Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

26/04/2019

Boletín 13/04/2019 - 26/04/2019

Os recordamos a continuación algunas de las noticias más relevantes sobre ciberseguridad acontecidas durante esta última quincena.

En primer lugar os queremos comentar que se ha descubierto un nuevo APT Framework, se trata de TajMahal, una herramienta maliciosa que incluye todo lo necesario para asegurar la infección del equipo víctima y robar todo tipo de información. El uso de este framework tan complejo ha pasado desapercibido durante años, hay indicios de que empezó a usarse en 2013.

Otro tema interesante acontecido durante la quincena desde el punto de vista de la ciberseguridad ha sido que se han sustraído las credenciales de algunas cuentas de soporte de Outlook y han sido utilizadas para comprometer cuentas de usuarios. El incidente podría haber permitido a los atacantes acceder a cierta información relacionada con la cuenta de correo como por ejemplo direcciones de correo de los contactos, nombre de carpetas y asunto de los correos. Microsoft ha confirmado que el incidente ya ha sido resuelto aunque recomienda de manera preventiva cambiar la contraseña de las cuentas.

Comentaros también que CCN-CERT ha publicado una nueva guía CCN-STIC donde se describe un procedimiento de empleo seguro en plataformas SRX de Juniper. Se trata de la guía CCN-STIC-1404.

Otro tema candente ha sido que tras la declaración de Lenín Moreno de extradición de Julian Assange, y el arresto irregular de Ola Bini el pasado 11 de abril, una oleada de ataques informáticos han inundado los centros de seguridad ecuatorianos. Destacables los ataques sufridos por la Cancillería de Ecuador, Presidencia o el Banco Central del Ecuador.

Por último, destacable también que ya está disponible el código fuente del malware CARBANAK, troyano bancario responsable del robo de un billón de euros, subido a la plataforma VirusTotal hace dos años desde una IP de origen ruso.

Actualización de programas

En cuanto a actualizaciones publicadas debido al descubrimiento de vulnerabilidades recientes, es interesante que conozcáis que varios de los productos de VMWare se han visto afectados por vulnerabilidades de criticidad alta del tipo “lectura fuera de límites” que podrían permitir a un atacante acceder a una máquina virtual.

También se ha identificado una vulnerabilidad Cross-Site Scripting (XSS) en la librería de JQuery incorporada en Drupal, así como vulnerabilidades de XSS, ejecución remota de código y bypass de autenticación en el core de Drupal.

Indicaros también que existen también vulnerabilidades en productos CODESYS v3 que incluyen vulnerabilidades críticas y altas que permitirían a un atacante originar denegaciones de servicio y cortes en las comunicaciones.

Por último, indicar que se ha encontrado una vulnerabilidad de tipo Zero-Day que afecta a varias versiones del software de Oracle WebLogic que están expuestas a ejecución remota de código. Oracle aún no ha publicado parches para solventar la vulnerabilidad.

CSIRT-CV