Vulnerabilidades que no se pueden desinstalar y son indetectables


Más de 100 modelos de portátiles de Lenovo, utilizados por millones de personas en todo el mundo, contienen vulnerabilidades a nivel de firmware que ofrecen a los atacantes una forma de lanzar malware que puede persistir en un sistema incluso después de sustituir el disco duro o reinstalar el sistema operativo.

Eso pues se aloja en la memoria UEFI del equipo, una memoria flash situada en la placa madre de los equipos que es completamente independiente del sistema operativo, por lo que no puede ser manipulada.

Esto hace que aun formateando el equipo o cambiando el disco duro las vulnerabilidades sigan presentes haciéndolas prácticamente imposibles de eliminar e incluso detectar.

Dos de las vulnerabilidades (CVE-2021-3971 y CVE-2021-3972) afectan a los controladores de la Interfaz de Firmware Extensible Unificada (UEFI), que debían utilizarse únicamente durante el proceso de fabricación, pero que, por error, acabaron formando parte de la imagen de la BIOS que se suministraba con los ordenadores. El tercero (CVE-2021-3970) es un fallo de corrupción de memoria en una función de detección y registro de errores del sistema.

Recomendación

Para estos casos es actualizar lo antes posible aplicando los parches correspondientes de firmware y actualizando el BIOS de los equipos.

Es muy importante conocer cuántos equipos tienes en tu infraestructura, Proactivanet es una herramienta de gestión de activos de TI capaz de descubrir por completo los endpoints en tu parque informático, además te permite conocer cuántos de esos endpoints están bien parcheados y actualizados y en cuales necesitas tomar acciones.

Proactivanet también te brinda la información necesaria para saber si existen otras vulnerabilidades en tus equipos y a cuáles afecta, donde están y quién es el propietario, de esta forma puedes remediar todo tipo de amenazas de forma sencilla y mantener siempre la mejor visibilidad.

Proactivanet está presente en el portafolio de soluciones de Nova. Si te interesa la solución o requieres más información. Contáctanos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

CVE-2022-22965: Análisis sobre explotación de la vulnerabilidad Spring4Shell en el armado y ejecución del malware Mirai Botnet

Trend Micro Threat Research observó la explotación activa de la vulnerabilidad Spring4Shell asignada como CVE-2022-22965, que permite a los actores malintencionados armar y ejecutar el malware de botnet Mirai. La explotación permite a los actores de amenazas descargar la muestra de Mirai a la carpeta “/tmp” y ejecutarlos después del cambio de permiso usando “chmod”.

Comenzó a ver actividades maliciosas a principios de abril de 2022. También logró localizar el servidor de archivos de malware con otras variantes de la muestra para diferentes arquitecturas de CPU.

¿Qué es Spring Framework?

Spring Framework es parte del ecosistema Spring, que comprende otros componentes para la nube, datos y seguridad, entre otros.

Spring Framework se utiliza para desarrollar aplicaciones de nivel empresarial en Java. Es una plataforma que proporciona una infraestructura completa para admitir aplicaciones basadas en modelo, vista, controlador o MVC desarrolladas para reducir la configuración manual y mejorar la gestión de la memoria. También hace que el código sea más reutilizable y más fácil de mantener al implementar algunos patrones de diseño universalmente.

Dependencias, software y versiones afectadas

En el momento de escribir este artículo, la mayoría de las configuraciones vulnerables se generaron para las siguientes dependencias:

  • Versiones de Spring Framework anteriores a 5.2.20, 5.3.18 y Java Development Kit (JDK) versión 9 o superior
  • Apache Tomcat
  • Dependencia de spring-webmvc o spring-webflux
  • Usar el enlace de parámetros Spring que está configurado para usar un tipo de parámetro no básico, su acrónimo en inglés Plain Old Java Objects (POJO)
  • Desplegable, empaquetado como un archivo de aplicación web (WAR)
  • Sistema de archivos grabable como aplicaciones web o ROOT

En general, esta vulnerabilidad ocurre cuando se exponen objetos o clases especiales bajo ciertas condiciones. Es bastante común que los parámetros de solicitud estén vinculados a un POJO que no está anotado con @RequestBody, lo que ayuda a extraer parámetros de solicitudes HTTP. La variable de clase contiene una referencia al objeto POJO al que se asignan los parámetros HTTP.

Los actores de amenazas pueden acceder directamente a un objeto especificando la variable de clase en sus solicitudes. Los actores malintencionados también pueden acceder a todas las propiedades secundarias de un objeto a través de los objetos de clase. Como resultado, pueden acceder a todo tipo de otros objetos valiosos en el sistema simplemente siguiendo las cadenas de propiedades.

En Spring Core para “class.classLoader” y “class.protectionDomain”, la lógica evita el acceso malicioso a las propiedades secundarias del objeto de clase. Sin embargo, la lógica no es infalible y, de hecho, puede omitirse utilizando el selector “class.module.classLoader”.

Riesgos asociados si no se repara

La vulnerabilidad RCE brinda a los actores de amenazas acceso total a los dispositivos comprometidos, lo que la convierte en una vulnerabilidad crítica y peligrosa. Los actores maliciosos pueden lograr varios objetivos a través de ataques RCE. A diferencia de otros exploits, un ataque RCE suele dar como resultado lo siguiente:

  • Creación de una ruta para permitir el acceso inicial a un dispositivo que permite a los actores de amenazas instalar malware o lograr otros objetivos
  • Provisión de medios para propagar malware que extrae y extrae datos de un dispositivo, o habilitación de comandos que instalan malware diseñado para robar información
  • Denegación de servicio que interrumpe el funcionamiento de los sistemas u otras aplicaciones en el sistema
  • Despliegue y ejecución de malware de cryptomining o cryptojacking en dispositivos expuestos mediante la explotación de la vulnerabilidad RCE
  • Despliegue de ransomware que encripta archivos y retiene el acceso hasta que las víctimas paguen el rescate

Parches y mitigaciones disponibles

Se han lanzado parches para esta vulnerabilidad, se recomienda la actualización de:

  • Spring Framework a las versiones 5.3.18+ y 5.2.20+.
  • Spring Boot a las versiones 2.6.6+ y 2.5.12+.

Trend Micro también ha lanzado reglas y filtros para detección y protección en algunos de sus productos. Estos proporcionan protección adicional y detección de componentes maliciosos asociados a esta amenaza.

Workload Security y Deep Security IPS

  • Regla 1011372 – Spring Framework “Spring4Shell” Remote Code Execution Vulnerability (CVE-2022-22965)

Network Security y TippingPoint

  • Filtro 41108: HTTP: Spring Core Code Execution Vulnerability

Reglas inspección de contenido de red Trend Micro Deep Discovery Inspector

  • Regla 4678: CVE-2022-22965 – Spring RCE Exploit – HTTP(Request)
  • Regla 4679: Possible Java Classloader RCE Exploit – HTTP(Request)

Te invitamos a seguir las redes sociales de Nova Instagram, Facebook y LinkedIn para que estes enterado de ésta y más noticias y poder ayudarte a estar protegido a través del amplio portafolio de soluciones en Ciberseguridad con el que contamos incluyendo Trend Micro.

Consulta la fuente de este artículo aquí:

#NovaInforma

El mercado global de la Darknet “Hydra Market” ha sido cerrado.

El mercado ilegal más grande de la Darknet según estimaciones fue cerrado en Alemania hace unos días. Se reporta el incauto de 25 millones de dólares en Bitcoin.

Hydra Market.

Hydra Market era un mercado virtual en donde se llevaban a cabo todo tipo de actividades ilegales, entre ellas la compra de drogas, documentación falsa, servicios digitales (incluidos ciberataques), suplantación de identidad, distribución de software malicioso, e incluso el lavado de criptomonedas robadas entre muchas más actividades ilícitas, las estimaciones dicen que los usuarios de este mercado ascendían a 17 millones de personas.

¿Cómo sucedió?

Tras intensas investigaciones por parte del FBI, la DEA, la oficina de investigaciones de seguridad nacional de EUA y la división de investigación criminal de IRS comandados por la oficina central para combatir el cibercrimen de la fiscalía general de Francfort se emitió un comunicado el cual decía que el control de los servidores de Hydra había sido tomado en Alemania.

Sabemos que la plataforma funcionaba desde 2015 y representaba el 75% de las transacciones ilegales realizadas en línea.

Grupos de cibercriminales como Darkside frecuentaban esta plataforma. El modo de operar era muy sencillo, Hydra funcionaba como intermediario entre vendedores y compradores utilizando ubicaciones secretas de información, así los involucrados no tenían que encontrarse en persona.

También sabemos que Hydra tuvo su origen en Rusia y este caso se suma a otros cuantos como el derribo de Silk Road, Wall Street Market y AlphaBay todos estos mercados ilegales pero, sin duda, este es el caso más grande en mucho tiempo.

Sin embargo aún hay muchos mercados como este operando, por ello es muy importante estar protegido contra las actividades que podrían afectar los datos de nuestra organización.

Protege tu negocio con la garantía de Palo Alto Networks

Desde que Palo Alto Networks fue fundada, se ha dedicado no solo a crear productos y soluciones de seguridad, sino también a crear una plataforma operativa de seguridad que resuelva los innumerables retos a nivel de ciberseguridad que te permite automatizar con confianza la identificación, protección, detección y respuesta de amenazas a lo largo de todos tus ambientes: red, nube y endpoints.

La plataforma integrada de Palo Alto Networks te permite además adoptar fácilmente las mejores prácticas y utiliza un enfoque de cero confianza (Zero Trust) para reducir al máximo la superficie de ataque.

Palo Alto protege también todos los dispositivos IoT en el entorno y cuenta con la capacidad de reaccionar ante malware desconocido.

La tecnología de Palo Alto garantiza la única prevención de suplantación de identidad y software malicioso en línea de la industria y detiene amenazas desconocidas a medida que llegan a tu red. Palo Alto está presente en el portafolio de soluciones de Nova.Si te interesa la solución o requieres más información. contáctanos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda

Desafíos de ciberseguridad y Gestión de los activos de TI inherentes al trabajo híbrido y remoto.

El trabajo híbrido ha ayudado a allanar el camino para nuevas infracciones por parte de los ciberdelincuentes ya que la multitud de ubicaciones físicas y puntos de contacto a controlar se ha multiplicado por diez. Por lo tanto, estos cambios estructurales en el mundo del trabajo han dado lugar a nuevas preocupaciones para los equipos de TI: redes domésticas deficientes o desprotegidas, acceso a datos corporativos confidenciales a través de dispositivos personales y ciclos de parches irregulares. Por lo tanto, los desafíos de ciberseguridad son plurales y se han multiplicado por los ajustes relacionados con la pandemia.

Identificar los nuevos retos del trabajo híbrido

Las redes domésticas a menudo están conectadas a muchos dispositivos mal protegidos, lo que conduce a vulnerabilidades significativas, sin mencionar las actualizaciones que están lejos de llevarse a cabo diligentemente. Por lo tanto, los piratas informáticos pueden explotarlos fácilmente para irrumpir en las computadoras del trabajo con el fin de rebotar en el corazón de las redes de las organizaciones. De hecho, es una puerta trasera a menudo más fácil de enganchar para los ciberdelincuentes.

El mismo dispositivo también suele utilizarse tanto para tareas profesionales como personales: las computadoras que se utilizan originalmente para el trabajo a menudo se utilizan para proyectos personales, como revisar correos electrónicos o realizar compras en línea, y a la inversa, el trabajo a veces se realiza a través de una conexión doméstica. Esta situación se ha acentuado desde el inicio de la pandemia, sobre todo durante el primer confinamiento que obligo a muchas empresas a implementar el teletrabajo. Las organizaciones terminan careciendo de visibilidad y control sobre sus datos comerciales y su parque informático, y se vuelve más difícil determinar dónde se almacena su información y la atención al usuario es deficiente. La instalación de software no confiable y extensiones de navegador vulnerables, la visita a sitios maliciosos como parte de tareas personales, exponen los dispositivos corporativos a violaciones de datos.

Finalmente, el incumplimiento de los ciclos de parches y la falta de visibilidad en tiempo real, que es fundamental para la detección de amenazas, es un desafío importante para los equipos de seguridad. Debido a las restricciones de ancho de banda y las interrupciones de la red que afectan a las áreas remotas, es posible que los puntos finales no se conecten al sistema de administración de parches de la empresa durante largos períodos de tiempo. Los análisis de vulnerabilidades también se pueden omitir cuando los dispositivos no son accesibles en el momento en que se programan. Además, los canales utilizados para establecer conexiones seguras, como las VPN y otras plataformas de acceso remoto, pueden estar expuestos a vulnerabilidades de seguridad que pueden ser explotadas por los ciberdelincuentes si no se corrigen adecuadamente.

Solucionar problemas de seguridad

Ante la perpetuación del trabajo híbrido, los equipos de seguridad se enfrentan a situaciones en las que un empleado se conecta desde varias ubicaciones durante la misma semana, mientras trabaja desde su oficina en otros días.

La seguridad perimetral está desapareciendo poco a poco; de hecho, se ha vuelto esencial fortalecer la protección en torno a la identidad y los dispositivos. Por lo tanto, la adopción de un modelo de seguridad “Zero Trust” es esencial para minimizar el riesgo de compromiso. Las plataformas de protección de endpoints que pueden configurar, parchear y administrar de forma segura sistemas operativos y aplicaciones de forma remota también son herramientas valiosas. Protegen eficazmente los dispositivos finales en el entorno corporativo, principalmente las estaciones de trabajo estándar, PC y portátiles, así como los dispositivos móviles como teléfonos inteligentes y tabletas.

Lo más importante ¿Cómo sabemos o cómo controlamos la gestión de esos dispositivos pertenecientes a la organización? Aquí entra en juego una herramienta que nos ayuda a gestionar nuestro parque informático, Tanium es una herramienta que nos permite conocer con total certeza y fiabilidad el inventario de todo el parque informático de nuestra organización en cualquier momento y en cualquier lugar, así como sus licencias de software y su configuración automática. Esta herramienta es muy importante para la toma de decisiones, también nos ayuda en los casos de realizar auditorías, tanto de hardware como de software, ya que además de poder conocer con exactitud las características del hardware de nuestro parque informático, también podemos saber el número de licencias de todos los productos de software que están utilizando nuestros usuarios, y el uso real que se hace de ellos.

Síguenos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información.

Consulta la Fuente de esta noticia aquí:

#NovaRecomienda