Reporte quincenal de ciberinteligencia de Secure Soft

Secure Soft Corporation compartió su primer reporte de seguridad del 2021, el cual abarca las últimas amenazas y vulnerabilidades detectadas en el periodo del 18 al 31 de diciembre de 2020. Este informe fue elaborado por el equipo e-Secure Consulting y en él se exponen 15 análisis de vulnerabilidad y amenazas, de las cuales 13 tienen severidad alta y 2 severidad media.

Asimismo, en el reporte se muestra el resumen de las principales formas de ataques DDoS, malware Supernova, ataques a Google Docs, malware Redosdru, ataques de Dridex, campañas de Emonet, vulnerabilidades de omisión en Bouncy Castle y actualizaciones de seguridad que aportan a la protección de la información del usuario. A continuación un resumen de las tendencias en vulnerabilidades y actividads maliciosas más importantes del informe.

Tendencias en nuevas vulnerabilidades

1. La empresa de dispositivos de seguridad de red, F5, advirtió sobre una serie de vulnerabilidades que afectan a sus productos BIG-IP, incluida una vulnerabilidad de scripts entre sitios (XSS) que representa un riesgo crítico.
2. Se informó una grave vulnerabilidad de omisión de autenticación en Bouncy Castle, una popular biblioteca de criptografía de código abierto. La vulnerabilidad CVE-2020-28052 puede permitir que un atacante obtenga acceso a cuentas de usuario o administrador debido a una debilidad criptográfica en la forma en que se verifican las contraseñas.
3. La Agencia de Seguridad Nacional de EE. UU. publicó un aviso de seguridad advirtiendo sobre dos técnicas que los atacantes informáticos están utilizando para escalar el acceso desde las redes locales comprometidas a la infraestructura basada en la nube.
4. Los atacantes pueden haber aprovechado una vulnerabilidad de omisión de autenticación en el software SolarWinds Orion, como un día cero para implementar el malware Supernova en los entornos de destino.
5. Dell parchó dos vulnerabilidades de seguridad críticas en sus dispositivos Dell Wyse Thin Client, que son computadoras de factor de forma pequeña optimizadas para conectarse a un escritorio remoto. Los errores permiten la ejecución de código arbitrario y la capacidad de acceder a archivos y credenciales.
6. Se reportó un error activo en el plugin Contact Form 7 en más de 5 millones de sitios de WordPress. La última actualización incluye un parche que corrige la vulnerabilidad severa, del tipo Unrestricted File Upload, que permitiría a un atacante realizar varias acciones maliciosas, incluso tomar el control de un sitio o de todo el servidor que aloja el sitio.
7. Cloudflare detectó y mitigó automáticamente un nuevo tipo de ataque DDoS que ha denominado beat, debido al hecho que el método de ataque parece haber sido tomado del mundo de la acústica.
8. QNAP ha publicado actualizaciones de seguridad para corregir varias vulnerabilidades de seguridad de alta gravedad que afectan a los dispositivos de almacenamiento conectados a la red (NAS) que ejecutan los sistemas operativos QES, QTS y QuTS hero.
9. Citrix System ha emitido un aviso de amenazas sobre un ataque distribuido de denegación de servicio que se dirige activamente a los controladores de entrega de aplicaciones Citrix.
10. Google corrigió un error en su herramienta de comentarios incorporada en todos sus servicios, que podría ser aprovechado por un atacante para robar capturas de pantalla de documentos confidenciales de Google Docs.

Tendencias en actividades maliciosas

Publicidad

1. Como cada 2 o 3 meses, el malware Emotet se distribuye a través de grandes campañas de spam y phishing personalizado en distintos idiomas y con distintos tipos de adjuntos. Para la nueva campaña con temática navideña, iniciada el 23 de diciembre, el procedimiento de infección fue a través de técnicas de fileless y malwareless.
2. Se detectó una muestra del malware Redosdru en el sitio web MalwareBazaar, el análisis mostró que tiene capacidades de registro de teclas, la inyección de procesos y ejecutar procesos maliciosos se llevan a cabo en el sistema infectado.
3. Los operadores del malware Dridex lazaron una estafa de phishing generalizada que promete a las víctimas una tarjeta de regalo de Amazon de $100. Esta campaña apareció por primera vez alrededor de Halloween y se reanudó a principios de noviembre. La mayoría de los objetivos provienen de los Estados Unidos y Europa occidental, donde Amazon es muy popular.
4. Por último, se lanzó un malware multiplataforma (Windows y Linux) con capacidades de gusano que le permiten propagarse a otras computadoras mediante la búsqueda de los servicios MySql, Tomcat y Jenkins mediante la propagación de contraseñas y una lista de credenciales codificadas.