizar para comprometerlos. Mapear las rutas de ataque que los atacantes podrían explotar ayuda a priorizar y validar las exposiciones más impactantes que son explotables en el entorno de múltiples nubes para abordarlas primero. Por ejemplo, adoptar la perspectiva del atacante permite identificar los principales puntos críticos. Los puntos críticos son debilidades críticas en las defensas de la nube, donde múltiples rutas de ataque convergen en una sola exposición. Los atacantes pueden vulnerarlos fácilmente y luego acceder a una amplia red de recursos: bases de datos, computadoras, controles de identidad y más. Al priorizar estas áreas de alto impacto, los equipos de seguridad se centran en los objetivos más atractivos para los atacantes, maximizando el retorno de sus esfuerzos de seguridad. Los puntos críticos comunes incluyen sistemas conectados a Internet y cuentas de acceso no utilizadas. Abordarlos reduce significativamente la superficie de ataque, fortaleciendo efectivamente todo su entorno de nube. Ejemplo de Cloud Choke Point que muestra rutas de ataque entrantes y salientes Otro ejemplo de exposición de alto impacto proviene de un acceso predefinido con privilegios elevados. Las cuentas con privilegios elevados, como los administradores predefinidos, se consideran activos de «fin del juego». Si se ven comprometidos, los atacantes pueden causar estragos. Tener un enfoque integral de CTEM ayuda a identificar estas cuentas y descubrir debilidades que podrían dejarlas vulnerables. Esto incluye detectar el acceso de administrador sin autenticación multifactor (MFA) o cuentas de servicio no utilizadas, esencialmente; debilidades que a los atacantes les encantaría explotar. Para garantizar que se aborden las exposiciones críticas, las soluciones avanzadas de gestión de exposiciones brindan orientación y alternativas de remediación. La mayoría de las veces, las cuentas con privilegios elevados o los recursos conectados a Internet no se pueden restringir, pero analizar la ruta de ataque que conduce a ellos permite encontrar una solución que reduzca su explotabilidad y, por tanto, su nivel de riesgo. Detener los ataques en entornos híbridos Los atacantes no están limitados por los entornos híbridos y los defensores deben asegurarse de que tampoco estén limitados. Las soluciones que analizan rutas de ataque híbridas, en entornos locales y de múltiples nubes, permiten a los equipos de seguridad ir un paso por delante de los ataques, entendiendo exactamente dónde están expuestos a las amenazas cibernéticas. Estas herramientas brindan detalles completos sobre posibles puntos de infracción, técnicas de ataque, uso de permisos y alternativas de reparación para ayudar a los clientes a abordar estas exposiciones y bloquear las rutas de ataque más críticas. Ejemplo de ruta de ataque híbrido entre MS Active Directory y AWS Resumen Si bien la seguridad tradicional en la nube lucha contra el volumen de exposiciones siempre presentes, CTEM ofrece un plan de remediación viable al centrarse en los más críticos en un entorno específico. El enfoque correcto para CTEM abarca la nube local y la nube múltiple, abarcando todo su panorama de TI. Este enfoque holístico elimina los puntos ciegos y permite a las organizaciones realizar la transición de una defensa reactiva a una proactiva. Al adoptar CTEM, las organizaciones pueden garantizar su éxito en el futuro basado en la nube. Nota: Este artículo contribuido por expertos está escrito por Zur Ulianitzky, vicepresidente de investigación de seguridad de XM Cyber. ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

02 de abril de 2024Sala de prensaSeguridad/vulnerabilidad del firmware El código malicioso insertado en la biblioteca de código abierto XZ Utils, un paquete ampliamente utilizado presente en las principales distribuciones de Linux, también es capaz de facilitar la ejecución remota de código, según reveló un nuevo análisis. El audaz compromiso de la cadena de suministro, rastreado como CVE-2024-3094 (puntaje CVSS: 10.0), salió a la luz la semana pasada cuando el ingeniero de Microsoft y desarrollador de PostgreSQL, Andrés Freund, alertó sobre la presencia de una puerta trasera en la utilidad de compresión de datos que brinda a los atacantes remotos una forma de eludir la autenticación de shell segura y obtener acceso completo a un sistema afectado. XZ Utils es una herramienta de línea de comandos para comprimir y descomprimir datos en Linux y otros sistemas operativos similares a Unix. Se dice que el código malicioso fue introducido deliberadamente por uno de los mantenedores del proyecto llamado Jia Tan (también conocido como Jia Cheong Tan o JiaT75) en lo que parece ser un ataque meticuloso que duró varios años. La cuenta de usuario de GitHub se creó en 2021. Actualmente se desconoce la identidad de los actores. «El actor de amenazas comenzó a contribuir al proyecto XZ hace casi dos años, ganando credibilidad lentamente hasta que se le dieron responsabilidades de mantenimiento», dijo Akamai en un informe. En un acto adicional de ingeniería social inteligente, se cree que cuentas de títeres como Jigar Kumar y Dennis Ens se utilizaron para enviar solicitudes de funciones e informar una variedad de problemas en el software con el fin de obligar al mantenedor original: Lasse Collin del Proyecto Tukaani. – para agregar un nuevo co-mantenedor al repositorio. Ingrese Jia Tan, quien introdujo una serie de cambios en XZ Utils en 2023, que finalmente lograron lanzar la versión 5.6.0 en febrero de 2024. También albergaban una puerta trasera sofisticada. «Como insinué en correos electrónicos anteriores, Jia Tan puede tener un papel más importante en el proyecto en el futuro», dijo Collin en un intercambio con Kumar en junio de 2022. «Ha estado ayudando mucho fuera de la lista y es prácticamente un compañero». -Mantenedor ya. 🙂 Sé que no ha sucedido mucho en el repositorio de Git todavía, pero las cosas suceden en pequeños pasos. En cualquier caso, ya se están realizando algunos cambios en el mantenimiento, al menos para XZ Utils. » La puerta trasera afecta a los tarballs de versión XZ Utils 5.6.0 y 5.6.1, el último de los cuales contiene una versión mejorada del mismo implante. Desde entonces, Collins ha reconocido la violación del proyecto, afirmando que ambos archivos comprimidos fueron creados y firmados por Jia Tan y que solo tenían acceso al repositorio GitHub ahora deshabilitado. «Esta es claramente una operación muy compleja patrocinada por el Estado con una sofisticación impresionante y una planificación plurianual», dijo la empresa de seguridad de firmware Binarly. «Un marco de implantación integral tan complejo y diseñado profesionalmente no está desarrollado para una operación de una sola vez». Un examen más profundo de la puerta trasera realizado por el criptógrafo de código abierto Filippo Valsorda también ha revelado que las versiones afectadas permiten a atacantes remotos específicos enviar cargas útiles arbitrarias a través de un certificado SSH que se ejecutará de manera que eluda los protocolos de autenticación, tomando efectivamente el control sobre la víctima. máquina. «Parece como si la puerta trasera se hubiera añadido al demonio SSH en la máquina vulnerable, permitiendo a un atacante remoto ejecutar código arbitrario», dijo Akamai. «Esto significa que cualquier máquina con el paquete vulnerable que expone SSH a Internet es potencialmente vulnerable». No hace falta decir que el descubrimiento accidental por parte de Freund es uno de los ataques a la cadena de suministro más importantes descubiertos hasta la fecha y podría haber sido un grave desastre de seguridad si el paquete se hubiera integrado en versiones estables de distribuciones de Linux. «La parte más notable de este ataque a la cadena de suministro son los niveles extremos de dedicación del atacante, que trabajó más de dos años para establecerse como un mantenedor legítimo, se ofreció a trabajar en varios proyectos OSS y comprometió código en múltiples proyectos para para evitar la detección», dijo JFrog. Al igual que en el caso de Apache Log4j, el incidente vuelve a poner de relieve la dependencia del software de código abierto y de los proyectos gestionados por voluntarios, y las consecuencias que podrían conllevar si sufrieran un compromiso o tuvieran una vulnerabilidad importante. «La ‘solución’ más importante es que las organizaciones adopten herramientas y procesos que les permitan identificar signos de manipulación y características maliciosas tanto en el código abierto como en el código comercial utilizado en su propio proceso de desarrollo», dijo ReversingLabs. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link

01 de abril de 2024Sala de prensaCriptomonedas/fraude financiero El gobierno indio dijo que rescató y repatrió a unos 250 ciudadanos en Camboya que estaban cautivos y obligados a realizar estafas cibernéticas. Los ciudadanos indios «fueron atraídos con oportunidades de empleo a ese país, pero se vieron obligados a realizar trabajos cibernéticos ilegales», dijo el Ministerio de Asuntos Exteriores (MEA) en un comunicado, añadiendo que había rescatado a 75 personas en los últimos tres meses. También dijo que está trabajando «con las autoridades camboyanas y con agencias en la India para tomar medidas enérgicas contra los responsables de estos planes fraudulentos». El acontecimiento se produce a raíz de un informe del Indian Express que decía que más de 5.000 indios atrapados en Camboya fueron obligados a la «esclavitud cibernética» por el crimen organizado para estafar a la gente en la India y extorsionar dinero haciéndose pasar por autoridades encargadas de hacer cumplir la ley en algunos casos. . El informe también sigue una revelación anterior de INTERPOL, que caracterizó la situación como un fraude a escala industrial impulsado por la trata de personas. Entre ellos se encontraba un contador del estado de Telangana, que fue «atraído al Sudeste Asiático, donde lo obligaron a participar en esquemas de fraude en línea en condiciones inhumanas». Posteriormente lo dejaron en libertad tras pagar un rescate. En otro caso destacado por el Indian Express, uno de los hombres rescatados fue reclutado por un agente de la ciudad de Mangaluru, en el sur de la India, para un trabajo de ingreso de datos, solo para pedirle que creara cuentas falsas en las redes sociales con fotografías de mujeres y las usara para contactar personas. «Teníamos objetivos y si no los cumplíamos, no nos darían comida ni nos permitirían entrar a nuestras habitaciones», dijo el individuo, identificado sólo como Stephen. China y Filipinas han emprendido esfuerzos similares para liberar a cientos de filipinos, chinos y otros ciudadanos extranjeros que fueron atrapados y obligados a realizar actividades delictivas, ejecutando lo que se llama estafas de matanza de cerdos. Estos esquemas generalmente comienzan cuando el estafador adopta una identidad falsa para atraer a posibles víctimas a invertir en negocios criptográficos inexistentes que están diseñados para robar sus fondos. Se sabe que los estafadores se ganan la confianza de su objetivo bajo la ilusión de una relación romántica. En un informe publicado en febrero de 2024, Chainalysis dijo que las billeteras de criptomonedas asociadas con una de las bandas de matadores de cerdos que operan en Myanmar han registrado cerca de 100 millones de dólares en entradas de criptomonedas, algunas de las cuales también se estima que incluyen los pagos de rescate realizados por las familias. de trabajadores víctimas de trata. «Las brutales condiciones que enfrentan las víctimas de la trata en los complejos también otorgan una urgencia adicional a la solución del problema de las estafas románticas: no solo se estafa a los consumidores cientos de millones de dólares cada año, sino que las pandillas detrás de esas estafas también están perpetuando una crisis humanitaria. «, dijo la firma de análisis blockchain. Las noticias sobre los esfuerzos de rescate también surgen tras una investigación de Check Point de que los actores de amenazas están explotando una función en Ethereum llamada CREATE2 para eludir las medidas de seguridad y obtener acceso no autorizado a los fondos. Los detalles de la estafa fueron revelados previamente por Scam Sniffer en noviembre de 2023. El quid de la técnica es el uso de CREATE2 para generar una nueva dirección de billetera «temporal» que no tiene antecedentes de haber sido reportada por actividad criminal, lo que permite a los actores de amenazas hacer las transacciones ilícitas a la dirección una vez que la víctima aprueba el contrato y eludir las protecciones que señalan dichas direcciones. «El método de ataque implica engañar a los usuarios para que aprueben transacciones de contratos inteligentes que aún no se han implementado, lo que permite a los ciberdelincuentes implementar posteriormente contratos maliciosos y robar criptomonedas», dijo la compañía israelí. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link