Noticias de seguridad informatica

Los actores de amenazas están encadenando fallas de ServiceNow utilizando exploits disponibles públicamente para violar agencias gubernamentales y empresas privadas en ataques de robo de datos. Aunque el proveedor publicó actualizaciones de seguridad para las fallas el 10 de julio de 2024, decenas de miles de sistemas siguen siendo potencialmente vulnerables a los ataques. Según la información publicada por The Stack, "un atacante no autenticado podría encadenar un trío de vulnerabilidades críticas de ServiceNow para lograr una ejecución remota completa de código (RCE), con casi 42.000 instancias de ServiceNow expuestas en el momento de la divulgación en mayo". Las vulnerabilidades encontradas inicialmente por los especialistas de Assetnote ya están parcheadas. La actividad maliciosa fue reportada por Resecurity, que, después de monitorearla durante una semana, identificó múltiples víctimas, incluidas agencias gubernamentales, centros de datos, proveedores de energía y empresas de desarrollo de software. El investigador independiente de ciberseguridad Chirag Artani detalló una de las posibles formas de detección. Otros investigadores también compartieron algunos consejos que aprovechan las plantillas personalizadas de Nuclei y Python, lo que permite a los actores automatizar este proceso. Según Imperva, "se han observado intentos de explotación que aprovechan estas vulnerabilidades en más de 6.000 sitios de diversas industrias, especialmente en la industria de servicios financieros". Detalles de explotación ServiceNow es una plataforma basada en la nube que ayuda a las organizaciones a gestionar flujos de trabajo digitales para operaciones empresariales. Se adopta ampliamente en diversas industrias, incluidas organizaciones del sector público, atención médica, instituciones financieras y grandes empresas. Los escaneos de Internet arrojan casi 300.000 instancias expuestas a Internet, lo que refleja la popularidad del producto: FOFA: https://en.fofa.info/result?qbase64=U2VydmVyOiBTZXJ2aWNlTm93 SHODAN: https://beta.shodan.io/search?query=Server%3A+ServiceNow HUNTERS: https://hunter.how/list?searchValue=web.title%3D%3D%22ServiceNow El 10 de julio de 2024, ServiceNow puso a disposición revisiones para CVE-2024-4879, una falla de validación de entrada crítica (puntaje CVSS: 9.3) que permite a usuarios no autenticados realizar la ejecución remota de código en múltiples versiones de Now Platform. Al día siguiente, el 11 de julio, los investigadores de Assetnote que descubrieron la falla publicaron un artículo detallado sobre CVE-2024-4879 y dos fallas más (CVE-2024-5178 y CVE-2024-5217) en ServiceNow que se pueden encadenar por acceso completo a la base de datos. Pronto, GitHub se vio inundado de exploits funcionales basados ​​en la redacción y escáneres de red masivos para CVE-2024-4879, que los actores de amenazas aprovecharon casi de inmediato para encontrar instancias vulnerables, informa Resecurity. La explotación vista por Resecurity utiliza una inyección para verificar un resultado específico en la respuesta del servidor, seguida de una carga útil de segunda etapa que verifica el contenido de la base de datos. Si tiene éxito, el atacante descarga la listas de usuarios y credenciales de las cuentas habilitadas. Resecurity dice que en la mayoría de los casos, las credenciales fueron hashes, pero algunas de las instancias violadas expusieron credenciales de texto sin formato. Resecurity ha visto una gran cantidad de conversaciones sobre las fallas de ServiceNow en foros clandestinos, especialmente por parte de usuarios que buscan acceso a mesas de servicio de TI y portales corporativos, lo que indica un gran interés por parte de la comunidad de delitos cibernéticos. ServiceNow puso a disposición correcciones para las tres vulnerabilidades a principios de este mes en boletines separados para CVE-2024-4879 (CVSS 9.8), CVE-2024-5178 (CVSS 7.5), CVE-2024-5217 (9.2) respectivamente. Se recomienda a los usuarios verificar la versión indicada en los avisos y asegurarse de haber aplicado el parche en todas las instancias o hacerlo lo antes posible si no lo han hecho. Fuente: BC

Mientras Meta "juega" con su IA, el 14 de julio de 2024, un analista de malware @0x6rss descubrió y compartió en X un problema de seguridad en WhatsApp Messenger para Android. Este problema permite a un atacante disfrazar una aplicación maliciosa de Android como un archivo PDF compartido en el chat. Por ahora la vulnerabilidad NO ha sido solucionada. El error no se puede utilizar indebidamente para compartir aplicaciones maliciosas como archivos adjuntos directamente mediante el uso regular de WhatsApp Messenger. En cambio, para aprovechar este problema, un atacante tendría que enviar una solicitud especial a través de la interfaz de programación de WhatsApp. El 25 de junio de 2024, @0x6rss informó este error de manipulación de extensión al equipo de seguridad de Facebook, que administra la recompensa por errores de WhatsApp. Sin embargo, el equipo no lo consideró una vulnerabilidad de seguridad sino más bien un tipo de engaño de ingeniería social, que no entra en la categoría de vulnerabilidades de seguridad dentro del alcance. A pesar de no estar reconocida oficialmente como una vulnerabilidad (ni haber sido solucionada), es crucial que los usuarios conozcan este "truco" simple pero efectivo. Con este método, se puede engañar a personas que no están muy familiarizadas con la tecnología para que descarguen e instalen una aplicación dañina. Telegram descubrió y solucionó recientemente un problema similar, donde las aplicaciones maliciosas de Android podían disfrazarse de videos compartidos en el chat en la aplicación Telegram para Android. @0x6rss compartió algunos detalles y el error se puede replicar, aunque la prueba de concepto aún no está disponible públicamente. Se puede ver una demostración en este video. Este error se puede explotar únicamente utilizando la API de WhatsApp y no directamente enviando una carga útil diseñada dentro de la aplicación. Este sencillo truco consiste en cambiar la extensión del archivo del documento mostrado. WhatsApp sigue mostrando la extensión original del archivo. Para los usuarios TI, lo más probable es que sea una señal de alerta; sin embargo, es posible que el usuario común no sepa qué significa "APK" o qué extensión de archivo usa la aplicación de Android cuando el nombre del archivo indica que es un formato PDF. Cuando el usuario hace clic en el archivo (APK disfrazado de PDF), aparece la segunda bandera roja, que es una advertencia de WhatsApp de que este documento puede contener contenido no seguro. Esta advertencia es razonable; sin embargo, dice explícitamente un documento, no una aplicación. Existe una pequeña diferencia de texto entre compartir un archivo APK con extensión manipulada y el método normal de compartir un archivo APK real, que efectivamente corresponde a un aplicación de Android. Cuando se hace clic en Abrir, WhatsApp solicita al usuario que permita a WhatsApp Messenger instalar aplicaciones de fuentes desconocidas y, incluso, si esto ya ha sido permitido anteriormente, se omite este paso. Para quienes usan WhatsApp en sus computadoras, este error no afecta a WhatsApp Web ni a la aplicación de escritorio. Fuente: MobileHacker

En junio de 2024, se descubrió un grupo de amenazas que utilizaba el ransomware Akira dirigido a una aerolínea latinoamericana. El actor de amenazas accedió inicialmente a la red a través del protocolo Secure Shell (SSH) y logró extraer datos críticos antes de implementar una variante del ransomware Akira al día siguiente. A lo largo de este compromiso, se abusó de una serie de herramientas legítimas junto con Living off-the-Land Binaries and Scripts (LOLBAS). Esto permitió a los agresores realizar reconocimientos y persistir en el entorno de la víctima recientemente comprometida. Una vez que el atacante logró su objetivo de extraer datos, se implementó el ransomware para cifrar e incapacitar los sistemas de la víctima. Akira es un ransomware como servicio (RaaS) que ha sido un arma central de Storm-1567 (también conocido como Punk Spider y GOLD SAHARA), un destacado grupo de ransomware observado por primera vez en 2023. Debido a los indicadores que incluyen consultas DNS enviadas a un dominio asociado con Remmina (un cliente de escritorio remoto de código abierto), podemos decir con un alto grado de confianza que el actor de amenazas detrás de este compromiso probablemente sea un usuario basado en Linux. ¿Qué es el ransomware Akira? Akira, que se detectó inicialmente en estado salvaje en marzo de 2023, es el ransomware asociado con el grupo RaaS conocido como Storm-1567. El grupo es responsable de desarrollar y mantener el ransomware Akira y los Dedicated Leak Sites (DLS) asociados a él. El grupo suele emplear una táctica de doble extorsión en la que se filtran datos críticos antes de que el ransomware destruya los sistemas de las víctimas comprometidas. Esta estratagema ejerce presión adicional sobre las víctimas para que paguen el rescate, ya que los operadores de ransomware amenazarán con la exposición pública de los datos confidenciales robados si el pago no se realiza rápidamente. Las Tácticas, Técnicas y Procedimientos (TTP) asociados con el ransomware Akira incluyen el abuso frecuente de software legítimo, incluidas herramientas de código abierto como diversas herramientas de pruebas de penetración. El grupo también es conocido por explotar vulnerabilidades en la infraestructura de una organización objetivo, como sistemas sin parches o desactualizados y software de VPN vulnerable. El grupo de amenazas Akira ha atacado numerosos sectores industriales en todo el mundo en los últimos años. Hasta enero de 2024, el grupo había recibido más de 42 millones de dólares en pagos de rescate y se había dirigido a más de 250 organizaciones diferentes. Si bien el grupo se dirige principalmente a sistemas Windows, también tienen variantes de Linux de sus herramientas, incluida una variante dirigida a máquinas virtuales VMware ESXi. Cadena de ataque de Akira Aquí hay una descripción general de la cadena de ataques de dos días del grupo Akira a la aerolínea comprometida, como se muestra a continuación: Vector de ataque Durante este ataque a la aerolínea latinoamericana, obtuvimos datos de detección y respuesta de terminales (EDR) para ayudar en nuestra investigación. No existían registros del compromiso inicial, pero observamos que el primer acceso visible del atacante al "Paciente Cero" fue a través de SSH desde la dirección IP de un router. El Paciente Cero era un servidor de respaldo de Veeam sin parches. Creemos que se utilizó el CVE-2023-27532 disponible públicamente para el acceso inicial, que es una vulnerabilidad en el componente Veeam Backup & Replication. El ataque cumple con todas las características y TTP de Akira proporcionados por el FBI y CISA en su asesoramiento conjunto de ciberseguridad de abril de 2024 sobre el ransomware Akira. Los operadores de Akira anteriormente obtuvieron acceso a objetivos utilizando CVE-2020-3259 y CVE-2023-20269. Recopilación y exfiltración de datos Una vez dentro de la red, el actor de amenazas creó un usuario llamado "backup" y se agregó al grupo de administradores para afianzarse en el entorno. A continuación, el atacante procedió a instalar la herramienta legítima de administración de red Advanced IP Scanner antes de escanear las subredes locales descubiertas mediante el comando "route print". Advanced IP Scanner a menudo se considera una herramienta de doble uso; aunque su funcionamiento puede ser fundamental para los administradores de redes y los profesionales de seguridad, la presencia inesperada de la herramienta en un sistema podría ser una señal de negligencia interna o una señal de alerta para otras activaciones maliciosas. Durante este ataque en particular, la propiedad de los datos de respaldo de Veeam se tomó a través de la carpeta de respaldo de Veeam, mientras que el actor de la amenaza comprimió y cargó datos desde otros sistemas. En esta copia de seguridad se incluyeron tipos de archivos comunes como documentos, imágenes y hojas de cálculo, con la esperanza de que el actor malintencionado pudiera recopilar y aprovechar datos confidenciales y potencialmente valiosos para su propio beneficio financiero. Finalmente, los datos se extrajeron a través de WinSCP, un administrador de archivos gratuito para Windows. El tiempo total desde el inicio de sesión inicial hasta la filtración de datos fue de solo 133 minutos, y el último comando se ejecutó a las 4:55 p.m. UTC. Camino hacia el cifrado Temprano a la mañana siguiente, a las 8:40 UTC, el trabajo del actor de amenazas comenzó de nuevo. Los registros que parecen idénticos al smbexec de Impacket muestran que el atacante realizó comprobaciones de usuario en un puñado de máquinas antes de iniciar sesión en el servidor de respaldo principal de Veeam. Se descargó Netscan como "netscan.zip" usando Google Chrome y se usó WinRAR para descomprimirlo. Luego se identificaron las máquinas conectadas al Active Directory y se dejaron en un archivo llamado "AdComputers.csv". Mientras NetScan se ejecutaba en el servidor de respaldo principal de Veeam, la protección antivirus (AV) se deshabilitó en el host de la máquina virtual, tanto a través de las interfaces de usuario (UI) del antivirus como a través de la línea de comandos. De vuelta en el servidor de respaldo principal de Veeam, se descargó el archivo "win.zip" a través de Google Chrome y se descomprimió con WinRAR. Contenía "w.exe", que es el ransomware Akira. Ese archivo se copió en el host de la VM. Los usuarios se enumeraron utilizando "net group" y posteriormente se manipularon con el siguiente comando: Luego, se descargó el software legítimo de escritorio remoto AnyDesk y se ejecutó en cinco sistemas diferentes. AnyDesk proporciona acceso remoto a otros dispositivos que ejecutan la aplicación. Ahora que la persistencia estaba completamente implementada, los actores de amenazas intentaron implementar ransomware en toda la red utilizando el servidor de respaldo de Veeam como punto de control. Vimos que el archivo "w.exe" (ransomware Akira) se implementaba en varios hosts desde el servidor Veeam comprometido. Al mismo tiempo, se eliminaron las instantáneas (Shadow Copy) a través de PowerShell para hacer imposible la recuperación desde la copia de seguridad: powershell.exe -Command "Get-WmiObject Win32_Shadowcopy | Remove-WmiObject" Esta eliminación ejerce más presión sobre la víctima para que "pague", ya que las copias de seguridad y los volúmenes a los que potencialmente se podría revertir ya no son una opción viable. Infraestructura de red Para este ataque en particular, los registros de los puntos finales no capturaron la dirección IP pública de la conexión SSH entrante. Sin embargo, capturó parte del tráfico saliente. Las consultas de DNS al dominio legítimo "plugins.remmina[.]org". Remmina es un cliente de escritorio remoto de código abierto que no se puede utilizar en Windows a menos que se utilice el subsistema de Windows para Linux. Esto sugiere con un alto grado de confianza que el actor de amenazas detrás de este compromiso y ataque es probablemente un usuario de Linux. La dirección IP 77[.]247[.]126[.]158 se utilizó para la exfiltración de datos y todavía estaba activa al momento de escribir este informe. Conclusiones Como la mayoría de los grupos de ransomware, Akira es una banda maliciosa motivada y con impulso financiero que vende y aprovecha su malware únicamente con fines de lucro. Como el grupo Akira opera como un RaaS, la victimología del grupo varía, siendo sus principales víctimas las pequeñas y medianas empresas (PyMES). También han atacado a algunas organizaciones más grandes con sede en América del Norte y Europa. El incidente detallado en este informe ocurrió durante un período de dos días, pero ocurrió dentro del horario laboral UTC, y el trabajo del actor de la amenaza se detuvo justo antes de las 17:00 UTC del primer día y se reanudó a las 8:40 UTC del segundo día. Existe una confianza baja a moderada de que los actores detrás de este ataque residen actualmente en una zona horaria UTC o cerca de ella. Europa occidental ha sido sede de muchos actores de amenazas notorios este año, como lo demuestra el reciente arresto de un miembro del infame grupo de atacantes de Scattered Spider. Dado que este ataque tuvo como objetivo una víctima en América Latina (LATAM), destaca la voluntad del grupo de apuntar a otras regiones, si alguna organización no repara las vulnerabilidades utilizadas por el actor. Vale la pena señalar que en este incidente, el software interno también estaba críticamente desactualizado, lo que dejó importantes vulnerabilidades que fueron explotadas por el actor de la amenaza una vez que se traspasó el perímetro. Fuente: BlackBerry

Una cookie de terceros son datos almacenados en su navegador web por un sitio web distinto del sitio web que está visitando actualmente y, por lo general, son revisados mediante scripts de seguimiento y anuncios. Luego, estas cookies se pueden utilizar para rastrear al usuario en otros sitios utilizando código del mismo dominio de terceros, lo que permite a los anunciantes rastrear sus hábitos e intereses de navegación. Las cookies de terceros son una de las tecnologías de seguimiento más extendidas y permiten a las empresas de publicidad y a los intermediarios de datos recopilar y vender información sobre las actividades en línea de los usuarios. Esto puede provocar una variedad de daños, como malos actores que compran su información confidencial y anuncios predatorios dirigidos a poblaciones vulnerables. Como estas cookies se consideran comúnmente como un riesgo para la privacidad, la ley del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que entró en vigor en 2018, exigía que los anunciantes obtuvieran el consentimiento del usuario antes de utilizar cookies de terceros. En 2019, Mozilla Firefox comenzó a bloquear las cookies de terceros de forma predeterminada, seguido de Apple Safari en 2020, lo que asestó un duro golpe a la industria publicitaria. Google se comprometió a hacer lo mismo en el futuro. Google comenzó a eliminar gradualmente las cookies de terceros en el primer trimestre de 2024, y se preveía que una eliminación gradual finalice en el primer trimestre de 2025. Para reemplazar las cookies de terceros, Google introdujo su Privacy Sandbox, que se supone que es una forma más anónima de rastrear los intereses de un usuario. con fines publicitarios. Sin embargo, las plataformas publicitarias y las empresas han tardado en cambiar a la nueva plataforma Privacy Sandbox y muchas todavía se encuentran en pruebas beta. Google ahora dice que dado que la transición requiere un trabajo importante y afectará a los editores, anunciantes y cualquier otra empresa involucrada en la publicidad en línea, ya no eliminarán gradualmente las cookies de terceros. En cambio, planean implementar una "nueva experiencia" de Google Chrome que permita a los usuarios restringir el uso de cookies de terceros. No está claro cuál será esta "experiencia", pero parece un sistema global de consentimiento de cookies integrado en Chrome que permite a los usuarios aceptar y rechazar cookies de terceros. Los defensores de la privacidad, como la EFF, están descontentos con esta decisión, diciendo que demuestra cómo Google prefiere las ganancias a la privacidad: "El anuncio de Google subraya su compromiso continuo con las ganancias por encima de la privacidad del usuario. Safari y Firefox bloquean las cookies de terceros de forma predeterminada desde 2020, cuando Google se comprometió a hacer lo mismo. La decisión de Google de seguir permitiendo cookies de terceros, a pesar de que otros navegadores importantes las bloquean durante años, es una consecuencia directa de su modelo de negocio basado en la publicidad. Dado que casi el 80% de los ingresos de Google provienen de la publicidad online, está claro por qué Chrome antepone los intereses de los anunciantes a la privacidad de los usuarios". La EFF recomienda a los usuarios instalar sus extensiones de navegador Privacy Badger, que ayudan a bloquear cookies de terceros y otros seguimientos en línea. Los usuarios también pueden utilizar bloqueadores de anuncios como uBlock Origin para bloquear rastreadores y anuncios. Fuente: BC

Investigadores de ESET descubrieron un exploit Zero-Day de Telegram para Android que aprovecha una vulnerabilidad a la que han denominado EvilVideo y permitía a los atacantes enviar archivos maliciosos camuflados como vídeos.El exploit de Zero-Day dirigido a Telegram para Android apareció a la venta en foro el 6 de junio de 2024. Utilizando el exploit, los atacantes podían compartir cargas maliciosas para Android a través de canales, grupos y chat de Telegram, y hacerlas aparecer como archivos multimedia. Por defecto, los archivos multimedia recibidos a través de Telegram están configurados para descargarse automáticamente. Esto significa que los usuarios con la opción activada descargarán automáticamente la carga maliciosa una vez que abran la conversación en la que se compartió. La opción se puede desactivar manualmente, en cuyo caso, la carga se puede descargar pulsando el botón de descarga situado en la esquina superior izquierda del vídeo compartido. Si el usuario intenta reproducir el vídeo, la carga se descargará automáticamente. El exploit parece depender de que el actor de la amenaza sea capaz de generar una carga útil que muestre una aplicación de Android como una vista previa multimedia y no como un archivo adjunto binario. Una vez compartida en el chat, la carga maliciosa aparece como un vídeo de 30 segundo. La vulnerabilidad afectaba a todas las versiones de Telegram para Android hasta la 10.14.4, y ha sido parcheada a partir de la versión 10.14.5. Fuente: WeLiveSecurity