Esta semana en ciberseguridad – Agosto, Semana 3

Microsoft publica los parches de seguridad de Agosto

Microsoft ha publicado, como es habitual, el parche de este mes de agosto en el que se solucionan al menos 44 vulnerabilidades, entre las que se encuentran algunas clasificadas como críticas.

Entre los productos afectados se encuentran .NET Core, Visual Studio, Windows Update, Windows Print Spooler, Windows Media, Windows Defender, Remote Desktop Client, Microsoft Edge, Microsoft Office y algunos más.

Entre las vulnerabilidades corregidas más destacadas se encuentra la relacionada con Windows Print Spooler, la famosa vulnerabilidad #PrintNightmare, una vulnerabilidad relacionada con la herramienta Windows Remote Desktop (CVE-2021-34535), la cual está clasificada con una puntuación de 8.8 y se desconocen sus detalles. Y otra vulnerabilidad (CVE-2021-26424) clasificada con una puntuación de 9.9 sobre 10, estando ésta presente en Windows 7 hasta Windows 10, y Windows Server 2008 hasta 2019

En resumen, 13 de las vulnerabilidades parcheadas son de ejecución de código remoto, y otras 8 están relacionadas con revelación de información. Los 3 zero-days más críticos son los relacionados con el servicio de Print Spooler y Remote Desktop.

Se recomienda a todos los administradores de sistemas y usuarios que apliquen estos parches de seguridad cuanto antes para evitar posibles ataques que aprovechen estas vulnerabilidades.

FUENTE: https://unaaldia.hispasec.com/2021/08/microsoft-publica-el-parche-de-seguridad-de-agosto.html

Roban más de 600 millones en criptomonedas de la plataforma Poly Network

Unos hackers han conseguido desviar unos 611 millones de dolares en diferentes criptomonedas de una red financiera basada en Blockchain, aprovechándose de vulnerabilidades en su código.

El pasado 10 de agosto, Poly Network anunció que su plataforma había sido comprometida, y que parte de sus activos habían sido transferidos a una serie de direcciones controladas por el atacante.

Poly Network es una plataforma descentralizada para el intercambio de tokens o cryptomonedas entre diferentes blockchains, como pueden ser Ethereum, Binance Smart Chain, Polygon, etc. Mediante una red de blockchains propia y smart contracts desplegados en las redes participantes, permite la transferencia segura de activos entre las mismas.

Se dice que los activos robados de Binance Chain, Ethereum y Polygon se transfirieron a tres billeteras (wallets) diferentes, y la compañía instó a los mineros de la cadena de blockchain y a los servicios de intercambios (centralized crypto exchanges) bloquear las transacciones provenientes de estas wallets. Las tres direcciones de billetera son las siguientes:

  • Ethereum: $273 million
  • Binance Smart Chain: $253 million
  • Polygon: $85 million

FUENTE: https://thehackernews.com/2021/08/hacker-steal-over-600-million-worth-of.html

GitHub bloquea el uso de contraseñas para operaciones en GIT

GitHub ha anunciado que ya no se aceptarán contraseñas de las cuentas para autenticar las operaciones de GIT a partir del 13 de Agosto de 2021.

Este cambio ya se había anunciado por primera vez el año pasado, en julio, cuando GitHub dijo que las operaciones de Git autenticadas requerirían el uso de una clave SSH o autenticación basada en token.

GitHub también desautorizó la autenticación basada en contraseña para la autenticación a través de la API REST a partir del 13 de noviembre de 2020.

Ahora se requerirá la autenticación basada en token (por ejemplo, acceso personal, OAuth, clave SSH o token de instalación de la aplicación GitHub) para todas las operaciones de GIT.

FUENTE: https://www.bleepingcomputer.com/news/security/github-deprecates-account-passwords-for-authenticating-git-operations/

WEBINAR AXONIUS

Resumen del Webinar

En este webinar vimos como Axonius nos puede ayudar, sin la necesidad de instalar agentes, a entender la importancia de gestionar tus activos con certeza, y responde algunas preguntas esenciales, tales como:

  • Cobertura del agente: ¿está mi agente donde debe estar y esta correctamente instalado?
  • Cobertura en la nube: ¿mi herramienta de evaluación de vulnerabilidades analiza todas mis instancias incluyendo mi infraestructura en la nube?
  • Dispositivos no administrados conectados a nuestra red: ¿hay dispositivos no administrados conectados en mi red?

Axonius utiliza la integración con más de 320 plataformas para hacer consultas cruzadas y verificar brechas de cobertura.

Temas abordados:

  • ¿Cómo descubrir brechas de cobertura?
  • Diferentes casos de uso y consultas sobre tu infraestructura.
  • Validar y hacer cumplir tus políticas de ciberseguridad.

Demo Axonius

Agradecimientos a @MarceloDiaz, Axonius: @NathanMcGavin, @MichelleEllis, @OCChacon.

Esta semana en ciberseguridad – Agosto, Semana 2

Vulnerabilidad grave en millones de routers (AR y MX incluidos) – CVE-2021-20090

Un grave fallo de seguridad pone en riesgo a millones de routers en todo el mundo, incluidos algunos modelos distribuidos en Argentina y México. Se trata de una vulnerabilidad crítica que evita la autenticación y afecta a dispositivos domésticos que utilizan el firmware Arcadyan. Esto permite a un atacante controlarlos y llevar a cabo ataques mediante la botnet Mirai. Este problema afecta a muchos modelos y operadoras de telefonía.

Este fallo de seguridad ha sido registrado como CVE-2021-20090 y calificado con 9,9 puntos sobre 10 por su gravedad. Estos ataques fueron descubiertos por investigadores de seguridad de Juniper Threat Labs. El problema, que afecta al firmware de los dispositivos, puede ser explotado de forma remota.

Hay que indicar que afecta a una gran cantidad de modelos. De hecho, se calcula que pueden ser millones los routers afectados en todo el mundo. Afecta a múltiples proveedores internacionales como son British Telecom, Deutsche Telecom, Orange, O2 (Telefónica) o Vodafone. Afecta tanto a modelos de ADSL como de fibra.

Desde Tenable (ver fuente) publicaron una lista con todos los modelos y proveedores afectados. Además, la semana pasada lanzaron una prueba de concepto para explotar el error. Se trata de una vulnerabilidad que ha existido al menos durante 10 años y, apenas un par de días después de lanzar la prueba de concepto, han detectado ataques.

El problema principal, es que existen muchos routers desactualizados, lo que es un problema importante, ya que esta vulnerabilidad no será corregida y los atacantes van a tener una gran cantidad de routers susceptibles de ser explotados.

Para solucionar este problema, los usuarios deben actualizar lo antes posible sus routers. Desde Juniper Threat Labs (ver fuentes -2-) han emitido un documento informativo donde explican detalladamente cómo funciona este ataque y de qué manera podrían aprovecharse de los modelos afectados.

Esta vulnerabilidad también afecta a dispositivos IoT que utilizan el mismo código base. Esto hace que muchos equipos domésticos, como pueden ser televisiones, bombillas inteligentes y otros muchos de lo que se conoce como el Internet de las Cosas puedan ser vulnerables.

Nuestro consejo, es mantener todo correctamente actualizado. Actualizar el firmware del router y de cualquier otro equipo que tengamos conectado a la red es vital. Esto nos permite corregir vulnerabilidades cómo esta que mencionamos y que pueden ser la vía de entrada de los hacker informáticos.

FUENTE:
(1) https://es-la.tenable.com/security/research/tra-2021-13?tns_redirect=true
(2) https://blogs.juniper.net/en-us/security/freshly-disclosed-vulnerability-cve-2021-20090-exploited-in-the-wilUd

Un error crítico en equipos CISCO, permite tomar el control Remoto de estos.

Los investigadores de seguridad advirtieron que al menos 8.800 sistemas vulnerables están expuestos a ser comprometidos

Una vulnerabilidad de seguridad crítica en un subconjunto de los enrutadores VPN para pequeñas empresas de Cisco Systems podría permitir que un atacante remoto no autenticado se apodere de un dispositivo, y los investigadores dijeron que hay al menos 8.800 sistemas vulnerables abiertos al peligro.

Cisco abordó los errores (CVE-2021-1609) como parte de una gran cantidad de parches implementados esta semana. En total, las soluciones y los productos afectados son los siguientes:

  • Cisco RV340, RV340W, RV345 y RV345P Dual WAN Gigabit VPN Routers Vulnerabilidades de administración web (advertencia)
  • Vulnerabilidad de ejecución remota de comandos de los routers VPN de las series RV160 y RV260 de Cisco Small Business (advertencia)
  • Vulnerabilidad de inyección de DLL de Cisco Packet Tracer para Windows (advertencia)
  • Vulnerabilidad de escalamiento de privilegios del servidor Secure Shell de Cisco Network Services Orchestrator CLI (advertencia)
  • ConfD CLI Secure Shell Server Privilege Escalation Vulnerability (advertencia)

Esta vulnerabilidad ha sido clasificada con un 9.8 según la CVSS sobre 10 y podría permitir a un atacante remoto no autenticado ejecutar código arbitrario o causar una condición de denegación de servicio (DoS) a través del envío de peticiones HTTP. Dicha interfaz de administración web es accesible localmente de manera predeterminada y no se puede deshabilitar, aunque el acceso remoto debe ser configurado por el usuario, se encuentra desactivada por defecto.

FUENTE:
(1) https://unaaldia.hispasec.com/2021/08/graves-vulnerabilidades-en-productos-cisco.html
(2) https://threatpost.com/critical-cisco-bug-vpn-routers/168449/

Apple reaviva debate sobre privacidad de datos

En su lucha contra la explotación sexual de menores la empresa Apple volvió a poner sobre la mesa el debate en torno a la privacidad de datos. Luego de que la empresa revelara cuáles son las herramientas que utilizará para detectar con mayor eficacia las imágenes sexuales que involucran a menores de edad, se reavivó el debate sobre el cifrado de datos y la privacidad de los usuarios ya que hay quienes temen que estas nuevas tecnologías puedan ser utilizadas para espionaje por parte de los gobiernos.

En ese sentido, según el fabricante de iPhone, iPad e iMac, la iniciativa tiene como objetivo proteger a los más jóvenes de los depredadores que operan en Internet.

Sin embargo, este anuncio supone para el empresa un punto de inflexión muy importante: hasta ahora Apple se resistía a cualquier esfuerzo que debilitara su sistema de encriptado, que previene que terceras partes accedan a datos privados de los usuarios de los productos de la manzanita.

En ese contexto, Apple difundió una nota técnica en la que aseguró que una de sus herramientas fue desarrollada por expertos en criptografía, y que además de ser “segura”, “fue diseñada expresamente para preservar la privacidad del usuario”.

Esa herramienta es la que comparará las fotos cargadas en iCloud con las almacenadas en un archivo administrado por el Centro Nacional para Niños Desaparecidos y Explotados de Estados Unidos (US National Center for Missing and Exploited Children o NCMEC), una corporación privada estadounidense que combate la explotación sexual infantil. Apple asegura que no tiene acceso directo a esas imágenes.

“Este tipo de herramienta puede ser muy útil para encontrar pornografía infantil en los teléfonos de las personas, pero imagínense lo que podría hacer en manos de un gobierno autoritario”.

tuiteó Matthew Green, criptógrafo de la Universidad Johns Hopkins.

Según denunció Blaze, Apple no solo escaneará los datos alojados en sus servidores sino también los almacenados en el propio teléfono, por lo tanto, “tendrá potencialmente acceso a todos nuestros datos”.

Anteriormente, Apple se había negado categóricamente a ayudar a la policía a acceder al contenido encriptado del teléfono celular de uno de los perpetradores de un ataque en el que murieron 14 personas, en 2015 en California. A raíz de este tipo de hechos, para el FBI, que los mensajes estén encriptados de un extremo a otro y solo puedan ser leídos por remitentes y destinatarios protege a delincuentes y terroristas.

Quien criticó la nueva política de Apple fue Will Cathcart, director de la aplicación de mensajería WhatsApp que es propiedad de Facebook. Según el ejecutivo, el enfoque de la empresa de tecnología es “malo y un revés para la privacidad de las personas en todo el mundo” ya que este sistema “no es confidencial porque puede escanear todas las fotos privadas en un teléfono”.

FUENTE: https://www.bbc.com/mundo/noticias-58115848

Esta semana en ciberseguridad – Agosto, Semana 1

Investigadores logran ocultar malware en una red neuronal

Una prueba de concepto muestra cómo unos investigadores han logrado insertar malware en los nodos de una red neuronal sin afectar al rendimiento del modelo.
Un estudio presentado por los investigadores Zhi Wang, Chaoge Liu, y Xiang Cui han mostrado cómo esta técnica permite incluir malware en una arquitectura como AlexNet. Dicha arquitectura, una red neuronal convolucional (CNN), se compone de millones de parámetros y múltiples capas de neuronas, incluyendo capas «ocultas» totalmente conectadas. El estudio concluye que modificar algunas neuronas no tiene un gran impacto en la precisión del modelo.
Utilizando muestras reales de malware, las pruebas afirman que un modelo de AlexNet con normalización por lotes o «batch normalization» puede incluir hasta 36.9MB de malware en un fichero de modelo de 178MB, perdiendo menos del 1% de la precisión del modelo, pasando inadvertido por el usuario que lo implemente. Esto hace además que sea indetectable por motores de antivirus, aunque esto se debe también al factor de que no hay analistas que hayan desarrollado un framework de detección para este tipo de modelos.

Añadiendo el malware a la red neuronal
El algoritmo desarrollado por los investigadores para incrustar el malware se basa en leer 3 bytes del mismo cada vez y convertirlos en números flotantes válidos con formato big-endian tras añadir los prefijos adecuados a los bytes. Estos números se convierten en tensores antes de ser incrustados en el modelo. Dado un modelo de red neuronal y una capa, se modifican las neuronas secuencialmente reemplazando los pesos o «weights» y el sesgo o «bias» en cada una. Se utilizan los pesos de cada neurona para almacenar los bytes de malware convertidos y el sesgo para almacenar la longitud y el hash del malware.

En el proceso inverso, para verificar la integridad del malware, el receptor necesita extraer los parámetros de la neurona en cada capa, convertir los parámetros a números flotantes, luego a bytes en formato big-endian y eliminar los prefijos de los bytes para obtener el flujo de bytes binario. Con la longitud almacenada en el «bias» de la primera neurona se puede ensamblar de nuevo el malware. Este proceso de extracción se puede verificar comparando el hash del malware con el hash almacenado en el «bias».

Escenarios de ataque
La presentación de esta técnica no supone un gran riesgo actualmente, dado que se trata más de un ejercicio de esteganografía que de un escenario real que puedan aprovechar los actores maliciosos. En el momento en el que el malware es ensamblado y ejecutado puede seguir siendo detectado mediante técnicas tradicionales como el análisis estático o dinámico. No obstante, hay que considerar que las redes neuronales también pueden llegar a ser maliciosas. Probablemente en un futuro, con la adopción generalizada de modelos de «machine learning» en el desarrollo de aplicaciones, aparezcan nuevos vectores de ataque que empleen este tipo de técnicas.

FUENTES: (1) https://unaaldia.hispasec.com/2021/07/investigadores-logran-ocultar-malware-en-una-red-neuronal.html (2) https://arxiv.org/pdf/2107.08590.pdf

El nuevo grupo de piratería APT pone foco en servidores Microsoft IIS con exploits ASP.NET

Un nuevo actor altamente capaz en el mundo de las amenazas persistentes a tomado como foco a las principales entidades públicas y privadas de alto perfil en los EE. UU. como parte de una serie de ataques de intrusión dirigidos mediante la explotación de Internet frente a los servidores de Microsoft Internet Information Services (IIS) para infiltrarse en sus redes.

La firma israelí de ciberseguridad Sygnia, que identificó la campaña, está rastreando al avanzado y sigiloso adversario bajo el sobrenombre de “Praying Mantis” o “TG2021“.

“TG2021 utiliza un framework de malware personalizado, construido alrededor de un núcleo común, hecho a medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de manera reflectante en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados”

“TG2021 también utiliza “stealthy backdoor” adicional y varios módulos posteriores a la explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes”

Los Investigadores de la firma Israelí

Además de exhibir capacidades que muestran un esfuerzo significativo para evitar la detección interfiriendo activamente con los mecanismos de registro y evadiendo con éxito los sistemas comerciales de detección y respuesta de puntos finales (EDR), se sabe que TG2021 aprovecha un arsenal de exploits de aplicaciones web ASP.NET para obtener una ventaja, punto de apoyo inicial y puerta trasera de los servidores mediante la ejecución de un implante sofisticado llamado “NodeIISWeb” que está diseñado para cargar archivos DLL personalizados, así como para interceptar y manejar las solicitudes HTTP recibidas por el servidor.
Las vulnerabilidades que aprovecha el actor incluyen:

  • Checkbox Survey RCE Exploit (CVE-2021-27852)
  • VIEWSTATE Deserialization Exploit
  • Altserialization Insecure Deserialization
  • Telerik-UI Exploit (CVE-2019-18935 y CVE-2017-11317)

Curiosamente, la investigación de Sygnia sobre Las tácticas, técnicas y procedimientos (TTP) de TG2021 han descubierto “superposiciones importantes” con una táctica llamada “Compromisos de copiar y pegar”, como se detalla en un aviso publicado por el Centro Australiano de Seguridad Cibernética (ACSC) en junio de 2020., dirigida a la infraestructura de cara al público, principalmente a través del uso de fallas en la interfaz de usuario de Telerik que no estaban parchados.y los servidores IIS. Sin embargo, aún no se ha realizado una atribución formal.

“Praying Mantis, es un ejemplo de una tendencia creciente de ciberdelincuentes que utilizan métodos de ataque sofisticados de estado-nación para atacar organizaciones comerciales”

Los Investigadores de Sygnia

Las actividades forenses continuas y la respuesta oportuna a incidentes son esenciales para identificar y defender eficazmente de los ataques de este tipos de actores.

FUENTES: https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html

Seis Scrips maliciosos del Shell de Linux usados para eludir defensas y como pararlos.

Uptycs Threat Research describe cómo se utilizan los scripts maliciosos del shell de Linux para ocultar los ataques y cómo los defensores pueden detectarlos y mitigarlos.

Las técnicas de evasión utilizadas por los atacantes son antiguas, cuando se usaba base64 y otros esquemas de codificación comunes. Hoy en día, los atacantes están adoptando nuevas tácticas y técnicas de scripting de shell de Linux para deshabilitar firewalls, monitorear agentes y modificar listas de control de acceso (ACL).

En este articulo se cubrirán técnicas de scripting de shell evasivas comunes como:

  • Desinstalación de agentes de monitoreo
  • Deshabilitación de cortafuegos e interrupciones
  • Deshabilitación de módulos de seguridad de Linux (LSM)
  • Modificación de ACL
  • Cambio de atributos
  • Cambio de nombres de utilidades comunes.

Técnica 1: Desinstalación de agentes de monitoreo
Los agentes de monitoreo son los componentes de software que monitorean regularmente las actividades que ocurren en el sistema relacionadas con el proceso y la red. Los agentes de monitoreo también crean varios registros, lo que ayuda durante la investigación de cualquier incidente.

El script malicioso encontrado intenta:

  • Desinstalar el agente de monitoreo relacionado con la nube Aegis (agente de detección de amenazas de Alibaba Cloud), deteniendo el servicio Aliyun.
  • Desinstale Yunjeng, que es el agente de seguridad de host de Tencent
  • Desinstale el agente de administración de clientes de BCM, que generalmente se instala en los endpoint para mitigar los resgos

Técnica 2: Desactivación de cortafuegos e interrupciones
La mayoría de los sistemas y servidores implementan cortafuegos como mecanismo de defensa En el script malicioso, los atacantes intentan desactivar el cortafuegos, es decir, cortafuegos ininterrumpido (ufw) como táctica de evasión de defensa, Junto con eso, los atacantes también eliminan las reglas de iptables (iptables -F) porque se usa ampliamente para administrar las reglas de firewall en sistemas y servidores Linux.

Técnica 3: Deshabilitar los módulos de seguridad de Linux (LSM)
El script malicioso también deshabilita los módulos de seguridad de Linux como SElinux, Apparmor. Estos módulos están diseñados para implementar políticas de control de acceso obligatorio (MAC). Un administrador de servidor podría simplemente configurar estos módulos para proporcionar a los usuarios acceso restringido a las aplicaciones instaladas o en ejecución en el sistema.

AppArmour es una función de seguridad en Linux que se utiliza para bloquear aplicaciones como Firefox para aumentar la seguridad. Un usuario puede restringir una aplicación en la configuración predeterminada de Ubuntu otorgando un permiso limitado a una determinada aplicación.

SElinux es otra característica de seguridad en los sistemas Linux mediante la cual un administrador de seguridad podría aplicar el contexto de seguridad en ciertas aplicaciones y utilidades. En algunos servidores web, el shell está deshabilitado o restringido, por lo que los adversarios de RCE (ejecución remota de código) generalmente evitan / deshabilitan esto:

Técnica 4: Modificación de ACL
ACL, o listas de control de acceso, contienen las reglas por las cuales los permisos sobre archivos y utilidades. Las ACL del sistema de archivos le dicen a los sistemas operativos qué usuarios pueden acceder al sistema y qué privilegios tienen los usuarios. La utilidad Setfacl en Linux se usa para modificar, eliminar la ACL, en el script podemos ver el uso de setfacl que establece los permisos de chmod para el usuario:

Técnica 5: Cambiando Atributos
Chattr en Linux se usa para configurar / desarmar ciertos atributos de un archivo. Los adversarios usan esto para sus propios archivos o para hacer que un usuario no pueda eliminarlos.

Técnica 6: Cambiar el nombre de las utilidades comunes
Una de los scripts maliciosos contenían utilidades comunes como wget, curl usado con diferentes nombres. Estas utilidades se utilizan generalmente para descargar archivos desde la IP remota. Los atacantes usan estas utilidades para descargar archivos maliciosos de C2. Algunas de las soluciones de seguridad cuyas reglas de detección monitorean los nombres exactos de las utilidades podrían no activar el evento de descarga si wget, curl se usan con nombres diferentes.

FUENTES: https://threatpost.com/six-malicious-linux-shell-scripts-how-to-stop-them/168127/

Esta semana en ciberseguridad – Julio, Semana 4

Cómo mitigar la vulnerabilidad SeriousSAM de Microsoft Windows 10, 11

Microsoft Windows 10 y Windows 11 corren el riesgo de sufrir una nueva vulnerabilidad sin parchear que se reveló públicamente recientemente.

Como informamos la semana pasada, la vulnerabilidad, SeriousSAM, permite a los atacantes con permisos de bajo nivel acceder a los archivos del sistema de Windows para realizar un ataque Pass-the-Hash (y potencialmente Silver Ticket).

Los atacantes pueden aprovechar esta vulnerabilidad para obtener contraseñas hash almacenadas en el Administrador de cuentas de seguridad (SAM) y en el Registro y, en última instancia, ejecutar código arbitrario con privilegios de SISTEMA.

La vulnerabilidad SeriousSAM, rastreada como CVE-2021-36934, existe en la configuración predeterminada de Windows 10 y Windows 11, específicamente debido a una configuración que permite permisos de ‘lectura’ para el grupo de usuarios integrado que contiene a todos los usuarios locales.

Como resultado, los usuarios locales integrados tienen acceso para leer los archivos SAM y el Registro, donde también pueden ver los hash. Una vez que el atacante tiene acceso de ‘Usuario’, puede usar una herramienta como Mimikatz para obtener acceso al Registro o SAM, robar los hashes y convertirlos en contraseñas. Invadir a los usuarios del dominio de esa manera les dará a los atacantes privilegios elevados en la red.

Debido a que todavía no hay un parche oficial disponible de Microsoft, la mejor manera de proteger su entorno de la vulnerabilidad de SeriousSAM es implementar medidas de refuerzo.

Mitigación de SeriousSAM

Según Dvir Goren, CTO de CalCom, hay tres medidas de refuerzo opcionales:

  • Elimine a todos los usuarios del grupo de usuarios integrado: este es un buen lugar para comenzar, pero no lo protegerá si se roban las credenciales de administrador. .
  • Restrinja los archivos SAM y los permisos de registro: permita el acceso solo a los administradores. Esto, nuevamente, solo resolverá una parte del problema, ya que si un atacante roba las credenciales de administrador, usted seguirá siendo vulnerable a esta vulnerabilidad.
  • No permita el almacenamiento de contraseñas y credenciales para la autenticación de red; esta regla también se recomienda en los puntos de referencia de CIS. Al implementar esta regla, no habrá hash almacenado en el SAM o en el registro, mitigando así esta vulnerabilidad por completo.

FUENTE: https://thehackernews.com/2021/07/how-to-mitigate-microsoft-windows-10-11.html

TOP 25 CWE 2021: Las debilidades de Software más peligrosas

Las 25 debilidades de software más peligrosas (MITRE CWE Top 25) es una lista demostrativa de los problemas más comunes e impactantes experimentados durante los dos años calendario anteriores. Estas debilidades son peligrosas porque a menudo son fáciles de encontrar, explotar y pueden permitir que los adversarios se apoderen completamente de un sistema, roben datos o impidan que una aplicación funcione.

El CWE Top 25 es un valioso recurso de la comunidad que puede ayudar a los desarrolladores, evaluadores y usuarios, así como a los gerentes de proyectos, investigadores de seguridad y educadores, a proporcionar información sobre las debilidades de seguridad más graves y actuales.

FUENTE: https://cwe.mitre.org/top25/archive/2021/2021_cwe_top25.html

El verdadero impacto de los ataques de ransomware

La investigación de Keeper revela que, además de desconectar los sistemas, los ataques de ransomware degradan la productividad, hacen que las organizaciones incurran en costos indirectos significativos y dañan su reputación.

Uno de los mitos más dañinos sobre los ataques de ransomware es: “Si su empresa realiza copias de seguridad del sistema con regularidad, no tiene que preocuparse. Simplemente restaure desde la copia de seguridad “. Si bien las copias de seguridad del sistema son cruciales: los cortes de energía, los desastres naturales o incluso los errores de los empleados pueden destruir los datos tan rápido como un ciberataque, no son una solución milagrosa. Recuperarse de un ataque de ransomware implica más que restaurar sistemas y datos.

¿Cómo es realmente la recuperación de ransomware? Para averiguarlo, Keeper Security encuestó a 2.000 empleados en los EE. UU. Cuyas organizaciones habían sido víctimas de ransomware en los últimos 12 meses. Esto es lo que encontraron.

Casi un tercio de las empresas “fueron atropelladas por trenes que nunca vieron venir”.
Durante el año pasado, los ataques de ransomware se han ganado un lugar casi permanente en la portada de todos los periódicos del país. Sin embargo, el 29% de los que respondieron a la encuesta de Keeper no tenían idea de qué era el ransomware hasta que sus organizaciones se vieron afectadas.

Esto indica que muchos empleadores no brindan a sus trabajadores una formación adecuada en ciberseguridad. Eso es especialmente preocupante porque la mayoría de los ataques involucraron esquemas de ingeniería social, incluidos correos electrónicos de phishing (42%), sitios web maliciosos (23%) y contraseñas comprometidas (21%).

La recuperación de ransomware no es indolora. Provoca cambios, muchos de ellos bastante disruptivos.
Restaurar datos y sistemas desde la copia de seguridad es solo el comienzo de la recuperación de ransomware. Las organizaciones necesitan fortalecer los sistemas para prevenir futuros ataques, así como reparar los sistemas dañados por el ransomware. El 83% de los encuestados informó que sus empleadores habían instalado un nuevo software o habían realizado otros cambios significativos.

Cualquier cambio en el entorno de datos de una organización tiene el potencial de degradar la productividad, especialmente si se trata de un cambio importante como la migración a la nube. Eso es ciertamente lo que dijeron los encuestados.

FUENTE: https://threatpost.com/true-impact-of-ransomware-attacks/168029/

Esta semana en ciberseguridad – Julio, Semana 3

Falsa aplicación de Zoom fue abandonada por el nuevo APT “LuminousMoth”

Primero viene el spear-phishing, la siguiente descarga de DLL maliciosos que se propagan a USB extraíbles, la caída de Cobalt Strike Beacon y luego, a veces, una aplicación de Zoom falsa.

Los investigadores han detectado uno extraño: un actor de amenazas recientemente identificado vinculado a China que primero ataca en masa, pero luego selecciona cuidadosamente, solo unos pocos objetivos para atacar con malware y exfiltración de datos.

Los investigadores de Kaspersky dijeron en un artículo del miércoles que habían nombrado al actor de amenazas avanzadas (APT) LuminousMoth.
La campaña, que se remonta al menos a octubre pasado y se dirige primero a Myanmar y ahora principalmente a Filipinas, es a gran escala y muy activa.

Eso no es infrecuente. Lo atípico de la campaña LuminousMoth es que no solo es llamativa, también está dirigida con “precisión casi quirúrgica”, dijeron.

El ruido de un ataque de gran volumen es una señal de alerta para los investigadores. Por supuesto, eso es una desventaja para los hackers, dado que arruina su distracción. Los analistas sugirieron una posible razón para la ostentación: podría tener que ver con la forma en que se propaga LuminousMoth. Es decir, se copia a sí mismo en unidades USB extraíbles.

FUENTE: https://threatpost.com/zoom-apt-luminous-moth/167822/

Cinco reglas críticas de seguridad de contraseñas que sus empleados están ignorando

Según el Informe de negligencia de contraseñas, muchos trabajadores remotos no siguen las mejores prácticas para la seguridad de estas.

En febrero de 2021, Keeper encuestó a 1,000 empleados en los EE. UU. Sobre sus hábitos de contraseña relacionados con el trabajo, y descubrió que muchos trabajadores remotos están dejando que la seguridad de las contraseñas se quede en el camino.

Aquí hay 5 reglas críticas de seguridad de contraseñas que están ignorando.

1 – Utilice siempre contraseñas seguras

Las contraseñas seguras tienen al menos ocho caracteres (preferiblemente más) y consisten en cadenas aleatorias de letras, números y caracteres especiales. Las contraseñas nunca deben incluir palabras del diccionario, que son fáciles de adivinar, o detalles personales, que los ciberdelincuentes pueden eliminar de los canales de redes sociales

  • El 37% de los que respondieron a la encuesta de Keeper dijeron que habían usado el nombre de su empleador como parte de sus contraseñas relacionadas con el trabajo.
  • El 34% ha utilizado el nombre o la fecha de nacimiento de su pareja.
  • 31% ha utilizado el nombre o la fecha de nacimiento de su hijo

2 – Utilice una contraseña única para cada cuenta

Algunas cosas nunca deben reciclarse, como las contraseñas. Cuando los empleados reutilizan contraseñas en todas las cuentas, aumentan en gran medida el riesgo de que su empleador sea violado

Desafortunadamente, el 44% de los encuestados de Keeper admiten que reutilizan contraseñas en cuentas personales y laborales.

3 – Almacene todas las contraseñas de forma segura, con cifrado completo

El uso de una contraseña única y segura para cada cuenta es solo un punto de partida. Los empleados también necesitan almacenar sus contraseñas de forma segura. La encuesta de Keeper demostró que no están haciendo eso

  • El 57% de los encuestados escribe sus contraseñas en notas adhesivas, y el 62% escribe sus contraseñas en un cuaderno o diario, al que puede acceder cualquier persona que viva o visite la casa.
  • El 49% almacena sus contraseñas en un documento guardado en la nube, el 51% usa un documento almacenado localmente en su computadora y el 55% las guarda en su teléfono. Debido a que estos documentos no están encriptados, si un ciberdelincuente viola la unidad en la nube, la computadora o el teléfono móvil, puede abrir el archivo de contraseña del empleado.

4 – Nunca comparta contraseñas relacionadas con el trabajo con personas no autorizadas

Las contraseñas de trabajo son información comercial confidencial que los empleados nunca deben compartir con nadie fuera de la organización, ni siquiera con sus cónyuges. La encuesta de Keeper reveló que el 14% de los trabajadores remotos han compartido contraseñas relacionadas con el trabajo con su cónyuge o pareja, y el 11% las ha compartido con otros miembros de la familia.

5 – El uso compartido de contraseñas en el lugar de trabajo está bien, pero solo si se hace de forma segura, con cifrado completo de un extremo a otro

Las contraseñas compartidas en el lugar de trabajo se pueden hacer de manera segura si los empleados comparten contraseñas utilizando un método seguro, y las contraseñas se comparten solo con partes autorizadas. Sin embargo, la encuesta de Keeper descubrió que el 62% de los encuestados comparten contraseñas a través de correos electrónicos o mensajes de texto no cifrados, que pueden ser interceptados en tránsito.

FUENTE: https://thehackernews.com/2021/07/five-critical-password-security-rules.html

Esta semana en ciberseguridad – Julio, Semana 2

La campaña de Ransomware más grande de la historia, lanzada este fin de semana

Resumen: El presidente Biden ha dirigido “todos los recursos del Gobierno para ayudar en respuesta” a un ataque de REvil Ransomware que podría haber afectado a 1.000 empresas a través de sus proveedores de servicios de TI este fin de semana.

Qué hacer: Dígale a sus colegas que está monitoreando la Brecha del tipo Kaseya. Tenga en cuenta que es poco probable que afecte a su empresa, pero brinda la oportunidad de reflexionar sobre la resiliencia operativa y la ciberseguridad en todos sus proveedores.

Esta brecha probablemente no perjudicará a su empresa. Existe una posibilidad muy pequeña (2%) de que su empresa resulte perjudicada porque un proveedor clave con que tenga su servicio de soporte de TI como servicio Administrado (MSP) y utilice el software de Kaseya haya sido afectado.

Tenga en cuenta que REvil no parece estar robando ni publicando datos de las empresas que piratean a través de Kaseya, solo cifrando archivos.

Inconveniente: en Suecia, millones de personas no pudieron comprar comida, petróleo, medicinas o tickets de tren con efectivo. Grandes empresas como Coop, St1 Energy y Swedish Rail, fueron afectadas con el Ransomware REvil por sus proveedores de Servicios Administrados (MSPs) que soportaban sus departamentos de TI.

Causa principal: el Ransomware REvil fue enviado a mas de 1.000 Empresas a través de sus proveedores de servicios administrado (MSP), estos usaban una version de software afectada de Kaseya “Virtual System Administration” (VSA) para soportar a sus clientes de TI.

El software VSA de Kaseya fue secuestrado previamente a través de una falla de día cero el Viernes 2 de Julio, que fue reportada a Kaseya por Dutch Cyber Authorities pero no a tiempo para prevenir el secuestro.

Aprendizaje: Cualquier brecha en la cadena de suministro de una compañía es una oportunidad para que los ejecutivos reflexiones de la sensibilidad de su seguridad de la información en toda la cadena. La brecha de Kaseya es similar a la the SolarWinds y Microsoft Exchange y todas ellas fueron anticipadas por SecurityScorecard.

Los hackers de Magecart ocultan los datos de tarjetas de crédito robadas en imágenes para una exfiltración evasiva

Los actores de delitos cibernéticos que forman parte del grupo Magecart se han aferrado a una nueva técnica para ocultar el código de malware dentro de los bloques de comentarios y codificar los datos de tarjetas de crédito robadas en imágenes y otros archivos alojados en el servidor, demostrando una vez más cómo los atacantes mejoran continuamente sus cadenas de infección. para escapar de la detección.

“Una táctica que emplean algunos actores de Magecart es el volcado de los detalles de las tarjetas de crédito pasadas en archivos de imagen en el servidor [para] evitar levantar sospechas”, “Estos se pueden descargar posteriormente mediante una simple solicitud GET en una fecha posterior”.

dijo el analista de seguridad de Sucuri, Ben Martin, en un artículo.

MageCart es el término general que se le da a varios grupos de ciberdelincuentes que se dirigen a sitios web de comercio electrónico con el objetivo de saquear números de tarjetas de crédito inyectando skimmers maliciosos de JavaScript y vendiéndolos en el mercado negro.

Fuente: https://thehackernews.com/2021/07/magecart-hackers-hide-stolen-credit.html

Esta semana en ciberseguridad – Julio, Semana 1

Microsoft advierte sobre un defecto crítico de “PrintNightmare” que se está explotando <<in-the-Wild>>

Microsoft confirmó oficialmente el jueves que la vulnerabilidad de ejecución remota de código (RCE) “PrintNightmare” que afecta a Windows Print Spooler es diferente del problema que la compañía abordó como parte de su actualización Patch Tuesday lanzada a principios de este mes, al tiempo que advierte que ha detectado intentos de explotación dirigidos a la falla.

La compañía está rastreando la debilidad de la seguridad con el identificador CVE-2021-34527.

“Existe una vulnerabilidad de ejecución remota de código cuando el servicio Windows Print Spooler realiza incorrectamente operaciones de archivos privilegiados”.

“Un atacante que aproveche con éxito esta vulnerabilidad podría ejecutar código arbitrario con privilegios de SISTEMA. Un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con derechos de usuario completos”

dijo Microsoft en su aviso.

“Un ataque debe involucrar a un usuario autenticado que llame a RpcAddPrinterDriverEx ()”.

agregó la firma con sede en Redmond.

El reconocimiento se produce después de que investigadores de la empresa de ciberseguridad Sangfor, con sede en Hong Kong, publicaran un análisis técnico profundo de una falla de Print Spooler RCE en GitHub, junto con un código PoC en pleno funcionamiento, antes de que fuera eliminado apenas unas horas después de que subió.

Fuentehttps://thehackernews.com/2021/07/microsoft-warns-of-critical.html

CISA ofrece una nueva mitigación para PrintNightmare Bug

CERT insta a los administradores a deshabilitar el servicio de cola de impresión de Windows en los controladores de dominio y los sistemas que no imprimen, mientras que Microsoft intenta aclarar la falla de RCE con una nueva asignación de CVE.

El gobierno de los EE. UU. Ha intervenido para ofrecer una mitigación para una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio Windows Print Spooler que puede no haber sido completamente parcheado por el esfuerzo inicial de Microsoft para solucionarlo.

Para mitigar el error, denominado PrintNightmare, el Centro de Coordinación CERT (CERT / CC) ha publicado un VulNote para CVE-2021-1675 instando a las administraciones del sistema a deshabilitar el servicio Windows Print Spooler en los controladores de dominio y sistemas que no imprimen, la infraestructura de ciberseguridad. and Security Administration (CISA) dijo en un comunicado el jueves. CERT / CC es parte del Instituto de Ingeniería de Software, un centro de investigación financiado con fondos federales y operado por la Universidad Carnegie Mellon.

Fuentehttps://threatpost.com/cisa-mitigation-printnightmare-bug/167515

TrickBot mejora su módulo troyano bancario

Después de centrarse casi exclusivamente en la entrega de ransomware durante el año pasado, los cambios de código podrían indicar que TrickBot está volviendo al juego del fraude bancario.

El troyano TrickBot está agregando capacidades de hombre en el navegador (MitB) para robar credenciales bancarias en línea que se asemejan a Zeus, el primer troyano bancario, dijeron los investigadores, lo que podría indicar una avalancha inminente de ataques de fraude.

TrickBot es una amenaza modular sofisticada (y común) conocida por robar credenciales y entregar una variedad de ransomware de seguimiento y otro malware. Pero comenzó como un troyano bancario puro, que recolectaba credenciales bancarias en línea al redirigir a los usuarios desprevenidos a sitios web de imitación maliciosos.

Según los investigadores de Kryptos Logic Threat Intelligence, esta funcionalidad se lleva a cabo mediante el módulo de inyección web de TrickBot. Cuando la víctima intenta visitar una URL de destino (como un sitio bancario), el paquete de inyección web TrickBot realiza una inyección web estática o dinámica para lograr su objetivo, como explicaron los investigadores:

“El tipo de inyección estática hace que la víctima sea redirigida a una réplica controlada por el atacante del sitio de destino previsto, donde luego se pueden recolectar las credenciales”.

“El tipo de inyección dinámica reenvía de forma transparente la respuesta del servidor al servidor de comando y control TrickBot (C2), donde la fuente se modifica para contener componentes maliciosos antes de devolverse a la víctima como si procediera del sitio legítimo”.

dijeron, en una publicación del jueves Kryptos Logic Threat Intelligence.

En la versión actualizada del módulo, TrickBot ha agregado soporte para “configuraciones de inyección web al estilo Zeus”, según Kryptos Logic, una forma adicional de inyectar código malicioso de forma dinámica en los destinos de los sitios bancarios objetivo.

Fuentehttps://threatpost.com/trickbot-banking-trojan-module/167521/

Esta semana en ciberseguridad – Junio, Semana 4

Reduzca el riesgo empresarial arreglando 3 puntos críticos de seguridad entre los EndPoint y la nube

Las aplicaciones empresariales solían vivir de forma segura en los centros de datos y los empleados de oficina conectados a las redes internas mediante computadoras portátiles o de escritorio administradas por la empresa. Y los datos estaban rodeados por un perímetro amurallado para mantener todo a salvo.

Todo eso cambió en los últimos 18 meses. Las empresas y los empleados tuvieron que adaptarse rápidamente a la tecnología en la nube y al trabajo remoto. La nube brindó a las empresas la agilidad para responder más rápidamente al cambio y la escala para adaptarse a un crecimiento rápido. El trabajo remoto impulsó la productividad al permitir a los empleados acceder a los datos de la nube desde cualquier lugar y con cualquier dispositivo.

Minimizar el riesgo empresarial

(1) Visibilidad completa: el primer paso para proteger sus datos es saber qué está sucediendo. Esto requiere visibilidad de los niveles de riesgo de los usuarios, dispositivos, aplicaciones y datos. La visibilidad también juega un papel clave para garantizar el cumplimiento de las regulaciones de privacidad de datos.
(2) Información unificada: su infraestructura de seguridad debe integrarse en una plataforma unificada para administrar políticas, detectar ciberamenazas y realizar investigaciones concluyentes de incidentes. Esto le brindará información útil desde los EndPoint hasta la nube.
(3) Acceso seguro para potenciar la productividad: para proteger los datos sin obstaculizar la productividad, es fundamental hacer cumplir el acceso Zero Trust que tiene la inteligencia para comprender y adaptarse a los cambios continuos en los usuarios, dispositivos, ubicaciones, aplicaciones y datos.

Para lograr la visibilidad y el control de acceso desde el EndPoint a la nube, las organizaciones requieren capacidades de seguridad similares a las del perímetro pero ahora entregadas desde la nube. En 2019, Gartner presentó Secure Access Service Edge (SASE), un marco que aborda estos desafíos y exige la integración de múltiples soluciones de seguridad en una arquitectura unificada.

Desde entonces, multitud de proveedores han integrado varias herramientas de seguridad en sus productos SASE. Algunos ofrecen seguridad en la nube, pero no seguridad de endpoints ni evaluación continua de riesgos. Otros tienen controles de acceso básicos, pero no analizan el comportamiento de los usuarios, no detectan malware sobre la marcha ni identifican brechas de cumplimiento. Y muchos no incluyen protecciones de datos avanzadas que cifran datos, correos electrónicos o archivos confidenciales y hacen cumplir reglas estrictas de intercambio de datos.

La interpretación de SASE de cada proveedor debe ser examinada cuidadosamente para garantizar que se integren y aborden de manera adecuada todos los aspectos críticos de cómo opera su organización ahora con trabajo remoto o híbrido. Este moderno enfoque de seguridad, con SASE y Zero Trust como piedras angulares, protegerá los datos desde los EndPoint hasta la nube al proporcionar una visibilidad fundamental de los dispositivos, usuarios, redes, privilegios de acceso y aplicaciones en la nube.

Fuente: https://thehackernews.com/2021/06/reduce-business-risk-by-fixing-3.html

Google amplía el soporte para el seguimiento de cookies de terceros hasta 2023

Google anunció planes para retrasar el lanzamiento de la iniciativa de desaprobar las cookies de terceros en el navegador Chrome desde principios de 2022 hasta finales de 2023, retrasando el proyecto en casi dos años.

“Si bien hay un progreso considerable con esta iniciativa, está claro que se necesita más tiempo en todo el ecosistema para hacerlo bien”

dijo el jueves el director de ingeniería de privacidad de Chrome, Vinay Goel.

Al ganar tiempo adicional, el gigante de las búsquedas dijo que espera llegar a un consenso sobre las soluciones adecuadas, al mismo tiempo que se relaciona con los reguladores y permite a los editores y a la industria de la publicidad migrar sus servicios a tecnologías que preservan la privacidad que impiden “formas alternativas de seguimiento y desalentar el surgimiento de enfoques encubiertos como fingerprinting”.

La nueva fecha llega poco después de un nuevo revés regulatorio en la Unión Europea, luego de que la Comisión Europea abriera una amplia investigación sobre el negocio de publicidad digital de Google para examinar sus “planes para prohibir la colocación de ‘cookies’ de terceros en Chrome. y reemplácelos con el conjunto de herramientas ‘Privacy Sandbox’, “y evalúe sus” efectos en la publicidad gráfica en línea y en los mercados de intermediación de publicidad gráfica en línea “

Las cookies de seguimiento de terceros han surgido como un punto de preocupación por la privacidad, ya que la tecnología permite a los especialistas en marketing y las plataformas publicitarias monitorear la actividad de los usuarios en línea mientras saltan de un sitio web a otro con fines de orientación por comportamiento. Safari de Apple y Firefox de Mozilla ya los bloquean por defecto.

Fuente: https://thehackernews.com/2021/06/google-extends-support-for-tracking.html

Los usuarios de My Book Live se despiertan con dispositivos borrados, ataques activos de RCE

“Estoy totalmente jodido”, se lamentó un usuario después de encontrar años de datos bombardeados. Western Digital recomendó desconectar los dispositivos de almacenamiento NAS lo antes posible: hay un exploit.

Si aún no lo ha hecho, deje de leer y desconecte su dispositivo de almacenamiento My Book Live, para que no se una a las filas de aquellos que se despertaron el jueves y descubrieron que se habían borrado años de datos en dispositivos de todo el mundo.

El dispositivo de almacenamiento My Book de Western Digital está diseñado para consumidores y empresas. Por lo general, se conecta a las computadoras a través de USB. El modelo específico involucrado en el incidente de demolición de datos se conoce como My Book Live: un modelo que utiliza un cable Ethernet para conectarse a una red local. Los usuarios pueden acceder de forma remota a los archivos y realizar cambios de configuración a través de la infraestructura en la nube de Western Digital.

Western Digital culpa a los borrados remotos, que han ocurrido incluso si los dispositivos de almacenamiento conectados a la red (NAS) están detrás de un firewall o enrutador, a la explotación de una vulnerabilidad de ejecución remota de comandos (RCE).

Fuente: https://threatpost.com/my-book-live-wiped-rce-attacks/167270/

Esta semana en ciberseguridad – Junio, Semana 3

Rusia prohíbe los servicios VyprVPN y Opera VPN por no cumplir con la solicitud de lista negra

El regulador ruso de telecomunicaciones y medios, Roskomnadzor (RKN), introdujo el jueves restricciones sobre la operación de los servicios VyprVPN y Opera VPN en el país.

“De acuerdo con el reglamento sobre la respuesta a las amenazas para eludir las restricciones de acceso a pornografía infantil, contenido suicida, pro-narcótico y otro contenido prohibido, se introducirán restricciones en el uso de los servicios VPN VyprVPN y Opera VPN a partir del 17 de junio de 2021”

Agencia Estatal Rusa

El organismo de control los describió como amenazas de acuerdo con el Decreto del Gobierno de la Federación de Rusia No. 127 del 12 de febrero, y agregó que las restricciones no afectarán a las empresas rusas que utilizan servicios VPN en procesos tecnológicos continuos.

El desarrollo se produce poco más de un mes después de que RKN enviara una solicitud a las empresas y organizaciones que utilizan los dos servicios VPN para informar al Centro de Monitoreo y Gestión de la Red Pública de Telecomunicaciones y buscar excepciones para evitar interrupciones en sus operaciones comerciales.

La agencia dijo que más de 200 procesos tecnológicos asociados con 130 empresas rusas están incluidos en las “listas blancas”.

Fuente: https://thehackernews.com/2021/06/russia-bans-vyprvpn-opera-vpn-services.html

Google lanza un nuevo Framework para prevenir ataques a la cadena de suministro de software

A medida que los ataques a la cadena de suministro de software surgen como un punto de preocupación a raíz de los incidentes de seguridad de SolarWinds y Codecov, Google propone una solución para garantizar la integridad de los paquetes de software y evitar modificaciones no autorizadas, llamado “Niveles de la cadena de suministro para artefactos de software” (SLSA, y se pronuncia “salsa”), el framework tiene como objetivo asegurar el desarrollo y la implementación de software, es decir, el flujo de trabajo de origen, compilación, publicación, y mitigar las amenazas surgen de la manipulación del código fuente, la plataforma de compilación y el repositorio de artefactos en cada eslabón de la cadena.

Google dijo que SLSA está inspirado en el propio mecanismo de ejecución interno de la compañía llamado Autorización Binaria para Borg, un conjunto de herramientas de auditoría que verifica la procedencia del código e implementa la identidad del código para asegurarse de que el software de producción implementado esté debidamente revisado y autorizado.

“En su estado actual, SLSA es un conjunto de pautas de seguridad que se pueden adoptar gradualmente y que se establecen por consenso de la industria”

Kim Lewandowski del equipo de seguridad de código abierto de Google y Mark Lodato de la autorización binaria para el equipo Borg

Fuente: https://thehackernews.com/2021/06/google-releases-new-framework-to.html

F5 Big-IP Vulnerable to Security-Bypass Bug

La falla de suplantación de KDC rastreada como CVE-2021-23008 se puede usar para omitir la seguridad de Kerberos e iniciar sesión en Big-IP Access Policy Manager o en la consola de administración.

El dispositivo Big-IP Application Delivery Services de F5 Networks contiene una vulnerabilidad de suplantación del centro de distribución de claves (KDC), revelaron los investigadores, que un atacante podría utilizar para superar las medidas de seguridad que protegen los Workloads sensibles.

Específicamente, un atacante podría aprovechar la falla (rastreada como CVE-2021-23008) para eludir la seguridad de Kerberos e iniciar sesión en Big-IP Access Policy Manager, según los investigadores de Silverfort. Kerberos es un protocolo de autenticación de red que está diseñado para proporcionar una autenticación sólida para aplicaciones cliente / servidor mediante el uso de criptografía de clave secreta. En algunos casos, el error también se puede usar para omitir la autenticación en la consola de administración de Big-IP, agregaron.

En cualquier caso, un ciberdelincuente podría obtener acceso sin restricciones a las aplicaciones de Big-IP, sin tener credenciales legítimas.

El impacto potencial podría ser significativo: F5 proporciona redes empresariales a algunas de las empresas de tecnología más grandes del mundo, incluidas Facebook, Microsoft y Oracle, así como a un tesoro de compañías Fortune 500, incluidas algunas de las instituciones financieras e ISP más grandes del mundo. .

Fuente: https://threatpost.com/f5-big-ip-security-bypass/165735/