Gestión de riesgos de terceros, gobernanza y gestión de riesgos, software de progreso de gestión de parches: ‘Una vulnerabilidad de terceros recientemente revelada introduce un nuevo riesgo’ Akshaya Asokan (asokan_akshaya), David Perera (@daveperera) • 26 de junio de 2024 Es hora de que los clientes de MOVEit Transfer Una vez más, esté en alerta máxima ante los piratas informáticos. (Imagen: Shutterstock) Los piratas informáticos descubrieron una nueva falla en la aplicación de transferencia de archivos administrada MOVEit de Progress Software apenas unas horas después de que el fabricante Progress Software revelara públicamente la falla crítica, que permite a los atacantes eludir la autenticación. Ver también: Ciberseguridad en el sector público: 5 conocimientos que necesita saber La compañía también reveló una falla similar en su servicio proxy Gateway destinado a restringir el acceso público a Internet a la aplicación de transferencia. Los clientes de la compañía de Massachusetts no son ajenos a los parches de emergencia después de su experiencia en mayo de 2023 de un ataque masivo al software de transferencia liderado por el grupo de ransomware de habla rusa Clop, que aprovechó un día cero durante el fin de semana del Memorial Day (ver: Ataque conocido de MOVEit El recuento de víctimas llega a 2.618 organizaciones). Progress Software dijo el martes que distribuyó el 11 de junio un parche para una vulnerabilidad de omisión de aplicaciones en la aplicación de transferencia de archivos rastreada como CVE-2024-5806. Pero una «vulnerabilidad de terceros recientemente revelada introduce un nuevo riesgo», dijo. La compañía instó a los clientes a bloquear el acceso entrante del protocolo de escritorio remoto a los servidores MOVEit y limitar la conexión saliente a puntos finales conocidos y confiables. La empresa de ciberseguridad watchTowr dijo en una publicación de blog que la falla de terceros reside en IPWorks SSH, que Progress Software utiliza para la autenticación del par de claves, complementado con una funcionalidad adicional creada por la empresa. El fabricante de IPWorks SSH de Carolina del Norte, una empresa llamada /n software, dijo que ya lanzó un parche. «El alcance de la vulnerabilidad depende de cómo los desarrolladores usan el componente, y esperamos que sea limitado», dijo el CEO de n/ software, Gent Hito, en un correo electrónico. «Vale la pena señalar que los investigadores de seguridad nos avisaron sólo 24 horas antes del lanzamiento el lunes, mientras que ellos lo sabían y trabajaban en esto durante semanas, lo cual es lamentable». Los investigadores de watchTowr dijeron que el escenario del ataque requiere que un hacker engañe al sistema de registro MOVEit Transfer para que almacene la mitad de un par de claves de autenticación, lo que automáticamente haría al registrar una clave pública como un supuesto nombre de usuario utilizado en un intento fallido de inicio de sesión. Con la clave pública almacenada dentro del sistema MOVEit, un atacante podría usar un nombre de usuario válido y la clave privada controlada por el atacante combinada con la clave pública para obtener acceso. “Este es un ataque devastador: permite que cualquiera que pueda colocar una clave pública en el servidor asuma la identidad de cualquier usuario SFTP. Desde aquí, este usuario puede realizar todas las operaciones habituales: leer, escribir o eliminar archivos, o causar caos”, dijeron los investigadores, refiriéndose al módulo FTP seguro dentro del sistema de transferencia de archivos MOVEit. Un consuelo es que cualquier ataque que siga el escenario de watchTowr «es necesariamente bastante ruidoso en términos de entradas de registro», dijo la compañía. Los administradores del sistema MOVEit que implementaron la lista blanca de IP para los inicios de sesión tendrán otra capa de seguridad, agregó. La firma de seguridad Censys dijo el martes que al menos 2.700 instancias de MOVEit Transfer están en línea, principalmente en Estados Unidos. La Fundación Shadowserver encontró alrededor de 1.770 instancias de MOVEit Transfer expuestas a Internet. Dijo que los piratas informáticos comenzaron a explotar la falla «muy poco» después de que la vulnerabilidad se hiciera pública. La Oficina Federal Alemana para la Seguridad de la Información instó a los usuarios de MOVEit a parchear inmediatamente. El otro defecto de omisión de autenticación de Progress Software, el de su producto Gateway, ha atraído menos atención. Seguimiento como CVE-2024-5805 Progress Software dice que también es crítico, pero solo afecta a la versión 2024.0.0. MOVEit Gateway es un servicio de proxy complementario opcional que los administradores del sistema pueden implementar en la zona desmilitarizada de la red de una empresa para garantizar que Transfer no esté expuesto a la Internet pública. URL de la publicación original: https://www.databreachtoday.com/hackers-quick-to-exploit-moveit-authentication-flaw-a-25630
Etiqueta: Violación de datos hoy Página 5 de 11
Inteligencia artificial y aprendizaje automático, guerra cibernética/ataques a Estados-nación, gestión de fraude y delitos cibernéticos Los usuarios de todos los servicios OpenAI en países no admitidos perderán el acceso el 9 de julio Rashmi Ramesh (rashmiramesh_) • 26 de junio de 2024 Imagen: Shutterstock OpenAI parece estar eliminando el acceso a sus servicios para usuarios de China, Rusia e Irán en las próximas dos semanas. La compañía no explicó su decisión, pero ha interrumpido campañas de influencia y operaciones de cibercrimen basadas en esos países, y el gobierno de Estados Unidos está restringiendo el acceso a la tecnología de inteligencia artificial fabricada en Estados Unidos. Ver también: Salvaguardar la integridad electoral en la era digital En un correo electrónico atribuido a OpenAI, una publicación en el foro de la comunidad del creador de ChatGPT parece informar a los usuarios de esos países que su acceso será cortado a partir del 9 de julio. “Nuestros datos muestran que su La organización tiene tráfico API de una región que OpenAI no admite actualmente”, supuestamente dijo la compañía en el correo electrónico, y agregó que tomaría medidas adicionales no reveladas para bloquear el acceso. Se desconoce el impacto de la acción de OpenAI en las empresas estadounidenses que utilizan sus servicios en países no admitidos. Los usuarios de la empresa de nube Vercel dijeron que recibieron un correo electrónico similar al acceder al servicio de OpenAI a través de su red perimetral. Aunque la red perimetral de Vercel tiene una región en Hong Kong, la empresa tiene su sede en San Francisco. OpenAI no respondió a una solicitud de comentarios de Information Security Media Group. Los usuarios pueden acceder a los servicios de OpenAI en todo el mundo, excepto China, Rusia, Irán y Arabia Saudita, según una lista de países admitidos en la aplicación. No está claro cuándo se modificó esta lista por última vez. Al menos tres de esos países estaban en el radar de OpenAI apenas el mes pasado, cuando la compañía interrumpió operaciones encubiertas de influencia que intentaban utilizar sus servicios para manipular la opinión pública y las elecciones. La medida siguió a una acción similar en febrero, cuando OpenAI cerró cuentas de China, Irán y Rusia para evitar que esos países generaran correos electrónicos de phishing y scripts de software malicioso utilizando ChatGPT y que investigaran formas de evadir la detección de malware. Las tensiones entre Estados Unidos y China continúan aumentando. Washington está sancionando y gravando productos para frenar el ascenso de Beijing en la industria de la IA. En una medida reciente, la administración Biden impuso restricciones a la exportación de chips de IA avanzados a China. Según se informa, el país liderado por Xi Jinping ha estado buscando recursos internos para reducir su dependencia de productos extranjeros, aunque el país no ha demostrado la calidad y eficacia de la tecnología. URL de la publicación original: https://www.databreachtoday.com/openai-drops-chatgpt-access-for-users-in-china-russia-iran-a-25631
Gobernanza y gestión de riesgos, atención médica, investigación específica de la industria Los investigadores dicen que el fabricante Proges Plus no ha respondido a los hallazgos de vulnerabilidad Prajeet Nair (@prajeetspeaks) • 27 de junio de 2024 Los monitores de temperatura fabricados por Proges Plus y utilizados en hospitales tienen vulnerabilidades que no se pueden reparar, dice Nozomi Networks. (Imagen: Shutterstock) Las vulnerabilidades en los dispositivos de monitoreo de temperatura conectados a Internet que se utilizan principalmente en hospitales, y su aplicación de escritorio que los acompaña, podrían permitir a los piratas informáticos obtener privilegios de administrador para la tecnología. Ver también: Reducción de la complejidad en la TI de la atención médica (libro electrónico) Los investigadores de Nozomi Networks descubrieron cuatro vulnerabilidades en Sensor Net Connect y tres fallas en la aplicación de escritorio Thermoscan IP, ambas fabricadas por una división de la firma francesa Proges Plus. El sistema está diseñado para entornos como los hospitales, donde las temperaturas deben permanecer exactas y constantes. Una falla, identificada como CVE-2024-31202, permitiría a un usuario con acceso básico a la aplicación Thermoscan IP crear nuevas cuentas y asignarles privilegios de nivel de administrador. Un ejemplo del mundo real de un usuario que ya podría tener acceso básico a la aplicación de escritorio incluye contratistas de mantenimiento y aplicaciones de terceros, dijo Nozomi en una publicación de blog del jueves. Los investigadores sugieren que los atacantes podrían usar su acceso para exfiltrar datos confidenciales o comprometer la integridad del monitoreo de temperatura. En Estados Unidos, las autoridades han advertido durante mucho tiempo que los dispositivos médicos son vías potenciales para los piratas informáticos, dada la tendencia de los fabricantes a no someter sus productos a pruebas de seguridad durante el desarrollo o la posventa. Si se descubren vulnerabilidades en los dispositivos, muchas permanecen sin parchear, especialmente si se utilizan en consultorios médicos más pequeños que carecen de soporte de ciberseguridad a tiempo completo. Una advertencia de 2022 del FBI citó una investigación que encontró que los dispositivos médicos en promedio tienen 6,2 vulnerabilidades y que más de la mitad de los dispositivos en red en los hospitales tienen fallas críticas conocidas. Una ley estadounidense de 2023 exige que los fabricantes cumplan con requisitos de ciberseguridad mejorados al presentar nuevos dispositivos para la aprobación federal, lo que incluye demostrar la capacidad de un dispositivo para actualizarse y parchearse, así como demostrar la eficacia de sus controles de seguridad y régimen de pruebas (ver: Exclusivo: Líder de la FDA sobre el impacto de la nueva ley de dispositivos médicos). Nozomi dijo que intentó comunicarse con Proges Plus varias veces, directa e indirectamente a través del Centro de Coordinación CERT de EE. UU., pero no recibió respuesta. Information Security Media Group ha solicitado comentarios de la empresa. Dada la falta de remediación directa, como la publicación de parches o consejos de mitigación por parte del proveedor, Nozomi recomienda segregar la infraestructura de monitoreo de temperatura evitando que los clientes habituales accedan a la interfaz de configuración web. La empresa también sugiere monitorear regularmente los registros y la actividad de la cuenta para buscar señales de actividad sospechosa o maliciosa. URL de la publicación original: https://www.databreachtoday.com/no-patches-for-hospital-temperature-monitors-critical-flaws-a-25632
Las copias de seguridad inmutables son esenciales en la lucha contra el ransomware, y las empresas deben implementar protecciones para garantizar que los atacantes no puedan alterarlas ni eliminarlas. El presidente de Acronis, Gaidar Magdanurov, dijo que las empresas de protección de datos deben abordar la amenaza del ransomware implementando almacenamiento inmutable y exponiendo las API para una integración perfecta con las herramientas de seguridad. Esto garantiza que las copias de seguridad puedan ser parte de un sistema de respuesta automatizado durante los ataques, y la integración de sistemas de seguridad y copias de seguridad reduce el tiempo de inactividad y garantiza que los sistemas puedan restaurarse rápidamente después de un ataque (consulte: CEO de Acronis sobre Por qué los proveedores de servicios deben alojar datos localmente). «La copia de seguridad no es sólo una herramienta para la recuperación sino también para la investigación», afirmó Magdanurov. “Es importante utilizar herramientas que permitan crear copias de datos y volcados de memoria para análisis forense porque si tuviste un incidente, quieres saber qué sucedió realmente”. En esta entrevista de audio con Information Security Media Group, Magdanurov también analizó: El papel de las copias de seguridad inmutables en la protección contra el ransomware; La importancia de integrar sistemas de seguridad y respaldo; Cómo la recuperación automatizada minimiza el tiempo de inactividad posterior al ataque. Magdanurov es responsable de las organizaciones de capacitación, educación y marketing de los socios de Acronis. Anteriormente, como director de inversiones en el fondo de capital riesgo Runa Capital, fue responsable de las inversiones en fase inicial y de asesorar y formar a los empresarios. Antes de eso, Magdanurov ocupó varios puestos en Microsoft, desde evangelista tecnológico hasta director gerente de fondos semilla de Microsoft. URL de la publicación original: https://www.databreachtoday.com/interviews/securing-data-immutable-backups-automated-recovery-i-5397
Gestión de riesgos de terceros, delitos cibernéticos, gestión de fraudes y delitos cibernéticos Más víctimas de la campaña contra la plataforma de almacenamiento de datos Snowflake salen a la luz Mathew J. Schwartz (euroinfosec) •25 de junio de 2024 Atención, compradores de Neiman Marcus: su información de contacto puede estar a la venta en un foro criminal . (Imagen: Shutterstock) El minorista de grandes almacenes de lujo Neiman Marcus Group es la última organización en informar una violación de datos debido a que atacantes accedieron a su cuenta en el proveedor de plataforma de almacenamiento de datos basado en la nube Snowflake. Ver también: Seminario web | Resumen del año de ciberseguridad de OT 2023: lecciones aprendidas desde primera línea En una notificación de violación de datos, Neiman Marcus Group, de propiedad privada, dijo que está notificando a casi 65.000 compradores que un atacante robó su «información personal». Neiman Marcus Group, con sede en Dallas, comprende 36 tiendas Neiman Marcus, dos tiendas Bergdorf Goodman y cinco tiendas outlet Last Call, además de sitios en línea. «Neiman Marcus Group se enteró recientemente de que una parte no autorizada obtuvo acceso a una plataforma de base de datos en la nube utilizada por NMG y proporcionada por un tercero, Snowflake», dijo un portavoz de la empresa Neiman Marcus Group a Information Security Media Group. La compañía dijo que la violación comenzó el 14 de abril y se hizo evidente el 24 de mayo. Durante ese período, el atacante robó datos como el nombre de los clientes, detalles de contacto, fecha de nacimiento y números de tarjetas de regalo, aunque sin los códigos PIN necesarios para canjearlos. La compañía dijo que las tarjetas de regalo siguen siendo válidas. «Inmediatamente después de descubrir el incidente, NMG tomó medidas para contenerlo, incluso deshabilitando el acceso a la plataforma», dijo el portavoz, y agregó que la compañía contrató asesores externos de ciberseguridad para ayudar con su investigación. NMG es propiedad desde 2021 de un grupo de empresas de inversión: Pacific Investment Management, también conocida como PIMCO; Socios de la Sexta Calle; y Davidson Kempner Capital Management. A finales de 2023, NMG abandonó una oferta de fusión de 3.000 millones de dólares del minorista de lujo rival Saks Fifth Avenue, informó The Wall Street Journal. Esta no es la primera violación de datos que sufre Neiman Marcus. En mayo de 2020, el minorista notificó a 4,6 millones de clientes en línea que los piratas informáticos robaron nombres de usuario, contraseñas, preguntas de seguridad y datos de tarjetas de pago. Víctimas de la infracción de Snowflake La infracción de las cuentas de Snowflake parece haber afectado a unas 165 cuentas de clientes. Si bien la mayoría aún no ha sido nombrada públicamente, otras víctimas conocidas incluyen Ticketmaster de Live Nation Entertainment, el Banco Santander, el proveedor de repuestos para automóviles Advance Auto Parts y el Distrito Escolar Unificado de Los Ángeles (ver: Las víctimas de la violación de datos de Snowflake reciben demandas de rescate). Los primeros informes públicos de cuentas de Snowflake violadas llegaron el 30 de mayo, después de que los datos de Ticketmaster aparecieran a la venta en el sitio web criminal BreachForums. Snowflake, en una declaración conjunta con CrowdStrike y Mandiant, dijo que los atacantes utilizaron pares de nombre de usuario y contraseña robados para violar las cuentas de Snowflake para las cuales los administradores no habían habilitado la autenticación multifactor. «Como parte de esta campaña, los actores de amenazas han aprovechado las credenciales previamente compradas u obtenidas a través de malware de robo de información», dijeron (ver: Alerta: los ladrones de información apuntan a las credenciales de navegador almacenadas). La declaración conjunta dice que los atacantes solo violaron las cuentas de Snowflake que los titulares de cuentas no estaban protegiendo con autenticación multifactor, que Snowflake solo ofrecía a través de una versión de Cisco Duo que autogestionaba. Posteriormente, Snowflake introdujo más formas para que las organizaciones permitan a sus usuarios acceder a las capacidades de MFA y dijo que planea permitir que los administradores hagan que MFA sea obligatorio. Mandiant dijo que ha estado rastreando al grupo criminal involucrado en los ataques dirigidos a Snowflake, que tiene el nombre en clave UNC5537, desde que detectó la campaña por primera vez en abril. La empresa informó recientemente que UNC5537 ha estado «utilizando datos de clientes robados para extorsionar a las víctimas y, al mismo tiempo, intentando vender los datos en foros de ciberdelincuentes». Datos robados anunciados para la venta Horas después de que Neiman Marcus revelara públicamente la violación, un usuario en el sitio de filtración de datos BreachForums con el identificador “Sp1d3r” puso a la venta los datos del minorista. Sp1d3r dijo que su intento de extorsionar al minorista para que pagara un rescate a cambio de la promesa de filtrar los datos había fracasado. El anuncio de BreachForums de Sp1d3r contiene inconsistencias. Más allá de afirmar que los datos robados incluyen los últimos cuatro dígitos de los números de Seguro Social de los clientes, el anuncio dice que los datos exfiltrados pertenecen a 180 millones de usuarios, incluidos detalles de «70 millones de transacciones» (ver: Grupos de ransomware: Confíe en nosotros. Uh, no .). El anuncio también menciona «rapeflake», rastreado como «Frostbite» por Mandiant, una utilidad maliciosa que los atacantes utilizaron para obtener acceso inicial a al menos algunas de las cuentas de Snowflake violadas. La utilidad apunta a SnowSight, que puede apuntar a la interfaz de usuario basada en web de Snowflake y a la herramienta de interfaz de línea de comandos SnowSQL. Sp1d3r ha estado vendiendo datos robados de múltiples víctimas de Snowflake, incluidas Advance Auto Parts y Ticketmaster. Afirmó a Bleeping Computer que al menos algunas de las víctimas de Snowflake de su grupo pagaron un rescate. No está claro si Sp1d3r anuncia los datos robados porque alguien podría comprarlos o para intentar presionar a las víctimas pasadas, presentes y futuras para que paguen un rescate. Otra víctima de la campaña Snowflake es el Distrito Escolar Unificado de Los Ángeles. El 6 de junio, después de que aparecieran a la venta datos robados del LAUSD, el distrito advirtió que un atacante había robado “datos de estudiantes y empleados”. Después de que Sp1d3r el 18 de junio comenzara a poner a la venta la información, incluidos los nombres de los estudiantes, direcciones, calificaciones y otros detalles, LAUSD le dijo a Bleeping Computer que la información fue robada de su cuenta Snowflake. Posteriormente, Sp1d3r ofreció los datos robados para su descarga gratuita. URL de la publicación original: https://www.databreachtoday.com/luxury-retailer-neiman-marcus-suffers-snowflake-breach-a-25609
Atención médica, industrias específicas, estándares, regulaciones y cumplimiento John Riggi de la Asociación Estadounidense de Hospitales sobre las próximas regulaciones cibernéticas del HHS Marianne Kolbasuk McGee (HealthInfoSec) •25 de junio de 2024 John Riggi, asesor nacional de riesgos y ciberseguridad, Asociación Estadounidense de Hospitales Esfuerzos de la Casa Blanca para intensificar Mejorar la ciberseguridad del sector de la salud es de vital importancia, pero las posibles sanciones financieras impuestas por el incumplimiento de los próximos requisitos cibernéticos que están dirigidos sólo a los hospitales podrían hacer más daño que bien, dijo John Riggi, asesor nacional de riesgos y cibernética de la Asociación Estadounidense de Hospitales. Ver también: Ataque de ransomware del NHS: las infraestructuras de la industria de la salud son fundamentales A principios de este año, la administración de Biden emitió “objetivos de desempeño en ciberseguridad” para el sector de la salud que consisten en 10 prácticas “esenciales”, como la autenticación multifactor, y 10 prácticas “mejoradas”, que incluyen pruebas de ciberseguridad. En ese momento, las CPG se denominaron “voluntarias”, pero se prevé que se conviertan en requisitos obligatorios para los hospitales según las regulaciones pendientes del Departamento de Salud y Servicios Humanos de EE. UU. que se espera que se publiquen pronto, dijo Riggi (ver: Feds Wave Sticks & Carrots en Sector Salud para reforzar la cibernética). “La administración Biden está preparada para imponer regulaciones mínimas obligatorias de ciberseguridad a los hospitales que consisten en esos 10 objetivos esenciales y 10 objetivos mejorados de desempeño de seguridad cibernética”, dijo (ver: ¿Las próximas regulaciones cibernéticas del HHS moverán la aguja en el sector de la salud?). Si bien la AHA “está absolutamente de acuerdo con estas prácticas”, los planes esperados del HHS de que se apliquen sólo a los hospitales (con posibles sanciones financieras por incumplimiento) son preocupantes, dijo. Esto se debe a que muchos de los incidentes cibernéticos más grandes y perturbadores en el sector de la salud han sido experimentados por entidades no hospitalarias, como aseguradoras de salud y proveedores externos como Change Healthcare. Además, muchos de los 6.000 hospitales de EE. UU. ya carecen de los medios necesarios para implementar programas de ciberseguridad más sólidos. “Es una preocupación muy importante que tenemos, porque en última instancia, no sólo nos preocupa que falten recursos para los hospitales que más los necesitan, sino que las sanciones sean muy severas”, dijo Riggi. «Esas multas acabarán quitándole recursos necesarios que los hospitales podrían utilizar para defenderse de estos ataques y reforzar sus programas de ciberseguridad», afirmó. En esta entrevista en video con Information Security Media Group, Riggi también analizó: La reciente colaboración de la AHA con la Casa Blanca para asegurar recursos de ciberseguridad de Google y Microsoft para ayudar a los hospitales rurales y sin fines de lucro; Otros problemas regulatorios de ciberseguridad que enfrenta el sector de la salud; Ciberamenazas globales en evolución provenientes de China, Rusia, Corea del Norte y otras naciones. Riggi lidera la ciberseguridad y el riesgo de la Asociación Estadounidense de Hospitales, que cuenta con más de 5.000 hospitales miembros en Estados Unidos. Anteriormente trabajó en el FBI durante 30 años en diversos puestos de liderazgo, incluido el de representante ante el Grupo de Respuesta Cibernética de la Casa Blanca. También se desempeñó como alto representante ante la CIA, trabajando como gerente nacional de operaciones para investigaciones sobre financiamiento del terrorismo. Riggi también es un orador principal en la Cumbre de Seguridad de la Atención Médica del ISMG en la ciudad de Nueva York el 18 de julio. URL de la publicación original: https://www.databreachtoday.com/new-cyber-penalties-may-strain-hospital-resources-a- 25610
Inteligencia artificial y aprendizaje automático, gobernanza y gestión de riesgos, tecnologías de próxima generación y desarrollo seguro Las empresas ansiosas por herramientas están anteponiendo el poder transformador de la IA a la seguridad Rashmi Ramesh (rashmiramesh_) •25 de junio de 2024 Oh, no, no todos los administradores de Ollama se han parcheado el defecto “Probllama”. (Imagen: Shutterstock) Los piratas informáticos que apuntan a un popular proyecto de código abierto para ejecutar inteligencia artificial Ollama podrían toparse con un gran «Probllama» si aún no lo han parcheado. Ver también: Introducción a Ruby AI Security de Rubrik Los investigadores de Wiz revelaron el lunes que descubrieron una vulnerabilidad de ejecución remota de código Ollama fácil de explotar cuyo nombre es (y probablemente no podría ser mejor que) Probllama. La falla, rastreada como CVE-2024-37032, recibió un parche el 7 de mayo. Una «gran cantidad» de instancias no se han actualizado a principios de este mes, dijo Wiz. Las empresas han “dejado de lado en gran medida” las medidas de seguridad de la IA en favor de centrarse en su poder transformador, mientras que los clientes están adoptando rápidamente nuevas herramientas e infraestructura para obtener una ventaja competitiva, dijo Wiz. Pero estas herramientas son los “objetivos perfectos” para los actores de amenazas, ya que su etapa inicial de desarrollo generalmente carece de características de seguridad estandarizadas como la autenticación, y es relativamente más fácil encontrar fallas en una base de código más joven. Ollama no tiene un proceso de autenticación incorporado, por lo que los investigadores recomiendan no exponer las instalaciones a Internet a menos que las empresas usuarias tengan sus propios procesos de seguridad. «El problema crítico no son sólo las vulnerabilidades en sí mismas, sino la falta inherente de soporte de autenticación en estas nuevas herramientas», dijo Sagi Tzadik, investigador de Wiz. Otras herramientas similares a Ollama, como TorchServe y Ray Anyscale, también eran anteriormente vulnerables a fallas de RCE. Ollama simplifica el proceso de empaquetar e implementar modelos de inteligencia artificial. Su servidor proporciona puntos finales API, incluido uno que permite a los usuarios descargar modelos del registro de Ollama y otros registros privados. Compatible con LLM como Meta’s Llama, Microsoft’s Phi y los modelos Mistral, Ollama es uno de los proyectos más populares para ejecutar un modelo de IA, con cientos de miles de extracciones por mes en el repositorio Docker Hub y más de 70.000 estrellas en GitHub. Cuando los usuarios extraen un modelo de un registro privado, los piratas informáticos pueden incrustar un archivo de manifiesto malicioso y potencialmente comprometer el entorno que alberga un servidor Ollama vulnerable. Los atacantes pueden aprovechar la falla enviando una solicitud HTTP especialmente diseñada al servidor API de Ollama, que es público en las instalaciones de Docker. La falla es causada por una validación insuficiente en el lado del servidor, dijo Tzadik. “Al extraer un modelo de un registro privado, consultando el enlace http://[victim]:11434/api/pull API endpoint, es posible proporcionar un archivo de manifiesto malicioso que contenga una carga útil de recorrido de ruta en el campo de resumen”, dijo en un correo electrónico. Los piratas informáticos podrían usar esa carga útil para leer y corromper archivos sin permiso en el sistema comprometido y ejecutar código vulnerable de forma remota. La facilidad de explotación era «extremadamente grave» en las instalaciones de Docker, dijo Tzadik. URL de la publicación original: https://www.databreachtoday.com/patched-weeks-ago-rce-bug-in-ai-tool-still-probllama-a-25611
Inteligencia artificial y aprendizaje automático, guerra cibernética/ataques a Estados-nación, gestión del fraude y delitos cibernéticos Un nuevo informe insta a la colaboración público-privada para reducir los riesgos químicos y nucleares de la IAChris Riotta (@chrisriotta) •25 de junio de 2024 El gobierno federal de EE. UU. advirtió que la inteligencia artificial reduce las barreras para conceptualizar y llevar a cabo ataques químicos o biológicos. (Imagen: Shutterstock) La inteligencia artificial está reduciendo las barreras de entrada para que los actores de amenazas globales creen y desplieguen nuevos riesgos químicos, biológicos y nucleares, advierte el Departamento de Seguridad Nacional de EE. UU. Ver también: Salvaguardar la integridad electoral en la era digital El departamento publicó el lunes un informe sobre la reducción de riesgos en la intersección de la IA y las amenazas químicas, biológicas, radiológicas y nucleares, después de haber presentado un borrador en abril. El informe insta al Congreso, a las agencias federales y al sector privado a ser «adaptativos e iterativos» en su gobernanza de la tecnología de IA y «a responder a avances tecnológicos rápidos o impredecibles». «El ritmo revolucionario del cambio en los sectores de biotecnología, biofabricación e inteligencia artificial agrava los desafíos regulatorios existentes», afirma el informe. Recomienda “la interacción continua entre la industria, el gobierno y el mundo académico”. Las regulaciones y controles de exportación actuales no tienen en cuenta los riesgos que plantean las secuencias de ácido nucleico potencialmente dañinas creadas con la ayuda de la IA, dijo el DHS. Ese tipo de brechas en los controles actuales podrían permitir que los actores de amenazas hagan un mal uso de la IA para desarrollar agentes biológicos peligrosos, evadir la detección y potencialmente causar daños generalizados. El informe dice que la integración de la IA en los esfuerzos de prevención, detección, respuesta y mitigación QBRN «podría generar beneficios importantes o emergentes», pero también dice que las limitaciones regulatorias actuales obstaculizan la capacidad del gobierno para supervisar adecuadamente la investigación, el desarrollo y la implementación de la IA. El DHS también reconoció en el informe que el gobierno federal “actualmente no tiene un marco legal o regulatorio general para regular o supervisar de manera integral la IA”, y advirtió que varios enfoques de gobernanza de la IA podrían resultar en desafíos de cumplimiento para muchos desarrolladores. Entre sus recomendaciones se encuentra alentar a los desarrolladores de IA a publicar voluntariamente el código fuente y los pesos de los modelos de IA para los modelos utilizados en investigaciones biológicas o químicas. El informe dice que el compromiso con las partes interesadas internacionales, como gobiernos, organizaciones globales y entidades privadas, «es necesario para desarrollar enfoques, principios y marcos para gestionar los riesgos de la IA, liberar el potencial de la IA para el bien y promover enfoques comunes para los desafíos compartidos a la luz del desarrollo mundial y difusión de las tecnologías de IA”. El secretario del DHS, Alejandro Mayorkas, dijo en una declaración que acompaña al informe que su objetivo era “proporcionar objetivos a más largo plazo sobre cómo garantizar un desarrollo y uso seguro y confiable” de las tecnologías de inteligencia artificial. URL de la publicación original: https://www.databreachtoday.com/us-dhs-warns-ai-fueled-chemical-biological-threats-a-25612
Ciberdelincuencia, gestión de fraude y ciberdelincuencia, respuesta a incidentes e infracciones Una empresa de software para concesionarios de automóviles dice que restaurar el servicio llevará «días y no semanas» Chris Riotta (@chrisriotta) •24 de junio de 2024 CDK Global suministra soluciones de software a aproximadamente 15.000 concesionarios de automóviles en el Estados Unidos y Canadá. (Imagen: Shutterstock) Un proveedor de software back-end para miles de concesionarios de automóviles en Estados Unidos y Canadá comenzó a restaurar sus operaciones después de que incidentes cibernéticos consecutivos obligaran a la compañía a cerrar sistemas, dijo un portavoz a Information Security Media Group. Ver también: Seminario web | Resumen del año de ciberseguridad de OT 2023: Lecciones aprendidas desde el frente CDK Global, la empresa de soluciones de software para concesionarios de automóviles que sufrió un ataque de rescate cibernético el miércoles, dijo que la compañía inició una investigación con expertos externos y “comenzó el proceso de restauración” después de notificar clientes y autoridades policiales sobre el incidente. «Según la información que tenemos en este momento, anticipamos que el proceso tardará varios días en completarse», dijo el lunes un portavoz de CDK Global. «Mientras tanto, continuamos interactuando activamente con nuestros clientes y brindándoles formas alternativas de realizar negocios». El portavoz se negó a comentar si CDK planea pagar decenas de millones en rescate a un grupo de hackers llamado BlackSuit, que desde entonces se atribuyó la responsabilidad del ataque, como se informó. CBS informó que la compañía envió un memorando a los clientes el sábado diciendo que el proceso de restauración tomaría “varios días y no semanas” y advirtiendo a los concesionarios que tuvieran cuidado con un posible aumento de estafas de phishing. La nota del fin de semana a los clientes fue la primera vez que la compañía describió el incidente como un “evento de rescate cibernético”. Varios concesionarios de automóviles, incluido Group 1 Automotive Inc., que tiene más de 200 concesionarios en EE. UU. y el Reino Unido, revelaron que el ciberataque afectó sus operaciones comerciales. La compañía se vio obligada a activar inmediatamente procedimientos de respuesta a incidentes cibernéticos y aislar sus sistemas de la plataforma de CDK, dijo en un documento regulatorio. Otros concesionarios de automóviles importantes, incluidos Penske, Sonic Automotive y Lithia Motors, advirtieron a la Comisión de Bolsa y Valores que sus operaciones también se habían visto afectadas. Aproximadamente 15.000 concesionarios de automóviles en EE. UU. y Canadá utilizan el software CDK para gestionar y mantener registros, datos confidenciales y comunicaciones sobre clientes y acuerdos negociados. Cliff Steinhauer, director de seguridad de la información y participación de la Alianza Nacional de Ciberseguridad, dijo anteriormente a Information Security Media Group que el incidente resalta el impacto devastador de los ataques a la infraestructura administrada por terceros (ver: Concesionarios de automóviles que utilizan CDK globalmente afectados por interrupciones cibernéticas). «Este incidente no sólo interrumpió operaciones esenciales en una vasta red de concesionarios, sino que también expuso importantes vulnerabilidades en la infraestructura digital y los sistemas de gestión de datos de los clientes», dijo. Bloomberg informó por primera vez que BlackSuit exigió millones de dólares en rescate después de que el presunto grupo de hackers asumiera la responsabilidad del ataque. BlackSuit proviene del grupo Royal ransomware-as-a-service, que es una rama de la ahora desaparecida operación de ransomware Conti (ver: El legado de Conti: ¿Qué ha sido de los más buscados del ransomware?). Los concesionarios de automóviles en todo Estados Unidos informaron que recurrieron al uso de papel para llevar registros, e incluso cerraron completamente nuevos negocios. CDK Global publica un informe anual sobre el estado de la ciberseguridad de los concesionarios y en 2023 decía: «Proteger sus datos para evitar interrupciones comerciales relacionadas con TI, demandas de rescate y daños a la reputación nunca ha sido más importante». URL de la publicación original: https://www.databreachtoday.com/cdk-begins-restoring-systems-amid-ransomware-paid-reports-a-25605
Seguridad de infraestructura crítica, respuesta a incidentes e infracciones, firewalls de red, control de acceso a la red La Agencia de Defensa Cibernética de EE. UU. dice que un importante ataque cibernético fue resultado de productos vulnerables de IvantiChris Riotta (@chrisriotta) •24 de junio de 2024 La herramienta de evaluación de seguridad química de CISA contiene planes sensibles de seguridad química del sector privado. (Imagen: Shutterstock) La agencia de defensa cibernética de EE. UU. confirmó el lunes que una de sus herramientas críticas que alberga los planes de seguridad química del sector privado fue el objetivo de un ciberataque en enero que “puede haber resultado en un posible acceso no autorizado” a datos confidenciales. Ver también: Bajo demanda | Firewalls de malla híbrida y Microsoft Azure, extendiendo la seguridad de su red a la nube La Agencia de Seguridad de Infraestructura y Ciberseguridad dijo que envió notificaciones el jueves a los participantes en el programa de Estándares Antiterroristas para Instalaciones Químicas sobre la intrusión de seguridad cibernética que afecta la Herramienta de Evaluación de Seguridad Química de la agencia. Las notificaciones decían que la agencia «no encontró evidencia de exfiltración de datos», pero advirtieron que los piratas informáticos pueden haber accedido a «encuestas de pantalla superior, evaluaciones de vulnerabilidad de seguridad, planes de seguridad del sitio, presentaciones de programas de garantía de personal y cuentas de usuarios de CSAT». Las instalaciones reguladas por CFATS deben cumplir con las medidas de seguridad del personal de las instalaciones que implican el envío de información de identificación personal para fines de investigación, incluidos nombres, números de pasaporte, lugar de nacimiento y estado de ciudadanía. CISA instó a las instalaciones a restablecer las contraseñas de las personas que tenían cuentas CSAT para evitar posibles ataques de «rociación de contraseñas». La agencia también alentó a las instalaciones que recibieron las cartas de notificación a notificar el incidente a las personas enviadas por esa instalación para la investigación de seguridad bajo el programa de encuesta de personal CFATS. La intrusión fue el resultado de vulnerabilidades encontradas en los dispositivos VPN de Ivanti que permitieron a los piratas informáticos violar dos puertas de enlace utilizadas por CISA, dijo la agencia a Information Security Media Group en marzo (ver: Hackers comprometieron dispositivos Ivanti utilizados por CISA). Se informó en ese momento que los sistemas afectados se conectaban a CSAT así como a Infrastructure Protection Gateway, un portal que contiene datos sobre evaluaciones de seguridad para importantes infraestructuras críticas nacionales. «CISA identificó actividad que indica la explotación de vulnerabilidades en los productos Ivanti que utiliza la agencia» en febrero, dijo un portavoz en ese momento. «Continuamos actualizando y modernizando nuestros sistemas y no hay ningún impacto operativo en este momento». CISA anunció que organizaría varios seminarios web para que las partes interesadas revisaran la información proporcionada en las notificaciones de vulnerabilidad de Ivanti. El próximo seminario web está programado para el 9 de julio. Los dispositivos de Ivanti enfrentaron una serie de ataques a partir de diciembre por parte de presuntos piratas informáticos de estados nacionales chinos que robaron las credenciales de cuentas almacenadas dentro de las puertas de enlace de Ivanti. CISA dio a las agencias federales hasta el 2 de febrero para realizar restablecimientos de fábrica en todos los dispositivos de la compañía, aunque la agencia advirtió más tarde que los piratas informáticos podrían preservar el acceso a un dispositivo comprometido incluso después de un restablecimiento de fábrica (ver: Los federales enfrentan una fecha límite de medianoche para restablecer las puertas de enlace de Ivanti) . Ivanti cuestionó esas afirmaciones. URL de la publicación original: https://www.databreachtoday.com/cisa-confirms-cyberattack-on-critical-chemical-security-tool-a-25607