Esta semana en ciberseguridad – Agosto, Semana 4

El exploit #ProxyShell, afecta a casi 2.000 servidores de Exchange.

Que es ProxyShell?

ProxyShell es una colección de tres fallas de seguridad diferentes, descubiertas por el investigador de seguridad taiwanés Orange Tsai, que se pueden utilizar para tomar el control de los servidores de correo electrónico de Microsoft Exchange.
Éstos incluyen:

  • CVE-2021-34473 proporciona un mecanismo para la ejecución remota de código previo a la autenticación, lo que permite a los actores malintencionados ejecutar código de forma remota en un sistema afectado.
  • CVE-2021-34523 permite la ejecución de código arbitrario después de la autenticación en los servidores de Microsoft Exchange debido a una falla en el servicio PowerShell que no valida adecuadamente los tokens de acceso.
  • CVE-2021-31207 permite ejecutar código arbitrario en el contexto de SYSTEM y escribir archivos arbitrarios.

Casi 2.000 Servidores de Exchange han sido hackeados

Un escaneo realizado el 8 de agosto por ISC SANS, dos días después de la publicación del código de prueba de concepto de ProxyShell, encontró que más de 30.400 servidores Exchange de un total de 100.000 sistemas que aún no se habían parcheado y seguían siendo vulnerables a los ataques.

Casi 2.000 servidores de correo electrónico de Microsoft Exchange han sido hackeados en los últimos días y se han infectado con backdoor porque los propietarios no instalaron los parches correspondientes.

Los ataques, detectados por la firma de seguridad Huntress Labs, se producen después de que el código de explotación de prueba de concepto se publicara en línea a principios de este mes y los análisis de sistemas vulnerables comenzaron la semana pasada.

FUENTE: https://thehackernews.com/2021/08/microsoft-exchange-under-attack-with.html

El mayor ataque DDoS registrado hasta la fecha.

Cloudflare informó esta semana que se ha enfrentado al mayor ataque de denegación de servicio distribuido (DDoS) jamás registrado.

Durante este ataque, Cloudflare afirma que recibió nada menos que 17,2 millones de peticiones HTTP por segundo (RPS). Para tener una perspectiva de cuán grande fue este ataque: Cloudflare atiende más de 25 millones de solicitudes HTTP por segundo en promedio. Esto se refiere a la tasa promedio de tráfico legítimo en el segundo trimestre de 2021. Por lo tanto, con un máximo de 17.2 millones de rps, este ataque alcanzó el 68% de nuestra tasa de rps promedio del segundo trimestre del tráfico HTTP legítimo.

Este ataque fue lanzado por una poderosa botnet, dirigida a un cliente de Cloudflare en la industria financiera. En cuestión de segundos, la botnet bombardeó el borde de Cloudflare con más de 330 millones de solicitudes de ataque. Sin embargo, la compañía está bastante satisfecha, ya que dice que fue capaz de mitigar este ataque masivo gracias a su protección DDoS de borde autónomo.

El tráfico de ataques se originó en más de 20.000 bots en 125 países de todo el mundo. Según las direcciones IP de origen de los bots, casi el 15% del ataque se originó en Indonesia y otro 17% en India y Brasil combinados. Indica que puede haber muchos dispositivos infectados con malware en esos países.

Cloudflare cree que la red de bots que causó esta inundación HTTP es la misma que provocó otro ataque DDoS la semana pasada. Sin embargo, ese ataque no fue tan potente como éste ya que se quedó en algo menos de 8 millones de peticiones por segundo.

Aunque no sabemos quién está detrás de los ataques, la empresa señala que se está produciendo un resurgimiento de los ataques de la red de bots Mirai que infecta a dispositivos IoT (como cámaras del hogar) y routers. Esta red es responsable de causar algunos de los mayores ataques DDoS de la historia.

Mirai se propaga infectando dispositivos operados por Linux, como cámaras de seguridad y routers. Luego, se autopropaga buscando los puertos Telnet abiertos 23 y 2323. Una vez encontrados, intenta obtener acceso a dispositivos vulnerables mediante la fuerza bruta de credenciales conocidas, como nombres de usuario y contraseñas predeterminados de fábrica. Las variantes posteriores de Mirai también aprovecharon las vulnerabilidades Zero-Day en routers y otros dispositivos. Una vez infectados, los dispositivos monitorearán un servidor de Command&Control (C2) para obtener instrucciones sobre qué objetivo atacar.

FUENTE: https://thehackernews.com/2021/08/cloudflare-mitigated-one-of-largest.html

Las Top 5 tendencias de Ciberseguridad dadas en el Black Hat 2021.

En la conferencia de seguridad Black Hat USA 2021 , las 5 principales tendencias observadas durante el evento según Oscar Sánchez y Oscar Aguilar, ambos de f5 son:

  • Ataques Ransomware
  • Protección al trabajo remoto
  • Seguridad en Cloud
  • Seguridad en DNS
  • Insider Threats and Data Breaches

En lo que podemos destacar:

Ransomware: El ransomware se ha convertido en el método mas utilizado por ciber-delincuentes para obtener ingresos, esto debido a que es difícil rastrear el pago que las empresa realizan.

“Hemos descubierto que antes de cifrar los datos, los atacantes obtienen y ex filtran datos sensibles, confidenciales y de algo valor para las empresas, con el objetivo de asegurar el pago del rescate, ya que la mayoría de las empresas que se han negado a pagar por el descifrador, han reportado que se pierde más tiempo, recursos humanos y tecnológicos en recuperarse, que si hubieran pagado y los datos cifrados hubieran sido descifrados.”

La Seguridad en el Trabajo Remoto: La protección de una fuerza de trabajo remota se ha convertido ahora en una de las principales prioridades de la empresa moderna, ya que las organizaciones de todos los tamaños tienen un mayor nivel de riesgo con el trabajo remoto. Se realizaron distintas sesiones para obtener información sobre las vulnerabilidades que ponen en riesgo a los empleados que trabajan desde casa. Según los hallazgos recientes de Gartner, “la cantidad de incidentes internos ha aumentado en un 47% en solo dos años, y los empleados tienen un 85% más de probabilidades de filtrar archivos ahora que antes de la pandemia”.

Seguridad en la Nube: Con la transformación digital avanzando rápidamente en gran medida por la adopción y crecimiento cada vez más de las aplicaciones desplegadas en las distintas nubes públicas y/o privadas, las organizaciones deben mantenerse resilientes, ya que los actores maliciosos aprovechan la expansión significativa de la superficie de ataque y continúan infiltrándose en las aplicaciones no solo tradicionales sino también en aplicaciones modernas.

FUENTE: https://www.linkedin.com/pulse/las-top-5-tendencias-de-ciberseguridad-dentro-black-hat-oscar-aguilar/?utm_medium=employee-social&utm_source=everyonesocial&utm_campaign=latam_mx-as_as