Las noticias sobre ciberseguridad a veces parecen una película de terror interminable, ¿no es así? Justo cuando crees que los villanos están atrapados, una nueva amenaza surge de las sombras.

Esta semana no es una excepción, con historias de fallas explotadas, espionaje internacional y travesuras de inteligencia artificial que podrían dejarte mareado. Pero no te preocupes, estamos aquí para explicarlo todo en un lenguaje sencillo y brindarte el conocimiento que necesitas para mantenerte a salvo.

¡Así que toma tus palomitas de maíz (y tal vez un firewall) y sumerjámonos en el último drama de ciberseguridad!

Amenaza de la semana

Fortinet revela que una falla crítica de seguridad que afecta a FortiManager ( CVE-2024-47575, puntuación CVSS: 9,8), que permite la ejecución remota de código no autenticado, ha sido explotada de forma activa. Actualmente no se sabe exactamente quién está detrás de esto. Mandiant, propiedad de Google, está rastreando la actividad bajo el nombre UNC5820.

️CVE de tendencia

CVE-2024-41992 , CVE-2024-20481, CVE-2024-20412, CVE-2024-20424, CVE-2024-20329 , CVE-2024-38094 , CVE-2024-8260 , CVE-2024-38812 , CVE-2024-9537 y CVE-2024-48904

Noticias principales

  • Graves fallos criptográficos en 5 proveedores de almacenamiento en la nube: los investigadores de ciberseguridad han descubierto graves problemas criptográficos en las plataformas de almacenamiento en la nube con cifrado de extremo a extremo (E2EE) Sync, pCloud, Icedrive, Seafile y Tresorit que podrían aprovecharse para inyectar archivos, manipular datos de archivos e incluso obtener acceso directo a texto sin formato. Sin embargo, los ataques dependen de que un atacante obtenga acceso a un servidor para poder llevarlos a cabo.
  • Lazarus explota un fallo de Chrome: el actor de amenazas norcoreano conocido como Lazarus Group ha sido atribuido a la explotación de día cero de un fallo de seguridad ahora parcheado en Google Chrome (CVE-2024-4947) para tomar el control de los dispositivos infectados. Google abordó la vulnerabilidad a mediados de mayo de 2024. La campaña, que se dice que comenzó en febrero de 2024, consistía en engañar a los usuarios para que visitaran un sitio web que anunciaba un juego de tanques multijugador en línea (MOBA), pero incorporaba JavaScript malicioso para activar el exploit y otorgar a los atacantes acceso remoto a las máquinas. El sitio web también se utilizó para ofrecer un juego completamente funcional, pero empaquetado en código para ofrecer cargas útiles adicionales. En mayo de 2024, Microsoft atribuyó la actividad a un clúster que rastrea como Moonstone Sleet.
  • Se solucionó la falla de apropiación de cuentas del kit de desarrollo de la nube de AWS (CDK): una falla de seguridad que ahora se ha corregido y que afecta al kit de desarrollo de la nube de Amazon Web Services (AWS) (CDK) podría haber permitido que un atacante obtuviera acceso administrativo a una cuenta de AWS de destino , lo que resultó en una apropiación total de la cuenta. Tras la divulgación responsable el 27 de junio de 2024, Amazon abordó el problema en la versión 2.149.0 del CDK, publicada en julio de 2024.

La vuelta al mundo cibernético

  • Meta anuncia una forma segura de almacenar contactos de WhatsApp: Meta ha anunciado un nuevo sistema de almacenamiento cifrado para los contactos de WhatsApp llamado Identity Proof Linked Storage ( IPLS ), que permite a los usuarios crear y guardar contactos junto con sus nombres de usuario directamente dentro de la plataforma de mensajería aprovechando la transparencia clave y el módulo de seguridad de hardware (HSM). Hasta ahora, WhatsApp dependía de la libreta de contactos de un teléfono para fines de sincronización. NCC Group, que realizó una evaluación de seguridad del nuevo marco y descubrió 13 problemas, dijo que IPLS «tiene como objetivo almacenar los contactos dentro de la aplicación de un usuario de WhatsApp en los servidores de WhatsApp de una manera respetuosa con la privacidad» y que «los servidores de WhatsApp no ​​tienen visibilidad del contenido de los metadatos de contacto de un usuario». Todas las deficiencias identificadas se han solucionado por completo a partir de septiembre de 2024.
  • CISA investiga los ataques de Salt Typhoon: La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) dijo que se está investigando «el acceso no autorizado a la infraestructura de telecomunicaciones comerciales» por parte de actores de amenazas vinculados a China. El desarrollo se produce en medio de informes de que el grupo de piratería Salt Typhoon irrumpió en las redes de AT&T, Verizon y Lumen. Las empresas afectadas fueron notificadas después de que se identificara la «actividad maliciosa», dijo CISA. La amplitud de la campaña y la naturaleza de la información comprometida, si la hubo, no está clara. Múltiples informes de The New York Times , The Wall Street Journal , Reuters , Associated Press y CBS News han afirmado que Salt Typhoon usó su acceso a gigantes de las telecomunicaciones para intervenir teléfonos o redes utilizadas por campañas presidenciales demócratas y republicanas.
  • El esquema de fraude de empleados de TI se convierte en un problema mayor: si bien Corea del Norte ha estado en las noticias recientemente por sus intentos de obtener empleo en empresas occidentales, e incluso exigiendo rescates en algunos casos, un nuevo informe de la empresa de seguridad de identidad HYPR muestra que el esquema de fraude de empleados no se limita solo al país. La empresa dijo que recientemente ofreció un contrato a un ingeniero de software que decía ser de Europa del Este. Pero el proceso posterior de incorporación y verificación por video generó una serie de señales de alerta sobre su verdadera identidad y ubicación, lo que llevó al individuo anónimo a buscar otra oportunidad. Actualmente no hay evidencia que vincule la contratación fraudulenta con Corea del Norte, y no está claro qué buscaban. «Implemente un proceso de verificación multifactor para vincular la identidad del mundo real con la identidad digital durante el proceso de aprovisionamiento», dijo HYPR . «La verificación basada en video es un control de identidad crítico, y no solo en la incorporación».
  • Nuevos ataques a herramientas de IA: los investigadores han descubierto una forma de manipular las marcas de agua digitales generadas por AWS Bedrock Titan Image Generator, lo que permite a los actores de amenazas no solo aplicar marcas de agua a cualquier imagen, sino también eliminar las marcas de agua de las imágenes generadas por la herramienta. AWS ha solucionado el problema a partir del 13 de septiembre de 2024. El desarrollo se produce tras el descubrimiento de fallos de inyección rápida en Google Gemini for Workspace, lo que permite al asistente de IA producir respuestas engañosas o no deseadas, e incluso distribuir documentos y correos electrónicos maliciosos a las cuentas de destino cuando los usuarios solicitan contenido relacionado con sus mensajes de correo electrónico o resúmenes de documentos. Una nueva investigación también ha descubierto una forma de ataque de secuestro de LLM en el que los actores de amenazas están aprovechando las credenciales de AWS expuestas para interactuar con los modelos de lenguaje grandes (LLM) disponibles en Bedrock, en un caso utilizándolos para alimentar una aplicación de chat de juegos de rol sexuales que desbloquea el modelo de IA para «aceptar y responder con contenido que normalmente estaría bloqueado» por él. A principios de este año, Sysdig detalló una campaña similar llamada LLMjacking que emplea credenciales de la nube robadas para atacar servicios LLM con el objetivo de vender el acceso a otros actores de amenazas. Pero en un giro interesante, los atacantes ahora también están intentando usar las credenciales de la nube robadas para habilitar los modelos, en lugar de simplemente abusar de las que ya estaban disponibles.

Recursos y conocimientos

Pregúntale al experto

P: ¿Cuál es la vulnerabilidad más ignorada en los sistemas empresariales que los atacantes tienden a explotar?

R: Las vulnerabilidades más ignoradas en los sistemas empresariales suelen estar relacionadas con configuraciones incorrectas de IAM, como cuentas con demasiados permisos, seguridad de API laxa, TI en la sombra sin administrar y federaciones de nube mal protegidas. Herramientas como Azure PIM o SailPoint ayudan a aplicar el privilegio mínimo mediante la gestión de las revisiones de acceso, mientras que Kong o Auth0 protegen las API mediante la rotación de tokens y la supervisión de WAF. Los riesgos de TI en la sombra se pueden reducir con Cisco Umbrella para el descubrimiento de aplicaciones y Netskope CASB para aplicar el control de acceso. Para proteger las federaciones, utilice Prisma Cloud u Orca para escanear configuraciones y ajustarlas, mientras que Cisco Duo permite la MFA adaptativa para una autenticación más sólida. Por último, proteja las cuentas de servicio con la gestión automatizada de credenciales a través de HashiCorp Vault o AWS Secrets Manager, lo que garantiza un acceso seguro y en tiempo real.

Consejo de la semana

Mejore la seguridad de su DNS: si bien la mayoría de las personas se concentran en proteger sus dispositivos y redes, el Sistema de nombres de dominio (DNS), que traduce los nombres de dominio legibles por humanos, en direcciones IP legibles por máquinas, a menudo se pasa por alto. Imagine que Internet es una gran biblioteca y el DNS es su catálogo de tarjetas; para encontrar el libro (sitio web) que desea, necesita la tarjeta (dirección) correcta. Pero si alguien manipula el catálogo, podría ser engañado y acceder a sitios web falsos para robar su información. Para mejorar la seguridad del DNS, utilice un solucionador centrado en la privacidad que no rastree sus búsquedas (un catálogo privado), bloquee los sitios maliciosos mediante un archivo «hosts» (elimine las tarjetas de los libros peligrosos) y emplee una extensión de navegador con filtrado de DNS (contrate a un bibliotecario para que esté atento). Además, habilite DNSSEC para verificar la autenticidad de los registros DNS (verifique la autenticidad de la tarjeta) y encripte sus solicitudes DNS mediante DoH o DoT (susurre sus solicitudes para que nadie más pueda escucharlas).

Conclusión

Y ahí lo tienes: otra semana llena de desafíos de ciberseguridad para reflexionar. Recuerda que, en esta era digital, la vigilancia es clave. Mantente informado, alerta y seguro en el mundo cibernético en constante evolución.

Fuente y redacción: thehackernews.com

Compartir