Esta semana en ciberseguridad

Investigadores descubren malware para Linux que pasó desapercibido por 3 años

Un malware no documentado que apunta a sistemas Linux, con capacidades de puerta trasera, ha pasado desapercibido por 3 años, permitiendo a un actor malicioso extraer información de los sistemas informáticos infectados.

La información proviene de una muestra detectada el 25 de marzo, pero otras versiones previas habían sido subidas a VirusTotal desde Mayo del 2018. Se han encontrado cuatro muestras distintas del malware, ninguna de ellas siendo detectada por la mayoría de los sistemas anti-malware.

Conocido como RotaJakiro, está diseñado para ser dificil de detectar, encriptando sus comunicaciones con los servidores de comando y control, y soporta 12 funciones que permiten obtener metadatos del dispositivo, extraer información sensible, y ejecutar comandos y otros módulos indicados por el servidor de comando y control.

La verdadera intención de los atacantes, o sus objetivos, aún no son claros, pero algunos de los dominios vinculados a los servicios de comando y control tienen fechas de registro que data del 2015.

Fuente: https://thehackernews.com/2021/04/researchers-uncover-stealthy-linux.html

Hackers explotan vulnerabilidad en SonicWall para ataques ransomware

Un agresivo grupo de atacantes ha explotado la vulnerabilidad SonicWall en dispositivos VPN para diseminar una nueva versión de ransomware denominada FIVEHANDS.

El grupo, seguido por Mandiant como UNC2447, tomó ventaja de las diversas fallas que permiten a un autenticante ejecutar código remotamente en los dispositivos SSL-VPN SMA100, CVE-2021-20016

UNC2447 extorsiona a sus víctimas usando el ransomware, seguido de tácticas de presión a través de amenazas, y ofertas de venta de información en foros especializados.

La explotación de estas vulnerabilidades permite a un atacante acceder a credenciales e información de sesión, que le permiten directamente ingresar a la máquina vulnerada.

Fuente: https://thehackernews.com/2021/04/hackers-exploit-sonicwall-zero-day-bug.html

F5 Big-IP vulnerable a un bug de bypass de seguridad.

El sistema de F5 Networks, Big-IP Application Delivery Services contiene una vulnerabilidad que permitiría a un atacante saltarse las medidas de seguridad utilizadas para proteger trabajos sensibles.

Un atacante podría explotar la vulnerabilidad, conocida como CVE-2021-23008, para ingresar al manejador de políticas de acceso de Big-IP, evitando la seguridad Kerberos, en algunos casos incluso permitiendo acceso a la consola de administrador.

El impacto podría ser significativo, ya que F5 provee equipamiento de red para grandes compañías, como instituciones financieras globales o proveedores de internet.

F5 lanzó una actualización para su software, indicando que es importante instalar y monitorear constantemente la plataforma Kerberos para detectar comportamientos sospechosos.

Fuente: https://threatpost.com/f5-big-ip-security-bypass/165735/