Newsletter - 2024-41
Tabla de Contenidos
- Newsletter - 2024-41
- Un fallo crítico en el SDK de Apache Avro permite la ejecución remota de código en aplicaciones Java
- Descubrimiento de nueva familia de malware botnet: Gorilla
- Vulnerabilidades en Traccar GPS
- Universal Music Group: Brecha de Datos
- Microsoft y el Gobierno de EE.UU. desmantelan infraestructura de Star Blizzard
- Amenaza Cibernética: El Caso de la Vulnerabilidad 0-Day de Cisco y el Ant Velvet Chino
- Descubren grupo cibercriminal Greasy Opal
Un fallo crítico en el SDK de Apache Avro permite la ejecución remota de código en aplicaciones Java
| Categoría | Seguridad de Software |
| Nombre vulnerabilidad | CVE-2024-47561 |
| Brecha | Ejecución de código arbitrario |
| Criticidad | |
| Fuente | The Hacker News |
Una vulnerabilidad crítica ha sido revelada en el kit de desarrollo de software (SDK) de Apache Avro Java, que, si es explotada con éxito, podría permitir la ejecución de código arbitrario en instancias susceptibles. La falla, rastreada como CVE-2024-47561, afecta a todas las versiones del software anteriores a la 1.11.4.
“El análisis de esquemas en el SDK de Java de Apache Avro 1.11.3 y versiones anteriores permite a actores maliciosos ejecutar código arbitrario”, indicaron los mantenedores del proyecto en un aviso publicado la semana pasada. “Se recomienda a los usuarios actualizar a la versión 1.11.4 o 1.12.0, que solucionan este problema.”
Apache Avro, análogo a los Protocol Buffers (protobuf) de Google, es un proyecto de código abierto que proporciona un marco de serialización de datos neutral en cuanto al lenguaje para el procesamiento de datos a gran escala. El equipo de Avro señala que la vulnerabilidad afecta a cualquier aplicación si permite a los usuarios proporcionar sus propios esquemas Avro para su análisis. Kostya Kortchinsky del equipo de seguridad de Databricks ha sido acreditado con el descubrimiento y reporte de esta deficiencia de seguridad.
Como mitigaciones, se recomienda sanitizar los esquemas antes de analizarlos y evitar analizar esquemas proporcionados por usuarios. “CVE-2024-47561 afecta a Apache Avro 1.11.3 y versiones anteriores mientras deserializa la entrada recibida a través del esquema Avro”, dijo Mayuresh Dani, gerente de investigación de amenazas en Qualys, en una declaración compartida con The Hacker News.
“Procesar dicha entrada de un actor de amenazas lleva a la ejecución de código. Según nuestros informes de inteligencia de amenazas, no hay PoC disponible públicamente, pero esta vulnerabilidad existe mientras se procesan paquetes a través de las directivas ReflectData y SpecificData y también puede ser explotada a través de Kafka.
Dado que Apache Avro es un proyecto de código abierto, es utilizado por muchas organizaciones. Basado en datos disponibles públicamente, la mayoría de estas organizaciones están ubicadas en los EE.UU. Esto definitivamente tiene muchas implicaciones de seguridad si no se parchea, supervisa y protege adecuadamente.
Descubrimiento de nueva familia de malware botnet: Gorilla
| Categoría | Malware |
| Nombre vulnerabilidad | GorillaBot |
| Brecha | Varias técnicas de ataque DDoS y ejecución de código remoto |
| Criticidad | |
| Fuente | The Hacker News |
Investigadores en ciberseguridad han descubierto una nueva familia de malware botnet llamada Gorilla (también conocida como GorillaBot) que se inspira en el código fuente filtrado del botnet Mirai. La firma de ciberseguridad NSFOCUS, que identificó la actividad el mes pasado, señaló que el botnet “emitió más de 300,000 comandos de ataque, con una densidad de ataque impresionante” entre el 4 y el 27 de septiembre de 2024. No menos de 20,000 comandos diseñados para montar ataques de denegación de servicio distribuido (DDoS) han sido emitidos por el botnet cada día en promedio.
El botnet ha atacado a más de 100 países, centrando sus ataques en universidades, sitios web gubernamentales, telecomunicaciones, bancos, sectores de juegos y apuestas. China, EE. UU., Canadá y Alemania han sido los países más atacados.
La compañía con sede en Beijing informó que Gorilla utiliza principalmente inundaciones UDP, ACK BYPASS, motor de fuente Valve (VSE), SYN y ACK para llevar a cabo los ataques DDoS, añadiendo que la naturaleza sin conexión del protocolo UDP permite la suplantación arbitraria de direcciones IP de origen para generar una gran cantidad de tráfico.
Además de soportar múltiples arquitecturas de CPU como ARM, MIPS, x86_64 y x86, el botnet tiene capacidades para conectarse con uno de los cinco servidores de comando y control (C2) predefinidos para esperar comandos DDoS.
En un giro interesante, el malware también incorpora funciones para explotar una vulnerabilidad de seguridad en Apache Hadoop YARN RPC para lograr la ejecución remota de código. Cabe destacar que esta vulnerabilidad ha sido explotada en el entorno salvaje desde 2021, según Alibaba Cloud y Trend Micro.
La persistencia en el host se logra creando un archivo de servicio llamado custom.service en el directorio “/etc/systemd/system/” y configurándolo para que se ejecute automáticamente cada vez que se inicia el sistema.
El servicio, por su parte, es responsable de descargar y ejecutar un script shell (“lol.sh”) desde un servidor remoto (“pen.gorillafirewall[.]su”). Comandos similares también se añaden a los archivos “/etc/inittab,” “/etc/profile,” y “/boot/bootcmd” para descargar y ejecutar el script shell al inicio del sistema o al inicio de sesión del usuario.
“Introdujo varios métodos de ataque DDoS y utilizó algoritmos de cifrado comúnmente empleados por el grupo Keksec para ocultar información clave, mientras empleaba múltiples técnicas para mantener un control a largo plazo sobre dispositivos IoT y hosts en la nube, demostrando un alto nivel de conciencia de contra-detección como una familia de botnet emergente”, dijo NSFOCUS.
Un investigador de seguridad que se hace llamar Fox_threatintel, en una publicación compartida en X, dijo que el malware botnet no es completamente nuevo y que ha estado activo durante más de un año.
Vulnerabilidades en Traccar GPS
| Categoría | Seguridad de Software |
| Nombre vulnerabilidad | CVE-2024-31214, CVE-2024-24809 |
| Brecha | Ejecución remota de código |
| Criticidad | |
| Fuente | The Hacker News |
Dos vulnerabilidades de seguridad han sido reveladas en el sistema de rastreo GPS de código abierto Traccar, que podrían ser potencialmente explotadas por atacantes no autenticados para lograr la ejecución remota de código bajo ciertas circunstancias. Ambas vulnerabilidades son fallos de traversal de ruta y podrían ser aprovechadas si el registro de invitados está habilitado, lo cual es la configuración predeterminada para Traccar 5, según el investigador de Horizon3.ai, Naveen Sunkavally.
El resultado neto de CVE-2024-31214 y CVE-2024-24809 es que un atacante puede colocar archivos con contenido arbitrario en cualquier lugar del sistema de archivos, aunque con control parcial sobre el nombre del archivo. Los problemas están relacionados con cómo el programa maneja las cargas de archivos de imágenes de dispositivos, permitiendo a un atacante sobrescribir ciertos archivos en el sistema y desencadenar la ejecución de código.
En un PoC hipotético elaborado por Horizon3.ai, un adversario puede explotar la traversal de ruta en el encabezado Content-Type para cargar un archivo crontab y obtener una shell inversa en el host atacante. Sin embargo, este método no funciona en sistemas Linux basados en Debian/Ubuntu debido a restricciones de nombres de archivos que prohíben archivos crontab con puntos o comillas dobles.
Un mecanismo alternativo implica aprovechar que Traccar está instalado como usuario de nivel root para soltar un módulo de kernel o configurar una regla udev para ejecutar un comando arbitrario cada vez que se genera un evento de hardware. En instancias vulnerables de Windows, también se podría lograr la ejecución remota de código colocando un archivo de acceso directo (LNK) llamado “device.lnk” en la carpeta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp, que se ejecuta posteriormente cuando cualquier usuario víctima inicia sesión en el host Traccar.
Las versiones de Traccar desde la 5.1 hasta la 5.12 son vulnerables a CVE-2024-31214 y CVE-2024-2809. Los problemas han sido abordados con el lanzamiento de Traccar 6 en abril de 2024, que desactiva el auto-registro por defecto, reduciendo así la superficie de ataque.
Universal Music Group: Brecha de Datos
| Categoría | Seguridad de la Información |
| Nombre vulnerabilidad | Universal Music |
| Brecha | Acceso no autorizado a datos personales |
| Criticidad | |
| Fuente | Infosecurity Magazine |
Universal Music Group (UMG), una de las mayores corporaciones musicales del mundo, ha revelado una brecha de datos ocurrida a mediados de julio de 2024. Según una presentación ante la Oficina del Fiscal General de Maine, la brecha podría haber expuesto la información personal de 680 residentes de EE.UU.
UMG detectó actividad no autorizada en una de sus aplicaciones internas el 15 de julio, lo que llevó a una investigación inmediata con expertos en ciberseguridad de terceros. La investigación confirmó que un tercero no autorizado había accedido a datos potencialmente sensibles, como nombres y números de Seguridad Social.
En un aviso a los clientes afectados, UMG confirmó que trabajó con una firma de revisión de datos para analizar la información robada, con los hallazgos finalizados el 30 de agosto. A pesar de confirmar la brecha, la compañía afirmó que no hay evidencia de que la información comprometida haya sido mal utilizada.
Para mitigar los riesgos potenciales para los afectados, UMG ofrece monitoreo de crédito y protección contra el robo de identidad de forma gratuita a través de IdentityWorks de Experian durante 24 meses. Este servicio ayudará a los individuos a monitorear sus informes de crédito y protegerse contra posibles robos de identidad.
UMG no ha proporcionado más detalles sobre si la brecha se extendió más allá de los datos personales o si alguno de sus sistemas internos fue comprometido. Además, hasta el momento, ningún grupo de ransomware u organización cibercriminal ha reclamado la responsabilidad de la brecha. La posibilidad de un ataque de ransomware no ha sido descartada, ya que dichos grupos a veces permanecen en silencio cuando se pagan los rescates.
Más generalmente, el incidente plantea preocupaciones más amplias sobre la seguridad de los datos dentro de las grandes corporaciones. Por ahora, UMG aconseja a los afectados que se mantengan vigilantes y tomen las medidas necesarias para proteger su información personal.
La empresa no ha respondido de inmediato a las solicitudes de información adicional por parte de Infosecurity.
Microsoft y el Gobierno de EE.UU. desmantelan infraestructura de Star Blizzard
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Star Blizzard |
| Brecha | Infraestructuras |
| Criticidad | |
| Fuente | Infosecurity Magazine |
Microsoft, en coordinación con el gobierno de EE.UU., ha incautado más de 100 sitios web utilizados por el conocido actor de amenazas estatal ruso, Star Blizzard. Un tribunal de EE.UU. autorizó a la Unidad de Crímenes Digitales (DCU) de Microsoft a incautar 66 dominios únicos utilizados por Star Blizzard para atacar a clientes de Microsoft a nivel mundial, después de revelar una acción civil presentada por el gigante tecnológico. Simultáneamente, el Departamento de Justicia de EE.UU. (DoJ) incautó 41 dominios adicionales atribuidos al mismo actor.
Aunque se espera que Star Blizzard establezca nueva infraestructura, la incautación de estos dominios debería interrumpir significativamente la capacidad del grupo para interferir en las elecciones de EE.UU. en noviembre. Microsoft planea analizar los dominios incautados para obtener más información sobre el grupo y el alcance de sus actividades. Star Blizzard, también conocido como Coldriver, ha estado activo desde al menos 2017 y se centra en socavar los procesos democráticos de las naciones occidentales, utilizando ataques de ingeniería social sofisticados para robar credenciales de individuos involucrados en decisiones políticas y procesos democráticos.
Microsoft ha identificado 82 clientes atacados por el grupo desde enero de 2023, con una frecuencia de aproximadamente un ataque por semana. Los ataques de Star Blizzard implican el envío de correos electrónicos de phishing personalizados que comprometen las credenciales de las víctimas, lo que obstaculiza la participación democrática.
Esta acción es la más reciente de varias operaciones por parte de las autoridades para desmantelar la infraestructura técnica utilizada por grupos de amenazas cibernéticas. En octubre, la Agencia Nacional del Crimen (NCA) del Reino Unido sancionó a 16 miembros del grupo de hackers ruso Evil Corp y ha identificado sus vínculos con el prolífico grupo de ransomware LockBit. Europol anunció que cuatro sospechosos de LockBit han sido arrestados y se han incautado servidores críticos para la infraestructura del grupo como parte de la Operación Cronos.
Microsoft ha prometido continuar sus esfuerzos para interrumpir proactivamente la infraestructura cibercriminal en coordinación con el sector privado, la sociedad civil, agencias gubernamentales y fuerzas del orden.
Amenaza Cibernética: El Caso de la Vulnerabilidad 0-Day de Cisco y el Ant Velvet Chino
| Categoría | Vulnerabilidad |
| Nombre vulnerabilidad | CVE-2024-20399 |
| Brecha | Cisco |
| Criticidad | |
| Fuente | Infosecurity Magazine |
Recientemente, la comunidad de ciberseguridad ha estado en alerta tras el descubrimiento de una vulnerabilidad 0-day en productos de Cisco, asociada a un grupo de amenazas conocido como “Ant Velvet Chino”. Esta situación ha resaltado la importancia de la vigilancia continua en el ámbito de la ciberseguridad, especialmente dado el creciente uso de tecnologías que son esenciales para la infraestructura empresarial y gubernamental.
La vulnerabilidad, identificada como CVE-2024-20399, permite a los atacantes ejecutar código arbitrario en dispositivos afectados, lo que podría llevar al robo de datos sensibles o a la interrupción de servicios críticos. Este tipo de vulnerabilidades son especialmente peligrosas porque son desconocidas para los fabricantes y, por lo tanto, no tienen parches disponibles, lo que las convierte en objetivos atractivos para los ciberdelincuentes.
El grupo de amenazas “Ant Velludo Chino”, que ha sido vinculado a diversas campañas de espionaje y ataques dirigidos, ha mostrado una capacidad notable para explotar vulnerabilidades en productos de tecnología de la información. Este grupo se ha especializado en infiltrarse en sistemas gubernamentales y empresariales para obtener información confidencial, lo que plantea un grave riesgo no solo para las organizaciones individuales, sino también para la seguridad nacional.
Cisco, uno de los principales proveedores de tecnología de red, ha comenzado a investigar esta vulnerabilidad y ha instado a sus clientes a implementar medidas de seguridad adicionales mientras se desarrolla un parche. La compañía ha enfatizado la importancia de mantener actualizados los sistemas y de aplicar prácticas de seguridad recomendadas, como la segmentación de redes y el monitoreo constante del tráfico.
El descubrimiento de esta vulnerabilidad también subraya la necesidad de una mayor colaboración entre el sector público y privado en la defensa contra amenazas cibernéticas. Las organizaciones deben compartir información sobre incidentes de seguridad y las tácticas utilizadas por grupos de amenazas para mejorar su postura de seguridad general.
La proliferación de dispositivos conectados y la rápida evolución de la tecnología han ampliado la superficie de ataque para los ciberdelincuentes. En este contexto, es esencial que las empresas implementen estrategias proactivas de ciberseguridad y formación continua para sus empleados, con el fin de mitigar los riesgos asociados.
En conclusión, la vulnerabilidad 0-day en productos de Cisco asociada al grupo “Ant Velvet Chino” resalta la creciente complejidad del panorama de amenazas cibernéticas.La ciberseguridad debe ser una prioridad constante para las organizaciones de todos los tamaños, y la colaboración es clave para enfrentar desafíos cada vez más sofisticados en el mundo digital.
Descubren grupo cibercriminal Greasy Opal
| Categoría | Ciberseguridad |
| Nombre vulnerabilidad | Greasy Opal Toolkit |
| Brecha | Solución de CAPTCHA |
| Criticidad | |
| Fuente | Infosecurity Magazine |
Arkose Cyber Threat Intelligence Research (ACTIR) ha descubierto un grupo denominado Greasy Opal, que ofrece servicios de solución de CAPTCHA para ayudar a ciberatacantes a penetrar en sistemas IT. Esta organización, basada en la República Checa, ha operado desde 2009 pero ha permanecido oculta hasta ahora. Sus productos incluyen soluciones de productividad legítimas y herramientas controvertidas para eludir CAPTCHAs, con una eficiencia diez veces superior a otras soluciones en el mercado.
El kit de herramientas de Greasy Opal se vende por $70, con una suscripción mensual de $10, y sus ingresos en 2023 se estiman en al menos $1.7 millones. Sus productos utilizan tecnologías avanzadas de reconocimiento de imagen y carácter, así como inteligencia artificial. Sin embargo, su dependencia de la arquitectura de hardware obsoleta hace que su tecnología sea susceptible a contramedidas avanzadas.
ACTIR ha observado que cientos de atacantes individuales utilizan el software de Greasy Opal para crear bots y realizar ataques volumétricos. Un ejemplo notable es el grupo Vietnamita Storm-1152, que utilizó las herramientas de Greasy Opal para crear 750 millones de cuentas falsas de Microsoft. La Unidad de Crímenes Digitales de Microsoft, con inteligencia de ACTIR, logró desmantelar las operaciones de Storm-1152 en diciembre de 2023 y nuevamente en agosto de 2024.
Arkose Labs recomienda que las empresas verifiquen si su nombre aparece en la lista del informe para determinar si están siendo atacadas con las herramientas de Greasy Opal.