Nuevo malware para Linux: «Shikitega»
AT&T Alien Labs descubrió un nuevo malware dirigido a terminales y dispositivos IoT que ejecutan sistemas operativos Linux. Shikitega se entrega en una cadena de infección de múltiples etapas donde cada módulo responde a una parte de la carga útil, y descarga y ejecuta la siguiente. El malware hace uso de vulnerabilidades para elevar sus privilegios, añade persistencia en el host a través de crontab, y finalmente lanza un crypto-miner en los dispositivos infectados. Shikitega es bastante sigiloso, logrando evadir la detección de los antivirus mediante un codificador polimórfico que hace imposible la detección estática basada en firmas digitales. El…
Vulnerabilidad crítica de RCE afecta a los dispositivos Zyxel NAS
El fabricante de equipos de red Zyxel ha lanzado parches para una falla de seguridad crítica que afecta a los dispositivos de almacenamiento conectado a la red (NAS). Esta vulnerabilidad registrada como CVE-2022-34747 (puntuación CVSS: 9.8), se relaciona con una «vulnerabilidad de cadena de formato» en un binario específico de productos Zyxel NAS, que podría permitir a un atacante conseguir una ejecución remota no autorizada de código, a través de un paquete UDP manipulado. A continuación, se muestran los productos Zyxel afectados por esta vulnerabilidad CVE-2022-34747: Modelo afectado Versión afectada Disponibilidad de parches NAS326 V5.21 (AAZF.11) C0 y anterior V5.21…
ModernLoader, RedLine Stealer y Criptomining entre las campañas de distribución de malware
Entre marzo – junio 2022 se ha descubierto tres campañas de programas maliciosos similares que infectan sistemas informáticos con los malwares ModernLoader, RedLine Stealer y mineros de criptomonedas. ModernLoader es un troyano de acceso remoto .NET que admite muchas funciones, incluida la capacidad de recopilar información del sistema, ejecutar comandos arbitrarios o descargar y ejecutar archivos desde un servidor C2. Los atacantes usan archivos PowerShell, .NET, HTA y VBS para abrirse camino a través de la red de destino y, finalmente, instalar otro malware, como SystemBC Trojan y DCRAT. El hecho de que los atacantes utilicen muchas herramientas estándar diferentes…
Vulnerabilidad en cámaras Hikvision
La firma de seguridad cibernética CYFIRMA publicó un informe esta semana que dice que los foros cibercriminales rusos están inundados de piratas informáticos que buscan colaborar para explotar las cámaras Hikvision utilizando la vulnerabilidad de ejecución remota de código (RCE), esta tiene el identificador CVE-2021-36260 con una puntuación CVSS de 9.8 sobre 10 de severidad Crítica. El investigador que descubrió la vulnerabilidad es Watchful-IP menciona que se necesita acceso al puerto del servidor http(s) (80/443) y no se necesita nombre de usuario ni contraseña.Adicional esta vulnerabilidad permite que un atacante obtenga el control total de un dispositivo con un shell…
GitLab: Nuevos parches para falla de seguridad crítica
Existe una vulnerabilidad de ejecución remota de comandos a través de la importación de Github, para la cual, durante esta semana, se han lanzado nuevas actualizaciones en las versiones: 15.3.1, 15.2.3, 15.1.5 para GitLab Community Edition (CE) y Enterprise Edition (EE). La falla de seguridad identificada como CVE-2022-2884, con severidad CVSS 9.9/10, afecta a las siguientes versiones: Gitlab CE/EE desde la versión 11.3.4 hasta 15.1.5 Gitlab CE/EE desde la versión 15.2 hasta 15.2.3 Gitlab CE/EE desde la versión 15.3 hasta 15.3.1 La vulnerabilidad permite a un usuario autenticado la ejecución remota de códigos a través de Importar desde GitHub API…
Vulnerabilidad «DirtyCred» del kernel de Linux
Un grupo de académicos de la Universidad Northwestern han apodado DirtyCred, a la debilidad de seguridad que explota una falla previamente desconocida ( CVE-2022-2588 ) para escalar los privilegios al nivel máximo. Su capacidad de explotación está estrechamente relacionada con la capacidad de la vulnerabilidad CVE-2022-0847 que abusa del mecanismo de canalización del kernel de Linux para inyectar datos en archivos arbitrarios. Para otras vulnerabilidades sin un poder de abuso de Pipe, la explotación sigue siendo difícil de seguir el viaje de la Dirty Pipe y, por lo tanto, trae el mismo nivel de implicación de seguridad. Dirty Pipe es…
Google corrige Quinto Error de Día Cero en Chrome que estuvo siendo explotado este año
Google acabó de lanzar una nueva actualización de seguridad para Google Chrome, el cual aborda varias vulnerabilidades, en la que incluyen la falla de día cero que se estuvo explotando recientemente. Esta actualización ha sido implementada para MAC, Linux y Windows. Quienes tengan activadas las actualizaciones automáticas, las recibirán en los siguientes días. Google no proporcionará detalles técnicos acerca de la vulnerabilidad hasta que una gran cantidad de usuarios presenten el navegador actualizado. El CVE-2022-2856 es el más reciente y presenta un problema de seguridad de gravedad alta debido a «validación insuficiente de entradas no confiables en Intents», lo cual…
Vulnerabilidades en Routers comerciales de Cisco Small Business de la serie RV160, RV260, RV340 y RV345
Cisco ha comunicado vulnerabilidades que pueden afectar a los enrutadores de las series RV160, RV260, RV340 y RV345 de Cisco Small Business, estas podrían permitir que un atacante remoto no autenticado ejecute código arbitrario o provoque una condición de denegación de servicio (DoS) en un dispositivo afectado. Cisco advierte que «las vulnerabilidades dependen unas de otras», a continuación su descripción: CVE-2022-20842 Vulnerabilidad con puntuación CVSS: 9,8 que se debe a una validación insuficiente de la entrada proporcionada por el usuario a la interfaz de administración basada en web. Un atacante remoto puede enviar una solicitud HTTP especialmente diseñada, pudiendo permitir…
Ataques hacia plataformas para ordenar comida permite robo de datos de tarjetas de crédito
Las plataformas para ordenar comida MenuDrive, Harbortouch y InTouchPOS fueron comprometidas bajo campañas de web skimming, el cual es un tipo de ataque donde los cibercriminales roban información de pago de los usuarios al comprometer un sitio web. Web skimming también denominado Magecart, en referencia al primer grupo en utilizar esta táctica para robar datos de las tarjetas de pago de los usuarios tras comprometer sitios que contaban con un carro de compras en su sitio web. El robo de datos fue de más de 50 mil tarjetas de pago que fueron puestos a la venta en la dark web,…
Luna: un nuevo ransomware para Windows, Linux y ESXi
A través de un anuncio en un foro de ransomware de la dark web, el sistema de vigilancia activa Darknet Threat Intelligence de Kaspersky Security Network (KSN) detecto una nueva familia de ransomware denominada Luna capaz de cifrar dispositivos que ejecutan sistemas operativos, tales como Windows, Linux y ESXi. El malware está escrito en Rust, agrega una extensión «.luna» a todos los archivos cifrados y es un ransomware muy simple que aún está en desarrollo, sin embrago utiliza un esquema de cifrado no tan común, que combina el intercambio de claves Diffie-Hellman de curva elíptica X25519 rápido y seguro, utilizando…