Los piratas informáticos respaldados por el Kremlin han estado explotando una vulnerabilidad crítica de Microsoft durante cuatro años en ataques dirigidos a una amplia gama de organizaciones con una herramienta previamente no documentada, reveló el fabricante de software el lunes.

Cuando Microsoft parchó la vulnerabilidad en octubre de 2022, al menos dos años después de que fuera atacada por piratas informáticos rusos, la empresa no mencionó que estaba bajo explotación activa. En el momento de su publicación, el aviso de la compañía aún no mencionaba los objetivos en estado salvaje. Los usuarios de Windows frecuentemente priorizan la instalación de parches en función de si es probable que una vulnerabilidad sea explotada en ataques del mundo real.

La explotación de CVE-2022-38028, a medida que se rastrea la vulnerabilidad, permite a los atacantes obtener privilegios del sistema, los más altos disponibles en Windows, cuando se combina con un exploit independiente. Explotar la falla, que tiene una calificación de gravedad de 7,8 sobre 10 posibles, requiere pocos privilegios existentes y poca complejidad. Reside en la cola de impresión de Windows, un componente de administración de impresoras que ha albergado anteriores días cero críticos. Microsoft dijo en ese momento que se enteró de la vulnerabilidad a través de la Agencia de Seguridad Nacional de Estados Unidos.

El lunes, Microsoft reveló que un grupo de piratas informáticos rastreado con el nombre de Forest Blizzard ha estado explotando CVE-2022-38028 desde al menos junio de 2020, y posiblemente desde abril de 2019. El grupo de amenazas, que también está rastreado con nombres que incluyen APT28, Sednit, Sofacy, Unidad 26165 del GRU y Fancy Bear han sido vinculados por los gobiernos de Estados Unidos y el Reino Unido con la Unidad 26165 de la Dirección Principal de Inteligencia, un brazo de inteligencia militar ruso más conocido como GRU. Forest Blizzard se centra en la recopilación de inteligencia mediante el pirateo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.

Desde abril de 2019, Forest Blizzard ha estado explotando CVE-2022-38028 en ataques que, una vez adquiridos los privilegios del sistema, utilizan una herramienta previamente no documentada que Microsoft llama GooseEgg. El malware posterior a la explotación eleva los privilegios dentro de un sistema comprometido y proporciona una interfaz sencilla para instalar piezas adicionales de malware que también se ejecutan con privilegios del sistema. Este malware adicional, que incluye ladrones de credenciales y herramientas para moverse lateralmente a través de una red comprometida, se puede personalizar para cada objetivo.

“Si bien es una aplicación de inicio simple, GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas. ”, escribieron funcionarios de Microsoft.

GooseEgg generalmente se instala mediante un script por lotes simple, que se ejecuta luego de la explotación exitosa de CVE-2022-38028 u otra vulnerabilidad, como CVE-2023-23397, que según el aviso del lunes también ha sido explotada por Forest Blizzard. El script es responsable de instalar el binario GooseEgg, a menudo llamado Justice.exe o DefragmentSrv.exe, y luego garantiza que se ejecuten cada vez que se reinicia la máquina infectada.

Hoy, Apple ha considerado oportuno lanzar la Actualización de respuesta rápida de seguridad o RSR para todos los iPhone, iPad y Mac compatibles con correcciones importantes. Las últimas actualizaciones llegan poco después de que se lanzara a los desarrolladores la quinta versión beta de iOS 16.6, macOS Ventura 13.5, watch)S 9.6 y tvOS 16.6. Si tiene un dispositivo compatible con iOS 16.5.1 o macOS 13.4.1, debe instalar la última actualización ahora mismo.

Apple lanza iOS 16.5.1 y macOS 13.4.1 con una corrección de seguridad para una vulnerabilidad explotada activamente

Las últimas actualizaciones de Rapid Security Response ya están disponibles para descargar en todos los iPhone y Mac compatibles con iOS 16.5.1 y macOS 13.4.1. Le recomendamos que instale las actualizaciones lo antes posible, ya que contiene correcciones para vulnerabilidades explotadas activamente. Las actualizaciones son de tamaño pequeño, por ejemplo, la ISO 16.5.1 para iPHone 14 Pro Max tiene solo 2.8MP y no toma mucho tiempo instalarla.

Si no está familiarizado, las actualizaciones de iOS 16.5.1 y macOS 13.4.1 corrigen la vulnerabilidad de WebKit explotada activamente. Si aún no ha actualizado al último firmware, le recomendamos que lo instale lo antes posible para evitar posibles amenazas y problemas.

Para instalar la última actualización en su iPhone, todo lo que tiene que hacer es dirigirse a la aplicación de Configuración de valores en su dispositivo y luego tocar en General. Una vez que haga eso, simplemente toque Actualización de software. La última actualización de iOS 16.5.1 estará disponible para su dispositivo. Toque Descargar e instalar y espere a que finalice el proceso. La actualización se instalará automáticamente. También puede instalar manualmente la actualización. Los usuarios con una Mac pueden instalar la última actualización a través del mecanismo de actualización de software en la configuración del sistema.

Apple también está probando actualmente iOS 16.6 cuando llega al sexto ciclo beta junto con un puñado de actualizaciones adicionales antes del lanzamiento de la versión beta pública de iOS 17. Los mantendremos informados sobre lo último, así que asegúrese de quedarse.

MOVEit, el software de transferencia de archivos explotado en las últimas semanas en uno de los ciberataques más grandes de la historia, recibió otra actualización de seguridad que corrige una vulnerabilidad crítica que podría explotarse para dar acceso a los piratas informáticos a grandes cantidades de datos confidenciales.

El jueves, el fabricante de MOVEit, Progress Software, publicó un boletín de seguridad que incluía correcciones para tres vulnerabilidades recién descubiertas en la aplicación de transferencia de archivos. El más grave de ellos, rastreado como CVE-2023-36934, permite que un atacante no autenticado obtenga acceso no autorizado a la base de datos de la aplicación. Se deriva de una falla de seguridad que permite la inyección de SQL, una de las clases de explotación más antiguas y comunes.

La vulnerabilidad contiene los mismos elementos (y, probablemente, las mismas consecuencias potencialmente devastadoras) que la que salió a la luz a fines de mayo cuando los miembros del sindicato del crimen del ransomware Clop comenzaron a explotarlo en masa en redes vulnerables de todo el mundo. Hasta la fecha, la ofensiva Clop ha afectado a 229 organizaciones y ha derramado datos que afectan a más de 17 millones de personas, según las estadísticas seguidas por Brett Callow, analista de la firma de seguridad Emsisoft. Las víctimas incluyen los DMV de Louisiana y Oregon, el Departamento de Educación de la ciudad de Nueva York y las compañías de energía Schneider Electric y Siemens Electric.

No hay informes conocidos de la nueva vulnerabilidad bajo explotación activa, pero dada su gravedad y experiencia pasada, Progress Software y los profesionales de la seguridad están instando a todos los usuarios de MOVEit a que la instalen de inmediato. Además de CVE-2023-36934, la actualización de seguridad del jueves corrige dos vulnerabilidades adicionales. Todos ellos fueron descubiertos por las firmas de seguridad HackerOne y Trend Micro.

Desarrolladores, conozcan a Bobby Tables

Una cosa que hace que CVE-2023-36934 y la vulnerabilidad anterior explotada por Clop sean tan críticas es que las personas pueden explotarlas cuando ni siquiera han iniciado sesión en el sistema que están pirateando. Ambos también se derivan de errores que permiten la inyección de SQL, una clase de vulnerabilidad con un largo historial de abuso. A menudo abreviado como SQLi, se deriva de una falla de una aplicación web para consultar correctamente las bases de datos de back-end. La sintaxis SQL utiliza apóstrofes para indicar el principio y el final de una cadena de datos. Los apóstrofes permiten a los analizadores de SQL distinguir entre cadenas de datos y comandos de base de datos.

Las aplicaciones web mal escritas a veces pueden interpretar los datos ingresados ​​como comandos. Los piratas informáticos pueden explotar estos errores al ingresar cadenas que incluyen apóstrofes u otros caracteres especiales en los campos web que hacen que las bases de datos back-end hagan cosas que los desarrolladores nunca tuvieron la intención de hacer. Este tipo de ataques han formado la base de algunos de los mayores compromisos de la historia. Además de la reciente juerga de Clop, otros dos ejemplos notables incluyen el pirateo de Heartland Payment Systems en 2007 que permitió al pirata informático convicto Albert Gonzalez hacerse con los datos de 130 millones de tarjetas de crédito y el compromiso de 2011 de HBGary.

La inyección SQL es el tema de una caricatura de xkcd que presenta a Bobby Tables, un estudiante cuyo nombre completo es «Robert»); ABANDONAR LA MESA Estudiantes;–?” (sin las comillas). Cuando el sistema informático de la escuela intenta procesar su nombre, interpreta solo «Robert» como datos y procesa «DROP TABLE» como el peligroso comando SQL para eliminar datos. Como resultado, la escuela pierde los registros de todo un año.

Una segunda vulnerabilidad corregida en la actualización de seguridad de MOVEit del jueves también es el resultado de errores de SQLi. Progress Software dijo que “podría permitir que un atacante autenticado obtenga acceso no autorizado a la base de datos de MOVEit Transfer. Un atacante podría enviar una carga útil manipulada a un punto final de la aplicación MOVEit Transfer, lo que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit”.

La tercera vulnerabilidad corregida, CVE-2023-36933, permite a los piratas informáticos cerrar la aplicación MOVEit de forma inesperada. Las dos últimas vulnerabilidades conllevan una gravedad descrita como alta.

Las vulnerabilidades afectan a varias versiones de MOVEit Transfer, desde la 12.0.xa la 15.0.x. Dado el daño que resultó de la explotación masiva de Clop de la vulnerabilidad anterior de MOVEit, los parches más recientes deben instalarse lo antes posible. Lo sentimos, administradores, pero si eso requiere trabajar hasta tarde un viernes o durante el fin de semana, esa es la mejor opción que despertarse con un mundo de dolor el lunes por la mañana.

Cientos de dispositivos expuestos a Internet dentro de las granjas solares siguen sin parchear contra una vulnerabilidad crítica y explotada activamente que facilita que los atacantes remotos interrumpan las operaciones o se afiancen dentro de las instalaciones.

Los dispositivos, vendidos por Contec, con sede en Osaka, Japón, bajo la marca SolarView, ayudan a las personas dentro de las instalaciones solares a monitorear la cantidad de energía que generan, almacenan y distribuyen. Contec dice que aproximadamente 30,000 centrales eléctricas han introducido los dispositivos, que vienen en varios paquetes según el tamaño de la operación y el tipo de equipo que utiliza.

Las búsquedas en Shodan indican que se puede acceder a más de 600 de ellos en la Internet abierta. A pesar de lo problemática que es esa configuración, los investigadores de la firma de seguridad VulnCheck dijeron el miércoles que más de dos tercios de ellos aún tienen que instalar una actualización que parche CVE-2022-29303, la designación de seguimiento para una vulnerabilidad con una clasificación de gravedad de 9.8 de 10. La falla se deriva de la falla en neutralizar elementos potencialmente maliciosos incluidos en la entrada proporcionada por el usuario, lo que lleva a ataques remotos que ejecutan comandos maliciosos.

La firma de seguridad Palo Alto Networks dijo el mes pasado que la falla estaba siendo explotada activamente por un operador de Mirai, una botnet de código abierto que consiste en enrutadores y otros dispositivos llamados Internet de las cosas. El compromiso de estos dispositivos podría causar que las instalaciones que los utilizan pierdan visibilidad de sus operaciones, lo que podría tener graves consecuencias dependiendo de dónde se utilicen los dispositivos vulnerables.

“El hecho de que varios de estos sistemas estén orientados a Internet y que las vulnerabilidades públicas hayan estado disponibles el tiempo suficiente para incorporarse a una variante de Mirai no es una buena situación”, escribió el investigador de VulnCheck, Jacob Baines. “Como siempre, las organizaciones deben tener en cuenta qué sistemas aparecen en su espacio IP público y realizar un seguimiento de las vulnerabilidades públicas de los sistemas en los que confían”.

Baines dijo que los mismos dispositivos vulnerables a CVE-2022-29303 también eran vulnerables a CVE-2023-23333, una vulnerabilidad de inyección de comando más nueva que también tiene una clasificación de gravedad de 9.8. Aunque no hay informes conocidos de que se esté explotando activamente, el código de explotación ha estado disponible públicamente desde febrero.

Las descripciones incorrectas de ambas vulnerabilidades son un factor involucrado en las fallas de los parches, dijo Baines. Ambas vulnerabilidades indican que las versiones 8.00 y 8.10 de SolarView están parcheadas contra CVE-2022-29303 y CVE-2023-293333. De hecho, dijo el investigador, solo 8.10 está parcheado contra las amenazas.

Palo Alto Networks dijo que la actividad de explotación de CVE-2022-29303 es parte de una amplia campaña que explotó 22 vulnerabilidades en una gama de dispositivos IoT en un intento de difundir una variante de Marai. Los ataques comenzaron en marzo e intentaron usar los exploits para instalar una interfaz de shell que permite controlar los dispositivos de forma remota. Una vez explotado, un dispositivo descarga y ejecuta los clientes de bot que están escritos para varias arquitecturas de Linux.

Hay indicios de que la vulnerabilidad posiblemente estaba siendo atacada incluso antes. El código de explotación ha estado disponible desde mayo de 2022. Este video del mismo mes muestra a un atacante que busca en Shodan un sistema SolarView vulnerable y luego usa la explotación contra él.

Si bien no hay indicios de que los atacantes estén explotando activamente CVE-2023-23333, existen múltiples exploits en GitHub.

No hay orientación en el sitio web de Contec sobre cualquiera de las vulnerabilidades y los representantes de la compañía no respondieron de inmediato a las preguntas enviadas por correo electrónico. Cualquier organización que utilice uno de los dispositivos afectados debe actualizarse lo antes posible. Las organizaciones también deben verificar si sus dispositivos están expuestos a Internet y, de ser así, cambiar sus configuraciones para asegurarse de que solo se pueda acceder a los dispositivos en las redes internas.

Los piratas informáticos han estado explotando una vulnerabilidad de día cero en un producto de Barracuda Networks durante varios meses para atacar a innumerables organizaciones con numerosas piezas de malware, según afirman los informes.

La compañía dijo que corrigió una vulnerabilidad crítica rastreada como CVE-2023-2868, que había sido utilizada por los actores de amenazas desde octubre de 2022. El software de correo electrónico en cuestión se llama Barracuda Email Security Gateway (ESG), con versiones entre 5.1.3.001 y 9.2.0.006 siendo vulnerable.

Hay una falla grave que afecta a todas las versiones compatibles del servidor y el cliente de Windows, que los piratas informáticos están explotando activamente, advierten los investigadores. Por lo tanto, los equipos de TI deben aplicar la solución de inmediato, dicen.

La falla en cuestión se rastrea como CVE-2023-28252, un día cero en el Sistema de archivos de registro comunes de Windows (CLFS). Descubierta por investigadores de Mandiant y WeBin Lab, la vulnerabilidad se puede utilizar en ataques de baja complejidad. No requiere interacción del usuario, pero requiere acceso local, informa BleepingComputer.

Los piratas informáticos están abusando de una falla de dos años en la función de Control de cuentas de usuario (UAC) de Windows para eludir la protección de punto final y entregar malware (se abre en una pestaña nueva)dicen los investigadores.

Los expertos en ciberseguridad de SentinelOne publicaron recientemente un nuevo informe que detalla cómo los actores de amenazas están utilizando la falla UAC para atacar a las víctimas en Europa del Este con el troyano de acceso remoto (RAT) Remcos.

Una efigie de Putin en las celebraciones de Battle’s Bonfire Night fue volada e incendiada (Imagen: SWNS)

Una efigie del presidente de Rusia, Vladimir Putin, fue volada como parte de las celebraciones de la Noche de las Fogatas en un pueblo.

El líder infame que se cierne sobre una «pareja de ancianos temblando en un sofá» que aparece en las celebraciones anuales de Battle, que ve una efigie construida en secreto antes de ser revelada en el gran día y prender fuego.

Se puede ver a Putin de 20 pies agarrando una guadaña mientras se cierne sobre una pareja de ancianos que tiembla debajo de una manta en su sofá con el hombre que lleva un sombrero de ‘Price Cap’.

La efigie de Putin en las celebraciones de Battle’s Bonfire Night (Imagen: SWNS)

Se ve al anciano leyendo un periódico con titulares como ‘¡Usos del banco de alimentos en su punto más alto!’ y ‘Putin The Heat On’ y la efigie presenta una declaración que dice ‘WRAP UP WARM’ con ‘WAR’ pintado en rojo.

La declaración política hizo estallar la efigie gigante de Putin frente a una gran multitud que se reunió para presenciar la celebración anual.

El guía turístico y residente de Battle, Andrew Knowles-Baker, asistió a las celebraciones y dijo: «Hemos celebrado Bonfire Night en Battle en Sussex prácticamente desde 1605.

“Tradicionalmente, cada año hay una efigie, a veces controvertida ya veces no, que estalla.

La hoguera en Batalla el fin de semana (Imagen: SWNS)

«Este año, los muchachos de la fogata han elegido una efigie de un Vladimir Putin nublado de 20 pies como la figura de la Muerte, básicamente, sobre una pareja de ancianos en un sofá que obviamente tienen mucho, mucho frío.

«La efigie se construye cada año en secreto y se lleva a la ciudad durante el día para ser detonada como parte de las celebraciones de la noche.

«Era una noche húmeda, pero eso no impidió que unos miles de personas asistieran y, como de costumbre, la calle principal estaba llena con todos estirando el cuello para ver los fuegos artificiales, la hoguera y, por supuesto, la efigie.

«¡Fue ruidoso! Pero, de nuevo, siempre lo es».

Los cortafuegos de Sophos se caracterizan por una amplia protección y numerosas funciones. Por eso se utilizan con tanta frecuencia en las empresas. Los productos de Sophos actualmente se ven afectados por una vulnerabilidad crítica que los piratas informáticos ya están explotando para atacar los sistemas.

Según los expertos en seguridad del fabricante, las versiones de firewall 9.0 MR1 (19.0.1) y anteriores están afectadas por la vulnerabilidad (CVE-2022-3236). Los piratas informáticos pueden infectar su sistema con código malicioso a través del portal de usuario y la interfaz de administración web.

La vulnerabilidad ya ha sido explotada para ataques de algunas organizaciones en el sur de Asia. Sophos se puso en contacto con los afectados de inmediato. Se esperan más detalles sobre el incidente a medida que avanza la investigación. Para que tú también no seas víctima de un ataque, debes actuar ahora.

Sophos proporciona una actualización de revisión que cierra la brecha y se instala automáticamente. El fabricante recomienda una actualización cuando se utilizan versiones anteriores. Como alternativa, los administradores pueden asegurarse de que el portal de usuario y la interfaz de administración web no estén expuestos a la WAN. Esto es posible con una VPN, por ejemplo.

También interesante…