ENTEL Weekly Threat Intelligence Brief del 08 de Mayo al 14 de Mayo de 2023

15 Mayo 2023
Alto


El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.
El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.
 


 

  • Western Digital confirma robo de datos de clientes en el mes de marzo 2023 tras filtración.
  • Ransomware CACTUS aprovecha las fallas de VPN para infiltrarse en las redes informáticas.
  • Intento de extorsión a firma de ciberseguridad Dragos.
  • La multinacional tecnológica ABB sufre el ataque del ransomware Black Basta.
  • Maori una nueva variante de ransomware.
  • Nueva APT llamada “Red Stinger” apunta a la infraestructura crítica y militar en Europa del Este.
  • La herramienta de espionaje cibernético llamada “Snake” es neutralizada por EE. UU.
  • Malware DownEx lanza sofisticada campaña contra gobiernos de Asia Central.
  • Campaña de publicidad maliciosa impulsada por Aurora, se hace pasar por actualizaciones falsas de Windows.
  • Pataforma Discord informa violación de datos, debido a hackeo de cuenta de un agente externo a la compañía.
  • Aparece una nueva variante de malware tipo backdoor “BPFDOOR” para Linux.
  • Complemento de WordPress que posee fallo de seguridad, está siendo activamente explotado.
  • Datos de geolocalización de 2 millones de clientes de Toyota, estuvieron expuestos por más de 10 años.
  • Falla NetFilter del kernel de Linux, otorga privilegios de root.
  • Patch Day SAP – Mayo 2023.
  • Citrix publica aviso de seguridad con nuevas vulnerabilidades para sus productos.
  • Siemens publica vulnerabilidades que afectan a sus productos.
  • Patch Tuesday Microsoft de mayo corrige 38 vulnerabilidades.
  • Dos vulnerabilidades afectan a PAN-OS de Palo Alto.
  • VMware publica vulnerabilidades de Aria Operations.

 

Western Digital confirma robo de datos de clientes en el mes de marzo 2023 tras filtración

La compañía Western Digital confirmó que un "tercero no autorizado" obtuvo acceso a sus sistemas y robó información personal perteneciente a los clientes de la tienda en línea de la compañía.
Entre los datos robados se incluían:

  • Nombres de clientes
  • Direcciones de facturación y envío
  • Direcciones de correo electrónico
  • Números telefónicos

Recordemos que Western Digital informó que tenía un "incidente de seguridad de la red" el 26 de marzo de 2023, lo que llevó a la empresa a desconectar sus servicios en la nube.
Se estima que los actores de amenaza detrás del ataque fueron capaces de sustraer alrededor de 10 TB de datos y estaban negociando con Western Digital un rescate de mínimo 8 cifras para evitar la exposición de la información.
En ese momento la identidad de los extorsionadores era desconocida, pero tiempo después, los ciber actores detrás del ransomware ALPHV (también conocido como BlackCat) se atribuyeron el robo de la información y emitieron un ultimátum el 18 de abril de 2023 para realizar el pago solicitado o arriesgarse a la liberación de documentos importantes y otros archivos de valor incalculable.
 

Ransomware CACTUS aprovecha las fallas de VPN para infiltrarse en las redes informáticas  

Investigadores de ciberseguridad detectaron una nueva cepa de ransomware llamada CACTUS la cual se aprovecha de fallas conocidas en los dispositivos VPN para obtener acceso inicial a las redes de la víctima.
Se ha observado que el ransomware se dirige a grandes entidades comerciales desde marzo de 2023, con ataques similares a otros grupos de ransomware en donde emplean tácticas de doble extorsión para robar datos confidenciales antes del cifrado.
Hasta la fecha no se ha identificado ningún sitio en donde los datos hayan sido expuestos.
Luego de ejecutar una explotación exitosa de dispositivos VPN vulnerables, se configura una puerta trasera de tipo SSH para mantener el acceso persistente y se ejecuta una serie de comandos de PowerShell para realizar un escaneo de la red (movimiento lateral) e identificar una lista de máquinas para luego cifrarlas.
Los ataques orquestados por este grupo (CACTUS), utilizan otras herramientas como Cobalt Strike y Chisel, la primera utilizada para la tunelización y la otra usada para el Comando y Control, además cuentan con un software de administración y monitoreo muy conocido llamado AnyDesk, con el pueden controlar y manipular el equipo infectado a su gusto.
Un aspecto novedoso de CACTUS es el uso de un script por lotes para extraer el binario del ransomware de forma comprimida utilizando 7-Zip, seguido de la eliminación del archivo [.]7z antes de ejecutar la carga útil, esto evita dejar registros y pasar desapercibido.
CACTUS esencialmente se encripta a sí mismo, lo que lo hace más difícil de detectar y lo ayuda a evadir las herramientas antivirus y de monitoreo de red.


Intento de extorsión a firma de ciberseguridad Dragos

La empresa de ciberseguridad industrial Dragos dio a conocer lo que describe como un "evento de ciberseguridad" luego que una conocida banda de ciberdelincuentes intentara traspasar sus sistemas de seguridad perimetrales e infiltrarse en la red interna para cifrar los dispositivos.
Si bien Dragos afirma que los actores de amenazas no violaron su red o plataforma de ciberseguridad, si obtuvieron acceso al servicio en la nube de SharePoint y al sistema de gestión de contratos de la empresa.
Este intento de acceso ocurrió el 8 de mayo de 2023, y se dice que fue realizado por un conocido grupo de ciberdelincuentes.
La compañía informó que el grupo de ciber actores obtuvo acceso al comprometer la dirección de correo electrónico personal de un nuevo empleado de ventas antes de su fecha de inicio y, posteriormente, utilizó su información personal para hacerse pasar por el empleado de Dragos y realizar los pasos iniciales en el proceso de incorporación de empleados. 
Después de vulnerar la plataforma en la nube de SharePoint de Dragos, los ciber actores descargaron "datos de uso general" y accedieron a 25 informes de inteligencia que solo estaban disponibles para clientes.
Los ciber actores intentaron extorsionar a la empresa amenazando con divulgar públicamente el incidente en mensajes enviados a través de contactos públicos y correos electrónicos personales pertenecientes a ejecutivos de Dragos, empleados senior y sus familiares.


La multinacional tecnológica ABB sufre el ataque del ransomware Black Basta 

ABB es una multinacional con sede en Zúrich, Suiza y proveedor líder de tecnología de automatización y electrificación, la cual fue víctima de un ataque de ransomware adjudicado por el grupo Black Basta, los cuales supuestamente afectaron las operaciones comerciales de la compañía.
Esta multinacional otorga trabajo a aproximadamente 105.000 empleados y el 2022 registró ingresos de $29.400 millones USD. Como parte de sus servicios, la empresa desarrolla sistemas de control industrial (ICS) y sistemas SCADA para proveedores de energía y fabricación.
ABB trabaja con una  amplia gama de clientes  y gobiernos locales, incluidos Volvo, Hitachi, DS Smith, la ciudad de Nashville y la ciudad de Zaragoza.
Adicionalmente a esto, son responsables de la operación de más de 40 instalaciones de ingeniería, fabricación, investigación y servicios con sede en EE. UU. con un historial probado que presta servicios a una diversidad de agencias federales, incluido el Departamento de Defensa, como el Cuerpo de Ingenieros del Ejército de EE. UU., y agencias civiles federales como los Departamentos del Interior, Transporte, Energía, Guardacostas de los Estados Unidos, así como el Servicio Postal de los Estados Unidos.
El pasado 7 de mayo, la empresa fue víctima de un ciberataque realizado por la banda de ransomware Black Basta, un grupo de ciber actores que surgió el año pasado en el mes de abril.
Se dice por parte de los empleados de la compañía que el ataque de ransomware afectó el Active Directory de Windows, por lo que afectó a cientos de dispositivos.
Para contener el ataque, ABB deshabilitó las conexiones a través de VPN con sus clientes para así evitar la propagación del ransomware a otras redes.
Según los informes y proyecciones realizados, el ataque interrumpe las operaciones de la empresa, lo que retrasa los proyectos y afecta directamente a las fábricas y cadenas de producción.


Maori una nueva variante de ransomware  

Recientemente fue detectada una nueva cepa de ransomware llamada “Maorí”, esta afecta a plataformas de Linux, y al igual que otras variantes de ransomware, encripta archivos en las máquinas de las víctimas para extorsionar solicitando dinero a cambio de la información secuestrada. Curiosamente, esta variante está diseñada para ejecutarse en arquitectura Linux y está codificada en Go, lo que es algo raro, aumentando la dificultad de su análisis.
Por el momento no se conoce el vector de infección, sin embargo es muy probable que utilice las mismas técnicas empleadas por otros grupos de ransomware existentes en la actualidad, los investigadores creen que este malware aun no se ha extendido lo necesario para que sea reconocido como los otros grupos de ciber actores.
En el proceso de ejecución Maori apunta a todos los archivos de usuario en su directorio de inicio (Linux; “/home/<username>”). Ignora los archivos ubicados en otros lugares (incluidos los que se encuentran solo en el directorio "/home/", así como en otros directorios del sistema Linux, como la raíz "/"). Debido a este objetivo estrecho, realiza su trabajo muy rápidamente. Al finalizar su proceso de ejecución Maorí se elimina de la máquina víctima para no dejar registros.
Todos los archivos afectados se adjuntan con una extensión "[.]maori", y se coloca un archivo "README_MAORI[.]txt" en cada directorio con archivos cifrados.

 

Nueva APT llamada “Red Stinger” apunta a la infraestructura crítica y militar en Europa del Este  

Un actor de amenazas persistentes avanzadas (APT) previamente no detectado denominado Red Stinger ha sido vinculado a ataques dirigidos a Europa del Este desde el año 2020.
Algunas de las entidades objetivo fueron el ejército, el transporte y la infraestructura crítica, así como algunas involucradas en los referendos de septiembre en el este de Ucrania.
Según el tipo de campaña los ciber actores lograron filtrar capturas de pantalla, datos de unidades USB, pulsaciones de teclado y grabaciones de micrófonos.
Red Stinger se superpone con un grupo de amenazas que Kaspersky reveló bajo el nombre de Bad Magic el mes pasado como objetivo de organizaciones gubernamentales, agrícolas y de transporte ubicadas en Donetsk, Lugansk y Crimea el año pasado.
A lo largo de los años la cadena de ataques ha aprovechado los archivos de instalación maliciosos para colocar el implante DBoxShell (también conocido como PowerMagic) en los sistemas comprometidos. El archivo MSI, por su parte, se descarga mediante un archivo de acceso directo de Windows contenido dentro de un archivo ZIP.
"DBoxShell es un malware que utiliza servicios de almacenamiento en la nube como un mecanismo de comando y control (C&C).
En cuanto a la atribución de estos ataques a un país concreto no es tarea fácil. Cualquiera de los países involucrados o grupos alineados podría ser responsable, ya que algunas víctimas estaban alineadas con Rusia y otras con Ucrania.
Lo que está claro es que el motivo principal del ataque fue la vigilancia y recopilación de datos. Los ciber actores detrás de esta APT, utilizaron diferentes capas de protección, tenían un amplio conjunto de herramientas para sus víctimas y el ataque estaba claramente dirigido a entidades específicas. Tal vez en el futuro, más eventos o actividades adicionales del grupo puedan arrojar luz sobre el asunto o cual era el objetivo específico que se buscaba.
Se desconoce la cantidad de víctimas comprometidas con esta APT, sin embargo, en el momento en que se comenzó a monitorear sus actividades, todavía existía información sobre dos víctimas. Sorprendentemente, estas dos víctimas se encontraban en el centro de Ucrania. Esto llama la atención, ya que toda la información apuntaba previamente al este de Ucrania, donde se encuentra la región de Donbass.
Una de las víctimas era un objetivo militar, pero la actividad sobre este objetivo solo se llevó a cabo durante unas horas. Probablemente el usuario notó un mal comportamiento en su dispositivo y ejecutó una solución antimalware poco después de infectarse, lo que probablemente detectó y limpió el sistema. 
Hasta donde se conoce, los atacantes lograron filtrar de este objetivo varias capturas de pantalla, grabaciones de micrófonos y algunos documentos de oficina.
La otra víctima que se detectó estaba ubicada en Vinnitsya. El objetivo era un oficial que trabajaba en infraestructura crítica. Los ciber actores realizaron una gran y prolongada vigilancia de esta víctima, que se extendió hasta enero del 2023. En esta oportunidad exfiltraron capturas de pantalla, micrófonos y documentos de oficina, pero además recopilaron pulsaciones de teclado de la víctima.

 

La herramienta de espionaje cibernético llamada “Snake” es neutralizada por EE.UU

El gobierno de EE. UU. anunció el martes pasado, la interrupción autorizada por un tribunal de una red global comprometida por una cepa de malware avanzada conocida como “Snake” , manejada por el Servicio Federal de Seguridad (FSB) de Rusia.
Esta herramienta de espionaje cibernético es una de las más sofisticadas, y fue creada por un grupo de ciber actores patrocinados por el estado ruso llamado Turla a los cuales también se les conoce como Iron Hunter, Secret Blizzard, SUMMIT, Uroburos, Venomous Bear y Waterbug, que el gobierno de EE. UU. atribuye a un unidad dentro del Centro 16 del FSB.
El actor de amenazas tiene un historial de centrarse en gran medida en entidades de Europa, la Comunidad de Estados Independientes (CEI) y países afiliados a la OTAN, con actividades recientes que expanden su presencia para incorporar naciones de Medio Oriente consideradas una amenaza para países apoyados por Rusia en la región.
Snake, según un aviso publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), está diseñado como una herramienta encubierta para la recopilación de inteligencia a largo plazo sobre objetivos de alta prioridad, lo que permite al adversario crear una red de punto a punto (P2P) con sistemas comprometidos en todo el mundo.


Malware DownEx lanza sofisticada campaña contra gobiernos de Asia Central

Investigadores de ciberseguridad han detectado una nueva muestra de malware asociado a un ataque altamente dirigido a instituciones gubernamentales extranjeras en Kazajstán a finales del 2022. Posteriormente, se observó otro ataque en Afganistán.
La etapa inicial utiliza un documento de señuelo con temática diplomática y el enfoque de la campaña en la exfiltración de datos sugiere la participación de un grupo patrocinado por el estado, aunque la identidad exacta del equipo de ciber actores sigue siendo indeterminada en la actualidad.
Se sospecha que el vector de intrusión inicial para la campaña es un correo electrónico de phishing dirigido que contiene una carga útil con una trampa explosiva, que es un ejecutable del cargador que se hace pasar por un archivo de Microsoft Word.
Al abrir el archivo adjunto, se extraen dos archivos, incluido un documento señuelo que se muestra a la víctima mientras se ejecuta en segundo plano una aplicación HTML maliciosa ([.]HTA) con código VBScript incrustado.
Los ataques también se destacan por emplear una variedad de herramientas personalizadas para llevar a cabo actividades posteriores a la explotación. Estas incluyen:

  • Dos binarios basados en C/C++ (wnet[.]exe y utility[.]exe) para enumerar todos los recursos en una red.
  • Una secuencia de comandos de Python (help[.]py) para establecer un ciclo de comunicación infinito con el servidor C2 y recibir instrucciones para robar archivos con ciertas extensiones, eliminar archivos creados por otro malware y capturar capturas de pantalla.
  • Un malware basado en C++ (diagsvc[.]exe, también conocido como DownEx) que está diseñado principalmente para filtrar archivos al servidor C2.

La ejecución de este ataque se desarrolla sin archivos, ya que el script de DownEx se ejecuta en la memoria y nunca toca el disco según relatos de los propios investigadores. En este ataque se destaca la sofisticación de un ciberataque moderno. Los ciberdelincuentes están encontrando nuevos métodos para hacer que sus ataques sean más confiables y pasen desapercibidos por los sistemas de seguridad.


Campaña de publicidad maliciosa impulsada por Aurora, se hace pasar por actualizaciones falsas de Windows

Se ha detectado recientemente una campaña de publicidad maliciosa que busca engañar a los usuarios simulando una actualización de Windows en el navegador para entregar el malware y robar información a través de Aurora.
Este malware (Aurora) está escrito en Golang, y ha estado disponible en varios foros de ciberdelincuentes durante más de un año, anunciado como un ladrón de información con amplias capacidades y baja detección de antivirus.
Según los investigadores de  Malwarebytes , la operación de publicidad maliciosa se basa en anuncios emergentes en sitios web de contenido para adultos con alto tráfico de red y redirige a las víctimas potenciales a una ubicación de servicio de malware.
El más reciente detectado por Malwarebytes tiene un impacto mucho menor, con cerca de 30.000 usuarios redirigidos y casi 600 descargas realizadas e instalados en sus sistemas.
Sin embargo, al actor de amenazas se le ocurrió una idea imaginativa en la cual la ventana emergente de navegador la convierte en pantalla completa simulando así una pantalla de actualización del sistema de Windows “normal”.
Los dominios maliciosos descargan un archivo llamado "ChromeUpdate[.]exe", que revela el engaño de la pantalla completa del navegador; sin embargo, algunos usuarios igual fueron engañados para que implementaran el ejecutable malicioso en sus equipos.
El supuesto actualizador de Chrome es un cargador de malware "totalmente indetectable" (FUD) llamado "Invalid Printer" que parece ser utilizado exclusivamente por este actor de amenazas en particular.
Malwarebytes dice que cuando sus analistas descubrieron "Invalid Printer", ningún motor antivirus en Virustotal lo catalogó como malicioso.


Pataforma Discord informa violación de datos, debido a hackeo de cuenta de un agente externo a la compañía

La plataforma de comunicación instantanea Discord notifica a los usuarios sobre una violación de datos que ocurrió después de que la cuenta de un agente de soporte externo fue comprometida.
La brecha de seguridad expuso la cola de tickets de soporte del agente, que contenía las direcciones de correo electrónico de los usuarios, los mensajes intercambiados con el soporte de Discord y los archivos adjuntos enviados como parte de los tickets.
Discord dice que inmediatamente abordó la cuenta de soporte vulnerada, deshabilitándola una vez que se descubrió el incidente.
Debido a esta violación de datos, es posible que su dirección de correo electrónico, el contenido de los mensajes de servicio al cliente y cualquier archivo adjunto enviado entre usted y Discord hayan estado expuestos a un tercero, dijo Discord en cartas enviadas a los usuarios afectados.


Aparece una nueva variante de malware tipo backdoor “BPFDOOR” para Linux

Este malware (BPFdoor) es una puerta trasera pasiva, de bajo perfil y específica de Linux que tiene la intención de mantener un punto de apoyo persistente a largo plazo en redes y entornos ya vulnerados y funciona principalmente para garantizar que un atacante pueda volver a ingresar a un sistema infectado durante un período de tiempo prolongado, post compromiso.
El malware recibe su nombre de su uso de un Berkley Packet Filter , una forma bastante única de recibir sus instrucciones y evadir la detección, que elude las restricciones del firewall en el tráfico entrante.
Este malware está asociado con un actor de amenazas chino, Red Menshen (también conocido como Red Dev 18), que se ha observado apuntando a proveedores de telecomunicaciones en Medio Oriente y Asia, así como a entidades en los sectores de gobierno, educación y logística desde el año 2021.
Cuando se descubrió por primera vez, hace aproximadamente un año, BPFdoor se destacó por su diseño elegante y efectivo y su gran énfasis en el sigilo, un elemento esencial para mantener la persistencia a largo plazo sin ser detectado.
Recientemente investigadores detectaron una nueva variante más avanzada en donde una de sus principales diferencias en comparación con la variante anterior radica en la eliminación de muchos de sus indicadores codificados, lo que hace que la versión más nueva sea más difícil de detectar. Desde que se vio por primera vez en VirusTotal en febrero de 2023, la nueva variante no se detectó y sigue sin detectarse al momento de escribir este artículo.
 

Complemento de WordPress que posee fallo de seguridad, está siendo activamente explotado

Se ha revelado una vulnerabilidad de seguridad en el popular complemento de WordPress Essential Addons para Elementor que podría explotarse potencialmente para lograr privilegios elevados en los sitios afectados.
El problema, rastreado como CVE-2023-32243, ha sido abordado por los mantenedores del complemento en la versión 5.7.2 que se envió el 11 de mayo de 2023. Essential Addons para Elementor tiene más de un millón de instalaciones activas.
Este complemento sufre una vulnerabilidad de escalada de privilegios no autenticados y permite que cualquier usuario no autenticado aumente sus privilegios a los de cualquier usuario en el sitio de WordPress.
La explotación exitosa de la falla podría permitir que un actor de amenazas restablezca la contraseña de cualquier usuario arbitrario, siempre que la parte malintencionada conozca su nombre de usuario. Se cree que la deficiencia existe desde la versión 5.4.0.
Esto puede tener serias ramificaciones, ya que la falla podría convertirse en un arma para restablecer la contraseña asociada con una cuenta de administrador y tomar el control total del sitio web.
Esta vulnerabilidad ocurre porque esta función de restablecimiento de contraseña no valida una clave de restablecimiento de contraseña y, en cambio, cambia directamente la contraseña del usuario dado.


Datos de geolocalización de 2 millones de clientes de Toyota, estuvieron expuestos por más de 10 años

La corporación automotriz Toyota Motor reveló una violación de datos en su entorno de nube que expuso la información de ubicación de automóviles de 2.150.000 clientes durante diez años, entre el 6 de noviembre de 2013 y el 17 de abril de 2023.
De acuerdo con un aviso de seguridad publicado en la sala de redacción japonesa de la compañía, la violación de datos se debió a una mala configuración de la base de datos que permitía a cualquier persona acceder a su contenido sin contraseña.
Los investigadores descubrieron que parte de los datos que Toyota Motor Corporation encomendó a Toyota Connected Corporation para administrar se habían hecho públicos debido a una mala configuración del entorno de la nube.
Desde la corporación informaron lo siguiente: "Después del descubrimiento de este asunto, implementamos medidas para bloquear el acceso desde el exterior, pero continuamos realizando investigaciones, incluidos todos los entornos en la nube administrados por TC. Pedimos disculpas por causar grandes molestias y preocupaciones a nuestros clientes y partes relacionadas".
Este incidente expuso la información de los clientes que usaron los servicios T-Connect G-Link, G-Link Lite o G-BOOK de la compañía entre el 2 de enero de 2012 y el 17 de abril de 2023.
T-Connect es el servicio inteligente en el automóvil de Toyota para asistencia de voz, soporte de servicio al cliente, estado y administración del automóvil y ayuda de emergencia en la carretera.
La información expuesta en la base de datos mal configurada incluye:

  • El número de identificación del terminal de navegación GPS del vehículo
  • El número de chasis
  • Información de ubicación del vehículo en tiempo real.

Si bien no hay evidencia de que los datos hayan sido mal utilizados, los usuarios no autorizados podrían haber accedido a los datos históricos y posiblemente a la ubicación en tiempo real de 2,15 millones de automóviles Toyota.


Falla NetFilter del kernel de Linux, otorga privilegios de root

Se descubrió una nueva falla en el kernel de Linux NetFilter, que permite a los usuarios locales sin privilegios escalar sus privilegios al nivel raíz, lo que permite un control completo sobre un sistema vulnerable.
El  identificador CVE-2023-32233  se ha reservado para la vulnerabilidad, pero aún no se ha determinado su nivel de gravedad.
El problema de seguridad se debe a que Netfilter nf[_]tables acepta actualizaciones no válidas de su configuración, lo que permite escenarios específicos en los que las solicitudes por lotes no válidas conducen a la corrupción del estado interno del subsistema.
Según un aviso publicado la semana pasada, corromper el estado interno del sistema conduce a una vulnerabilidad de uso posterior a la liberación que puede explotarse para realizar lecturas y escrituras arbitrarias en la memoria del núcleo.
Tal como lo revelaron los investigadores de seguridad que publicaron en la lista de correo de Openwall, se creó un exploit de prueba de concepto (PoC) para demostrar la explotación de CVE-2023-32233. 
El investigador afirma que afecta múltiples versiones del kernel de Linux, incluida la versión estable actual, v6.3.1. Sin embargo, para aprovechar la vulnerabilidad, primero se requiere tener acceso local a un dispositivo Linux.
El exploit se debería publicar este lunes 15 de mayo, junto con detalles completos sobre las técnicas de explotación.


Patch Day SAP – Mayo 2023

En el martes de parches SAP de mayo 2023, se publicaron 18 nuevos avisos de seguridad para los productos SAP, los que contemplan 21 vulnerabilidades: 6 son de Severidad Hot News, 6 son de Severidad Alta, 7 de Severidad Media y 2 de Severidad Baja .
Esta publicación contempla 18 avisos nuevos y 6 actualizaciones que ya fueron abordadas anteriormente.


Citrix publica aviso de seguridad con nuevas vulnerabilidades para sus productos

Citrix ha publicado 1 nuevo aviso de seguridad que contiene 2 vulnerabilidades, las cuales son de criticidad Media, ambas afectan los productos de Citrix ADC y Citrix Gateway.


Siemens publica vulnerabilidades que afectan a sus productos

Siemens ha publicado 6 nuevos avisos de seguridad que contemplan 26 vulnerabilidades, las cuales se clasifican en 5 de severidad Crítica, 9 de severidad Alta, 6 de severidad Media y 6 de severidad Baja.
Estas vulnerabilidades afectan a  productos como:

  • SCALANCE LPE9403
  • SCALANCE W1750D
  • SIMATIC Cloud Connect 7
  • Siveillance Video
  • SINEC NMS
  • Solid Edge SE2023


Patch Tuesday Microsoft de mayo corrige 38 vulnerabilidades

En su actualización programada para el martes de parches de mayo 2023, Microsoft informó 38 correcciones de seguridad. Del total de vulnerabilidades, 6 son catalogadas como críticas y corresponden a ejecución de código remoto (RCE) y 32 clasificadas como importantes.
Adicionalmente, existen 11 vulnerabilidades asociadas a Chromium que no se consideran en el detalle anterior.
Las vulnerabilidades se pueden clasificar de la siguiente forma:

  • 12 Vulnerabilidades de ejecución de código remoto (RCE)
  • 8 Vulnerabilidades de elevación de privilegios
  • 8 Vulnerabilidades de divulgación de información
  • 5 Vulnerabilidades de denegación de servicios (DoS)
  • 4 Vulnerabilidades de Security Feature Bypass
  • 1 Vulnerabilidad de Spoofing


Dos vulnerabilidades afectan a PAN-OS de Palo Alto

Palo Alto ha publicado 2 nuevos avisos de seguridad que contienen 2 vulnerabilidades de criticidad Media. Las fallas de seguridad afectan a diversas versiones de PAN-OS (on Panorama).


VMware publica vulnerabilidades de Aria Operations

VMware ha publicado 1 nuevo aviso de seguridad que contempla 4 vulnerabilidades, 1 de severidad Alta y 4 de severidad Media. Esta falla afecta a los siguientes productos:

  • VMware Aria Operations.
  • VMware Cloud Foundation (operaciones de VMware Aria)


En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 15 al 21 de Mayo del 2023:

Objetivos observados durante semana de análisis:

  • Servicios legales y profesionales
  • Defensa y orden público
  • Industrias manufactureras, materiales y minería
  • Retail y servicios de consumo
  • Banca y Finanzas
  • Educación
  • Entretenimiento, cultura y arte
  • Infraestructura tecnológica
  • Servicios de salud, sociales y farmacia
  • Turismo, hoteles y restaurantes
  • Construcción e inmobiliaria
  • Infraestructura tecnológica - Componentes
  • Agricultura, ganadería, silvicultura y pesca - producción
  • Gobierno
  • Organizaciones sin fines de lucro
  • Petróleo
  • Servicios básicos y sanitarios
  • Servicios empresariales y comercio
  • Shipment y cadena de suministros
  • Transportes y servicios automotrices.
  • Agricultura, ganadería, silvicultura y pesca - consumo
     

 
 

  • Banca y Finanzas
  • Construcción e inmobiliaria

     


 

  • Retail y servicios de consumo
  • Infraestructura tecnológica - Componentes
  • Educación
  • Infraestructura tecnológica
  • Servicios de salud, sociales y farmacia
  • Entretenimiento, cultura y arte

     


 

  • Industrias manufactureras, materiales y minería
  • Servicios legales y profesionales
  • Servicios legales y profesionales
  • Defensa y orden público

     


 

  • Organizaciones sin fines de lucro
  • Shipment y cadena de suministros
  • Agricultura, ganadería, silvicultura y pesca - producción
  • Gobierno
  • Petróleo
  • Servicios básicos y sanitarios
  • Servicios empresariales y comercio
  • Transportes y servicios automotrices.
  • Turismo, hoteles y restaurantes
  • Agricultura, ganadería, silvicultura y pesca - consumo

 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: ##APT #Malware #Vulnerabilidad #Ransomware #Cactus #Snake #Downex #Stinger #WordPress #NetFilter #Exfiltración #Aurora #BlackBasta #BPFDOOR #Maori #Sap #Citrix #Siemens #VMware


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.