Debido a la explotación repetida de vulnerabilidades relacionadas en los dispositivos de red Edge para violar las redes corporativas, el Norwegian National Cyber Security Center (NCSC) recomienda reemplazar las soluciones SSLVPN/WebVPN por alternativas actualizadas. La organización recomienda que la transición se complete para 2025, mientras que las organizaciones sujetas a la "leyes de seguridad" o las de infraestructura crítica deben adoptar alternativas más seguras a fines de 2024. La recomendación oficial de NCSC para los usuarios de productos de red privada Virtual Secure Socket Layer (SSL VPN/WebVPN) es cambiar a Internet Protocol Security (IPSEC) con Internet Key Exchange (IKEV2). SSL VPN y WebVPN proporcionan un acceso remoto seguro a una red a través de Internet utilizando protocolos SSL/TLS, asegurando la conexión entre el dispositivo del usuario y el servidor VPN utilizando un "túnel de cifrado". IPSEC con IKEV2 asegura las comunicaciones cifrado y autenticando cada paquete utilizando un conjunto de KE renovado periódicamente "La gravedad de las vulnerabilidades y la explotación repetida de este tipo de vulnerabilidad por parte de los actores significa que el NCSC recomienda reemplazar las soluciones para el acceso remoto seguro que usan SSL/TLS con alternativas más seguras. NCSC recomienda la seguridad del protocolo de Internet (IPSEC) con el intercambio de claves de Internet. (IKev2)", dice el anuncio de NCSC. Si bien la organización de ciberseguridad admite IPSEC con IKEv2 no está libre de defectos, cree que cambiar a ella reduciría significativamente la superficie de ataque para incidentes de acceso remoto seguros debido a tener una tolerancia reducida para los errores de configuración en comparación con SSLVPN. Las medidas de implementación propuestas incluyen: Reconfigurar las soluciones VPN existentes o reemplazarlas Migrar a todos los usuarios y sistemas protocolos nuevos y actuales Deshabilitar la funcionalidad SSLVPN y bloquear el tráfico TLS entrante Uso de autenticación basada en certificados Cuando no son posibles las conexiones IPSEC, el NCSC sugiere usar la banda ancha 4G/5G. Mientras tanto, NCSC también ha compartido medidas provisionales para organizaciones cuyas soluciones VPN no ofrecen el IPSEC con la opción IKEv2 y necesitan tiempo para planificar y ejecutar la migración. Estos incluyen implementar el registro de actividad VPN centralizado, las estrictas restricciones de Geo Fencing y bloquear el acceso de los proveedores de VPN, los nodos de salida de TOR y los proveedores de VPS. Otros países también han recomendado usar IPSEC sobre otros protocolos, incluidos Estados Unidos y el Reino Unido. Abundancia de fallas SSLVPN explotadas A diferencia de IPSEC, que es un estándar abierto que la mayoría de las empresas siguen, SSLVPN no tiene un estándar, lo que hace que los fabricantes de dispositivos de red creen su propia implementación del protocolo. Sin embargo, esto ha llevado a numerosos errores descubiertos a lo largo de los años en las implementaciones de SSL VPN de Cisco, Fortinet y Sonicwall que los piratas informáticos explotan activamente para violar las redes. Como ejemplo, Fortinet reveló en febrero que el grupo chinos de Volt Typhoon hacking group explotó dos fallas de VPN Fortios SSL para violar las organizaciones, incluida una red militar holandesa. En 2023, las operaciones de ransomware Akira y Lockbit explotaron un día cero SSL VPN en enrutadores Cisco ASA para violar las redes corporativas, robar datos y dispositivos cifrados. A principios de ese año, una vulnerabilidad de FortiGate SSL VPN fue explotada como un Zero-Day contra el gobierno, la fabricación y la infraestructura crítica. Las recomendaciones de NCSC se producen después de que la organización alertó recientemente sobre un actor de amenaza avanzada que explota múltiples vulnerabilidades de día cero en Cisco ASA VPNS utilizadas en infraestructura crítica desde noviembre de 2023. Cisco reveló la campaña en particular como "Arcanedoor", atribuyéndolo al grupo de amenazas rastreado como 'UAT4356' o 'Storm-1849', quien obtuvo acceso no autorizado a las sesiones de WebVPN asociadas con los servicios de VPN SSL del dispositivo. Los ataques involucraron la explotación de dos días cero, a saber, CVE-2024-20353 y CVE-2024-20359, lo que permitió a los piratas informáticos lograr el derivación de la autenticación, la adquisición del dispositivo y la elevación de privilegios a los derechos administrativos. Aunque Cisco fijó las dos vulnerabilidades el 24 de abril, la firma de equipos de seguridad cibernética y de redes no pudo identificar cómo los actores de amenaza inicialmente obtuvieron acceso al dispositivo. Fuente: BC

Delincuentes informáticos están atacando sitios web que utilizan el conocido complemento de WordPress Automatic. El ataque intenta explotar una vulnerabilidad de alta gravedad que permite una toma total del control de WordPress. La vulnerabilidad reside en WordPress Automatic, un complemento con más de 38.000 clientes de pago. Los sitios web que ejecutan el sistema de gestión de contenidos WordPress lo utilizan para incorporar contenido de otros sitios. Investigadores de la empresa Patchstack revelaron el mes pasado que las versiones 3.92.0 e inferiores de WP Automatic tenían una vulnerabilidad con una clasificación de gravedad de 9,9 sobre 10 posible. El desarrollador del complemento, ValvePress, publicó silenciosamente un parche, que está disponible en la versión 3.92.1. Los investigadores han clasificado la falla, rastreada como CVE-2024-27956, como una inyección SQL, una clase de vulnerabilidad que surge de una falla de una aplicación web al consultar correctamente las bases de datos backend. WPScan dijo que CVE-2024-27596 permite a los visitantes del sitio web no autenticados crear cuentas de usuario de nivel de administrador, cargar archivos maliciosos y tomar el control total de los sitios afectados. La vulnerabilidad, que reside en cómo el complemento maneja la autenticación del usuario, permite a los atacantes eludir el proceso de autenticación normal e inyectar código SQL que les otorga privilegios elevados del sistema. Desde allí, pueden cargar y ejecutar cargas útiles maliciosas que cambian el nombre de archivos confidenciales para evitar que el propietario del sitio o otros piratas informáticos controlen el sitio secuestrado. "Esta vulnerabilidad es muy peligrosa y se espera que sea explotada masivamente", escribieron los investigadores de Patchstack el 13 de marzo. Incluso ya se encuentra un exploit público que permite tomar control del servidor a través de una shell reversa. Los ataques comenzaron poco después del 13 de marzo, 15 días después de que ValvePress lanzara la versión 3.92.1 sin mencionar el parche crítico en las notas de la versión. La firma de seguridad web WPScan dijo que ha registrado más de 5,5 millones de intentos de explotar la vulnerabilidad desde la divulgación del 13 de marzo por parte de Patchstackla divulgación del 13 de marzo por parte de Patchstack. Los intentos comenzaron lentamente y alcanzaron su punto máximo el 31 de marzo. La empresa no dijo cuántos de esos intentos tuvieron éxito. Los ataques exitosos suelen seguir este proceso: Inyección SQL (SQLi): los atacantes aprovechan la vulnerabilidad SQLi en el complemento WP‑Automatic para ejecutar consultas no autorizadas a bases de datos. Creación de usuarios administradores: con la capacidad de ejecutar consultas SQL arbitrarias, los atacantes pueden crear nuevas cuentas de usuarios de nivel administrador dentro de WordPress. Carga de malware: una vez que se crea una cuenta de nivel de administrador, los atacantes pueden cargar archivos maliciosos, generalmente shells web o puertas traseras, al servidor del sitio web comprometido. Cambio de nombre de archivos: el atacante puede cambiar el nombre del archivo WP-Automatic vulnerable para asegurarse de que solo él pueda explotarlo. Una vez que un sitio de WordPress se ve comprometido, los atacantes garantizan su persistencia y forma de acceso creando puertas traseras y ofuscando el código. Para evadir la detección y mantener el acceso, los atacantes también pueden cambiar el nombre del archivo vulnerable WP-Automatic, lo que dificulta que los propietarios de sitios web o las herramientas de seguridad identifiquen o bloqueen el problema. Vale la pena mencionar que también puede ser una forma que los atacantes encuentran para evitar que otros actores malintencionados exploten con éxito sus sitios ya comprometidos. Además, dado que el atacante puede usar los altos privilegios adquiridos para instalar complementos y temas en el sitio, notamos que, en la mayoría de los sitios comprometidos, los delincuentes instalaron complementos que les permitieron cargar archivos o editar código. Cualquiera que sea la clasificación, la vulnerabilidad es tan grave como parece. Los usuarios deben parchear el complemento inmediatamente. También deben analizar cuidadosamente sus servidores en busca de signos de explotación utilizando los indicadores de datos de compromiso. Fuente: WPScan

Los comentarios de Buterin hacen referencia a nuevas investigaciones que indican que la mayoría de los humanos ya no pueden distinguir cuándo están hablando con una máquina. El GPT-4 de OpenAI, un modelo de inteligencia artificial (IA) generativa, ha superado la prueba de Turing, según el cofundador de Ethereum, Vitalik Buterin. La prueba de Turing es un punto de referencia nebuloso para los sistemas de IA que pretende determinar el grado de similitud humana de un modelo de conversación. El término fue acuñado por el famoso matemático Alan Turing, que propuso la prueba en 1950. Según Turing, en aquella época, un sistema de IA capaz de generar un texto que engañara a los humanos haciéndoles creer que estaban manteniendo una conversación con otro humano demostraría la capacidad de "pensamiento". Casi 75 años después, la persona a la que se atribuye en gran medida la concepción de la segunda criptomoneda más popular del mundo ha interpretado una reciente investigación preimpresa de la Universidad de California en San Diego como un indicio de que la prueba de Turing ha sido finalmente "superada" por un modelo de producción. Investigadores de la Universidad de California en San Diego acaban de publicar un artículo titulado "People cannot distinguish GPT-4 from a human in a Turing test" ("La gente no puede distinguir entre GPT-4 y un humano en una prueba de Turing"), en el que hacían interactuar a unos 500 sujetos humanos con humanos y modelos de IA en una prueba a ciegas para determinar si los sujetos podían averiguar cuál era cuál. Según la investigación, los humanos determinaron erróneamente que GPT-4 era un "humano" el 56% de las veces. Esto significa que la máquina engañó a los humanos haciéndoles creer que era uno de ellos la mayoría de las veces. Según Buterin, un sistema de inteligencia artificial capaz de engañar a más de la mitad de los humanos con los que interactúa supera la prueba de Turing. Buterin matizó su afirmación con un comentario entre paréntesis: "De acuerdo, no del todo, porque a los humanos se les adivina como humanos el 66% de las veces frente al 54% de los bots, pero una diferencia del 12% es minúscula; en cualquier escenario del mundo real eso cuenta básicamente como aprobar. ¡Significa que la capacidad de las personas para saber si es un humano o un robot es básicamente lanzar una moneda al aire!". La prueba de Turing La inteligencia artificial general (IAG) y la prueba de Turing no están necesariamente relacionadas, a pesar de que ambas terminologías se confunden a menudo. Turing formuló su prueba basándose en su perspicacia matemática y predijo un escenario en el que la IA podría engañar a los humanos haciéndoles creer que era uno de ellos a través de la conversación. Cabe mencionar que la Prueba de Turing es una construcción efímera sin un verdadero punto de referencia o base técnica. No hay consenso científico sobre si las máquinas son capaces de "pensar" como los organismos vivos ni sobre cómo se mediría tal hazaña. En pocas palabras, la inteligencia general artificial o la capacidad de "pensar" de una IA no es actualmente mensurable ni está definida por las comunidades científica o de ingeniería. Turing hizo sus predicciones conceptuales mucho antes de la llegada de los sistemas de inteligencia artificial basados en tokens y de la aparición de las redes generativas adversariales (GAN, por sus siglas en inglés), precursoras de los actuales sistemas de IA generativa.Inteligencia general artificial La idea de inteligencia general artificial (IAG), que a menudo se asocia con el Test de Turing, complica aún más las cosas. En lenguaje científico, una "inteligencia general" es aquella que debería ser capaz de cualquier hazaña basada en la inteligencia. Esto excluye a los humanos, ya que ninguna persona ha demostrado capacidades "generales" en todo el espectro del esfuerzo intelectual humano. Por lo tanto, una "inteligencia artificial general" tendría una capacidad de pensamiento muy superior a la de cualquier ser humano conocido. Dicho esto, está claro que GPT-4 no se ajusta al perfil de una verdadera "inteligencia general" en el sentido estrictamente científico. Sin embargo, eso no ha impedido que los miembros de la comunidad de la IA se muevan de un lado a otro y utilicen el término "IAG" para referirse a cualquier sistema de IA capaz de engañar a un número significativo de humanos. En la cultura actual, es típico ver términos y frases como "IAG", "similar a los humanos" y "supera la prueba de Turing" para referirse a cualquier sistema de IA que produzca contenidos comparables a los producidos por los humanos. Fuente: CoinTelegraph

Desde hace tiempo se estaba preparando una operación contra el foro de hacking BreachForums y finalmente sucedió. El sitio web y la cuenta de Telegram fueron incautados y ¿se espera el arresto de al menos otro administrador? Actualización: al parecer Baphomet ya habría sido arrestado.Ésta no es la primera vez que el FBI interrumpe las operaciones de BreachForums. En marzo de 2023, incautaron el foro, pero de una manera diferente: deteniendo a uno de sus administradores, Conor Brian Fitzpatrick (aka Pompompurin). Al mismo tiempo, los federales tomaron una gran cantidad de datos de su computadora, poniendo en riesgo a otros administradores. Esta, de hecho, fue la razón principal por la que el foro se desconectó en ese momento.Hoy, el FBI y las policías neozelandesa, alemana, británica, suiza y ucraniana, acaban de poner fin a la maliciosa aventura de Baphomet, el nuevo administrador del foro de hacking y de su cuenta de Telegram. El sitio BreachForums fue reemplazado por un cartel de incautación que muestra las insignias del FBI y del Departamento de Justicia de Estados Unidos. Detrás de las rejas se muestran los "avatares" de Baphomet y Jacuzzi, presuntos administradores de este espacio. El aviso del FBI dice que los datos del sitio están bajo revisión y se emitió una invitación para que cualquier persona que tenga información sobre las numerosas actividades cibercriminales vinculadas a BreachForums se comunique con las autoridades. El FBI dice que BreachForums estaba dirigido por un grupo conocido como ShinyHunters desde junio de 2023 y era un mercado para ciberdelincuentes, que permitía la compra, venta y comercio de productos prohibidos, incluidos dispositivos de acceso robados, bases de datos, medios de identificación y herramientas de hacking y otros servicios ilegales. El servicio operaba en el dominio breachforums[].st/.cx/.is/.vc y en la Deep Web en un dominio .onion.

Ayer martes de parches de mayo de 2024, Microsoft publció actualizaciones de seguridad para 61 fallas y tres Zero-Day explotados activamente o divulgados públicamente. Este martes solo corrige una vulnerabilidad crítica de ejecución remota de código de Microsoft SharePoint Server. La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación: 17 Vulnerabilidades de elevación de privilegios 2 vulnerabilidades de omisión de funciones de seguridad 27 vulnerabilidades de ejecución remota de código 7 vulnerabilidades de divulgación de información 3 vulnerabilidades de denegación de servicio 4 vulnerabilidades de suplantación de identidad El recuento total de 61 fallas no incluye 2 fallas de Microsoft Edge corregidas el 2 de mayo y cuatro corregidas el 10 de mayo. Microsoft llamó la atención urgente sobre un Zero-Day explotado activamente y reportado por múltiples equipos externos de búsqueda de amenazas. Explotación activa El Zero-Day, identificado como CVE-2024-30051 (Windows DWM Core Library Elevation of Privilege Vulnerability), está documentado como un desbordamiento de búfer basado en la biblioteca principal del DWM (Desktop Windows Management) que ya ha sido explotado en ataques de malware que requieren privilegios elevados del SYSTEM. El error tiene una puntuación de gravedad CVSS de 7,8/10 y una calificación de "importante" de Redmond. Desktop Window Manager es un servicio de Windows introducido en Windows Vista que permite al sistema operativo utilizar la aceleración de hardware al representar elementos de la interfaz gráfica de usuario, como animaciones de transición 3D. Los investigadores de seguridad de Kaspersky descubrieron la vulnerabilidad mientras investigaban otro error de escalada de privilegios de la biblioteca DWM Core de Windows rastreado como CVE-2023-36033 y también explotado como un ataque Zero-Day. "Hay ataques que aprovechan esta vulnerabilidad, y a mediados de abril descubrimos un exploit. Lo hemos visto utilizado junto con QakBot y otro malware, y creemos que múltiples actores de amenazas tienen acceso a él", dijo Kaspersky. QakBot (también conocido como Qbot) comenzó como un troyano bancario en 2008 y se utilizaba para robar credenciales bancarias, cookies de sitios web y tarjetas de crédito para cometer fraude financiero. Con el tiempo, QakBot evolucionó hasta convertirse en un servicio de entrega de malware, asociándose con otros grupos de amenazas para brindar acceso inicial a redes empresariales y domésticas para ataques de ransomware, espionaje o robo de datos. Si bien su infraestructura fue desmantelada en agosto de 2023 luego de una operación policial multinacional encabezada por el FBI y conocida como Operación 'Duck Hunt', el malware resurgió en campañas de phishing dirigidas a la industria hotelera en diciembre. Microsoft también marcó CVE-2024-30040 (Windows MSHTML Platform Security Feature Bypass Vulnerability) en la categoría ya explotado, advirtiendo que los atacantes están eludiendo las funciones de seguridad en Microsoft 365 y Office. La falla, que tiene una puntuación CVSS de 8,8, permite a los atacantes ejecutar código arbitrario si un usuario está engañando para que cargue archivos maliciosos. "Esta vulnerabilidad omite las mitigaciones OLE en Microsoft 365 y Microsoft Office que protegen a los usuarios de controles COM/OLE vulnerables. Un atacante no autenticado que explotara con éxito esta vulnerabilidad podría obtener la ejecución de código convenciendo a un usuario de que abra un documento malicioso, momento en el cual el atacante podría ejecutar código arbitrario en el contexto del usuario", dijo Microsoft. CVE-2024-30040 es una omisión de seguridad en MSHTML, un componente que está profundamente vinculado al navegador web predeterminado en los sistemas Windows. El aviso de Microsoft sobre esta falla es bastante escaso, pero Kevin Breen de Immersive Labs dijo que esta vulnerabilidad también afecta a las aplicaciones de Office 365 y Microsoft Office. La compañía también instó a los administradores de Windows a prestar atención a CVE-2024-30044, una vulnerabilidad de ejecución remota de código de gravedad crítica en Microsoft Sharepoint. "Un atacante autenticado con permiso del propietario del sitio puede utilizar la vulnerabilidad para inyectar código arbitrario y ejecutar este código en el contexto de SharePoint Server", advirtió el centro de respuesta de seguridad de Redmond. Microsoft afirma que el CVE-2024-30051 también se reveló públicamente, pero no está claro dónde se hizo. Además, Microsoft dice que también se reveló públicamente una falla de denegación de servicio en Microsoft Visual Studio rastreada como CVE-2024-30046. Actualizaciones de otras compañías Adobe has released security updates for After Effects, Photoshop, Commerce, InDesign, and more. Apple backported an RTKit zero-day to older devices and fixed a Safari WebKit zero-day flaw exploited at Pwn2Own. Cisco released security updates for its IP phone products. Citrix urged Xencenter admins to manually fix Putty flaw, which can be used to steal an admin's private SSH key. F5 releases security updates for two high-severity BIG-IP Next Central Manager API flaws. Google released an emergency update to fix the sixth zero-day of 2024. TinyProxy fixes a critical remote code execution flaw that was disclosed by Cisco. VMware fixes three zero-day bugs exploited at Pwn2Own 2024. Fuente: BC