Noticias de seguridad informatica

Una nueva campaña de malware aprovechó dos vulnerabilidades Zero-Day en los equipos de red de Cisco Adaptive Security Appliances (ASA) para entregar malware personalizado y facilitar la recopilación encubierta de datos en entornos productivos. Cisco Talos, que denominó la actividad ArcaneDoor, atribuyéndola como obra de un sofisticado actor patrocinado por el estado no documentado previamente y al que rastrea bajo el nombre UAT4356 (también conocido como Storm-1849 de Microsoft). "UAT4356 implementó dos puertas traseras como componentes de esta campaña, 'Line Runner' y 'Line Dancer', que se usaron colectivamente para llevar a cabo acciones maliciosas en el objetivo, que incluyeron modificación de configuración, reconocimiento, captura/exfiltración de tráfico de red y potencialmente movimiento lateral", dijo Talos. CVE-2024-20353 (puntuación CVSS: 8,6): vulnerabilidad de denegación de servicio de servicios web del software Cisco Adaptive Security Appliance y Firepower Threat Defense CVE-2024-20359 (puntuación CVSS: 6,0): vulnerabilidad de ejecución persistente de código local del software Cisco Adaptive Security Appliance y Firepower Threat Defense Si bien la segunda falla permite que un atacante local ejecute código arbitrario con privilegios de nivel root, se requieren privilegios de nivel de administrador para explotarlo. Junto con CVE-2024-20353 y CVE-2024-20359, en pruebas internas se descubrió una falla de inyección de comandos en el mismo dispositivo (CVE-2024-20358, puntuación CVSS: 6,0). La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) agregó las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las correcciones proporcionadas por los proveedores antes del 1 de mayo de 2024. Actualmente se desconoce la vía de acceso inicial exacta utilizada para violar los dispositivos, aunque se dice que UAT4356 comenzó los preparativos para ello ya en julio de 2023. A un punto de apoyo exitoso le sigue el despliegue de dos implantes llamados Line Dancer y Line Runner, el primero de los cuales es una puerta trasera en memoria que permite a los atacantes cargar y ejecutar shellcode arbitrarias, incluida la desactivación de registros del sistema y la extracción de capturas de paquetes. Line Runner, por otro lado, es un implante LUA persistente basado en HTTP instalado en Cisco Adaptive Security Appliance (ASA) aprovechando los Zero-Days mencionados para que pueda sobrevivir a través de reinicios y actualizaciones. Se ha observado que se utiliza para obtener información presentada por Line Dancer. "Se sospecha que Line Runner puede estar presente en un dispositivo comprometido incluso si Line Dancer no lo está (por ejemplo, como una puerta trasera persistente o cuando un ASA afectado aún no ha recibido atención operativa completa por parte de los actores maliciosos)", según un aviso conjunto publicado por agencias de ciberseguridad de Australia, Canadá y el Reino Unido. En cada fase del ataque, se dice que UAT4356 demostró una atención meticulosa para ocultar sus huellas y la capacidad de emplear métodos complejos para evadir el análisis forense en memoria y reducir las posibilidades de detección, lo que contribuye a su sofisticación y naturaleza esquiva. Esto también sugiere que los actores de amenazas tienen una comprensión completa del funcionamiento interno del propio ASA y de las acciones forenses comúnmente realizadas por Cisco para la validación de la integridad de los dispositivos de red. No está claro exactamente qué país está detrás de ArcaneDoor, sin embargo, tanto los delincuentes informáticos respaldados por el estado chino como el ruso han atacado los enrutadores de Cisco con fines de ciberespionaje en el pasado. Cisco Talos tampoco especificó cuántos clientes se vieron comprometidos en estos ataques. El desarrollo destaca una vez más el aumento de los ataques a dispositivos y plataformas perimetrales, como servidores de correo electrónico, firewalls y VPN, que tradicionalmente carecen de soluciones de detección y respuesta de endpoints (EDR), como lo demuestra la reciente serie de ataques dirigidos a Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks y VMware. "Los dispositivos de red perimetral son el punto de intrusión perfecto para campañas centradas en el espionaje", afirmó Talos. Como ruta crítica para que los datos entren y salgan de la red, estos dispositivos deben ser parcheados de manera rutinaria y rápida; usar versiones y configuraciones de hardware y software actualizadas; y ser monitoreados de cerca desde una perspectiva de seguridad. Estos dispositivos permiten a un actor ingresar directamente a una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red. Se recomienda observar los IOCs y seguir estos pasos para detectar una posible infección y actualización de Cisco Adaptive Security Appliances (ASA). Fuente: THN

Los jefes de policía europeos dijeron que la asociación complementaria entre los organismos encargados de hacer cumplir la ley y la industria tecnológica está en riesgo debido al cifrado de extremo a extremo (E2EE). Pidieron a la industria y a los gobiernos que tomaran medidas urgentes para garantizar la seguridad pública en las plataformas de redes sociales. "Las medidas de privacidad que se están implementando actualmente, como el cifrado de extremo a extremo, impedirán que las empresas tecnológicas vean cualquier infracción que se produzca en sus plataformas", dijo Europol. "También detendrá la capacidad de las fuerzas del orden para obtener y utilizar esta evidencia en investigaciones para prevenir y procesar los delitos más graves, como el abuso sexual infantil, la trata de personas, el contrabando de drogas, los homicidios, los delitos económicos y los delitos de terrorismo". La idea de que las protecciones E2EE podrían obstaculizar la aplicación de la ley a menudo se conoce como el problema del "going dark", lo que genera preocupaciones de que crea nuevos obstáculos para recopilar pruebas de actividades ilícitas. El desarrollo se produce en el contexto de que Meta implementará E2EE en Messenger de forma predeterminada para llamadas personales y mensajes personales uno a uno a partir de diciembre de 2023. Desde entonces, la Agencia Nacional contra el Crimen (NCA) del Reino Unido ha criticado las elecciones de diseño de la compañía, que dificultaron la protección de los niños del abuso sexual en línea y socavaron su capacidad para investigar delitos y mantener al público a salvo de amenazas graves. "El cifrado puede ser enormemente beneficioso, protegiendo a los usuarios de una variedad de delitos", afirmó el director general de la NCA, Graeme Biggar. "Pero el despliegue contundente y cada vez más generalizado por parte de las principales empresas tecnológicas del cifrado de extremo a extremo, sin suficiente consideración por la seguridad pública, está poniendo a los usuarios en peligro". La directora ejecutiva de Europol, Catherine de Bolle, señaló que las empresas de tecnología tienen la responsabilidad social de desarrollar un entorno seguro sin obstaculizar la capacidad de las fuerzas del orden para recopilar pruebas. La declaración conjunta también insta a la industria tecnológica a crear productos teniendo en cuenta la ciberseguridad, pero al mismo tiempo proporcionar un mecanismo para identificar y señalar contenido dañino e ilegal. "No aceptamos que sea necesario hacer una elección binaria entre ciberseguridad o privacidad, por un lado, y seguridad pública, por el otro", dijeron las agencias. "Nuestra opinión es que las soluciones técnicas existen; simplemente requieren flexibilidad tanto de la industria como de los gobiernos. Reconocemos que las soluciones serán diferentes para cada capacidad, y también diferirán entre plataformas". Meta, por si sirve de algo, ya se basa en una variedad de señales extraídas de información no cifrada e informes de usuarios para combatir la explotación sexual infantil en WhatsApp. A principios de este mes, el gigante de las redes sociales también dijo que está probando un nuevo conjunto de funciones en Instagram para proteger a los jóvenes de la sextorsión y el abuso de imágenes íntimas mediante el escaneo del lado del cliente. "La protección contra desnudos utiliza el aprendizaje automático en el dispositivo para analizar si una imagen enviada en un DM en Instagram contiene desnudos", dijo Meta. "Debido a que las imágenes se analizan en el propio dispositivo, la protección contra desnudos funcionará en chats cifrados de extremo a extremo, donde Meta no tendrá acceso a estas imágenes, a menos que alguien decida reportarnoslas". Fuente: THN

Después de la alarma con el backdoor introducido en XZ Utils, llega esta vulnerabilidad grave de 24 años de antigüedad en GNU C Library (glibc). La vulnerabilidad afecta desde la versión 2.1.93 hasta las versiones anteriores a la 2.40. Descubierta por el investigador Charles Fol (aka cfreal), consiste en un "Buffer overflow" en la funcion iconv(), utilizada para conversión de caracteres, concretamente con la extensión ISO-2022-CN-EXT para caracteres en chino. Esta vulnerabilidad, identificada como CVE-2024-2961 (CVSS 8.8 por ahora), puede llegar a suponer una ejecución de código remoto (RCE). Además, según el mismo investigador, es posible explotar cualquier aplicación PHP con esta vulnerabilidad ya que hace uso de esta librería en todos los sistemas Linux. Según ha explicado, liberará la PoC de explotación en el congreso OffensiveCON (Alemania) en el mes de mayo. Se recomienda actualizar lo antes posible a la última versión de glibc y seguir atentos a las actualizaciones sobre la vulnerabilidad, ya que no es de extrañar que se descubran explotaciones latentes de la misma o aplicaciones que requieren mitigaciones concretas. Se puede saber la versión de glibc con los siguientes comandos (Debian): ldd --version /lib/x86_64-linux-gnu/libc.so.6 Verificar si se dispone de la versión afectada: iconv -l | grep -E 'CN-?EXT' Si la salida es vacía, está todo correcto y no hay que hacer nada más. En cambio, si dá la siguiente salida hay que tomar acciones: ISO-2022-CN-EXT// ISO2022CNEXT// Se puede actualizar u, opcionalmente, se pueden deshabilitar los caracteres afectados editando el siguiente archivo (Debian): /usr/lib/x86_64-linux-gnu/gconv/gconv-modules-extra.conf Luego de comentar las líneas del archivo gconv-modules-extra.conf, se recomienda limpiar la caché con el comando iconvconfig. Ver referencia I y II. Las principales distribuciones ya han publicado la actualización: Debian, Slackware 15.0 y RedHat 7, 8  y 9 y Fedora. Fuente: OpenWall

Introducción Los proxies residenciales son intermediarios que permiten que una conexión a Internet parezca provenir de otro host. Este método permite al usuario ocultar el origen real y obtener una privacidad mejorada o acceso a contenido restringido geográficamente; Los proxies residenciales representan una amenaza creciente en el ciberespacio, frecuentemente utilizados por grupos de atacantes para esconderse entre el tráfico legítimo, pero también de forma legítima. El ecosistema de estos proxies se caracteriza por una oferta fragmentada y desregulada en mercados web legítimos y de ciberdelincuencia. Para obtener una infraestructura de hasta varios millones de hosts, los proveedores de servidores proxy residenciales utilizan técnicas que pueden engañar a los usuarios que instalan software de terceros. Con millones de direcciones IP disponibles, representan un enorme desafío para ser detectadas por las soluciones de seguridad contemporáneas. Defenderse de esta amenaza requiere una mayor vigilancia sobre el origen del tráfico, que puede no ser lo que parece, lo que subraya la importancia de un enfoque cauteloso e informado para gestionar el tráfico de red. Los problemas relacionados con RESIP no son bien conocidos por el público, ni tampoco por la comunidad de ciberseguridad. Si bien los proveedores de servicios RESIP se pueden utilizar para algunos usos legítimos, varios tipos de actores de amenazas cibernéticas abusan mucho de ellos. En este informe, los analistas de Sekoia.io y Orange Cyberdefense profundizan en el fenómeno de RESIP, exploran el panorama real del mercado, que se compone de múltiples proveedores turbios, y explican cómo los actores de amenazas cibernéticas abusan de dichos servicios o incluso los brindan directamente. RESIP - RESIdential Proxies El 25 de enero de 2024, Microsoft publicó una guía sobre cómo defenderse contra grupos de estados-nación en la que el grupo informó sobre una campaña de espionaje por parte de APT29, una intrusión en el nexo con Rusia atribuida por los gobiernos de EE.UU. y el Reino Unido al servicio de inteligencia ruso SVR, que tenía como objetivo Microsoft tiene como objetivo recopilar información sobre sí mismos. Para aumentar la seguridad de sus operaciones, los operadores de APT29 confiaron en un proveedor de servicios de Proxies Residenciales (sin nombre) (RESIP para RESIdential Proxies). Los servidores proxy residenciales (RESIP) son servidores proxy web ubicados en redes residenciales o celulares. Como se ilustra en la figura, un RESIP típico funciona en un modo de retroconexión en el que el tráfico proxy procedente de un cliente proxy se enviará primero al servidor de puerta de enlace, que a su vez reenvía el tráfico a un nodo RESIP, antes de salir al destino del tráfico. Es más, la mayoría de los servicios RESIP permitirán a los clientes proxy especificar dónde quieren salir del tráfico retransmitido, en términos de países y ciudades. Además, los clientes de proxy pueden mantener su tráfico en el mismo nodo de salida, ya sea pasando la misma identificación de sesión o conectándose a algunas puertas de enlace de proxy fijas que generalmente se vinculan a un nodo de salida cada 5 o 10 minutos. Durante varios años, el ecosistema del cibercrimen con motivación financiera se ha caracterizado por la mercantilización de casi cada paso de una cadena de ataque. Si bien esta tendencia puede interpretarse como una señal de madurez económica fuera del ámbito cibernético, esta división del trabajo implica que las operaciones cibernéticas ahora dependen cada vez más de una multitud de terceros interesados. Estos proveedores se especializan en servicios que van desde la creación de kits de phishing, investigación de vulnerabilidades, alojamiento a prueba de balas, generación de tráfico, desarrollo de malware, etc. Como lo destacan informes recientes provenientes de la comunidad de ciberseguridad, RESIP se ha convertido en una parte integral de muchas operaciones maliciosas que van desde DDoS, ciberespionaje o campañas de malware con motivación financiera (1, 2, 3, 4, 5, 6). En la mayoría de los casos, estos servidores proxy se utilizan para ocultar el último kilómetro del tráfico del actor de la amenaza antes de acceder al entorno de la víctima o interactuar con él. Por definición, las RESIP son direcciones IP "alquilables" asignadas a dispositivos residenciales utilizados como puerta de enlace intermediaria entre dos hosts, facilitando la anonimización de los primeros. RESIP normalmente abarca dispositivos de usuarios reales, como computadoras de escritorio, portátiles, teléfonos inteligentes e incluso dispositivos IoT. Las direcciones IP residenciales a través de las cuales se transfiere el tráfico suelen ser suscriptores de proveedores de servicios de Internet (ISP) y son particularmente útiles en comparación con los servidores proxy de centros de datos o las IP VPN que están catalogadas como pertenecientes a grupos de IP comerciales y no a "usuarios" genuinos de Internet.  En los últimos años, RESIP ha atraído la atención de algunos investigadores y académicos de seguridad. Se pueden encontrar conocimientos valiosos sobre cómo funcionan, en particular, en informes públicos de Trend Micro, Lumen, Spur, etc. Sin embargo, este tema a menudo permanece olvidado y oscuro (consulte el listado de fuentes). De hecho, la mera existencia y el crecimiento sistémico actual de RESIP pueden ser problemáticos en dos dimensiones principales: la falta de transparencia en el abastecimiento de RESIP que constituye el conjunto de representantes anunciados por estos proveedores. la creciente adopción de RESIP por parte de los actores cibernéticos para evitar ser identificados. Este informe de CERT Orange Cyberdefense se basa en una extensa investigación de los equipos de Investigación. También se basa en avistamientos únicos que detectamos dentro de la base de nuestros respectivos clientes, con más de 10 clientes identificados como afectados por la presencia de al menos un proxyware dentro de sus perímetros corporativos. En al menos tres avistamientos, este proxyware, que transforma el dispositivo “infectado” en un posible punto de acceso remoto, había sido instalado mediante la descarga de software gratuito por parte de los usuarios. En otro caso, los investigadoies observaron artefactos que apuntaban a una campaña de phishing que aprovechaba un proveedor RESIP bastante conocido. Esto nos llevó a comprobar si había riesgos adicionales inducidos, descubriendo, por ejemplo, un cliente con varias máquinas que utilizaba este servicio RESIP. Este incidente, ahora completamente remediado, resalta el uso sutil pero activo de RESIP por parte de varios tipos de actores cibernéticos, una táctica que a menudo pasa desapercibida para las organizaciones, aunque no es difícil de detectar. Al final de este informe, proporcionamos indicadores técnicos que pueden aprovecharse para la búsqueda de amenazas específicas dentro de sus entornos. Dentro del mundo de ofertas de los proveedores RESIP Para el análisis, monitorearon y analizaron 5 foros con proveedores de RESIP activos, principalmente aquellos que operan y son apreciados por los ciberdelincuentes. BreachForums, Nulled, XSS, BlackHatWorld, Zelenka Los investigadores analizaron más de 50 ofertas de RESIP en estos foros a lo largo de 2023 para identificar patrones y tendencias estructurantes asociados con este tipo específico de servicio. De estos proveedores, la gran mayoría surgió durante 2023 (la fecha límite es noviembre de 2023). Según las observaciones, la mayoría de las publicaciones que promueven los servicios RESIP son de fácil acceso, en comparación con algunos servicios más "clandestinos" y conscientemente ilícitos. De hecho, utilizan títulos explícitos en los anuncios publicados en foros accesibles en Clear Web. La comparación de los anuncios mostrados en los foros observados nos permitió notar que un segmento más grande de anuncios RESIP ocurre en foros bien establecidos de "nivel bajo", como BlackHatWorld (BHW) o Nulled, que tienden a reunir una audiencia que no está exclusivamente involucrada en el delito cibernético, es decir, actividades de sombrero gris. Como recordatorio, mientras Nulled surgió alrededor de 2014, BHW apareció a principios de la década de 2000 y continúa atrayendo a personas que también buscan servicios legítimos que van desde redacción publicitaria, diseño web, marketing en redes sociales, etc. Durante el período del análisis, cada mes se publicaron al menos de 5 a 10 hilos nuevos que ofrecían RESIP en BlackHatWorld, además de los hilos más antiguos pero aún activos que se "actualizaron" para aparecer en la primera página de la sección del foro. Por ejemplo, el hilo con más respuestas que promociona RESIP en BlackHatWorld se remonta a noviembre de 2013 y cuenta con alrededor de 6.000 respuestas. Fuentes: Chasesecurity | Sekoia | Orange Cyberdefense

Se ha descubierto un nuevo exploit dirigido al servicio VMware ESXi Shell (versión 7.x y 8.x) y está circulando en varios foros de hacking. Esta vulnerabilidad plantea un riesgo significativo para las organizaciones que utilizan VMware para sus entornos virtuales, permitiendo potencialmente el acceso y control no autorizados sobre las máquinas virtuales. El exploit, que apunta explícitamente al servicio VMware ESXi Shell, se habría hecho público en febrero de 2024 y se informó recientemente en un tweet de una cuenta de Dark Web Intelligence en Twitter.Supuestamente, para ejecutar el exploit con éxito, el servicio de shell ESXi debe estar habilitado en el host de destino, IPv4 debe estar configurado como principal (no se admite IPv6) y el sistema de destino debe ejecutar vSphere ESXi 7.x/8.x. ESXi Shell, un componente esencial para administrar hosts VMware ESXi, proporciona una interfaz de línea de comandos para la interacción directa con el host. Según se promociona, el exploit Zero-Day está disponible para su compra y permite omitir la autenticación, lo que permite que el usuario vpxuser cargue archivos de forma remota en el directorio /scratch. El paquete incluiría un script Python de explotación automática diseñado para generar y entregar paquetes maliciosos. El precio de venta por este exploit es de 1.500.000 dólares a través de Monero.  Un exploit que comprometa ESXi Shell podría permitir a los atacantes obtener control sobre todas las máquinas virtuales alojadas en el servidor, lo que provocaría una violación masiva de datos internos y de clientes. La interrupción también podría extenderse a sistemas operativos críticos, provocando importantes tiempos de inactividad y pérdidas financieras. Pasos para proteger sus sistemas Verificar la versión actual del sistema: los administradores primero deben verificar la versión actual de sus instalaciones de VMware ESXi para determinar si son potencialmente vulnerables. Aplique parches inmediatamente: si se descubre que los sistemas son vulnerables, es fundamental aplicar los parches proporcionados por VMware sin demora. Estas actualizaciones están diseñadas para cerrar la laguna de seguridad y evitar posibles vulnerabilidades. Monitorear la actividad de la red: se recomienda el monitoreo continuo de la actividad de la red para detectar comportamientos inusuales. Esto puede ayudar a detectar y mitigar cualquier intento de explotación tempranamente. Auditorías de seguridad periódicas: se deben realizar auditorías de seguridad y comprobaciones de cumplimiento programadas periódicamente para garantizar que no queden vulnerabilidades sin abordar. Las organizaciones que utilizan VMware ESXi deben tomar medidas inmediatas para parchear sus sistemas y protegerlos contra esta grave amenaza a la seguridad. Fuente: Daily Dark Web