seguridad
Boletines de seguridad - Heimdall Security Research
Heimdall, el grupo de Inteligencia de Amenazas de ISH, presenta boletines sobre agentes de amenazas, Malware utilizado por grupos maliciosos, Indicadores de Compromiso, Técnicas, Tácticas y Procedimientos (TTPs) y Análisis de Artefactos y Mitigación, destinados a prevenir ataques y evolucionar la madurez de la ciberseguridad.
ISH
Aruba publica actualizaciones de seguridad para solucionar fallos críticos en ArubaOS
HPE Aruba Networking ha publicado recientemente actualizaciones de seguridad destinadas a corregir las vulnerabilidades CVE-2024-26304, CVE-2024-26305, CVE-2024-33511, CVE-2024-33512 clasificadas como críticas presentes en ArubaOS, que, si se explotan, permiten la ejecución remota de código.
ISH
Se ha observado que la red de bots Goldoon explota un antiguo fallo de los dispositivos D-Link
En abril, FortiGuard detectó una botnet recientemente desarrollada que explotaba una antigua falla de D-Link, identificada como CVE-2015-2051. Este fallo específico permite ejecutar comandos remotos arbitrarios a través de la función GetDeviceSettings de la interfaz HNAP.
ISH
CVE-2024-32038, vulnerabilidad OER crítica en el motor de análisis Wazuh
Recientemente se ha descubierto el fallo CVE-2024-32038, una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a Wazuh Manager, versiones 3.8.0 a 4.7.1. Este fallo se produce en el componente wazuh-analysisd, responsable de analizar los datos recogidos y generar alertas de seguridad.
ISH
Vulnerabilidad crítica en el lenguaje R permite la ejecución arbitraria de código
Investigadores de seguridad han identificado una vulnerabilidad CVE-2024-27322 en el lenguaje de programación R, que permite ejecutar código arbitrario durante la deserialización de contenidos no seguros. Archivos RDS (R Data Serialisation) o paquetes R, habituales entre los desarrolladores.
ISH
Detectados repositorios de Docker Hub que propagan malware y páginas de phishing
Investigadores de JFrog y Docker han trabajado juntos para mitigar y resolver los problemas derivados de la reciente exposición de repositorios en Docker Hub que se utilizaron para propagar malware y estafas de phishing dentro de la plataforma Docker Hub.
ISH
Un ciberataque provoca el cierre de una cadena de droguerías en Londres
La cadena canadiense de farmacias London Drugs acaba de suspender temporalmente las operaciones en sus establecimientos minoristas en respuesta a un incidente de ciberseguridad, según ha descrito la organización en un comunicado.
ISH
Se observa al grupo Lazarus desplegando la nueva Rata Caolín en sus ataques
El grupo Lazarus llevó a cabo ataques selectivos en Asia utilizando Kaolin RAT, un troyano de acceso remoto desarrollado recientemente. La estrategia incluía el uso de señuelos de trabajo falsos, una técnica habitual del grupo. El ataque explotaba la vulnerabilidad CVE-2024-21338 en el controlador de Windows appid.sys.
ISH
Fallo crítico en el plugin WP-Automatic de WordPress que está siendo explotado en ataques
La vulnerabilidad crítica CVE-2024-27956 en el plugin WP Automatic para WordPress está siendo explotada por actores maliciosos para crear cuentas administrativas e instalar puertas traseras, concediendo un acceso prolongado al sitio afectado.
ISH
Campaña ArcaneDoor que aprovecha las vulnerabilidades de Cisco Zero Days
Cisco ha alertado de la existencia de un grupo malicioso que, desde noviembre de 2023, explota fallos en los cortafuegos ASA y FTD para comprometer redes gubernamentales globales. Los atacantes, conocidos como UAT4356 y STORM-1849, lanzaron ataques contra los dispositivos con la campaña ArcaneDoor.
ISH
CVE-2024-4040, Vulnerabilidad crítica en CrushFTP que está siendo explotada en ataques
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) ha añadido recientemente a su catálogo de vulnerabilidades conocidas (KEV) el fallo crítico CVE-2024-4040 en CrushFTP, que ha sido explotado en ciberataques.
ISH
Una nueva campaña de CoralRider distribuye infosecuestros en un ataque selectivo
Cisco ha descubierto una campaña maliciosa que propaga tres tipos de infostealers: Cryptbot, LummaC2 y Rhadamanthys. La estrategia incluye un parámetro de línea de comandos PowerShell, oculto en un archivo LNK, que permite evadir el antivirus y descargar el malware en el objetivo.
ISH
El grupo ToddyCat utiliza túneles y herramientas de extracción para el espionaje gubernamental
Securelist ha informado de que un grupo de amenazas persistentes avanzadas (APT), conocido como ToddyCat, tiene como objetivo organizaciones gubernamentales, principalmente en la región Asia-Pacífico, con el fin de extraer ilegalmente información sensible.
ISH
Microsoft advierte de que hackers de APT28 aprovechan un fallo de Windows señalado por la NSA
Microsoft ha publicado los resultados de una investigación sobre el grupo de amenazas ruso conocido como Forest Blizzard (STRONTIUM), informando de que este grupo ha utilizado una herramienta personalizada llamada GooseEgg para explotar la vulnerabilidad CVE-2022-38028.
ISH
Un fallo crítico en un plugin de WordPress afecta a más de 400.000 sitios web
El CERT de Japón publicó recientemente una alerta en su portal de notas sobre vulnerabilidades (JVN) advirtiendo de un fallo de gravedad crítica (CVE-2024-28890, CVSS v3: 9,8) en el plugin Forminator de WordPress, utilizado en cientos de miles de sitios web.
ISH
Cisco corrige una vulnerabilidad de inyección de comandos en Cisco IMC
Cisco ha publicado parches para una vulnerabilidad muy relevante CVE-2024-20295 en el controlador de gestión integrado (IMC), que, debido a la existencia de código de explotación público, podría permitir a los atacantes obtener privilegios de root.
ISH
Un actor de amenazas vende el exploit VMware ESXi Shell en un foro de hackers
Un actor de amenazas ha sido descubierto en un foro de hackers vendiendo un posible exploit dirigido al servicio ESXi Shell de VMware. El ESXi Shell es un componente esencial para la gestión de hosts VMware ESXi, proporcionando una interfaz de línea de comandos para la interacción directa con el host.
ISH
CVE-2024-21111, exploit PoC para el principal fallo de VirtualBox disponible
CVE-2024-21111, una vulnerabilidad grave en Oracle VirtualBox, que afecta a las versiones anteriores a la 7.0.16. Permite a los atacantes con acceso básico a un sistema Windows que ejecuta VirtualBox aumentar sus privilegios. Se ha divulgado un exploit de prueba de concepto (PoC).
ISH
Las botnets siguen aprovechando el fallo de los routers TP-Link para propagarse por todo el mundo
La vulnerabilidad CVE-2023-1389, presente en la interfaz de gestión web de los routers TP-Link Archer AX21, ha sido explotada por varias botnets para su propagación a gran escala. Este fallo permite la ejecución remota de código por atacantes no autenticados.
ISH
Se ha observado que el grupo APT44 utiliza el backdoor Kapeka en ataques selectivos
Los investigadores han identificado una puerta trasera, apodada "Kapeka", que se ha utilizado en ofensivas contra objetivos en Europa del Este desde mediados de 2022. Este malware se caracteriza por su versatilidad y su completo conjunto de funcionalidades.
ISH
MITRE fue objeto de un ataque de día cero a los dispositivos Ivanti Connect Secure
MITRE Corporation ha informado de que se ha visto comprometida por un ataque patrocinado por el Estado, que se aprovechó de dos vulnerabilidades CVE-2023-46805 y CVE-2024-21887, en los dispositivos Ivanti Connect Secure desde enero de 2024 que dio lugar a una violación de su sistema NERVE.