Noticias principales, amenazas y prácticas de ciberseguridad. (Del 18 al 24 de Noviembre)

Todo el tiempo escuchamos términos como «ataques patrocinados por el Estado» y «vulnerabilidades críticas», pero ¿qué hay realmente detrás de esas palabras? Las noticias de ciberseguridad de esta semana no solo tratan sobre piratas informáticos y titulares, sino también sobre cómo los riesgos digitales moldean nuestras vidas de maneras que tal vez ni siquiera nos demos cuenta.

Por ejemplo, las vulneraciones de las redes de telecomunicaciones no se deben únicamente al robo de datos, sino también al poder. Los piratas informáticos se están posicionando para controlar las redes de las que dependemos para todo, desde hacer llamadas hasta gestionar empresas. ¿Y esos CVE que suenan a tecnología? No son solo números aleatorios; son como bombas de tiempo en el software que utilizas todos los días, desde tu teléfono hasta tus herramientas de trabajo.

Estas historias no son solo para los expertos, son para todos nosotros. Muestran con qué facilidad el mundo digital en el que confiamos puede volverse en nuestra contra. Pero también nos muestran el poder de mantenerse informado y preparado. Profundice en el resumen de esta semana y descubramos los riesgos, las soluciones y los pequeños pasos que todos podemos dar para mantenernos a la vanguardia en un mundo que avanza más rápido que nunca. No es necesario ser un profesional de la ciberseguridad para preocuparse, basta con alguien que quiera comprender el panorama general. ¡Explorémoslo juntos!

Amenaza de la semana

El nuevo grupo Liminal Panda ataca al sector de las telecomunicaciones: Liminal Panda, un grupo de ciberespionaje con vínculos con China que no había sido documentado anteriormente, ha orquestado una serie de ciberataques dirigidos a entidades de telecomunicaciones en el sur de Asia y África desde 2020. Utilizando herramientas sofisticadas como SIGTRANslator y CordScan, el grupo explota contraseñas débiles y protocolos de telecomunicaciones para recopilar datos de suscriptores móviles, metadatos de llamadas y mensajes SMS. Este desarrollo coincide con el hecho de que los proveedores de telecomunicaciones estadounidenses, incluidos AT&T, Verizon, T-Mobile y Lumen Technologies, se hayan convertido en objetivos de otro grupo de piratas informáticos vinculado a China, Salt Typhoon. El Comando Cibernético de EE. UU. ha declarado que estos esfuerzos tienen como objetivo establecer puntos de apoyo en las redes de TI de infraestructura crítica de EE. UU ., lo que podría preparar un enfrentamiento importante con EE. UU.

Principales noticias

• Palo Alto Networks explota fallas para comprometer cerca de 2000 dispositivos: Las fallas de seguridad recientemente reveladas que afectan a los firewalls de Palo Alto Networks (CVE-2024-0012 (puntuación CVSS: 9,3) y CVE-2024-9474 (puntuación CVSS: 6,9)) se han explotado para vulnerar aproximadamente 2000 dispositivos en todo el mundo. Estas vulnerabilidades podrían permitir a un atacante eludir la autenticación y aumentar sus privilegios para realizar diversas acciones maliciosas, incluida la ejecución de código arbitrario. El proveedor de seguridad de redes dijo a The Hacker News que la cifra «representa menos de la mitad del uno por ciento de todos los firewalls de Palo Alto Networks implementados a nivel mundial que permanecen potencialmente sin parches». La empresa también dijo que había estado compartiendo información de forma proactiva desde el 8 de noviembre de 2024, instando a los clientes a proteger sus interfaces de gestión de dispositivos y mitigar las amenazas potenciales. La guía, añadió, ha sido eficaz para mitigar la actividad de amenazas en gran medida.
• 5 presuntos miembros de Scattered Spider acusados: Estados Unidos reveló los cargos contra cinco miembros de la infame banda de ciberdelincuencia Scattered Spider, incluido un ciudadano del Reino Unido, por su papel en la organización de ataques de ingeniería social entre septiembre de 2021 y abril de 2023 para robar credenciales y desviar fondos de billeteras de criptomonedas. Si son condenados, cada uno de los acusados ​​con sede en Estados Unidos se enfrenta a hasta 27 años de prisión por todos los cargos.
• El malware Ngioweb Botnet alimenta el servicio proxy NSOCKS: el malware conocido como Ngioweb se ha utilizado para alimentar un conocido servicio proxy residencial llamado NSOCKS, así como otros servicios como VN5Socks y Shopsocks5. Los ataques se dirigen principalmente a dispositivos IoT vulnerables de varios proveedores como NETGEAR, Uniview, Reolink, Zyxel, Comtrend, SmartRG, Linear Emerge, Hikvision y NUUO, utilizando scripts automatizados para implementar el malware Ngioweb.
• Los cibercriminales utilizan el método Ghost Tap para retirar dinero: los cibercriminales están utilizando una herramienta legítima de investigación de comunicación de campo cercano (NFC) llamada NFCGate para retirar fondos de las cuentas bancarias de las víctimas a través de terminales de punto de venta (PoS). Una salvedad crucial aquí es que el ataque depende de que los actores de la amenaza vulneren previamente un dispositivo e instalen algún tipo de malware bancario que pueda capturar credenciales y códigos de autenticación de dos factores (2FA).

‎️‍CVE de tendencia

Los recientes desarrollos en materia de ciberseguridad han puesto de relieve varias vulnerabilidades críticas, entre ellas: CVE-2024-44308, CVE-2024-44309 (Apple), CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, CVE-2024-10224 (needrestart), CVE-2024-51092 (LibreNMS), CVE-2024-10217 , CVE-2024-10218 (TIBCO), CVE-2024-50306 (Apache Traffic Server), CVE-2024-10524 (wget), CVE-2024-34719 (Android), CVE-2024-9942 (WPGYM), CVE-2024-52034 (mySCADA myPRO) y CVE-2024-0138 (NVIDIA). Estas fallas de seguridad son graves y podrían poner en riesgo tanto a las empresas como a los ciudadanos comunes.

La vuelta al mundo cibernético

• Una nueva forma de burlar el mecanismo de registro de Fortinet: gracias a una peculiaridad en el mecanismo de registro del servidor VPN de Fortinet, que solo captura eventos de inicio de sesión fallidos durante los intentos de autenticación contra el servidor, un atacante malintencionado podría ocultar la verificación exitosa de credenciales durante un ataque de fuerza bruta sin alertar a los equipos de respuesta a incidentes (IR) de los inicios de sesión comprometidos. Si bien se crea una entrada de registro para el inicio de sesión exitoso durante la fase de autorización, el atacante podría idear un método que se detenga en el paso de autenticación y confirme si las credenciales son legítimas. «Este descubrimiento fue sorprendente, ya que indicó que los equipos de IR que monitorean el uso de VPN de Fortinet no pueden diferenciar entre un intento de fuerza bruta fallido y uno exitoso», dijo Pentera . «Esto significa que si un atacante usara la técnica que descubrimos, el inicio de sesión exitoso podría pasar desapercibido, lo que potencialmente dejaría su red comprometida».
• Se descubre una falla de XSS (cross-site scripting) en Bing: una falla de XSS recién descubierta en Microsoft Bing podría haber sido utilizada de forma abusiva para ejecutar código arbitrario en el contexto del sitio web aprovechando un punto final de API en el portal del centro de desarrollo de Bing Maps. Esto podría permitir que un atacante renderice un mapa especialmente diseñado dentro del contexto www.bing[.]com y active la ejecución del código al eludir una lista de bloqueo HTML/XSS de lenguaje de marcado Keyhole (KML). Tras la divulgación responsable el 26 de agosto de 2024, Microsoft solucionó el problema a partir del 30 de septiembre.
• Se publican las 25 principales debilidades de software más peligrosas de CWE para 2024: Hablando de fallas XSS, la clase de vulnerabilidad encabezó la lista de las 25 principales debilidades de software peligrosas compilada por MITRE en función de un análisis de 31 770 registros de vulnerabilidades y exposiciones comunes (CVE) del conjunto de datos de 2024. Las escrituras fuera de límites, las inyecciones SQL, las fallas de falsificación de solicitudes entre sitios (CSRF) y los errores de recorrido de ruta completan los cuatro lugares restantes. «Descubrir las causas fundamentales de estas vulnerabilidades sirve como una guía poderosa para las inversiones, las políticas y las prácticas para evitar que estas vulnerabilidades ocurran en primer lugar, lo que beneficia tanto a las partes interesadas de la industria como del gobierno», dijo MITRE .
• Millones de registros de datos expuestos debido a configuraciones incorrectas de Power Pages: los controles de acceso faltantes o mal configurados en sitios web creados con Microsoft Power Pages están exponiendo datos confidenciales de organizaciones privadas y entidades gubernamentales a terceros, incluidos nombres completos, direcciones de correo electrónico, números de teléfono y direcciones particulares, lo que genera posibles infracciones. «Estas exposiciones de datos se producen debido a una mala comprensión de los controles de acceso dentro de Power Pages y a implementaciones de código personalizado inseguras», dijo AppOmni . «Al otorgar permisos excesivos a usuarios no autenticados, cualquiera puede tener la capacidad de extraer registros de la base de datos utilizando API de Power Page fácilmente disponibles». Además, se ha descubierto que algunos sitios otorgan incluso a usuarios anónimos «acceso global» para leer datos de tablas de bases de datos y no implementan el enmascaramiento de datos confidenciales.
• Meta recibe una multa de 25,4 millones de dólares en India por la política de privacidad de WhatsApp de 2021: el organismo de control de la competencia de la India, la Comisión de Competencia de la India (CCI), impuso a Meta una prohibición de cinco años de compartir información recopilada de WhatsApp con las plataformas hermanas Facebook e Instagram con fines publicitarios. También impuso una multa de 213,14 millones de rupias (unos 25,3 millones de dólares) por violaciones antimonopolio derivadas de la controvertida actualización de la política de privacidad de 2021, afirmando que la política de privacidad actualizada es un abuso de posición dominante por parte del gigante de las redes sociales. La actualización de la política, como reveló The Hacker News a principios de enero de 2021, buscaba el acuerdo de los usuarios para una recopilación y un intercambio de datos más amplios sin la opción de rechazar los cambios. «La actualización de la política, que obligaba a los usuarios a aceptar una recopilación y un intercambio de datos ampliados dentro del grupo Meta sobre una base de ‘tómalo o déjalo’, violó la autonomía del usuario al no ofrecer una opción de exclusión voluntaria», dijo la Internet Freedom Foundation (IFF) . «La sentencia refuerza la necesidad de una mayor rendición de cuentas por parte de los gigantes tecnológicos, garantizando la protección de los derechos de los usuarios y el respeto de los principios de competencia leal en los mercados digitales». Meta ha manifestado su desacuerdo con la sentencia y ha manifestado su intención de impugnar la decisión de la CCI.
• Extraditado a EE. UU. el supuesto administrador del ransomware ruso Phobos: Evgenii Ptitsyn (alias derxan y zimmermanx), un ciudadano ruso de 42 años, ha sido extraditado de Corea del Sur a EE. UU. para enfrentar cargos relacionados con la venta, distribución y operación del ransomware Phobos desde al menos noviembre de 2020. Ptitsyn, que supuestamente es el administrador, ha sido acusado en una acusación formal de 13 cargos de conspiración para cometer fraude electrónico, fraude electrónico, conspiración para cometer fraude y abuso informático, cuatro cargos de causar daños intencionales a computadoras protegidas y cuatro cargos de extorsión en relación con la piratería. Se estima que más de 1000 entidades públicas y privadas en EE. UU. y en todo el mundo han sido víctimas del grupo de ransomware, lo que les ha permitido ganar más de 16 millones de dólares en pagos de rescate extorsionados. Ptitsyn y sus co-conspiradores han sido acusados ​​de publicitar el ransomware Phobos de forma gratuita a través de publicaciones en foros de delitos cibernéticos y de cobrar a sus afiliados alrededor de 300 dólares para recibir la clave de descifrado para acceder a los datos. Al describirlo como una «amenaza de perfil bajo pero de gran impacto», Trellix dijo : «El enfoque de Phobos se centró en el volumen en lugar de en objetivos de alto perfil, lo que le permitió mantener un flujo constante de víctimas mientras permanecía relativamente bajo el radar». También ayudó el hecho de que la operación del ransomware carecía de un sitio dedicado a la filtración de datos, lo que le permitió evitar llamar la atención de las fuerzas del orden y los investigadores de ciberseguridad.
• Liberación de robots controlados por LLM: una nueva investigación de un grupo de académicos de la Universidad de Pensilvania ha descubierto que es posible liberar los modelos de lenguaje grandes (LLM) utilizados en robótica, lo que hace que ignoren sus salvaguardas y provoquen daños físicos perjudiciales en el mundo real. Los ataques, denominados RoboPAIR , se han demostrado con éxito contra «un LLM autónomo, un robot académico con ruedas y, lo más preocupante, el perro robot Unitree Go2, que se despliega activamente en zonas de guerra y por las fuerzas del orden», dijo el investigador de seguridad Alex Robey . «Aunque las defensas han demostrado ser prometedoras contra los ataques a los chatbots, estos algoritmos pueden no generalizarse a entornos robóticos, en los que las tareas dependen del contexto y el fracaso constituye un daño físico».

Conclusión

Las noticias de esta semana nos muestran una cosa clara y contundente: el mundo digital es un campo de batalla y todo lo que usamos (nuestros teléfonos, aplicaciones y redes) está en el fuego cruzado. Pero no se preocupe, no necesita ser un experto en ciberseguridad para marcar la diferencia.

Mantenerse alerta ante las amenazas, cuestionar cuán seguras son realmente sus herramientas y hacer cosas simples como mantener el software actualizado y usar contraseñas seguras puede ser de gran ayuda.

Fuente y redacción: thehackernews.com

Compartir