GitLab ha distribuido parches de emergencia —17.10.1, 17.9.3 y 17.8.6— para mitigar la vulnerabilidad CVE-2025-2867, una indirect prompt injection que afectaba a su asistente de IA GitLab Duo y que ya había sido demostrada públicamente por Legit Security.
¿En qué consistía el fallo?
La debilidad permitía inyectar instrucciones ocultas —comentarios blancos, texto codificado en Base16 o manipulado con Unicode smuggling— dentro de merge requests, issues o incluso el propio código. Cuando Duo procesaba ese contexto, obedecía las órdenes maliciosas y podía:
Exfiltrar fragmentos de código privado a un servidor controlado por el atacante.
Inyectar HTML o JavaScript en las respuestas, redirigiendo al desarrollador a sitios de phishing o paquetes maliciosos.
Todas las ediciones CE/EE desde la rama 17.8 hasta la 17.10.0 inclusive estaban expuestas a un ataque de indirect prompt injection, que explota la confianza que la IA otorga al contexto no estructurado para manipular su comportamiento. Un atacante que lograra introducir un “comentario trampa” —por ejemplo, mediante un fork o una simple sugerencia de cambio— podía robar propiedad intelectual, filtrar zero-days internos o engañar a otros desarrolladores para que importaran dependencias maliciosas. El 26 de marzo de 2025, GitLab publicó las versiones corregidas 17.10.1, 17.9.3 y 17.8.6, y GitLab.com ya ejecuta el código seguro.
Recomendaciones
Actualizar inmediatamente a una versión parcheada.
Si la actualización se retrasa, deshabilitar GitLab Duo (GITLAB_DUO_DISABLED=true) y limitar su uso a repositorios públicos.
Revisar registros de Duo y tráfico saliente en busca de respuestas que incluyan URLs o código fuera del dominio corporativo.
Implementar filtros que bloqueen texto oculto o codificado en comentarios y descripciones.
En un mundo donde las imágenes se utilizan para informar o entretener, una nueva generación de ataques de phishing las utiliza para engañar y robar. Un informe reciente de Trustwave SpiderLabs revela un aumento del 1.800 % en los ataques de phishing que utilizan archivos SVG (gráficos vectoriales escalables) como medios de distribución.
Estos archivos de imagen, ligeros y aparentemente inofensivos, se están convirtiendo en la herramienta predilecta de los ciberdelincuentes para el robo de credenciales, la distribución de malware y la elusión de la autenticación multifactor.
Los archivos SVG se utilizan en toda la web para crear iconos y logotipos nítidos. A diferencia de los formatos PNG o JPEG, los SVG se basan en XML y pueden incrustar JavaScript, lo que les permite transportar código interactivo o, en este caso, scripts maliciosos. «Los ciberdelincuentes aprovechan esta característica insertando scripts maliciosos directamente en los archivos SVG, lo que permite el acceso no autorizado, el robo de datos y la vulneración de la identidad».
Los archivos SVG se procesan de forma nativa en los navegadores, y la mayoría de los clientes de correo electrónico no los escanean ni los protegen, lo que los convierte en vectores ideales para el phishing.
En una campaña, los atacantes imitaron una notificación de correo de voz de Microsoft Teams. El correo electrónico de phishing parecía legítimo e instaba a los usuarios a descargar un supuesto archivo adjunto de audio: un archivo .SVG malicioso.
«A pesar de su extensión .SVG, el archivo está diseñado para parecer un mensaje de voz… Al hacer clic, ejecuta un código de redirección incrustado que lleva a los usuarios a una página de inicio de sesión falsa de Office 365.»
El script utilizaba la etiqueta SVG <foreignObject> y ofuscación Base64, eludiendo las herramientas tradicionales de seguridad del correo electrónico. Al abrirse, la imagen mostraba un logotipo falso de Microsoft y redirigía a las víctimas a una página de recolección de credenciales.
Esta campaña estaba vinculada a Mamba2FA, un grupo de phishing como servicio (PhaaS) conocido por su capacidad para eludir las protecciones de MFA.
El phishing basado en SVG ahora se ve impulsado por sofisticadas plataformas de phishing como servicio (PaaS) como:
Tycoon2FA
Mamba2FA
Sneaky2FA
Estos kits permiten a los atacantes:
Integrar scripts ofuscados de varias capas en SVG
Realizar phishing de tipo «Ataque en el Intermedio» (AiTM)
Redireccionar a los usuarios a páginas que eluden la autenticación multifactor (MFA) y recopilan credenciales
«El aumento del phishing en SVG sugiere que los actores de amenazas están expandiendo continuamente sus tácticas para eludir las medidas de seguridad más allá de los códigos QR y los métodos tradicionales, incluyendo enlaces, HTML y ataques basados en documentos», concluye el informe. Para combatir esta amenaza, Trustwave SpiderLabs recomienda un enfoque multifacético:
Evalúar la opción de bloquear correos electrónicos con archivos adjuntos en SVG o, como mínimo, marcarlos con una advertencia.
Tener cuidado con los archivos adjuntos y enlaces: sospechar de los archivos inesperados y los enlaces incrustados.
Verificar la autenticidad de los remitentes y el contenido.
Capacitar a los empleados regularmente.
Implementar sistemas robustos de filtrado y detección de amenazas.
Implementar métodos de autenticación multifactor (MFA) con capas adicionales
Reforzar las defensas con métodos resistentes al phishing.
Investigadores han revelado detalles de una plataforma impulsada por inteligencia artificial (IA) llamada AkiraBot, que se utiliza para enviar spam a chats, secciones de comentarios y formularios de contacto de sitios web con el fin de promocionar servicios de optimización para motores de búsqueda (SEO) dudosos como Akira y ServicewrapGO.
«AkiraBot ha atacado más de 400.000 sitios web y ha enviado spam con éxito a al menos 80.000 desde septiembre de 2024», declararon los investigadores de SentinelOne, Alex Delamotte y Jim Walter, en un informe. «El bot utiliza OpenAI para generar mensajes de contacto personalizados según el propósito del sitio web».
Los objetivos de esta actividad incluyen formularios de contacto y widgets de chat presentes en sitios web de pequeñas y medianas empresas, y el framework comparte contenido spam generado mediante los modelos de lenguaje (LLM) de OpenAI. Lo que distingue a esta extensa herramienta basada en Python es su capacidad para crear contenido que permite eludir los filtros de spam.
Se cree que la herramienta de mensajería masiva se ha utilizado al menos desde septiembre de 2024, comenzando con el nombre «Shopbot», en lo que parece ser una referencia a los sitios web que utilizan Shopify.
Con el tiempo, AkiraBot ha ampliado su alcance de segmentación para incluir sitios desarrollados con GoDaddy, Wix y Squarespace, así como aquellos con formularios de contacto genéricos y widgets de chat en vivo creados con Reamaze.
La clave de la operación, que consiste en generar el contenido de spam, se facilita mediante el uso de la API de OpenAI. La herramienta también ofrece una interfaz gráfica de usuario (GUI) para seleccionar la lista de sitios web objetivo y personalizar cuántos de ellos se pueden atacar simultáneamente.
«AkiraBot crea mensajes de spam personalizados para los sitios web objetivo procesando una plantilla que contiene un esquema genérico del tipo de mensaje que debe enviar el bot», explicaron los investigadores. «La plantilla se procesa mediante una solicitud enviada a la API de chat de OpenAI para generar un mensaje de contacto personalizado basado en el contenido del sitio web».
Un análisis del código fuente revela que el cliente OpenAI utiliza el modelo gpt-4o-mini y se le asigna la función de «asistente útil que genera mensajes de marketing».
Otro aspecto destacable del servicio es que puede sortear las barreras CAPTCHA para enviar spam a sitios web a gran escala y evadir las detecciones basadas en la red mediante un servicio de proxy que se suele ofrecer a los anunciantes. Los servicios CAPTCHA objetivo son hCAPTCHA, reCAPTCHA y Cloudflare Turnstile.
Para lograrlo, el tráfico web del bot está diseñado para simular un usuario final legítimo y utiliza diferentes servidores proxy de SmartProxy para ocultar el origen del tráfico.
AkiraBot también está configurado para registrar sus actividades en un archivo llamado «submissions.csv», que registra tanto los intentos de spam exitosos como los fallidos. Un análisis de estos archivos ha revelado que más de 420.000 dominios únicos han sido atacados hasta la fecha. Además, las métricas de éxito relacionadas con la evasión de CAPTCHA y la rotación de proxy se recopilan y se publican en un canal de Telegram a través de la API.
En respuesta a los hallazgos, OpenAI ha desactivado la clave API y otros recursos asociados utilizados por los actores de amenazas. «El autor o los autores han invertido un esfuerzo considerable en la capacidad de este bot para evadir las tecnologías CAPTCHA de uso común, lo que demuestra que los operadores están motivados a violar las protecciones de los proveedores de servicios. El uso por parte de AkiraBot del contenido de mensajes de spam generados por LLM demuestra los nuevos desafíos que la IA plantea para la defensa de los sitios web contra los ataques de spam».
Fortinet ha revelado que actores de amenazas han encontrado una manera de mantener el acceso de solo lectura a dispositivos FortiGate vulnerables, incluso después de que se parcheara el vector de acceso inicial utilizado para vulnerarlos.
Se cree que los atacantes aprovecharon vulnerabilidades de seguridad conocidas y ahora parcheadas, incluyendo, entre otras, CVE-2022-42475, CVE-2023-27997, y CVE-2024-21762.
«Un actor de amenazas utilizó una vulnerabilidad conocida para implementar acceso de solo lectura a dispositivos FortiGate vulnerables», declaró la compañía en un aviso publicado el jueves. «Esto se logró mediante la creación de un enlace simbólico que conectaba el sistema de archivos del usuario con el sistema de archivos raíz en una carpeta utilizada para servir archivos de idioma para SSL-VPN».
Fortinet afirmó que las modificaciones se realizaron en el sistema de archivos del usuario y lograron evadir la detección, lo que provocó que el enlace simbólico (también conocido como symlink) permaneciera incluso después de que se solucionaran las vulnerabilidades de seguridad responsables del acceso inicial.
Esto, a su vez, permitió a los actores de amenazas mantener acceso de solo lectura a los archivos del sistema de archivos del dispositivo, incluidas las configuraciones. Sin embargo, los clientes que nunca han habilitado SSL-VPN no se ven afectados por el problema.
No está claro quién está detrás de la actividad, pero Fortinet afirmó que su investigación indicó que no se dirigía a ninguna región o industria específica. También indicó que notificó directamente a los clientes afectados por el problema.
Como medidas adicionales para evitar que estos problemas vuelvan a ocurrir, se han implementado una serie de actualizaciones de software para FortiOS:
FortiOS 7.4, 7.2, 7.0, 6.4: El enlace simbólico se marcó como malicioso, por lo que el motor antivirus lo eliminó automáticamente.
FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 y 6.4.16: Se eliminó el enlace simbólico y se modificó la interfaz de usuario de SSL-VPN para evitar la publicación de estos enlaces simbólicos maliciosos.
Se recomienda a los clientes que actualicen sus instancias a las versiones 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16 de FortiOS, revisen las configuraciones de los dispositivos, las consideren potencialmente comprometidas y realicen las acciones de recuperación adecuadas.
CISA ha emitido un aviso propio, instando a los usuarios a restablecer las credenciales expuestas y a considerar la desactivación de la funcionalidad SSL-VPN hasta que se puedan aplicar los parches. El Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR), en un boletín similar, afirmó tener conocimiento de vulnerabilidades que se remontan a principios de 2023.
OpenSSL 3.5 se lanzó una importante actualización de esta biblioteca de software libre, multiplataforma y de código abierto que proporciona comunicaciones seguras a través de redes informáticas para aplicaciones y sitios web.
OpenSSL 3.5 es una versión estable a largo plazo (LTS) y tendrá soporte hasta el 8 de abril de 2030.
Más de seis meses después de OpenSSL 3.4, la versión 3.5 de OpenSSL introduce nuevas características como compatibilidad con QUIC del lado del servidor (RFC 9000), compatibilidad con pilas QUIC de terceros (incluida la compatibilidad con 0-RTT), compatibilidad con algoritmos PQC (ML-KEM, ML-DSA y SLH-DSA) y compatibilidad con la generación central de claves en CMP.
OpenSSL 3.5 también introduce compatibilidad con objetos de clave simétrica opacos (EVP_SKEY), compatibilidad con múltiples claves compartidas TLS, una mejor configuración de grupos de establecimiento de claves TLS y compatibilidad con API para la segmentación en los algoritmos de cifrado proporcionados.
Además, esta versión añade la nueva opción de configuración «no-tls-deprecated-ec» para deshabilitar la compatibilidad con los grupos TLS obsoletos en la RFC8422, así como la nueva opción de configuración «enable-fips-jitter» para que el proveedor FIPS utilice la fuente de semilla JITTER.
OpenSSL 3.5 también modifica la lista predeterminada de grupos compatibles con TLS para incluir y priorizar grupos híbridos PQC KEM, modifica las claves compartidas TLS predeterminadas para ofrecer X25519MLKEM768 y X25519, cambia el cifrado predeterminado para las aplicaciones req, cms y smime de des-ede3-cbc a aes-256-cbc y deshabilita todas las funciones BIO_meth_get_*().
Existe un problema conocido, que los desarrolladores planean solucionar en OpenSSL 3.5.1: un error al llamar a SSL_accept en los objetos devueltos desde SSL_accept_connection. Se espera que esta llamada avance el protocolo de enlace SSL para la conexión realizada, pero actualmente no es así. Esto se puede gestionar llamando a SSL_do_handshake.
Para más detalles, consulte las notas de la versión. Mientras tanto, puede descargar OpenSSL 3.5 ahora mismo desde el sitio web oficial. Se recomienda a todos los usuarios, sitios web y sistemas operativos que actualicen a esta versión lo antes posible.
Desde hace semanas, expertos en ciberseguridad han alertado sobre una intensificación de los ataques por fuerza bruta contra dispositivos de red. Según el informe de The Shadowserver Foundation, la ofensiva no es nueva, pero ha alcanzado un nivel crítico recientemente.
Este tipo de ataque consiste en probar miles de combinaciones de usuario y contraseña hasta encontrar la correcta, utilizando programas automatizados.
2,8 millones de direcciones IP involucradas
Lo que hace a esta ofensiva especialmente preocupante es su escala global. Las conexiones maliciosas provienen de millones de direcciones IP de diversos países.
Los delincuentes aprovechan vulnerabilidades en estos dispositivos antiguos o sin soporte para convertirlos en herramientas de ataque, lo que refuerza la importancia de mantener los sistemas actualizados. Para ello, han desplegado una red de dispositivos comprometidos mediante un botnet, infectando routers de marcas como MikroTik, Huawei, Cisco, Boa y ZTE. Estos equipos, sin las actualizaciones adecuadas, han sido tomados por los ciberdelincuentes para lanzar ataques masivos contra objetivos específicos. En esta ocasión, los atacantes han centrado sus esfuerzos en dispositivos de Palo Alto Networks, Ivanti y SonicWall, todos ellos esenciales en infraestructuras de seguridad digital.
Uno de los aspectos más inquietantes de esta campaña es la sofisticación de sus métodos para evadir los sistemas de seguridad. n lugar de utilizar servidores proxy convencionales, se apoyan en proxies residenciales, que les permiten ocultar sus actividades tras direcciones IP legítimas de usuarios reales. De esta manera, logran evitar las restricciones que suelen detectar y bloquear accesos sospechosos.
Este enfoque hace que los intentos de intrusión sean mucho más difíciles de identificar y frenar, lo que aumenta la efectividad del ataque. Aunque esta campaña ha alcanzado un nivel preocupante, no es la primera vez que ocurre algo similar. En abril de 2024, Cisco advirtió sobre un aumento significativo de ataques de fuerza bruta dirigidos a dispositivos de seguridad de empresas como CheckPoint, Fortinet, SonicWall y Ubiquiti.
Cómo protegerse de estos ataques
Ante esta amenaza global, se recomienda tomar medidas urgentes para proteger los dispositivos de red:
Usar contraseñas seguras: evitar credenciales débiles y optar por combinaciones complejas para dificultar los ataques por fuerza bruta.
Activar la autenticación en dos pasos (2FA): añadir una capa extra de seguridad impide el acceso no autorizado, incluso si los atacantes logran descifrar la contraseña.
Restringir el acceso por IP: configurar los dispositivos para que solo permitan conexiones desde direcciones IP de confianza.
Mantener los equipos actualizados: instalar parches de seguridad y actualizar dispositivos regularmente para evitar que vulnerabilidades conocidas sean explotadas.
Reemplazar equipos obsoletos: si el dispositivo ya no recibe soporte o actualizaciones, es crucial considerar su sustitución por modelos más seguros.
MITRE ha lanzado oficialmente D3FEND 1.0, una innovadora ontología de ciberseguridad diseñada para estandarizar el vocabulario y las técnicas utilizadas para contrarrestar las ciberamenazas maliciosas.
Este marco innovador, financiado por la Agencia de Seguridad Nacional (NSA) y el Departamento de Defensa de los EE.UU. (DoD), tiene como objetivo mejorar las operaciones de ciberseguridad y la toma de decisiones estratégicas en todas las industrias.
D3FEND, presentado por primera vez como versión beta en junio de 2021, ha experimentado un desarrollo significativo durante los últimos tres años. Su gráfico semántico ha triplicado su tamaño, lo que refleja las contribuciones de una comunidad diversa de expertos en ciberseguridad, incluidos arquitectos de seguridad e ingenieros de detección.
El resultado es un modelo sólido basado en casos de uso que proporciona un marco estable y extensible para abordar las complejidades de los desafíos de la ciberseguridad moderna.
“D3FEND 1.0 refleja la experiencia y la visión colectivas de una comunidad diversa de ciberseguridad”, dijo Wen Masters, vicepresidente de tecnologías cibernéticas de MITRE. “Es más que una herramienta, es un camino hacia estrategias defensivas más inteligentes y matizadas”.
En esencia, D3FEND funciona como una “piedra de Rosetta” para los defensores cibernéticos al establecer un lenguaje común para las actividades defensivas y los sistemas que protegen.
Según Peter Kaloroumakis, principal ontólogo aplicado en MITRE, “Aunque D3FEND se centra en la tecnología, en realidad está resolviendo un problema humano: lograr que todos estén en la misma página con un vocabulario compartido es esencial para el análisis estratégico y la construcción de sistemas seguros”.
Características de D3FEND 1.0
Herramienta de defensa contra ataques cibernéticos (CAD): esta herramienta interactiva permite a los usuarios aplicar la ontología completa a escenarios específicos mediante la vinculación de nodos en un lienzo visual. Los usuarios pueden explorar inferencias y compartir sus gráficos CAD en redes.
Técnicas defensivas ampliadas: la versión incluye nuevas taxonomías para el control de identidad y acceso, tecnología operativa, fortalecimiento del código fuente y modelado de vulnerabilidades mediante la integración con Common Weakness Enumeration (CWE).
Precisión ontológica: D3FEND, que se basa en los estándares OWL 2 DL, garantiza la compatibilidad con las principales ontologías superiores para aplicaciones semánticas más amplias.
Actualizaciones transparentes: una nueva estrategia de ciclo de vida del contenido garantiza actualizaciones predecibles para una adaptación perfecta.
MITRE anima a los profesionales de la ciberseguridad a explorar D3FEND 1.0 y contribuir a su evolución. MITRE tiene como objetivo mejorar las capacidades de defensa de la ciberseguridad fomentando la colaboración y la innovación en un panorama de amenazas cada vez más sofisticado.
Un grupo de delincuentes informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.474 dispositivos FortiGate de forma gratuita , lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.
Los datos fueron filtrados por el “Grupo Belsen”, que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el grupo ha creado un sitio web en TOR donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.
La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.
Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.
En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada “fortigate-tech-support”.
El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2. “No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022”.
Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.
A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red. Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.
Actualización: los datos de las IP sin procesar, están disponibles aquí y también hemos publicado lalista separada por país/ciudad.
El investigador de seguridad MrAle_98 publicó recientemente un exploit de prueba de concepto (PoC) para la vulnerabilidad Zero-Day, CVE-2024-49138 recientemente soluciona por Microsoft en diciembre de 2024. Esta falla, que afecta al controlador del sistema de archivos de registro común (CLFS) de Windows, tiene una puntuación CVSS de 7,8 y permite a los atacantes obtener privilegios de SYSTEM en los dispositivos afectados.
La vulnerabilidad, descrita como una falla de elevación de privilegios, está vinculada al controlador CLFS, un componente central de Windows utilizado para registrar las operaciones del sistema. Si bien los detalles específicos sobre la explotación son escasos, Microsoft confirmó que se había explotado activamente antes del lanzamiento del parche.
Según el aviso de Microsoft, esta vulnerabilidad afecta a una amplia gama de sistemas Windows. “Este exploit se probó en Windows 11 23H2”, señaló MrAle_98, lo que sugiere su posible impacto en las últimas iteraciones de Windows.
El equipo de investigación avanzada de CrowdStrike identificó inicialmente esta vulnerabilidad. Si bien Microsoft no ha revelado los detalles de los ataques que aprovechan CVE-2024-49138, la participación de una empresa de seguridad líder sugiere que es posible que se publique un informe detallado sobre la explotación.
Para aumentar la urgencia, el investigador de seguridad MrAle_98 publicó un exploit de prueba de concepto (PoC) para CVE-2024-49138 en GitHub. Esta medida ha facilitado que los actores de amenazas puedan replicar el ataque, lo que aumenta el riesgo para los sistemas sin parches. La publicación en GitHub destaca aún más la necesidad de que las organizaciones y los usuarios individuales actúen con rapidez para aplicar las actualizaciones del martes de parches de diciembre de 2024.
Microsoft abordó este problema en su publicación del martes de parches de diciembre, que incluía correcciones para 71 vulnerabilidades en todo su ecosistema de productos.
Una red global de unos 13.000 routers Mikrotik secuestrados se ha utilizado como botnet para propagar malware a través de campañas de spam.
La actividad “se aprovecha de los registros DNS mal configurados para pasar las técnicas de protección de correo electrónico”, dijo el investigador de seguridad de Infoblox, David Brunsdon, en un informe técnico publicado la semana pasada. “Esta botnet utiliza una red global de routers Mikrotik para enviar correos electrónicos maliciosos que están diseñados para parecer que provienen de dominios legítimos”.
La empresa de seguridad DNS, que ha dado a la campaña el nombre en código Mikro Typo, dijo que su análisis surgió del descubrimiento de una campaña de malspam a fines de noviembre de 2024 que aprovechó señuelos relacionados con facturas para incitar a los destinatarios a descargar un archivo ZIP.
El archivo ZIP contiene un archivo JavaScript ofuscado, que luego es responsable de ejecutar un script de PowerShell diseñado para iniciar una conexión saliente a un servidor de comando y control (C2) ubicado en la dirección IP 62.133.60[.]137.
Se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en los routers, pero se han visto afectadas varias versiones de firmware, incluidas las vulnerables a CVE-2023-30799, un problema crítico de escalamiento de privilegios que podría usarse para lograr la ejecución de código arbitrario.
“Independientemente de cómo se hayan visto comprometidos, parece que el actor ha estado colocando un script en los dispositivos [Mikrotik] que habilita SOCKS (Secure Sockets), que permite que los dispositivos funcionen como redirectores TCP”, dijo Brunsdon. “Habilitar SOCKS convierte efectivamente cada dispositivo en un proxy, enmascarando el verdadero origen del tráfico malicioso y haciendo que sea más difícil rastrearlo hasta la fuente”.
Otro motivo de preocupación es la falta de autenticación necesaria para utilizar estos servidores proxy, lo que permite a otros actores de amenazas utilizar dispositivos específicos o toda la botnet para fines maliciosos, que van desde ataques de denegación de servicio distribuido (DDoS) hasta campañas de phishing.
Se ha descubierto que la campaña de spam malicioso en cuestión explota una configuración incorrecta en los registros TXT del marco de políticas de remitente (SPF) de 20.000 dominios, lo que da a los atacantes la capacidad de enviar correos electrónicos en nombre de esos dominios y eludir varias protecciones de seguridad del correo electrónico.
En concreto, se ha descubierto que los registros SPF están configurados con la opción extremadamente permisiva “+all”, lo que básicamente anula el propósito de tener la protección en primer lugar. Esto también significa que cualquier dispositivo, como los routers MikroTik comprometidos, puede falsificar el dominio legítimo en el correo electrónico.
Se recomienda a los propietarios de dispositivos MikroTik que mantengan sus equipos actualizados y cambien las credenciales de cuenta predeterminadas para evitar cualquier intento de explotación.
“Con tantos dispositivos MikroTik comprometidos, la botnet es capaz de lanzar una amplia gama de actividades maliciosas, desde ataques DDoS hasta robo de datos y campañas de phishing”, dijo Brunsdon. “El uso de proxies SOCKS4 complica aún más los esfuerzos de detección y mitigación, lo que resalta la necesidad de medidas de seguridad sólidas”.
Se han identificado varias vulnerabilidades críticas en los enrutadores MikroTik y la versión de firmware de un enrutador no siempre está disponible, pero vimos una variedad de versiones afectadas, incluidas las versiones de firmware recientes. Aquí se describe una vulnerabilidad de ejecución de código remoto con un exploit: https://vulncheck.com/blog/mikrotik-foisted-revisited
Autocomprobación
Si tienes un nombre de dominio que quieres comprobar para ver si tiene un registro SPF y cómo está configurado, simplemente se pueden ver sus registros TXT de DNS.
En Linux o MacOS:
dig +short txt example.com | grep spf
En Windows, se puede usar nslookup con un poco de PowerShell.
Una evaluación exhaustiva de tres modelos de firewall de Palo Alto Networks ha descubierto una serie de fallas de seguridad conocidas que afectan el firmware de los dispositivos, así como funciones de seguridad mal configuradas.
“No se trataba de vulnerabilidades ocultas ni de casos excepcionales”, afirmó el proveedor de seguridad Eclypsium en un informe. “En cambio, se trataba de problemas muy conocidos que no esperaríamos ver ni siquiera en una computadora portátil de consumo. Estos problemas podrían permitir a los atacantes evadir incluso las protecciones de integridad más básicas, como el arranque seguro, y modificar el firmware del dispositivo si se los explota”.
La empresa afirmó que analizó tres dispositivos de firewall de Palo Alto Networks, PA-3260, PA-1410 y PA-415, el primero de los cuales llegó oficialmente al final de su período de comercialización el 31 de agosto de 2023. Los otros dos modelos son plataformas de firewall totalmente compatibles.
La lista de fallas identificadas, denominadas colectivamente PANdora’s Box, es la siguiente:
CVE-2020-10713, también conocida como BootHole (afecta a PA-3260, PA-1410 y PA-415), se refiere a una vulnerabilidad de desbordamiento de búfer que permite una omisión de arranque seguro en sistemas Linux con la función habilitada.
LogoFAIL (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades críticas descubiertas en el código de la Interfaz de Firmware Extensible Unificada (UEFI) que explotan fallas en las bibliotecas de análisis de imágenes integradas en el firmware para eludir el Arranque Seguro y ejecutar código malicioso durante el inicio del sistema.
PixieFail (Afecta a PA-1410 y PA-415), que se refiere a un conjunto de vulnerabilidades en la pila de protocolos de red TCP/IP incorporada en la implementación de referencia de UEFI que podría conducir a la ejecución de código y la divulgación de información.
Vulnerabilidad de control de acceso flash inseguro (Afecta a PA-415), que se refiere a un caso de controles de acceso flash SPI mal configurados que podrían permitir a un atacante modificar UEFI directamente y eludir otros mecanismos de seguridad.
CVE-2023-1017 (Afecta a PA-415), que se refiere a una vulnerabilidad de escritura fuera de límites en la especificación de la biblioteca de referencia del Módulo de Plataforma Confiable (TPM) 2.0.
“Estos hallazgos ponen de relieve una verdad fundamental: incluso los dispositivos diseñados para proteger pueden convertirse en vectores de ataque si no se protegen y mantienen adecuadamente”, afirmó Eclypsium. “A medida que los actores de amenazas continúan atacando los dispositivos de seguridad, las organizaciones deben adoptar un enfoque más integral para la seguridad de la cadena de suministro”.
Esto incluye evaluaciones rigurosas de los proveedores, actualizaciones periódicas de firmware y monitoreo continuo de la integridad de los dispositivos. Al comprender y abordar estas vulnerabilidades ocultas, las organizaciones pueden proteger mejor sus redes y datos de ataques sofisticados que explotan las mismas herramientas diseñadas para protegerlos.
Un grupo de académicos ha revelado detalles de más de 100 vulnerabilidades de seguridad que afectan a las implementaciones LTE y 5G y que podrían ser explotadas por un atacante para interrumpir el acceso al servicio e incluso ganar terreno en la red central celular.
Las 119 vulnerabilidades, a las que se les asignaron 97 identificadores CVE únicos, abarcan siete implementaciones LTE (Open5GS, Magma, OpenAirInterface, Athonet, SD-Core, NextEPC, srsRAN) y tres implementaciones 5G (Open5GS, Magma, OpenAirInterface), según investigadores de la Universidad de Florida y la Universidad Estatal de Carolina del Norte.
“Cada una de las más de 100 vulnerabilidades que se analizan a continuación se puede utilizar para interrumpir de forma persistente todas las comunicaciones celulares (llamadas telefónicas, mensajería y datos) a nivel de toda la ciudad”, dijeron los investigadores.
“Un atacante puede bloquear continuamente la entidad de gestión de movilidad (MME) o la función de gestión de acceso y movilidad (AMF) en una red LTE/5G, respectivamente, simplemente enviando un único paquete de datos pequeño a través de la red como un usuario no autenticado (no se requiere tarjeta SIM).”
El descubrimiento es el resultado de un ejercicio de fuzzing, denominado RANsacked, realizado por los investigadores contra las interfaces de la Red de Acceso por Radio (RAN)-Core que son capaces de recibir información directamente de los teléfonos móviles y las estaciones base.
Los investigadores dijeron que varias de las vulnerabilidades identificadas se relacionan con desbordamientos de búfer y errores de corrupción de memoria que podrían utilizarse como arma para violar la red central celular y aprovechar ese acceso para monitorear la ubicación del teléfono celular y la información de conexión para todos los suscriptores a nivel de toda la ciudad, realizar ataques dirigidos a suscriptores específicos y realizar otras acciones maliciosas en la red misma.
Además, las fallas identificadas se dividen en dos grandes categorías: las que pueden ser explotadas por cualquier dispositivo móvil no autenticado y las que pueden ser utilizadas como arma por un adversario que haya comprometido una Compromised a Base Stationo una Femtocell.
De las 119 vulnerabilidades descubiertas, 79 se encontraron en implementaciones de MME, 36 en implementaciones de AMF y cuatro en implementaciones de SGW. Veinticinco deficiencias conducen a ataques de autenticación previa de Non-Access Stratum (NAS) que pueden llevarse a cabo desde un teléfono móvil cualquiera.
“La introducción de femtoceldas de uso doméstico, seguidas de estaciones base gNodeB de más fácil acceso en las implementaciones 5G, representan un cambio adicional en la dinámica de la seguridad: donde antes los equipos RAN estaban físicamente bloqueados, ahora están expuestos abiertamente a amenazas adversas físicas”, señaló el estudio.
“Nuestro trabajo explora las implicaciones de esta última área al permitir interfaces de fuzzing de alto rendimiento que históricamente se han asumido implícitamente como seguras, pero que ahora enfrentan amenazas inminentes”.
La nueva normativa europea NIS2 refuerza las obligaciones de las empresas frente a los ciberataques y responsabiliza a los directivos de las consecuencias de los ciberataques.
Este ha sido el abecé de cada brecha de seguridad en la última década:
Aparece la noticia en los medios de comunicación: otra gran empresa cae víctima de un ciberataque;
se ha producido un robo de información personal de sus clientes;
en unas horas llega un correo electrónico: es la compañía cumpliendo su “obligación legal de informar” a los afectados;
la empresa aprovecha para pedir disculpas y reafirmar su “compromiso” con la seguridad de sus datos;
¿Y qué pasa después? NADA, todo sigue igualy vuelta a empezar.
En lo que respecta a los afectados por la brecha, la responsabilidad de la empresa no iba más allá. Ni siquiera en agujeros graves, que obliga miles de clientes de varios países a anular de inmediato sus tarjetas de crédito o ver comprometidos sus datos personales de salud para siempre en Internet.
A los afectados solo les quedaba esperar a los más que probables intentos de estafa basados en su información personal, confiando en recordar que esa persona que llama podría no ser su agente bancario o su clínica sino un ciberdelincuente que conoce todos sus datos.
No había más que decir, al menos hasta ahora. Dos nuevas normas europeas han entrado en juego para modernizar la preparación y respuesta ante ciberataques y uno de sus puntos clave es que apuntan directamente a la alta dirección de las empresas a la hora de asumir responsabilidades por las brechas de seguridad. En otras palabras, prohíbe a sus altos ejecutivos escurrir el bulto de la ciberseguridad hacia los cargos técnicos de la compañía.
“El problema es que, aunque sobre el papel sí que existía una responsabilidad, en la práctica nunca aparecía de forma clara”, explica Marta Trabado, especialista en cumplimiento normativo de la firma española de ciberseguridad A3Sec. “Ahora de lo que se trata es que la responsabilidad recaiga directamente en la dirección en caso de un ciberataque, porque es la que debe establecer las estrategias de prevención y supervisarlas. Por tanto, pueden tener responsabilidad incluso penal sobre las consecuencias de ese incidente”, asevera.
Ahora, la alta dirección puede tener responsabilidad penal sobre las consecuencias de un incidente de ciberseguridad. Aunque la importancia de la ciberseguridad ha sido incluida en varias nuevas regulaciones europeas, la Directiva NIS2 (análisis) refleja la posibilidad de que la alta dirección es la responsable final. Esta crea dos categorías de empresas, las “esenciales” y las “importantes”, con diferentes grados de supervisión por parte de los reguladores.
Las empresas etiquetadas como “esenciales” son aquellas que ofrecen servicios o infraestructuras cruciales para el buen funcionamiento de la sociedad y la economía. Las energéticas, las de transporte (aerolíneas, trenes, logística, etc.), salud (también farmacéuticas), agua, banca y telecomunicaciones (tanto de servicios digitales como telecos) entran en esta categoría y las autoridades podrán supervisar sus medidas de seguridad tanto antes de que se produzca un ciberataque como después de haberlo sufrido.
La directiva hace especial hincapié en que “cualquier persona física responsable de una entidad esencial o que actúe como representante de ella deberán considerarse responsables del cumplimiento de estas normas”.
Las “importantes” son las fábricas, como las de productos químicos, equipos médicos o electrónicos, las de alimentación y grandes distribuidores, los servicios postales y de mensajería y las que investigan nuevas tecnologías. Sus obligaciones de ciberseguridad son similares, pero con menos énfasis en supervisión constante, y las autoridades podrán pedirles cuentas tras sufrir una brecha.
Esta capa de supervisión se añadirá a la que ya corresponde a la Agencia Española de Protección de Datos y el RGPD, los cuales pueden imponer multas si detecta que las empresas no han implementado salvaguardas adecuadas frente a los riesgos de un ciberataque. El problema, en este caso, es que España aún no ha definido cómo llevará a cabo esta nueva vigilancia más centrada en el resto de factores de la seguridad informática.
En resumen, la llegada de la NIS2 marca un punto de inflexión en la forma en que las empresas deben abordar la ciberseguridad. Ya no bastará con enviar un correo de disculpas tras un ciberataque y seguir adelante; la alta dirección tendrá que asumir una responsabilidad activa y directa, tanto en la prevención como en la respuesta a estos incidentes.
Se ha descubierto una nueva vulnerabilidad Zero-Day que permite a los atacantes capturar credenciales NTLM simplemente engañando al objetivo para que vea un archivo malicioso en el Explorador de Windows.
El equipo de 0patch, una plataforma que proporciona soporte no oficial para versiones de Windows que han llegado al final de su vida útil, descubrió la falla y se informó a Microsoft. Sin embargo, todavía no se ha publicado ninguna solución oficial mientras se investiga el problema.
Según 0patch, el problema, que actualmente no tiene un identificador CVE, afecta a todas las versiones de Windows desde Windows 7 y Server 2008 R2 hasta las últimas versiones de Windows 11 24H2 y Server 2022.
Exploit Zero-Click
0patch ha ocultado los detalles técnicos de la vulnerabilidad hasta que Microsoft proporcione una solución oficial para evitar que se fomente la explotación activa en la naturaleza.
Los investigadores explicaron que el ataque funciona simplemente viendo un archivo malicioso especialmente diseñado en el Explorador de archivos, por lo que no es necesario abrir el archivo. “La vulnerabilidad permite a un atacante obtener las credenciales NTLM del usuario simplemente haciendo que el usuario vea un archivo malicioso en el Explorador de Windows, por ejemplo, abriendo una carpeta compartida o un disco USB con dicho archivo, o viendo la carpeta Descargas donde previamente se descargó automáticamente dicho archivo desde la página web del atacante”.
Si bien 0Patch no comparte más detalles sobre la vulnerabilidad, se entiende que fuerza una conexión NTLM saliente a un recurso compartido remoto. Esto hace que Windows envíe automáticamente hashes NTLM para el usuario conectado, que el atacante puede robar.
0patch señala que esta es la tercera vulnerabilidad de día cero que informaron recientemente a Microsoft y que el proveedor no ha tomado medidas inmediatas para abordar.
0patch dice que otras fallas de divulgación de hash NTLM divulgadas en el pasado, como PetitPotam, PrinterBug/SpoolSample y DFSCoerce, siguen sin una solución oficial en las últimas versiones de Windows.
Microparche gratuito disponible
0patch ofrece un microparche gratuito para el último día cero de NTLM a todos los usuarios registrados en su plataforma hasta que Microsoft proporcione una solución oficial. Para recibir este parche no oficial, cree una cuenta gratuita en 0patch Central, inicie una prueba gratuita y luego instale el agente y permita que aplique los microparches apropiados automáticamente. No es necesario reiniciar.
Las cuentas PRO y Enterprise ya han recibido el microparche de seguridad automáticamente a menos que su configuración lo impida explícitamente.
Los usuarios que no quieran aplicar el parche no oficial proporcionado por 0patch pueden considerar desactivar la autenticación NTLM con una Política de grupo en ‘Configuración de seguridad > Políticas locales > Opciones de seguridad’ y configurar las políticas “Seguridad de red: Restringir NTLM”. Lo mismo se puede lograr mediante modificaciones del registro.
CISCO ha confirmado que está investigando una supuesta infracción de datos, después de que un actor de amenazas comenzara a venderlos en un conocido foro de hacking.
“Cisco está al tanto de los informes de que un actor alega haber obtenido acceso a ciertos archivos relacionados con Cisco”, dijo un portavoz de Cisco a BleepingComputer. “Hemos iniciado una investigación para evaluar esta afirmación y nuestra investigación está en curso”.
Esta declaración se produce después de que un conocido actor de amenazas llamado “IntelBroker” dijera que él y otros dos actores llamados “EnergyWeaponUser” y “zjj” ingresaron a redes de Cisco el pasado 6 de octubre de 2024 y robaron una gran cantidad de datos de desarrolladores de la empresa.
(Supuestos) datos comprometidos: proyectos Github, proyectos Gitlab, proyectos SonarQube, código fuente, credenciales codificadas, certificados, SRC de clientes, documentos confidenciales de Cisco, tickets de Jira, tokens API, depósitos privados de AWS, SRC de tecnología de Cisco, compilaciones de Docker, depósitos de Azure Storage, ¡Claves públicas y privadas, certificados SSL, productos premium de Cisco y más!.
IntelBroker también compartió muestras de los datos supuestamente robados, incluida una base de datos, información del cliente, documentación diversa del cliente y capturas de pantalla de portales de gestión de clientes. Sin embargo, el actor de amenazas no proporcionó más detalles sobre cómo se obtuvieron los datos.
En junio, IntelBroker comenzó a vender o filtrar datos de numerosas empresas, incluidas T-Mobile, AMD y Apple. Fuentes familiarizadas con el ataque dijeron que fueron robado de un proveedor externo de servicios administrados para DevOps y desarrollo de software. Se desconoce si la violación de Cisco está relacionada con estas violaciones de junio.
La vulnerabilidad surge del uso de una cadena de formato controlada externamente en el demonio fgfmd de FortiOS, que permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas.
Según los análisis de Shadowserver, se han identificado aproximadamente 87.390 direcciones IP asociadas con dispositivos Fortinet potencialmente vulnerables. Estados Unidos lidera con 14.000 dispositivos afectados, seguido de Japón (5.100) e India (4.800).
La vulnerabilidad afecta a las versiones 7.0 a 7.4.2 de FortiOS, así como a varias versiones de FortiPAM, FortiProxy y FortiWeb. Fortinet ha publicado parches para los productos afectados y recomienda encarecidamente a los usuarios que actualicen sus sistemas a las versiones seguras más recientes. FortiOS 6.x no está afectado.
Como solución temporal, Fortinet recomienda eliminar el acceso a fgfm para cada interfaz. Sin embargo, esto puede impedir que FortiManager detecte FortiGate.
Explotación activa
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha agregado CVE-2024-23113 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.
Dado el uso generalizado de los productos Fortinet en redes empresariales y gubernamentales, esta vulnerabilidad representa un riesgo significativo para las organizaciones de todo el mundo. Los expertos en seguridad instan a tomar medidas inmediatas para mitigar la amenaza:
Actualizar los dispositivos afectados a las últimas versiones parcheadas.
Implementar las soluciones alternativas recomendadas si no es posible aplicar parches de inmediato.
Supervisar los sistemas para detectar cualquier signo de acceso no autorizado o actividad sospechosa.
Realizar una auditoría de seguridad exhaustiva de la infraestructura de red.
A medida que los actores de amenazas continúan apuntando a las vulnerabilidades conocidas, es fundamental actuar con rapidez para proteger la infraestructura crítica y los datos confidenciales de posibles ataques.
El Instituto Nacional de Estándares y Tecnología (NIST), el organismo federal que establece estándares tecnológicos para agencias gubernamentales, organizaciones de estándares y empresas privadas, ha propuesto prohibir algunos de los requisitos de contraseña más molestos y sin sentido. Los principales: reinicios obligatorios, uso obligatorio o restringido de ciertos personajes y el uso de preguntas de seguridad.
Elegir contraseñas seguras y almacenarlas de forma segura es una de las partes más desafiantes de un buen régimen de ciberseguridad. Aún resulta más difícil cumplir con las reglas de contraseñas impuestas por empleadores, agencias federales y proveedores de servicios en línea. A menudo, las reglas (aparentemente para mejorar la higiene de la seguridad) en realidad la socavan. Y, sin embargo, los legisladores anónimos imponen los requisitos de todos modos.
La semana pasada, NIST publicó su segundo borrador público de SP 800-63-4, la última versión de sus Directrices de identidad digital. Una sección dedicada a las contraseñas agrega una gran cantidad de prácticas de sentido común muy necesarias que desafían las políticas comunes. Un ejemplo: las nuevas reglas prohíben el requisito de que los usuarios finales cambien periódicamente sus contraseñas. Este requisito surgió hace décadas, cuando no se entendía bien la seguridad de las contraseñas y era común que las personas eligieran nombres comunes, palabras del diccionario y otros secretos que se adivinaban fácilmente.
Desde entonces, la mayoría de los servicios requieren el uso de contraseñas más seguras compuestas por caracteres o frases generadas aleatoriamente. Cuando las contraseñas se eligen correctamente, el requisito de cambiarlas periódicamente, generalmente cada uno a tres meses, en realidad puede disminuir la seguridad porque la carga adicional incentiva contraseñas más débiles que son más fáciles de configurar y recordar para las personas.
Otro requisito que a menudo hace más daño que bien es el uso obligatorio de ciertos caracteres, como al menos un número, un carácter especial y una letra mayúscula y minúscula. Cuando las contraseñas son lo suficientemente largas y aleatorias, no resulta beneficioso exigir o restringir el uso de ciertos caracteres. Y nuevamente, las reglas que rigen la composición pueden llevar a que las personas elijan códigos de acceso más débiles.
Las últimas directrices del NIST ahora establecen que:
Los verificadores NO DEBEN imponer reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para contraseñas y;
Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.
En versiones anteriores de las directrices, algunas de las reglas utilizaban las palabras “NO DEBRÏA” (should), lo que significa que la práctica no se recomienda como mejor práctica. “NO DEBEN” (must), por el contrario, significa que la práctica debe prohibirse para que una organización cumpla.
El último documento contiene varias otras prácticas de sentido común, que incluyen:
Los verificadores DEBEN exigir que las contraseñas tengan una longitud mínima de ocho caracteres aunque DEBERÍAN exigir que las contraseñas tengan una longitud mínima de 15 caracteres.
Los verificadores DEBERÍAN permitir una longitud máxima de contraseña de al menos 64 caracteres.
Los verificadores DEBERÍAN aceptar todos los caracteres ASCII [RFC20] impresos y el carácter de espacio en las contraseñas.
Los verificadores DEBERÍAN aceptar caracteres Unicode [ISO/ISC 10646] en las contraseñas. Cada código Unicode DEBE contarse como un solo carácter al evaluar la longitud de la contraseña.
Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para las contraseñas.
Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.
Los verificadores NO permitirán que el suscriptor almacene una pista a la que pueda acceder un reclamante no autenticado.
Los verificadores NO DEBEN solicitar a los suscriptores que utilicen autenticación basada en conocimientos (KBA) (por ejemplo, “¿Cómo se llamaba su primera mascota?”) ni preguntas de seguridad al elegir contraseñas.
Los verificadores DEBEN verificar toda la contraseña enviada (es decir, no truncarla).
Durante años, los críticos han denunciado la locura y el daño que resultan de muchas reglas de contraseñas comúnmente aplicadas. Y, sin embargo, los bancos, los servicios en línea y las agencias gubernamentales se han aferrado en gran medida a ellos de todos modos. Las nuevas directrices, en caso de que sean definitivas, no son universalmente vinculantes, pero podrían proporcionar puntos de conversación persuasivos a favor de acabar con las tonterías.
