Ataque de fuerza bruta masivo con 2,8 millones de direcciones IP involucradas

Desde hace semanas, expertos en ciberseguridad han alertado sobre una intensificación de los ataques por fuerza bruta contra dispositivos de red. Según el informe de The Shadowserver Foundation, la ofensiva no es nueva, pero ha alcanzado un nivel crítico recientemente.

Este tipo de ataque consiste en probar miles de combinaciones de usuario y contraseña hasta encontrar la correcta, utilizando programas automatizados.

2,8 millones de direcciones IP involucradas

Lo que hace a esta ofensiva especialmente preocupante es su escala global. Las conexiones maliciosas provienen de millones de direcciones IP de diversos países.

Los delincuentes aprovechan vulnerabilidades en estos dispositivos antiguos o sin soporte para convertirlos en herramientas de ataque, lo que refuerza la importancia de mantener los sistemas actualizados. Para ello, han desplegado una red de dispositivos comprometidos mediante un botnet, infectando routers de marcas como MikroTik, Huawei, Cisco, Boa y ZTE. Estos equipos, sin las actualizaciones adecuadas, han sido tomados por los ciberdelincuentes para lanzar ataques masivos contra objetivos específicos.  En esta ocasión, los atacantes han centrado sus esfuerzos en dispositivos de Palo Alto Networks, Ivanti y SonicWall, todos ellos esenciales en infraestructuras de seguridad digital.

Uno de los aspectos más inquietantes de esta campaña es la sofisticación de sus métodos para evadir los sistemas de seguridad. n lugar de utilizar servidores proxy convencionales, se apoyan en proxies residenciales, que les permiten ocultar sus actividades tras direcciones IP legítimas de usuarios reales. De esta manera, logran evitar las restricciones que suelen detectar y bloquear accesos sospechosos.

Este enfoque hace que los intentos de intrusión sean mucho más difíciles de identificar y frenar, lo que aumenta la efectividad del ataque. Aunque esta campaña ha alcanzado un nivel preocupante, no es la primera vez que ocurre algo similar. En abril de 2024, Cisco advirtió sobre un aumento significativo de ataques de fuerza bruta dirigidos a dispositivos de seguridad de empresas como CheckPoint, Fortinet, SonicWall y Ubiquiti.

Cómo protegerse de estos ataques

Ante esta amenaza global, se recomienda tomar medidas urgentes para proteger los dispositivos de red:

• Usar contraseñas seguras: evitar credenciales débiles y optar por combinaciones complejas para dificultar los ataques por fuerza bruta.





• Activar la autenticación en dos pasos (2FA): añadir una capa extra de seguridad impide el acceso no autorizado, incluso si los atacantes logran descifrar la contraseña.





• Restringir el acceso por IP: configurar los dispositivos para que solo permitan conexiones desde direcciones IP de confianza.





• Mantener los equipos actualizados: instalar parches de seguridad y actualizar dispositivos regularmente para evitar que vulnerabilidades conocidas sean explotadas.





• Reemplazar equipos obsoletos: si el dispositivo ya no recibe soporte o actualizaciones, es crucial considerar su sustitución por modelos más seguros.

Fuente: https://blog.segu-info.com.ar/2025/02/ataque-de-fuerza-bruta-masivo-con-28.html

MITRE lanza D3FEND 1.0 para estandarizar técnicas de defensa

MITRE ha lanzado oficialmente D3FEND 1.0, una innovadora ontología de ciberseguridad diseñada para estandarizar el vocabulario y las técnicas utilizadas para contrarrestar las ciberamenazas maliciosas.

Este marco innovador, financiado por la Agencia de Seguridad Nacional (NSA) y el Departamento de Defensa de los EE.UU. (DoD), tiene como objetivo mejorar las operaciones de ciberseguridad y la toma de decisiones estratégicas en todas las industrias.

D3FEND, presentado por primera vez como versión beta en junio de 2021, ha experimentado un desarrollo significativo durante los últimos tres años. Su gráfico semántico ha triplicado su tamaño, lo que refleja las contribuciones de una comunidad diversa de expertos en ciberseguridad, incluidos arquitectos de seguridad e ingenieros de detección.

El resultado es un modelo sólido basado en casos de uso que proporciona un marco estable y extensible para abordar las complejidades de los desafíos de la ciberseguridad moderna.

“D3FEND 1.0 refleja la experiencia y la visión colectivas de una comunidad diversa de ciberseguridad”, dijo Wen Masters, vicepresidente de tecnologías cibernéticas de MITRE. “Es más que una herramienta, es un camino hacia estrategias defensivas más inteligentes y matizadas”.

En esencia, D3FEND funciona como una “piedra de Rosetta” para los defensores cibernéticos al establecer un lenguaje común para las actividades defensivas y los sistemas que protegen.

Según Peter Kaloroumakis, principal ontólogo aplicado en MITRE, “Aunque D3FEND se centra en la tecnología, en realidad está resolviendo un problema humano: lograr que todos estén en la misma página con un vocabulario compartido es esencial para el análisis estratégico y la construcción de sistemas seguros”.

Características de D3FEND 1.0

• Herramienta de defensa contra ataques cibernéticos (CAD): esta herramienta interactiva permite a los usuarios aplicar la ontología completa a escenarios específicos mediante la vinculación de nodos en un lienzo visual. Los usuarios pueden explorar inferencias y compartir sus gráficos CAD en redes.





• Técnicas defensivas ampliadas: la versión incluye nuevas taxonomías para el control de identidad y acceso, tecnología operativa, fortalecimiento del código fuente y modelado de vulnerabilidades mediante la integración con Common Weakness Enumeration (CWE).





• Precisión ontológica: D3FEND, que se basa en los estándares OWL 2 DL, garantiza la compatibilidad con las principales ontologías superiores para aplicaciones semánticas más amplias.





• Actualizaciones transparentes: una nueva estrategia de ciclo de vida del contenido garantiza actualizaciones predecibles para una adaptación perfecta.

MITRE anima a los profesionales de la ciberseguridad a explorar D3FEND 1.0 y contribuir a su evolución. MITRE tiene como objetivo mejorar las capacidades de defensa de la ciberseguridad fomentando la colaboración y la innovación en un panorama de amenazas cada vez más sofisticado.

Fuente: MITRE

Liberan 15.000 configuraciones de FortiGate, robadas con un Zero-Day de 2022 (actualización con la lista)

Un grupo de delincuentes informáticos ha filtrado los archivos de configuración, las direcciones IP y las credenciales de VPN de más de 15.474 dispositivos FortiGate de forma gratuita , lo que expone una gran cantidad de información técnica confidencial a otros cibercriminales.

Actualización: lista completa separada por país/ciudad.

Los datos fueron filtrados por el “Grupo Belsen”, que apareció por primera vez en las redes sociales y en los foros de ciberdelincuencia este mes. Para promocionarse, el grupo ha creado un sitio web en TOR donde publicaron el volcado de datos de FortiGate de forma gratuita para que lo usen otros actores de amenazas.

La filtración de FortiGate consta de un archivo de 1,6 GB que contiene carpetas ordenadas por país. Cada carpeta contiene subcarpetas adicionales para cada dirección IP de FortiGate en ese país.

Según el experto en ciberseguridad Kevin Beaumont, cada dirección IP tiene un configuration.conf (volcado de configuración de Fortigate) y un archivo vpn-passwords.txt, con algunas de las contraseñas en texto sin formato. Las configuraciones también contienen información confidencial, como claves privadas y reglas de firewall.

• Usernames





• Passwords (some in plain text)





• Device management digital certificates





• All firewall rules

En una publicación de blog sobre la filtración de FortiGate, Beaumont dice que se cree que la filtración está vinculada a un Zero-Day de 2022 identificado como CVE-2022–40684 que se explotó en ataques antes de que se lanzara una solución.

En 2022, Fortinet advirtió que los actores de amenazas estaban explotando una vulnerabilidad de día cero identificada como CVE-2022–40684 para descargar archivos de configuración de dispositivos FortiGate específicos y luego agregar una cuenta super_admin maliciosa llamada “fortigate-tech-support”.

El sitio de noticias alemán Heise analizó la filtración de datos y también dijo que se recopiló en 2022, y que todos los dispositivos utilizaban el firmware FortiOS 7.0.0-7.0.6 o 7.2.0-7.2.2. “No encontramos ninguna versión de FortiOS en el conjunto de datos que fuera más reciente que la versión 7.2.2, lanzada el 3 de octubre de 2022”.

Sin embargo, FortiOS 7.2.2 corrigió la falla CVE-2022–40684, por lo que no estaría claro cómo los dispositivos que ejecutan esa versión podrían ser explotados con esta vulnerabilidad.

A pesar de que estos archivos de configuración se recopilaron en 2022, Beaumont advierte que aún exponen mucha información confidencial sobre las defensas de una red. Esto incluye reglas de firewall y credenciales que, si no se cambiaron en ese momento, deberían cambiarse inmediatamente ahora que los datos se han publicado para un grupo más amplio de actores de amenazas.

Actualización: los datos de las IP sin procesar, están disponibles aquí y también hemos publicado la lista separada por país/ciudad.

Fuente: BC

PoC para vulnerabilidad Zero-Day en Windows (CVE-2024-49138)

El investigador de seguridad MrAle_98 publicó recientemente un exploit de prueba de concepto (PoC) para la vulnerabilidad Zero-Day, CVE-2024-49138 recientemente soluciona por Microsoft en diciembre de 2024. Esta falla, que afecta al controlador del sistema de archivos de registro común (CLFS) de Windows, tiene una puntuación CVSS de 7,8 y permite a los atacantes obtener privilegios de SYSTEM en los dispositivos afectados.

La vulnerabilidad, descrita como una falla de elevación de privilegios, está vinculada al controlador CLFS, un componente central de Windows utilizado para registrar las operaciones del sistema. Si bien los detalles específicos sobre la explotación son escasos, Microsoft confirmó que se había explotado activamente antes del lanzamiento del parche.

Según el aviso de Microsoft, esta vulnerabilidad afecta a una amplia gama de sistemas Windows. “Este exploit se probó en Windows 11 23H2”, señaló MrAle_98, lo que sugiere su posible impacto en las últimas iteraciones de Windows.

El equipo de investigación avanzada de CrowdStrike identificó inicialmente esta vulnerabilidad. Si bien Microsoft no ha revelado los detalles de los ataques que aprovechan CVE-2024-49138, la participación de una empresa de seguridad líder sugiere que es posible que se publique un informe detallado sobre la explotación.

Para aumentar la urgencia, el investigador de seguridad MrAle_98 publicó un exploit de prueba de concepto (PoC) para CVE-2024-49138 en GitHub. Esta medida ha facilitado que los actores de amenazas puedan replicar el ataque, lo que aumenta el riesgo para los sistemas sin parches. La publicación en GitHub destaca aún más la necesidad de que las organizaciones y los usuarios individuales actúen con rapidez para aplicar las actualizaciones del martes de parches de diciembre de 2024.

Microsoft abordó este problema en su publicación del martes de parches de diciembre, que incluía correcciones para 71 vulnerabilidades en todo su ecosistema de productos.

Fuente: SecurityOnline

Configuración incorrecta de DNS en Mikrotik permite la distribución de malware

Una red global de unos 13.000 routers Mikrotik secuestrados se ha utilizado como botnet para propagar malware a través de campañas de spam.

La actividad “se aprovecha de los registros DNS mal configurados para pasar las técnicas de protección de correo electrónico”, dijo el investigador de seguridad de Infoblox, David Brunsdon, en un informe técnico publicado la semana pasada. “Esta botnet utiliza una red global de routers Mikrotik para enviar correos electrónicos maliciosos que están diseñados para parecer que provienen de dominios legítimos”.

La empresa de seguridad DNS, que ha dado a la campaña el nombre en código Mikro Typo, dijo que su análisis surgió del descubrimiento de una campaña de malspam a fines de noviembre de 2024 que aprovechó señuelos relacionados con facturas para incitar a los destinatarios a descargar un archivo ZIP.

El archivo ZIP contiene un archivo JavaScript ofuscado, que luego es responsable de ejecutar un script de PowerShell diseñado para iniciar una conexión saliente a un servidor de comando y control (C2) ubicado en la dirección IP 62.133.60[.]137.

Se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en los routers, pero se han visto afectadas varias versiones de firmware, incluidas las vulnerables a CVE-2023-30799, un problema crítico de escalamiento de privilegios que podría usarse para lograr la ejecución de código arbitrario.

“Independientemente de cómo se hayan visto comprometidos, parece que el actor ha estado colocando un script en los dispositivos [Mikrotik] que habilita SOCKS (Secure Sockets), que permite que los dispositivos funcionen como redirectores TCP”, dijo Brunsdon. “Habilitar SOCKS convierte efectivamente cada dispositivo en un proxy, enmascarando el verdadero origen del tráfico malicioso y haciendo que sea más difícil rastrearlo hasta la fuente”.

Otro motivo de preocupación es la falta de autenticación necesaria para utilizar estos servidores proxy, lo que permite a otros actores de amenazas utilizar dispositivos específicos o toda la botnet para fines maliciosos, que van desde ataques de denegación de servicio distribuido (DDoS) hasta campañas de phishing.

Se ha descubierto que la campaña de spam malicioso en cuestión explota una configuración incorrecta en los registros TXT del marco de políticas de remitente (SPF) de 20.000 dominios, lo que da a los atacantes la capacidad de enviar correos electrónicos en nombre de esos dominios y eludir varias protecciones de seguridad del correo electrónico.

En concreto, se ha descubierto que los registros SPF están configurados con la opción extremadamente permisiva “+all”, lo que básicamente anula el propósito de tener la protección en primer lugar. Esto también significa que cualquier dispositivo, como los routers MikroTik comprometidos, puede falsificar el dominio legítimo en el correo electrónico.

Se recomienda a los propietarios de dispositivos MikroTik que mantengan sus equipos actualizados y cambien las credenciales de cuenta predeterminadas para evitar cualquier intento de explotación.

“Con tantos dispositivos MikroTik comprometidos, la botnet es capaz de lanzar una amplia gama de actividades maliciosas, desde ataques DDoS hasta robo de datos y campañas de phishing”, dijo Brunsdon. “El uso de proxies SOCKS4 complica aún más los esfuerzos de detección y mitigación, lo que resalta la necesidad de medidas de seguridad sólidas”.

Se han identificado varias vulnerabilidades críticas en los enrutadores MikroTik y la versión de firmware de un enrutador no siempre está disponible, pero vimos una variedad de versiones afectadas, incluidas las versiones de firmware recientes. Aquí se describe una vulnerabilidad de ejecución de código remoto con un exploit: https://vulncheck.com/blog/mikrotik-foisted-revisited

Autocomprobación

Si tienes un nombre de dominio que quieres comprobar para ver si tiene un registro SPF y cómo está configurado, simplemente se pueden ver sus registros TXT de DNS.

En Linux o MacOS:

dig +short txt example.com | grep spf

En Windows, se puede usar nslookup con un poco de PowerShell.

nslookup -type=txt example.com | Select-String -Pattern "spf"

Fuente: THN

Firewalls de Palo Alto vulnerables a ataques de firmware y omisiones de arranque seguro

Una evaluación exhaustiva de tres modelos de firewall de Palo Alto Networks ha descubierto una serie de fallas de seguridad conocidas que afectan el firmware de los dispositivos, así como funciones de seguridad mal configuradas.

“No se trataba de vulnerabilidades ocultas ni de casos excepcionales”, afirmó el proveedor de seguridad Eclypsium en un informe. “En cambio, se trataba de problemas muy conocidos que no esperaríamos ver ni siquiera en una computadora portátil de consumo. Estos problemas podrían permitir a los atacantes evadir incluso las protecciones de integridad más básicas, como el arranque seguro, y modificar el firmware del dispositivo si se los explota”.

La empresa afirmó que analizó tres dispositivos de firewall de Palo Alto Networks, PA-3260, PA-1410 y PA-415, el primero de los cuales llegó oficialmente al final de su período de comercialización el 31 de agosto de 2023. Los otros dos modelos son plataformas de firewall totalmente compatibles.

La lista de fallas identificadas, denominadas colectivamente PANdora’s Box, es la siguiente:

• CVE-2020-10713, también conocida como BootHole (afecta a PA-3260, PA-1410 y PA-415), se refiere a una vulnerabilidad de desbordamiento de búfer que permite una omisión de arranque seguro en sistemas Linux con la función habilitada.





• CVE-2022-24030 (7.5), CVE-2021-33627 (8.2), CVE-2021-42060 (8.2), CVE-2021-42554 (8.2), CVE-2021-43323 (8.2), y CVE-2021-45970 (8.2) (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades del modo de administración del sistema (SMM) que afectan al firmware UEFI InsydeH2O de Insyde Software que podrían provocar una escaladmiento de privilegios y una omisión de arranque seguro.





• LogoFAIL (afecta a PA-3260), que se refiere a un conjunto de vulnerabilidades críticas descubiertas en el código de la Interfaz de Firmware Extensible Unificada (UEFI) que explotan fallas en las bibliotecas de análisis de imágenes integradas en el firmware para eludir el Arranque Seguro y ejecutar código malicioso durante el inicio del sistema.





• PixieFail (Afecta a PA-1410 y PA-415), que se refiere a un conjunto de vulnerabilidades en la pila de protocolos de red TCP/IP incorporada en la implementación de referencia de UEFI que podría conducir a la ejecución de código y la divulgación de información.





• Vulnerabilidad de control de acceso flash inseguro (Afecta a PA-415), que se refiere a un caso de controles de acceso flash SPI mal configurados que podrían permitir a un atacante modificar UEFI directamente y eludir otros mecanismos de seguridad.





• CVE-2023-1017 (Afecta a PA-415), que se refiere a una vulnerabilidad de escritura fuera de límites en la especificación de la biblioteca de referencia del Módulo de Plataforma Confiable (TPM) 2.0.





• Elusión de claves filtradas de Intel Bootguard (Afecta a PA-1410)

“Estos hallazgos ponen de relieve una verdad fundamental: incluso los dispositivos diseñados para proteger pueden convertirse en vectores de ataque si no se protegen y mantienen adecuadamente”, afirmó Eclypsium. “A medida que los actores de amenazas continúan atacando los dispositivos de seguridad, las organizaciones deben adoptar un enfoque más integral para la seguridad de la cadena de suministro”.

Esto incluye evaluaciones rigurosas de los proveedores, actualizaciones periódicas de firmware y monitoreo continuo de la integridad de los dispositivos. Al comprender y abordar estas vulnerabilidades ocultas, las organizaciones pueden proteger mejor sus redes y datos de ataques sofisticados que explotan las mismas herramientas diseñadas para protegerlos.

Fuente: THN

RANsacked: 119 fallas de seguridad en implementaciones de redes LTE y 5G

Un grupo de académicos ha revelado detalles de más de 100 vulnerabilidades de seguridad que afectan a las implementaciones LTE y 5G y que podrían ser explotadas por un atacante para interrumpir el acceso al servicio e incluso ganar terreno en la red central celular.

Las 119 vulnerabilidades, a las que se les asignaron 97 identificadores CVE únicos, abarcan siete implementaciones LTE (Open5GS, Magma, OpenAirInterface, Athonet, SD-Core, NextEPC, srsRAN) y tres implementaciones 5G (Open5GS, Magma, OpenAirInterface), según investigadores de la Universidad de Florida y la Universidad Estatal de Carolina del Norte.

Los hallazgos se han detallado en un estudio titulado “RANsacked: A Domain-Informed Approach for Fuzzing LTE and 5G RAN-Core Interfaces” [PDF].

“Cada una de las más de 100 vulnerabilidades que se analizan a continuación se puede utilizar para interrumpir de forma persistente todas las comunicaciones celulares (llamadas telefónicas, mensajería y datos) a nivel de toda la ciudad”, dijeron los investigadores.

“Un atacante puede bloquear continuamente la entidad de gestión de movilidad (MME) o la función de gestión de acceso y movilidad (AMF) en una red LTE/5G, respectivamente, simplemente enviando un único paquete de datos pequeño a través de la red como un usuario no autenticado (no se requiere tarjeta SIM).”

El descubrimiento es el resultado de un ejercicio de fuzzing, denominado RANsacked, realizado por los investigadores contra las interfaces de la Red de Acceso por Radio (RAN)-Core que son capaces de recibir información directamente de los teléfonos móviles y las estaciones base.

Los investigadores dijeron que varias de las vulnerabilidades identificadas se relacionan con desbordamientos de búfer y errores de corrupción de memoria que podrían utilizarse como arma para violar la red central celular y aprovechar ese acceso para monitorear la ubicación del teléfono celular y la información de conexión para todos los suscriptores a nivel de toda la ciudad, realizar ataques dirigidos a suscriptores específicos y realizar otras acciones maliciosas en la red misma.

Además, las fallas identificadas se dividen en dos grandes categorías: las que pueden ser explotadas por cualquier dispositivo móvil no autenticado y las que pueden ser utilizadas como arma por un adversario que haya comprometido una Compromised a Base Stationo una Femtocell.

De las 119 vulnerabilidades descubiertas, 79 se encontraron en implementaciones de MME, 36 en implementaciones de AMF y cuatro en implementaciones de SGW. Veinticinco deficiencias conducen a ataques de autenticación previa de Non-Access Stratum (NAS) que pueden llevarse a cabo desde un teléfono móvil cualquiera.

“La introducción de femtoceldas de uso doméstico, seguidas de estaciones base gNodeB de más fácil acceso en las implementaciones 5G, representan un cambio adicional en la dinámica de la seguridad: donde antes los equipos RAN estaban físicamente bloqueados, ahora están expuestos abiertamente a amenazas adversas físicas”, señaló el estudio.

“Nuestro trabajo explora las implicaciones de esta última área al permitir interfaces de fuzzing de alto rendimiento que históricamente se han asumido implícitamente como seguras, pero que ahora enfrentan amenazas inminentes”.

Fuente: THN

NIS2, fin a la impunidad: la alta dirección es responsable de las brechas de seguridad

La nueva normativa europea NIS2 refuerza las obligaciones de las empresas frente a los ciberataques y responsabiliza a los directivos de las consecuencias de los ciberataques.

Este ha sido el abecé de cada brecha de seguridad en la última década:

• Aparece la noticia en los medios de comunicación: otra gran empresa cae víctima de un ciberataque;





• se ha producido un robo de información personal de sus clientes;





• en unas horas llega un correo electrónico: es la compañía cumpliendo su “obligación legal de informar” a los afectados;





• la empresa aprovecha para pedir disculpas y reafirmar su “compromiso” con la seguridad de sus datos;





• ¿Y qué pasa después? NADA, todo sigue igualy vuelta a empezar.

En lo que respecta a los afectados por la brecha, la responsabilidad de la empresa no iba más allá. Ni siquiera en agujeros graves, que obliga miles de clientes de varios países a anular de inmediato sus tarjetas de crédito o ver comprometidos sus datos personales de salud para siempre en Internet.

A los afectados solo les quedaba esperar a los más que probables intentos de estafa basados en su información personal, confiando en recordar que esa persona que llama podría no ser su agente bancario o su clínica sino un ciberdelincuente que conoce todos sus datos.

No había más que decir, al menos hasta ahora. Dos nuevas normas europeas han entrado en juego para modernizar la preparación y respuesta ante ciberataques y uno de sus puntos clave es que apuntan directamente a la alta dirección de las empresas a la hora de asumir responsabilidades por las brechas de seguridad. En otras palabras, prohíbe a sus altos ejecutivos escurrir el bulto de la ciberseguridad hacia los cargos técnicos de la compañía.

“El problema es que, aunque sobre el papel sí que existía una responsabilidad, en la práctica nunca aparecía de forma clara”, explica Marta Trabado, especialista en cumplimiento normativo de la firma española de ciberseguridad A3Sec. “Ahora de lo que se trata es que la responsabilidad recaiga directamente en la dirección en caso de un ciberataque, porque es la que debe establecer las estrategias de prevención y supervisarlas. Por tanto, pueden tener responsabilidad incluso penal sobre las consecuencias de ese incidente”, asevera.

Ahora, la alta dirección puede tener responsabilidad penal sobre las consecuencias de un incidente de ciberseguridad. Aunque la importancia de la ciberseguridad ha sido incluida en varias nuevas regulaciones europeas, la Directiva NIS2 (análisis) refleja la posibilidad de que la alta dirección es la responsable final. Esta crea dos categorías de empresas, las “esenciales” y las “importantes”, con diferentes grados de supervisión por parte de los reguladores.

Las empresas etiquetadas como “esenciales” son aquellas que ofrecen servicios o infraestructuras cruciales para el buen funcionamiento de la sociedad y la economía. Las energéticas, las de transporte (aerolíneas, trenes, logística, etc.), salud (también farmacéuticas), agua, banca y telecomunicaciones (tanto de servicios digitales como telecos) entran en esta categoría y las autoridades podrán supervisar sus medidas de seguridad tanto antes de que se produzca un ciberataque como después de haberlo sufrido.

La directiva hace especial hincapié en que “cualquier persona física responsable de una entidad esencial o que actúe como representante de ella deberán considerarse responsables del cumplimiento de estas normas”.

Las “importantes” son las fábricas, como las de productos químicos, equipos médicos o electrónicos, las de alimentación y grandes distribuidores, los servicios postales y de mensajería y las que investigan nuevas tecnologías. Sus obligaciones de ciberseguridad son similares, pero con menos énfasis en supervisión constante, y las autoridades podrán pedirles cuentas tras sufrir una brecha.

Esta capa de supervisión se añadirá a la que ya corresponde a la Agencia Española de Protección de Datos y el RGPD, los cuales pueden imponer multas si detecta que las empresas no han implementado salvaguardas adecuadas frente a los riesgos de un ciberataque. El problema, en este caso, es que España aún no ha definido cómo llevará a cabo esta nueva vigilancia más centrada en el resto de factores de la seguridad informática.

En resumen, la llegada de la NIS2 marca un punto de inflexión en la forma en que las empresas deben abordar la ciberseguridad. Ya no bastará con enviar un correo de disculpas tras un ciberataque y seguir adelante; la alta dirección tendrá que asumir una responsabilidad activa y directa, tanto en la prevención como en la respuesta a estos incidentes.

Fuente: El Diario | INCIBE

Nuevo Zero-Day expone credenciales NTLM (en espera del parche oficial)

Se ha descubierto una nueva vulnerabilidad Zero-Day que permite a los atacantes capturar credenciales NTLM simplemente engañando al objetivo para que vea un archivo malicioso en el Explorador de Windows.

El equipo de 0patch, una plataforma que proporciona soporte no oficial para versiones de Windows que han llegado al final de su vida útil, descubrió la falla y se informó a Microsoft. Sin embargo, todavía no se ha publicado ninguna solución oficial mientras se investiga el problema.

Según 0patch, el problema, que actualmente no tiene un identificador CVE, afecta a todas las versiones de Windows desde Windows 7 y Server 2008 R2 hasta las últimas versiones de Windows 11 24H2 y Server 2022.

Exploit Zero-Click

0patch ha ocultado los detalles técnicos de la vulnerabilidad hasta que Microsoft proporcione una solución oficial para evitar que se fomente la explotación activa en la naturaleza.

Los investigadores explicaron que el ataque funciona simplemente viendo un archivo malicioso especialmente diseñado en el Explorador de archivos, por lo que no es necesario abrir el archivo. “La vulnerabilidad permite a un atacante obtener las credenciales NTLM del usuario simplemente haciendo que el usuario vea un archivo malicioso en el Explorador de Windows, por ejemplo, abriendo una carpeta compartida o un disco USB con dicho archivo, o viendo la carpeta Descargas donde previamente se descargó automáticamente dicho archivo desde la página web del atacante”.

Si bien 0Patch no comparte más detalles sobre la vulnerabilidad, se entiende que fuerza una conexión NTLM saliente a un recurso compartido remoto. Esto hace que Windows envíe automáticamente hashes NTLM para el usuario conectado, que el atacante puede robar.

Como se ha demostrado repetidamente, estos hashes se pueden descifrar, lo que permite a los actores de amenazas obtener acceso a los nombres de inicio de sesión y las contraseñas de texto sin formato. Microsoft anunció hace un año sus planes de eliminar el protocolo de autenticación NTLM en Windows 11 en el futuro.

0patch señala que esta es la tercera vulnerabilidad de día cero que informaron recientemente a Microsoft y que el proveedor no ha tomado medidas inmediatas para abordar.

Los otros dos son la omisión de Mark of the Web (MotW) en Windows Server 2012, que se dio a conocer a fines del mes pasado, y una vulnerabilidad de Windows Themes que permite el robo remoto de credenciales NTLM, divulgada a fines de octubre. Ambos problemas siguen sin solucionarse.

0patch dice que otras fallas de divulgación de hash NTLM divulgadas en el pasado, como PetitPotam, PrinterBug/SpoolSample y DFSCoerce, siguen sin una solución oficial en las últimas versiones de Windows.

Microparche gratuito disponible

0patch ofrece un microparche gratuito para el último día cero de NTLM a todos los usuarios registrados en su plataforma hasta que Microsoft proporcione una solución oficial. Para recibir este parche no oficial, cree una cuenta gratuita en 0patch Central, inicie una prueba gratuita y luego instale el agente y permita que aplique los microparches apropiados automáticamente. No es necesario reiniciar.

Las cuentas PRO y Enterprise ya han recibido el microparche de seguridad automáticamente a menos que su configuración lo impida explícitamente.

Los usuarios que no quieran aplicar el parche no oficial proporcionado por 0patch pueden considerar desactivar la autenticación NTLM con una Política de grupo en ‘Configuración de seguridad > Políticas locales > Opciones de seguridad’ y configurar las políticas “Seguridad de red: Restringir NTLM”. Lo mismo se puede lograr mediante modificaciones del registro.

Fuente: BC

Cisco investiga una supuesta violación y venta de datos de sus redes

CISCO ha confirmado que está investigando una supuesta infracción de datos, después de que un actor de amenazas comenzara a venderlos en un conocido foro de hacking.

“Cisco está al tanto de los informes de que un actor alega haber obtenido acceso a ciertos archivos relacionados con Cisco”, dijo un portavoz de Cisco a BleepingComputer. “Hemos iniciado una investigación para evaluar esta afirmación y nuestra investigación está en curso”.

Esta declaración se produce después de que un conocido actor de amenazas llamado “IntelBroker” dijera que él y otros dos actores llamados “EnergyWeaponUser” y “zjj” ingresaron a redes de Cisco el pasado 6 de octubre de 2024 y robaron una gran cantidad de datos de desarrolladores de la empresa.

(Supuestos) datos comprometidos: proyectos Github, proyectos Gitlab, proyectos SonarQube, código fuente, credenciales codificadas, certificados, SRC de clientes, documentos confidenciales de Cisco, tickets de Jira, tokens API, depósitos privados de AWS, SRC de tecnología de Cisco, compilaciones de Docker, depósitos de Azure Storage, ¡Claves públicas y privadas, certificados SSL, productos premium de Cisco y más!.

IntelBroker también compartió muestras de los datos supuestamente robados, incluida una base de datos, información del cliente, documentación diversa del cliente y capturas de pantalla de portales de gestión de clientes. Sin embargo, el actor de amenazas no proporcionó más detalles sobre cómo se obtuvieron los datos.

En junio, IntelBroker comenzó a vender o filtrar datos de numerosas empresas, incluidas T-Mobile, AMD y Apple. Fuentes familiarizadas con el ataque dijeron que fueron robado de un proveedor externo de servicios administrados para DevOps y desarrollo de software. Se desconoce si la violación de Cisco está relacionada con estas violaciones de junio.

Fuente: BC

Otra vulnerabilidad crítica en FortiOS explotada in-the-wild (RCE CVE-2024-23113)

Una vulnerabilidad de seguridad crítica de febrero está afectando a más de 87.000 dispositivos FortiOS, dejándolos expuestos a posibles ataques de ejecución remota de código (RCE).

La falla, identificada como CVE-2024-23113, afecta a múltiples versiones de los productos FortiOS, FortiProxy, FortiPAM y FortiWeb. A este defecto crítico se le ha asignado una puntuación CVSS de 9,8 sobre 10, lo que indica su naturaleza grave.

La vulnerabilidad surge del uso de una cadena de formato controlada externamente en el demonio fgfmd de FortiOS, que permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios a través de solicitudes especialmente diseñadas.

Según los análisis de Shadowserver, se han identificado aproximadamente 87.390 direcciones IP asociadas con dispositivos Fortinet potencialmente vulnerables. Estados Unidos lidera con 14.000 dispositivos afectados, seguido de Japón (5.100) e India (4.800).

La vulnerabilidad afecta a las versiones 7.0 a 7.4.2 de FortiOS, así como a varias versiones de FortiPAM, FortiProxy y FortiWeb. Fortinet ha publicado parches para los productos afectados y recomienda encarecidamente a los usuarios que actualicen sus sistemas a las versiones seguras más recientes. FortiOS 6.x no está afectado.

Como solución temporal, Fortinet recomienda eliminar el acceso a fgfm para cada interfaz. Sin embargo, esto puede impedir que FortiManager detecte FortiGate.

Explotación activa

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha agregado CVE-2024-23113 a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa en la naturaleza.

Dado el uso generalizado de los productos Fortinet en redes empresariales y gubernamentales, esta vulnerabilidad representa un riesgo significativo para las organizaciones de todo el mundo. Los expertos en seguridad instan a tomar medidas inmediatas para mitigar la amenaza:

• Actualizar los dispositivos afectados a las últimas versiones parcheadas.





• Implementar las soluciones alternativas recomendadas si no es posible aplicar parches de inmediato.





• Supervisar los sistemas para detectar cualquier signo de acceso no autorizado o actividad sospechosa.





• Realizar una auditoría de seguridad exhaustiva de la infraestructura de red.

A medida que los actores de amenazas continúan apuntando a las vulnerabilidades conocidas, es fundamental actuar con rapidez para proteger la infraestructura crítica y los datos confidenciales de posibles ataques.

Fuente: CyberSecurityNews

Nuevas reglas de NIST para el uso de contraseñas (al fin un poco de sentido común!)

El Instituto Nacional de Estándares y Tecnología (NIST), el organismo federal que establece estándares tecnológicos para agencias gubernamentales, organizaciones de estándares y empresas privadas, ha propuesto prohibir algunos de los requisitos de contraseña más molestos y sin sentido. Los principales: reinicios obligatorios, uso obligatorio o restringido de ciertos personajes y el uso de preguntas de seguridad.

Elegir contraseñas seguras y almacenarlas de forma segura es una de las partes más desafiantes de un buen régimen de ciberseguridad. Aún resulta más difícil cumplir con las reglas de contraseñas impuestas por empleadores, agencias federales y proveedores de servicios en línea. A menudo, las reglas (aparentemente para mejorar la higiene de la seguridad) en realidad la socavan. Y, sin embargo, los legisladores anónimos imponen los requisitos de todos modos.

La semana pasada, NIST publicó su segundo borrador público de SP 800-63-4, la última versión de sus Directrices de identidad digital. Una sección dedicada a las contraseñas agrega una gran cantidad de prácticas de sentido común muy necesarias que desafían las políticas comunes. Un ejemplo: las nuevas reglas prohíben el requisito de que los usuarios finales cambien periódicamente sus contraseñas. Este requisito surgió hace décadas, cuando no se entendía bien la seguridad de las contraseñas y era común que las personas eligieran nombres comunes, palabras del diccionario y otros secretos que se adivinaban fácilmente.

Desde entonces, la mayoría de los servicios requieren el uso de contraseñas más seguras compuestas por caracteres o frases generadas aleatoriamente. Cuando las contraseñas se eligen correctamente, el requisito de cambiarlas periódicamente, generalmente cada uno a tres meses, en realidad puede disminuir la seguridad porque la carga adicional incentiva contraseñas más débiles que son más fáciles de configurar y recordar para las personas.

Otro requisito que a menudo hace más daño que bien es el uso obligatorio de ciertos caracteres, como al menos un número, un carácter especial y una letra mayúscula y minúscula. Cuando las contraseñas son lo suficientemente largas y aleatorias, no resulta beneficioso exigir o restringir el uso de ciertos caracteres. Y nuevamente, las reglas que rigen la composición pueden llevar a que las personas elijan códigos de acceso más débiles.

Las últimas directrices del NIST ahora establecen que:

• Los verificadores NO DEBEN imponer reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para contraseñas y;





• Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.

En versiones anteriores de las directrices, algunas de las reglas utilizaban las palabras “NO DEBRÏA” (should), lo que significa que la práctica no se recomienda como mejor práctica. “NO DEBEN” (must), por el contrario, significa que la práctica debe prohibirse para que una organización cumpla.

El último documento contiene varias otras prácticas de sentido común, que incluyen:

• Los verificadores DEBEN exigir que las contraseñas tengan una longitud mínima de ocho caracteres aunque DEBERÍAN exigir que las contraseñas tengan una longitud mínima de 15 caracteres.





• Los verificadores DEBERÍAN permitir una longitud máxima de contraseña de al menos 64 caracteres.





• Los verificadores DEBERÍAN aceptar todos los caracteres ASCII [RFC20] impresos y el carácter de espacio en las contraseñas.





• Los verificadores DEBERÍAN aceptar caracteres Unicode [ISO/ISC 10646] en las contraseñas. Cada código Unicode DEBE contarse como un solo carácter al evaluar la longitud de la contraseña.





• Los verificadores NO DEBEN imponer otras reglas de composición (por ejemplo, requerir mezclas de diferentes tipos de caracteres) para las contraseñas.





• Los verificadores NO DEBEN exigir a los usuarios que cambien las contraseñas periódicamente. Sin embargo, los verificadores DEBEN forzar un cambio si hay evidencia de compromiso del autenticador.





• Los verificadores NO permitirán que el suscriptor almacene una pista a la que pueda acceder un reclamante no autenticado.





• Los verificadores NO DEBEN solicitar a los suscriptores que utilicen autenticación basada en conocimientos (KBA) (por ejemplo, “¿Cómo se llamaba su primera mascota?”) ni preguntas de seguridad al elegir contraseñas.





• Los verificadores DEBEN verificar toda la contraseña enviada (es decir, no truncarla).

Durante años, los críticos han denunciado la locura y el daño que resultan de muchas reglas de contraseñas comúnmente aplicadas. Y, sin embargo, los bancos, los servicios en línea y las agencias gubernamentales se han aferrado en gran medida a ellos de todos modos. Las nuevas directrices, en caso de que sean definitivas, no son universalmente vinculantes, pero podrían proporcionar puntos de conversación persuasivos a favor de acabar con las tonterías.

Fuente: NIST

Registro de eventos de Windows para detectar ataques de ransomware

El Centro de respuesta a emergencias informáticas de Japón (JPCERT/CC) ha compartido consejos para detectar diferentes ataques de bandas de ransomware basándose en entradas en los registros de eventos de Windows, lo que proporciona una detección oportuna de los ataques en curso antes de que se propaguen demasiado en una red.

JPCERT/CC dice que la técnica puede ser valiosa a la hora de responder a ataques de ransomware, y que identificar el vector de ataque entre varias posibilidades es crucial para una mitigación oportuna. La estrategia de investigación propuesta por JPCERT/CC cubre cuatro tipos de registros de eventos de Windows: registros de aplicación, seguridad, sistema y configuración.

Estos registros a menudo contienen rastros dejados por ataques de ransomware que podrían revelar los puntos de entrada utilizados por los atacantes y su “identidad digital”.

A continuación se muestran algunos ejemplos de rastros de ransomware destacados en el informe de la agencia:

• Conti: identificado por muchos registros relacionados con el Administrador de reinicio de Windows (ID de evento: 10000, 10001).





• Phobos: deja rastros al eliminar copias de seguridad del sistema (ID de evento: 612, 524, 753). 8base y Elbie generan registros similares.





• Midas: cambia la configuración de red para propagar la infección, dejando el ID de evento 7040 en los registros.





• BadRabbit: registra el ID de evento 7045 al instalar un componente de cifrado.





• Bisamware: registra el inicio (1040) y el final (1042) de una transacción de Windows Installer.





• Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock y otros programas maliciosos creados a partir del cifrado filtrado de Lockbit y Conti leaked encryptor generan eventos similares.





• Shade, GandCrab, AKO, AvosLocker, BLACKBASTA y Vice Society, dejan rastros muy similares (ID de evento: 13, 10016). Ambos errores se deben a la falta de permisos al acceder a aplicaciones COM para eliminar instantáneas de volumen, que el ransomware normalmente elimina para evitar una fácil restauración de archivos cifrados.

Es importante tener en cuenta que ningún método de detección debe tomarse como garantía de una protección adecuada contra el ransomware, pero el monitoreo de registros específicos puede cambiar las reglas del juego cuando se combina con otras medidas para detectar ataques antes de que se propaguen demasiado en una red.

JPCERT/CC señala que las cepas de ransomware más antiguas, como WannaCry y Petya, no dejaban rastros en los registros de Windows, pero la situación ha cambiado con el malware moderno, por lo que la técnica ahora se considera efectiva.

En 2022, SANS también compartió una guía sobre cómo detectar diferentes familias de ransomware mediante registros de eventos de Windows.

Fuente: BC

Ataque DDoS más grande de la historia abusa de Linux CUPS, routers Asus, MikroTik y DVRs

Durante un ataque de denegación de servicio distribuido (DDoS) dirigidoo a organizaciones de los sectores de servicios financieros, Internet y telecomunicaciones, los ataques volumétricos alcanzaron un máximo de 3,8 terabits por segundo, el mayor registrado públicamente hasta la fecha. El ataque consistió en una andanada de más de 100 ataques DDoS hipervolumétricos que inundaron la infraestructura de la red con datos basura.

En un ataque DDoS volumétrico, el objetivo se ve inundado con grandes cantidades de datos hasta el punto de consumir el ancho de banda o agotar los recursos de las aplicaciones y dispositivos, dejando a los usuarios legítimos sin acceso.

Routers ASUS, dispositivos MikroTik, DVR y servidores web

Muchos de los ataques dirigidos a la infraestructura de red del objetivo (capas de red y de transporte L3/4) superaron los dos mil millones de paquetes por segundo (pps) y los tres terabits por segundo (Tbps).

Según investigadores de la empresa de infraestructura de Internet Cloudflare, los dispositivos infectados se extendieron por todo el mundo, pero muchos de ellos estaban ubicados en Rusia, Vietnam, Estados Unidos, Brasil y España.

El actor de amenazas detrás de la campaña aprovechó múltiples tipos de dispositivos comprometidos, que incluían una gran cantidad de Routers domésticos ASUS (CVE 9.8, vulnerabilidad descubierta por Censys), dispositivos Mikrotik, DVR y servidores web.

Cloudflare mitigó todos los ataques DDoS de forma autónoma y observó que el que alcanzó un máximo de 3,8 Tbps duró 65 segundos.

Los investigadores afirman que la red de dispositivos maliciosos utilizó principalmente el Protocolo de datagramas de usuario (UDP) en un puerto fijo, un protocolo con transferencias de datos rápidas pero que no requiere establecer una conexión formal.

Anteriormente, Microsoft ostentaba el récord de defensa contra el mayor ataque DDoS volumétrico de 3,47 Tbps, dirigido a un cliente de Azure en Asia.

Normalmente, los actores de amenazas que lanzan ataques DDoS dependen de grandes redes de dispositivos infectados (botnets) o buscan formas de amplificar los datos entregados al objetivo, lo que requiere una cantidad menor de sistemas.

En un informe de esta semana, la empresa de computación en la nube Akamai confirmó que las vulnerabilidades CUPS recientemente reveladas en Linux podrían ser un vector viable para ataques DDoS. Después de escanear la Internet pública en busca de sistemas vulnerables a CUPS, Akamai descubrió que más de 58.000 estaban expuestos a ataques DDoS al explotar el problema de seguridad de Linux.

ShadowServer ha compartido un informe especial sobre instancias CUPS vulnerables.

Más pruebas revelaron que cientos de “servidores CUPS vulnerables devolverán señales repetidamente después de recibir las solicitudes iniciales, y algunos de ellos parecen hacerlo sin cesar en respuesta a las respuestas HTTP/404”.

Estos servidores envían miles de solicitudes a los sistemas de prueba de Akamai, lo que muestra un potencial significativo de amplificación al explotar las fallas de CUPS.

Fuente: BC

Brecha de Datos en Caterpillar Inc

Importante brecha de seguridad que afecta a Caterpillar Inc., una de las mayores fabricantes de maquinaria de construcción a nivel mundial. Según los informes, se ha filtrado una gran cantidad de información sensible, que incluye proyectos internos, datos de empleados y clientes, información financiera, diseños de fabricación y correspondencia privada.

El volumen de datos comprometidos asciende a 80 GB e incluye detalles confidenciales de la compañía. La publicación realizada por los atacantes revela que también han obtenido contraseñas de navegadores y herramientas de reconocimiento de la red.

Los atacantes han ofrecido el acceso a esta información y han proporcionado capturas de pantalla como prueba de la violación de seguridad. Además, han afirmado que llevan un largo tiempo dentro de la red de la empresa y han advertido sobre las posibles consecuencias de este incidente.

Mala actualización de CrowdStrike vinculada a importantes caídas de Windows y Azure (workaround)

Organizaciones de todo el mundo están informando de importantes interrupciones debido a fallos del sistema Windows y Azure provocados por una mala actualización de CrowdStrike (aproximadamente a las 10AM BST – 6AM en Argentina).

CrowdStrike inició una investigación después de recibir informes generalizados de hosts de Windows que experimentaban una pantalla azul de la muerte (BSOD). En la última actualización proporcionada al momento de escribir este artículo, la compañía dijo que está en proceso de revertir los cambios que pueden haber causado el problema.

El BSOD parece ser causado por una actualización reciente del sensor CrowdStrike Falcon. Según se informa, los dispositivos afectados entran en bucles BSOD que los hacen inoperables.

Se recomienda una solución alternativa que implica iniciar sistemas en modo seguro y eliminar un componente de CrowdStrike.

El director ejecutivo de CrowdStrike, George Kurtz, dijo en un comunicado en la plataforma de redes sociales X que los problemas se deben a un “defecto encontrado en una única actualización de contenido para los hosts de Windows”.

“Los hosts Mac y Linux no se ven afectados. Esto no es un incidente de seguridad ni un ciberataque. El problema ha sido identificado, aislado y se ha implementado una solución”, añadió Kurtz.

Organizaciones de todo el mundo han informado de importantes cortes de energía, incluidos aeropuertos, bancos, medios de comunicación y hospitales. Sin embargo, al menos algunos de estos incidentes parecen deberse a una interrupción del servicio en la nube de Microsoft que no está relacionada con CrowdStrike. Algunos sitios web de noticias parecen estar mezclando los dos incidentes.

Aún así, la mala actualización de CrowdStrike está causando problemas a muchos, incluidos los principales aeropuertos de todo el mundo. American Airlines le dijo a la BBC que a los vuelos no se les permitió despegar y que el incidente se atribuyó a un “problema técnico con CrowdStrike”.

Incluso Google Cloud informó de un incidente que afectó a su Compute Engine y señaló que “las máquinas virtuales de Windows que utilizan csagent.sys de Crowdstrike fallan y se reinician inesperadamente”.

Kevin Beaumont, un reputado experto en ciberseguridad, dijo que la actual interrupción global de TI es causada por CrowdStrike, no por Microsoft, que ha resuelto sus propios problemas.

Las acciones de CrowdStrike que cotizan en bolsa han bajado aproximadamente un 20% en las operaciones previas a la comercialización en el momento de la publicación.

Si se ha visto afectado por el error, aquí hay un workaround (otra) que se puede aplicar de forma temporal.

1. Arrancar Windows en Modo Seguro





2. Buscar la carpeta de CrowdStrike (C:\Windows\System32\drivers\CrowdStrike)





3. Buscar y borrar el archivo C-00000291*.sys





4. Reiniciar el ordenador

No se hicieron esperar los memes sobre el incidente:

Fuente: SecurityWeek

Vulnerabilidad crítica en GitLab Community y Enterprise

GitLab advirtió hoy que una vulnerabilidad crítica en las ediciones GitLab Community y Enterprise de su producto permite a los atacantes ejecutar trabajos de canalización como cualquier otro usuario.

Las canalizaciones de GitLab son una característica del sistema de integración continua/implementación continua (CI/CD) que permite a los usuarios ejecutar automáticamente procesos y tareas en paralelo o secuencialmente para crear, probar o implementar cambios de código.

La plataforma GitLab DevSecOps tiene más de 30 millones de usuarios registrados y es utilizada por más del 50% de las empresas Fortune 100, incluidas T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia y UBS.

La falla corregida en la actualización de seguridad de hoy está identificada como CVE-2024-6385 y recibió una calificación de gravedad de puntuación base CVSS de 9,6 sobre 10. Afecta a todas las versiones de GitLab CE/EE desde 15.8 a 16.11.6, 17.0 a 17.0.4 y 17.1 a 17.1.2. En determinadas circunstancias que GitLab aún no ha revelado, los atacantes pueden aprovecharlo para activar una nueva canalización como usuario arbitrario.

Los atacantes apuntan a GitLab porque aloja varios tipos de datos corporativos confidenciales, incluidas claves API y código propietario, lo que genera un impacto significativo en la seguridad después de una infracción.

La compañía lanzó GitLab Community y Enterprise versiones 17.1.2, 17.0.4 y 16.11.6 para abordar esta falla de seguridad crítica y recomendó a todos los administradores que actualizaran todas las instalaciones de inmediato.

A finales de junio, GitLab parcheó una vulnerabilidad casi idéntica (CVE-2024-5655) a finales de junio, que también podría explotarse para ejecutar canalizaciones como otros usuarios.

Un mes antes, solucionó una vulnerabilidad de gravedad alta (CVE-2024-4835) que permite a actores de amenazas no autenticados hacerse cargo de cuentas en ataques de secuencias de comandos entre sitios (XSS).

Como advirtió CISA en mayo, los actores de amenazas también están explotando activamente otra vulnerabilidad de GitLab sin necesidad de clic (CVE-2023-7028) parcheada en enero. Esta vulnerabilidad permite a atacantes no autenticados secuestrar cuentas mediante restablecimiento de contraseña.

Si bien Shadowserver encontró más de 5.300 instancias vulnerables de GitLab expuestas en línea en enero, menos de la mitad (1.795) todavía están accesibles en la actualidad.

Fuente: BC