Se han descubierto múltiples vulnerabilidades de seguridad en varios servicios, incluido el sistema de control distribuido (DCS) Honeywell Experion y QuickBlox, que, si se explotan con éxito, podrían resultar en un grave compromiso de los sistemas afectados.

Apodado Crit.IX, las nueve fallas en la plataforma DCS de Honeywell Experion permiten "la ejecución remota de código no autorizada, lo que significa que un atacante tendría el poder de hacerse cargo de los dispositivos y alterar el funcionamiento del controlador DCS, al tiempo que oculta las alteraciones de la estación de trabajo de ingeniería que administra el controlador", dijo Armis en un comunicado compartido con The Hacker News.

Dicho de otra manera, los problemas se relacionan con la falta de cifrado y mecanismos de autenticación adecuados en un protocolo propietario llamado Control Data Access (CDA) que se utiliza para comunicarse entre los servidores Experion y los controladores C300, lo que permite efectivamente que un actor de amenazas se haga cargo de los dispositivos y altere el funcionamiento del controlador DCS.

"Como resultado, cualquier persona con acceso a la red puede hacerse pasar por el controlador y el servidor", dijo Tom Gol, CTO de investigación en Armis. "Además, hay fallas de diseño en el protocolo CDA que dificultan el control de los límites de los datos y pueden conducir a desbordamientos de búfer".

La Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA), en un aviso propio, dijo que siete de las nueve fallas tienen un puntaje CVSS de 9.8 sobre 10, mientras que las otras dos tienen una calificación de gravedad de 7.5. "La explotación exitosa de estas vulnerabilidades podría causar una condición de denegación de servicio, permitir la escalada de privilegios o permitir la ejecución remota de código", advirtió.

En un desarrollo relacionado, Check Point y Claroty descubrieron fallas importantes en una plataforma de chat y videollamadas conocida como QuickBlox que se usa ampliamente en telemedicina, finanzas y dispositivos inteligentes de IoT. Las vulnerabilidades podrían permitir a los atacantes filtrar la base de datos de usuarios de muchas aplicaciones populares que incorporan el SDK y la API de QuickBlox.

Esto incluye a Rozcom, un proveedor israelí que vende intercomunicadores para casos de uso residencial y comercial. Un examen más detallado de su aplicación móvil condujo al descubrimiento de errores adicionales (CVE-2023-31184 y CVE-2023-31185) que hicieron posible descargar todas las bases de datos de usuarios, hacerse pasar por cualquier usuario y realizar ataques completos de adquisición de cuentas.

"Como resultado, pudimos hacernos cargo de todos los dispositivos de intercomunicación Rozcom, lo que nos dio un control total y nos permitió acceder a las cámaras y micrófonos del dispositivo, intervenir su alimentación, abrir puertas administradas por los dispositivos y más", dijeron los investigadores.

También se revelaron esta semana fallas en la ejecución remota de código que afectan a los puntos de acceso de Aerohive/Extreme Networks que ejecutan versiones de HiveOS/Extreme IQ Engine anteriores a 10.6r2 y la biblioteca de código abierto Ghostscript (CVE-2023-36664, puntuación CVSS: 9.8 ) que podrían resultar en la ejecución de comandos arbitrarios.

"Ghostscript es un paquete ampliamente utilizado pero no necesariamente ampliamente conocido", dijo el investigador de Kroll Dave Truman. "Se puede ejecutar de muchas maneras diferentes, desde abrir un archivo en un editor de imágenes vectoriales como Inkscape hasta imprimir un archivo a través de CUPS. Esto significa que una explotación de una vulnerabilidad en Ghostscript podría no limitarse a una aplicación o ser inmediatamente obvia".

Las deficiencias de seguridad también se han hecho públicas en dos plataformas de código abierto basadas en Golang, Owncast (CVE-2023-3188, puntuación CVSS: 6.5) y EaseProbe (CVE-2023-33967, puntuación CVSS: 9.8 ) que podrían allanar el camino para la falsificación de solicitudes del lado del servidor (SSRF) y los ataques de inyección SQL, respectivamente.

Completando la lista está el descubrimiento de credenciales codificadas en enrutadores de puerta de enlace DSL Technicolor TG670 que podrían ser armadas por un usuario autenticado para obtener un control administrativo total de los dispositivos.

"Un atacante remoto puede usar el nombre de usuario y la contraseña predeterminados para iniciar sesión como administrador del dispositivo enrutador", dijo CERT / CC en un aviso. "Esto permite al atacante modificar cualquiera de las configuraciones administrativas del enrutador y usarlo de maneras inesperadas".

Se recomienda a los usuarios que desactiven la administración remota en sus dispositivos para evitar posibles intentos de explotación y consulten con los proveedores de servicios para determinar si hay parches y actualizaciones apropiados disponibles.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha encontrado una nueva cepa de malware dirigida encubiertamente a enrutadores de pequeñas oficinas / oficinas domésticas (SOHO) durante más de dos años, infiltrándose en más de 70,000 dispositivos y creando una botnet con 40,000 nodos que abarcan 20 países.

Lumen Black Lotus Labs ha denominado al malware AVrecon, lo que la convierte en la tercera cepa de este tipo que se centra en los enrutadores SOHO después de ZuoRAT y HiatusRAT durante el año pasado.

"Esto hace que AVrecon sea una de las botnets de enrutador SOHO más grandes jamás vistas", dijo la compañía. "El propósito de la campaña parece ser la creación de una red encubierta para permitir silenciosamente una serie de actividades delictivas, desde la pulverización de contraseñas hasta el fraude publicitario digital".

La mayoría de las infecciones se encuentran en el Reino Unido y los Estados Unidos, seguidos de Argentina, Nigeria, Brasil, Italia, Bangladesh, Vietnam, India, Rusia y Sudáfrica, entre otros.

AVrecon fue destacado por primera vez por el investigador senior de seguridad de Kaspersky, Ye (Seth) Jin, en mayo de 2021, lo que indica que el malware ha logrado evitar la detección hasta ahora.

En la cadena de ataque detallada por Lumen, una infección exitosa es seguida por la enumeración del enrutador SOHO de la víctima y la exfiltración de esa información a un servidor de comando y control (C2) integrado.

También comprueba si otras instancias de malware ya se están ejecutando en el host buscando procesos existentes en el puerto 48102 y abriendo un agente de escucha en ese puerto. Se termina un proceso enlazado a ese puerto.


La siguiente etapa implica que el sistema comprometido establezca contacto con un servidor separado, llamado servidor C2 secundario, para esperar más comandos. Lumen dijo que identificó 15 servidores únicos que han estado activos desde al menos octubre de 2021.

Vale la pena señalar que la infraestructura C2 por niveles prevalece entre botnets notorias como Emotet y QakBot.

AVrecon está escrito en el lenguaje de programación C, lo que facilita la migración del malware para diferentes arquitecturas. Además, una razón crucial por la que tales ataques funcionan es porque aprovechan la infraestructura que vive en el borde que generalmente carece de soporte para soluciones de seguridad.

La evidencia reunida hasta ahora apunta a que la botnet se utiliza para hacer clic en varios anuncios de Facebook y Google, y para interactuar con Microsoft Outlook. Esto probablemente indica un esfuerzo doble para llevar a cabo el fraude publicitario y la exfiltración de datos.

"La forma de ataque parece centrarse predominantemente en robar ancho de banda, sin afectar a los usuarios finales, para crear un servicio proxy residencial para ayudar a lavar actividades maliciosas y evitar atraer el mismo nivel de atención de los servicios ocultos de Tor o los servicios VPN disponibles comercialmente", dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El software de administración Cisco SD-WAN vManage se ve afectado por una falla que permite a un atacante remoto no autenticado obtener permisos de lectura o escritura limitada para la configuración de la instancia afectada.

Cisco SD-WAN vManage es una solución basada en la nube que permite a las organizaciones diseñar, implementar y administrar redes distribuidas en múltiples ubicaciones.

Las instancias de vManage son implementaciones que pueden servir en la administración centralizada de la red, la configuración de VPN, la orquestación de SD-WAN, la implementación de la configuración de dispositivos, la aplicación de políticas, etc.

Cisco publicó ayer un boletín de seguridad informando de una vulnerabilidad de gravedad crítica en la validación de autenticación de solicitudes para la API REST del software Cisco SD-WAN vManage, rastreado como CVE-2023-20214.

El error se debe a una validación de solicitud insuficiente cuando se utiliza la característica API de REST, que se puede explotar mediante el envío de una solicitud de API especialmente diseñada a las instancias de vManage afectadas.

Esto podría permitir a los atacantes leer información confidencial del sistema comprometido, modificar ciertas configuraciones, interrumpir las operaciones de red y más.

"Un exploit exitoso podría permitir al atacante recuperar información y enviar información a la configuración de la instancia afectada de Cisco vManage", se lee en el boletín de Cisco.

"Esta vulnerabilidad solo afecta a la API REST y no afecta a la interfaz de administración basada en web ni a la CLI".

Correcciones y soluciones provisionales

Las versiones de Cisco SD-WAN vManage afectadas por CVE-2023-20214 son:

• v20.6.3.3 – Corregido en v20.6.3.4
• v20.6.4 – Corregido en v20.6.4.2
• v20.6.5 – Corregido en v20.6.5.5
• v20.9 – corregido en v20.9.3.2
• v20.10 – corregido en v20.10.1.2
• v20.11 – corregido en v20.11.1.2

Además, las versiones 20.7 y 20.8 de Cisco SD-WAN vManage también se ven afectadas, pero no se lanzarán correcciones para esas dos, por lo que se recomienda a sus usuarios que migren a una versión diferente.

Las versiones entre 18.x y 20.x no mencionadas en la lista anterior no se ven afectadas por CVE-2023-20214.

Cisco dice que no hay soluciones para esta vulnerabilidad; Sin embargo, hay formas de reducir significativamente la superficie de ataque.

Se recomienda a los administradores de red que utilicen listas de acceso de control (ACL) que limiten el acceso a las instancias de vManage solo a las direcciones IP especificadas, cerrando la puerta a los atacantes externos.

Otra medida de seguridad sólida es el uso de claves API para acceder a las API, una recomendación general de Cisco, pero no un requisito estricto para las implementaciones de vManage.

Los administradores también reciben instrucciones de supervisar los registros para detectar intentos de acceso a la API de REST, lo que indica una posible explotación de vulnerabilidades.

Para ver el contenido del archivo vmanage-server.log, utilice el comando "vmanage# show log /var/log/nms/vmanage-server.log".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Google está luchando contra la constante invasión de malware en Google Play al exigir que todas las nuevas cuentas de desarrollador que se registren como organización proporcionen un número D-U-N-S válido antes de enviar aplicaciones.

La nueva medida tiene como objetivo mejorar la seguridad y confiabilidad de la plataforma y es parte del esfuerzo para frenar los envíos de malware de nuevas cuentas.

Por lo general, las aplicaciones maliciosas en Google Play se envían para su revisión sin código peligroso o cargas útiles, que luego se obtienen más tarde a través de una actualización en la fase posterior a la instalación.

Las aplicaciones ofensivas se informan y se eliminan de Play Store, y sus desarrolladores son prohibidos. Sin embargo, es relativamente fácil para ellos crear una nueva cuenta y enviar las mismas aplicaciones peligrosas bajo un nuevo nombre y tema.

Para hacer frente a esta laguna, a partir del 31 de agosto de 2023, Google requerirá que todos los desarrolladores que creen nuevas cuentas de Play Console proporcionen un número D-U-N-S válido.

D-U-N-S (Data Universal Numbering System) son identificadores únicos de nueve dígitos asignados por la firma de datos comerciales y análisis de negocios Dun & Bradstreet a empresas únicas.

Las organizaciones que solicitan un número D-U-N-S de Dun & Bradstreet tienen que presentar varios documentos que ayudan a verificar la información proporcionada, y el proceso puede tardar hasta 30 días en completarse.

D-U-N-S es un estándar patentado reconocido mundialmente utilizado por el gobierno de los Estados Unidos, la Comisión Europea, las Naciones Unidas y Apple, y se considera confiable.

Al requerir un número D-U-N-S de los desarrolladores de software, Google hará que sea mucho más difícil para los editores de aplicaciones maliciosas volver a registrarse en la tienda de aplicaciones, ya que tendrían que establecer una nueva empresa para volver a la plataforma.

Además de lo anterior, Google cambiará la sección "Datos de contacto" de las entradas de la aplicación en Play Store, renombrándola a "Soporte de aplicaciones" y agregando más información sobre el desarrollador.

Anteriormente, esta sección alojaba el nombre, el correo electrónico y la ubicación del desarrollador, pero ahora también incluirá el nombre de la empresa, la dirección completa de la oficina, la URL del sitio web y el número de teléfono.


Este cambio mejorará la transparencia, permitiendo a los usuarios una comprensión más clara de la empresa responsable de cada aplicación.

Google dice que verificará regularmente la información proporcionada por los desarrolladores de aplicaciones para su inclusión en esa sección.

Si encuentran alguna inconsistencia, suspenderán la capacidad de la cuenta para publicar aplicaciones en Play Store, y eventualmente eliminarán las aplicaciones existentes después de un período específico.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

En una señal de que los investigadores de ciberseguridad continúan bajo el radar de actores maliciosos, se ha descubierto una prueba de concepto (PoC) en GitHub, ocultando una puerta trasera con un método de persistencia "astuto".

"En este caso, el PoC es un lobo con piel de oveja, que alberga intenciones maliciosas bajo la apariencia de una herramienta de aprendizaje inofensiva", dijeron los investigadores de Uptycs Nischay Hegde y Siddartha Malladi. "Operando como un descargador, vuelca y ejecuta silenciosamente un script bash de Linux, mientras disfraza sus operaciones como un proceso a nivel de kernel".

El repositorio se hace pasar por una prueba de concepto para CVE-2023-35829, una falla de alta gravedad recientemente revelada en el kernel de Linux. Desde entonces ha sido retirado, pero no antes de que se bifurcara 25 veces. Otra prueba de concepto compartida por la misma cuenta, ChriSanders22, para CVE-2023-20871, un error de escalada de privilegios que afecta a VMware Fusion, se bifurcó dos veces.

Uptypcs también identificó un segundo perfil de GitHub que contenía una PoC falsa para CVE-2023-35829. Todavía está disponible al momento de escribir y se ha bifurcado 19 veces. Un examen más detallado del historial de confirmación muestra que los cambios fueron impulsados por ChriSanders22, lo que sugiere que se bifurcó del repositorio original.


La puerta trasera viene con una amplia gama de capacidades para robar datos confidenciales de hosts comprometidos, así como permitir que un actor de amenazas obtenga acceso remoto agregando su clave SSH al archivo .ssh / authorized_keys.

"El PoC pretende que ejecutemos un comando make que es una herramienta de automatización utilizada para compilar y construir ejecutables a partir de archivos de código fuente", explicaron los investigadores. "Pero dentro del Makefile reside un fragmento de código que construye y ejecuta el malware. El malware nombra y ejecuta un archivo llamado kworker, que agrega la ruta $HOME / .local / kworker en $HOME / .bashrc, estableciendo así su persistencia.

El desarrollo se produce casi un mes después de que VulnCheck descubriera una serie de cuentas falsas de GitHub que se hacían pasar por investigadores de seguridad para distribuir malware bajo la apariencia de exploits de PoC para software popular como Discord, Google Chrome, Microsoft Exchange Server, Signal y WhatsApp.

Se recomienda a los usuarios que han descargado y ejecutado las PoC que eliminen las claves SSH no autorizadas, eliminen el archivo kworker, borren la ruta kworker del archivo bashrc y verifiquen /tmp/.iCE-unix.pid para detectar posibles amenazas.

"Si bien puede ser difícil distinguir las PoC legítimas de las engañosas, la adopción de prácticas seguras como las pruebas en entornos aislados (por ejemplo, máquinas virtuales) puede proporcionar una capa de protección", dijeron los investigadores.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Zimbra ha advertido de una falla crítica de seguridad de día cero en su software de correo electrónico que ha sido objeto de explotación activa en la naturaleza.

"Ha surgido una vulnerabilidad de seguridad en Zimbra Collaboration Suite Versión 8.8.15 que podría afectar potencialmente la confidencialidad e integridad de sus datos", dijo la compañía en un aviso.

También dijo que el problema se ha abordado y que se espera que se entregue en la versión del parche de julio. Los detalles adicionales sobre la falla no están disponibles actualmente.

Mientras tanto, está instando a los clientes a aplicar una solución manual para eliminar el vector de ataque:

• Realice una copia de seguridad del archivo /opt/zimbra/jetty/webapps/zimbra/m/momoveto
• Edite este archivo y vaya a la línea número 40
• Actualice el valor del parámetro como: <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
• Antes de la actualización, la línea aparecía como: <input name="st" type="hidden" value="${param.st}"/>

Si bien la compañía no reveló detalles de la explotación activa, la investigadora de Google Threat Analysis Group (TAG) Maddie Stone dijo que descubrió que la falla de secuencias de comandos entre sitios (XSS) se estaba abusando en la naturaleza como parte de un ataque dirigido. El investigador de TAG Clément Lecigne ha sido acreditado con el descubrimiento y reporte del error.

La revelación se produce cuando Cisco lanzó parches para remediar una falla crítica en su software SD-WAN vManage (CVE-2023-20214, puntuación CVSS: 9.1) que podría permitir a un atacante remoto no autenticado obtener permisos de lectura o permisos de escritura limitados para la configuración de una instancia afectada de Cisco SD-WAN vManage.

"Un exploit exitoso podría permitir al atacante recuperar información y enviar información a la configuración de la instancia afectada de Cisco vManage", dijo la compañía. "Un exploit exitoso podría permitir al atacante recuperar información y enviar información a la configuración de la instancia afectada de Cisco vManage".

La vulnerabilidad se ha solucionado en las versiones 20.6.3.4, 20.6.4.2, 20.6.5.5, 20.9.3.2, 20.10.1.2 y 20.11.1.2. El mayor de equipos de red dijo que no está al tanto de ningún uso malicioso de la falla.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Sea cual sea el sistema operativo que usemos, merece la pena tenerlo siempre bien actualizado. Y, que nadie se confunda, esto no significa tener que usar por obligación uno que use los últimos paquetes. Hay distribuciones que usan software algo más antiguo que se encargan de aplicarle los parches por su cuenta, haciendo el backport de todo lo importante. Por ejemplo, el kernel, que esta semana ha recibido un parche importante en las versiones de Linux que van de 6.1 a 6.5.

Ahora mismo, Linux 6.5 no ha visto publicada ni su primera Release Candidate, pero entre sus novedades ya está incluido un parche que corrige una vulnerabilidad que se ha dado a conocer bajo el nombre de StackRot. StackRot es una vulnerabilidad de escalada de privilegios en Linux de la que no se ha hablado hasta hace unas horas. Afecta a Linux 6.1 y posteriores, por lo que el equipo de mantenedores del kernel lanzaron el parche sin hacer mucho ruido. No están afectadas las versiones que ya llegaron la semana pasada.

Actualiza tu Linux 6.1+ cuando te sea posible

StackRot se hace de las suyas dentro del código de gestión de memoria y, por lo tanto, está muy expuesta en las amplias configuraciones del kernel afectadas. Lo peor es que estamos hablando de una vulnerabilidad que existe desde septiembre de 2023, cuando se movió el árbol VMA a la estructura Mapple Trees. Las versiones que corrigen el fallo son Linux 6.1.137, 6.3.11, 6.4.1 y el 6.5 que está ahora recibiendo peticiones. Linux 6.2 ya no está soportado, por lo que no entra en la lista.

En la mayoría de casos, las distribuciones Linux subirán las nuevas versiones del kernel o aplicarán sus propios parches a partir de los de las versiones oficiales. Los que hayan instalado el kernel por su cuenta deben actualizar tan pronto en cuanto les sea posible.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

MOVEit Transfer, el software en el centro de la reciente ola masiva de violaciones de ransomware Clop, ha recibido una actualización que corrige un error de inyección SQL de gravedad crítica y otras dos vulnerabilidades menos graves.

Las vulnerabilidades de inyección SQL permiten a los atacantes crear consultas especiales para obtener acceso a una base de datos o manipularla mediante la ejecución de código. Para que estos ataques sean posibles, la aplicación de destino debe sufrir una falta de saneamiento de datos de entrada/salida adecuada.

Progress, el desarrollador de MOVEit Transfer, descubrió múltiples problemas de inyección SQL en su producto que incluyen uno crítico rastreado como CVE-2023-36934, que puede ser explotado sin autenticación de usuario.

"Se ha identificado una vulnerabilidad de inyección SQL en la aplicación web MOVEit Transfer que podría permitir a un atacante no autenticado obtener acceso no autorizado a la base de datos MOVEit Transfer", se lee en el boletín de seguridad de Progress.


La segunda falla de inyección SQL se identifica como CVE-2023-36932 y recibió una calificación de gravedad alta porque un atacante podría explotarla después de la autenticación.

Los dos problemas de seguridad de inyección SQL afectan a varias versiones de MOVEit Transfer, incluidas 12.1.10 y anteriores, 13.0.8 y anteriores, 13.1.6 y anteriores, 14.0.6 y anteriores, 14.1.7 y anteriores, y 15.0.3 y anteriores.

Una tercera vulnerabilidad tratada con este parche es CVE-2023-36933, un problema de alta gravedad que permite a los atacantes provocar la finalización inesperada del programa.

Esta falla afecta a las versiones 13.0.8 y anteriores de MOVEit Transfer, 13.1.6 y anteriores, 14.0.6 y anteriores, 14.1.7 y anteriores, y 15.0.3 y anteriores.

Se recomienda a los usuarios de MOVEit Transfer que actualicen a las versiones destacadas en la tabla siguiente, que abordan las vulnerabilidades mencionadas.


Progress adopta Service Packs de seguridad

Hace aproximadamente un mes, los piratas informáticos, especialmente la pandilla de ransomware Clop, explotaron masivamente una vulnerabilidad de día cero en el producto MOVEit Transfer, rastreado como CVE-2023-34362, para robar datos de grandes organizaciones en todo el mundo.

El proveedor de software corrigió la falla unos días después de su descubrimiento, pero se reveló que las correcciones llegaron aproximadamente dos años después de que comenzara la primera explotación en la naturaleza.

Progress lanzó una auditoría de seguridad poco después, lo que llevó a descubrir y parchear fallas adicionales de gravedad crítica.

Como la compañía de software estadounidense todavía lidia con las repercusiones masivas del incidente de seguridad, ha decidido introducir actualizaciones de seguridad regulares llamadas "Service Packs", lanzadas cada mes.

Como parte de este nuevo enfoque, el proceso de actualización de software se está simplificando, lo que permite a los administradores de MOVEit Transfer aplicar correcciones de manera más rápida y fácil que antes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

JumpCloud, un proveedor de soluciones de gestión de identidad y acceso basadas en la nube, ha reaccionado rápidamente a un incidente de ciberseguridad en curso que afectó a algunos de sus clientes.

Como parte de sus esfuerzos de control de daños, JumpCloud ha restablecido las claves de la interfaz de programación de aplicaciones (API) de todos los clientes afectados por este evento, con el objetivo de proteger sus valiosos datos.

La compañía ha informado a los clientes interesados sobre la naturaleza crítica de este movimiento, reforzando su compromiso de salvaguardar sus operaciones y organizaciones. Sin embargo, este restablecimiento de la clave de API interrumpirá ciertas funcionalidades como la importación de AD, las integraciones de HRIS, los módulos de PowerShell de JumpCloud, las aplicaciones de JumpCloud Slack, las aplicaciones sin servidor de Directory Insights, ADMU, los paquetes MDM sin intervención de terceros, los desencadenadores de comandos, la integración de Okta SCIM, la integración de Azure AD SCIM, Workato, Aquera, Tray y más.

A pesar de las posibles interrupciones, JumpCloud sostiene que el restablecimiento de la clave es para el bien de sus clientes. Para aquellos que necesitan ayuda para restablecer o restablecer sus claves API, la compañía está lista para brindar soporte.

La compañía insta a los clientes afectados a restablecer rápidamente sus claves API para mejorar la seguridad de sus sistemas. Para ayudar en esto, JumpCloud ha puesto a disposición una guía detallada y una simulación interactiva.


Este evento reciente ha puesto de relieve la importancia de la seguridad de las API, lo que demuestra la necesidad de medidas de protección sólidas. Es crucial que las empresas protejan adecuadamente sus API para evitar posibles violaciones de seguridad.

Los servicios de Active Directory (AD) basados en la nube de JumpCloud son utilizados por más de 180,000 organizaciones en todo el mundo. Una multitud de proveedores de software y proveedores de servicios en la nube han integrado sus sistemas con el conjunto de servicios de identidad, acceso y administración de dispositivos de JumpCloud.

Los detalles sobre los detalles o la escala del incidente no están disponibles en este momento, pero JumpCloud está abordando activamente la situación. Aún no se ha determinado si la red de la compañía se vio comprometida o la causa precisa del problema.

La comunicación de JumpCloud ha generado algunas críticas por no ser totalmente transparente.

Se recomienda a los clientes de JumpCloud afectados por este evento que aceleren sus restablecimientos de claves API y estén atentos a futuros desarrollos o anuncios relacionados con este incidente.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mastodon, una popular red social descentralizada, ha lanzado una actualización de seguridad para corregir vulnerabilidades críticas que podrían exponer a millones de usuarios a posibles ataques.

Mastodon es conocido por su modelo federado, que consta de miles de servidores separados llamados "instancias", y tiene más de 14 millones de usuarios en más de 20,000 instancias.

La vulnerabilidad más crítica, CVE-2023-36460, permite a los piratas informáticos explotar una falla en la función de archivos adjuntos multimedia, creando y sobrescribiendo archivos en cualquier ubicación a la que el software pueda acceder en una instancia.

Esta vulnerabilidad de software podría usarse para DoS y ataques arbitrarios de ejecución remota de código, lo que representa una amenaza significativa para los usuarios y el ecosistema de Internet en general.

Si un atacante obtiene el control sobre varias instancias, podría causar daño al indicar a los usuarios que descarguen aplicaciones maliciosas o incluso derribar toda la infraestructura de Mastodon. Afortunadamente, no hay evidencia de que esta vulnerabilidad haya sido explotada hasta ahora.

La falla crítica fue descubierta como parte de una iniciativa integral de pruebas de penetración financiada por la Fundación Mozilla y realizada por Cure53.

La reciente versión del parche abordó cinco vulnerabilidades, incluido otro problema crítico rastreado como CVE-2023-36459. Esta vulnerabilidad podría permitir a los atacantes inyectar HTML arbitrario en las tarjetas de vista previa oEmbed, evitando el proceso de saneamiento HTML de Mastodon.

En consecuencia, esto introdujo un vector para cargas útiles de Cross-Site Scripting (XSS) que podría ejecutar código malicioso cuando los usuarios hicieran clic en tarjetas de vista previa asociadas con enlaces maliciosos.

Las tres vulnerabilidades restantes se clasificaron como de gravedad alta y media. Incluyeron "Inyección LDAP ciega en el inicio de sesión", que permitió a los atacantes extraer atributos arbitrarios de la base de datos LDAP, "Denegación de servicio a través de respuestas HTTP lentas" y un problema de formato con "Enlaces de perfil verificados". Cada uno de estos defectos planteaba diferentes niveles de riesgo para los usuarios de Mastodon.

Para protegerse, los usuarios de Mastodon solo necesitan asegurarse de que su instancia suscrita haya instalado las actualizaciones necesarias con prontitud.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mark Zuckerberg celebra que Threads ha superado los 30 millones de usuarios en menos de 24 horas, un logro sorprendente para una aplicación que, pese a beneficiarse del músculo de Instagram, es nueva. Al mismo tiempo, el equipo legal de Twitter ha enviado una carta dirigida a Meta en la que enumera una serie de acusaciones que podrían derivar en una batalla judicial, según Semafor.

El abogado de X Corp., la compañía matriz de la empresa de redes sociales de Elon Musk, señala que tienen serias preocupaciones de que Meta se haya visto involucrada en "apropiación indebida sistemática, deliberada e ilegal de los secretos comerciales y otra propiedad intelectual". La vía para acceder a esta información habría sido mediante la contratación de exempleados de Twitter.

A las puertas de una posible batalla judicial

Desde la empresa ahora liderada por Linda Yaccarino afirman que las personas contratadas por Meta "tenían y siguen teniendo acceso a los secretos comerciales de Twitter y otra información altamente confidencial". Por consecuencia, afirman, todavía tienen obligaciones con la plataforma y que, en algunos casos, incluso han conservado algunos documentos y dispositivos electrónicos.

Las acusaciones van incluso más allá. En la carta se afirma que Meta asignó conscientemente a los empleados en cuestión al proyecto de desarrollo de Threads para lanzarlo "en cuestión de meses". Todo esto, utilizando secretos comerciales y propiedad intelectual de Twitter en un acto que infringe las leyes estatales y federales de Estados Unidos. El texto cierra con una petición "inmediata" para la firma encabezada por Zuckerberg.


Pide que "deje de usar cualquier secreto comercial de Twitter u otra información altamente confidencial". Y prohíben "el rastreo o la extracción de datos de Twitter". En caso contrario, advierten, se reservan los derechos de poner en marcha recursos judiciales. Toca esperar para ver cómo evolucionará esta situación y si desde Meta brindarán declaraciones públicas al respecto.

Threads es el nuevo, y de momento más fuerte, rival de Twitter. La aplicación de Meta dependiente de Instagram ha sido concebida para compartir mensajes textuales e impulsar a sus usuarios a ser parte de conversaciones públicas. Además, aseguran sus creadores, en el futuro podrá interoperar con otras aplicaciones que admiten el protocolo ActivityPub, como Mastodon.

En sus primeras horas disponible para el público, Threads ha alcanzado un hito sorprendente: más de 30 millones de usuarios mientras Twitter se encierra en funciones de pago. Este escenario tiene lugar en un momento en el que Elon Musk y Mark Zuckerberg parecen llevar su rivalidad al siguiente nivel. Los magnates, pese sus desencuentros, sugieren que se enfrentarán en una pelea de lucha libre en jaula en The Octagon, Las Vegas.

Imágenes: Meta
Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de ciberseguridad han descubierto una infraestructura de ataque que se está utilizando como parte de una "campaña potencialmente masiva" contra entornos nativos de la nube.

"Esta infraestructura se encuentra en las primeras etapas de prueba y despliegue, y es principalmente consistente en un gusano de nube agresivo, diseñado para implementarse en las API expuestas de JupyterLab y Docker para implementar malware Tsunami, secuestro de credenciales en la nube, secuestro de recursos y una mayor infestación del gusano", dijo la firma de seguridad en la nube Aqua.

Se dice que la actividad, denominada Silentbob en referencia a un dominio AnonDNS configurado por el atacante, está vinculada al infame grupo de cryptojacking rastreado como TeamTNT, citando superposiciones en tácticas, técnicas y procedimientos (TTP). Sin embargo, no se ha descartado la participación de un "imitador avanzado".

La investigación de Aqua se inició después de un ataque dirigido a su honeypot a principios de junio de 2023, lo que llevó al descubrimiento de cuatro imágenes de contenedores maliciosos que están diseñadas para detectar instancias expuestas de Docker y Jupyter Lab e implementar un minero de criptomonedas, así como la puerta trasera de Tsunami.

Esta hazaña se logra mediante un script de shell que está programado para iniciarse cuando se inicia el contenedor y se utiliza para implementar el escáner ZGrab basado en Go para localizar servidores mal configurados. Desde entonces, Docker ha eliminado las imágenes del registro público. La lista de imágenes está a continuación -

• ShanidMk/JLTrT2 (44 tirones)
• ShanidMk/JLTEST (8 pulls)
• ShanidMk/sysapp (11 pulls)
• ShanidMk/Blob (29 tirones)

El contenedor también descarga un archivo denominado "aws.sh.txt", un script que probablemente esté diseñado para analizar sistemáticamente el entorno en busca de claves de AWS para su posterior exfiltración.

Aqua dijo que encontró 51 servidores con instancias expuestas de JupyterLab en la naturaleza, todos los cuales han sido explotados activamente o han mostrado signos de explotación por parte de actores de amenazas. Esto incluye un "ataque manual en vivo en uno de los servidores que emplearon masscan para buscar API de Docker expuestas".

"Inicialmente, el atacante identifica un servidor mal configurado (ya sea Docker API o JupyterLab) y despliega un contenedor o se involucra con la interfaz de línea de comandos (CLI) para buscar e identificar víctimas adicionales", dijeron los investigadores de seguridad Ofek Itach y Assaf Morag.

"Este proceso está diseñado para propagar el malware a un número creciente de servidores. La carga útil secundaria de este ataque incluye un criptominero y una puerta trasera, esta última empleando el malware Tsunami como su arma de elección.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Nickelodeon ha confirmado que los datos filtrados de una supuesta violación de la compañía son legítimos, pero algunos de ellos parecen tener décadas de antigüedad.

Nickelodeon es un canal de televisión de pago estadounidense propiedad de Paramount que produce y transmite contenido dirigido a niños y audiencias familiares.

A finales de junio, surgió un rumor sobre una importante filtración del departamento de animación de Nickelodeon. La prueba de la supuesta fuga de datos comenzó a circular en las redes sociales, mostrando una extensa colección de documentos y archivos multimedia de 500 GB.


La violación de datos supuestamente ocurrió en enero de este año y supuestamente terminó con Nickelodeon bloqueando el acceso no autorizado dos meses después. Sin embargo, no hay evidencia confiable sobre esto.

Según algunas fuentes, todos los archivos se filtraron en un servidor privado de Discord, y muchos de ellos se están volviendo a publicar en otros lugares.

En una declaración a BleepingComputer, un portavoz de Nickelodeon dijo que una investigación está en curso. Sin embargo, los archivos no parecen ser el producto de una violación reciente de sus sistemas.

Además, el portavoz del canal de televisión aseguró que los datos filtrados no contienen datos de usuarios o empleados y que se limitan a los recursos de producción y otra propiedad intelectual.

"Estamos al tanto de las publicaciones en las redes sociales que supuestamente los archivos relacionados con la producción se pusieron a disposición sin autorización, y estamos investigando", declaró el portavoz de Nickelodeon.


Analizar todo el volcado de datos puede llevar un tiempo, pero según la declaración de la compañía, no parece que Nickelodeon haya identificado signos de un compromiso real.

Incluso si se demuestra que el contenido filtrado es antiguo y no causa a Nickelodeon un daño comercial significativo, la redistribución de la propiedad intelectual protegida por derechos de autor es ilegal, y aquellos que participan en el acto pueden enfrentar consecuencias legales por hacerlo.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Los investigadores de seguridad descubrieron dos aplicaciones de administración de archivos maliciosos en Google Play con un recuento de instalaciones colectivas de más de 1.5 millones que recopilaron datos de usuario excesivos que van mucho más allá de lo necesario para ofrecer la funcionalidad prometida.

Las aplicaciones, ambas del mismo editor, pueden iniciarse sin ninguna interacción del usuario para robar datos confidenciales y enviarlos a servidores en China.

A pesar de haber sido reportadas a Google, las dos aplicaciones continúan estando disponibles en Google Play en el momento de la publicación.


File Recovery and Data Recovery, identificado como "com.spot.music.filedate" en los dispositivos, tiene al menos 1 millón de instalaciones. El recuento de instalaciones para el Administrador de archivos lee al menos 500,000 y se puede identificar en los dispositivos como "com.file.box.master.gkd".

Las dos aplicaciones fueron descubiertas por el motor de análisis de comportamiento de la compañía de soluciones de seguridad móvil Pradeo y su descripción indica que no recopilan ningún dato de usuario del dispositivo en la sección Seguridad de datos de su entrada de Google Play.


Sin embargo, Pradeo descubrió que las aplicaciones móviles filtran los siguientes datos del dispositivo:

• Lista de contactos de los usuarios desde la memoria del dispositivo, las cuentas de correo electrónico conectadas y las redes sociales.
• Imágenes, audio y vídeo que se administran o recuperan desde las aplicaciones.
• Ubicación del usuario en tiempo real
• Código de país móvil
• Nombre del proveedor de red
• Código de red del proveedor de SIM
• Número de versión del sistema operativo
• Marca y modelo del dispositivo

Si bien las aplicaciones pueden tener una razón legítima para recopilar algunos de los anteriores para garantizar un buen rendimiento y compatibilidad, gran parte de los datos recopilados no son necesarios para la administración de archivos o las funciones de recuperación de datos. Para empeorar las cosas, estos datos se recopilan en secreto y sin obtener el consentimiento del usuario.

Pradeo agrega que las dos aplicaciones ocultan sus íconos de la pantalla de inicio para que sea más difícil encontrarlos y eliminarlos. También pueden abusar de los permisos que el usuario aprueba durante la instalación para reiniciar el dispositivo e iniciarlo en segundo plano.

Es probable que el editor haya utilizado emuladores o instalado granjas para inflar la popularidad y hacer que sus productos parezcan más confiables, especula Pradeo.

Esta teoría está respaldada por el hecho de que el número de reseñas de usuarios en Play Store es demasiado pequeño en comparación con la base de usuarios reportada.

Siempre se recomienda verificar las reseñas de los usuarios antes de instalar una aplicación, prestar atención a los permisos solicitados durante la instalación de la aplicación y confiar solo en el software publicado por desarrolladores acreditados.

BleepingComputer se ha comunicado con Google para obtener un comentario sobre el asunto, pero aún no hemos recibido una respuesta.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Mediante una publicación de blog, la Fundación Linux ha dado a conocer que Analog Devices (ADI) se ha unido como miembro Platinum, así como Arduino y Technology Innovation Institute (TII) como miembros Silver.

Para quienes desconocen del proyecto Zephyr, deben saber que esté es un proyecto de código abierto de la Linux Foundation que crea un RTOS seguro, conectado y flexible para dispositivos preparados para el futuro y con recursos limitados, es fácil de implementar y administrar. Es un ecosistema RTOS probado creado por desarrolladores para desarrolladores.

Zephyr tiene como objetivo proporcionar una solución de código abierto para dispositivos integrados que requieren baja latencia, bajo consumo de energía y una pequeña huella de memoria. Este es un proyecto colaborativo que fomenta la participación de todos los jugadores en el campo de los sistemas embebidos

CitarEl Proyecto Zephyr es un proyecto de colaboración alojado por Linux Foundation. Es un esfuerzo de colaboración de código abierto que une a desarrolladores y usuarios en la creación del mejor sistema operativo en tiempo real (RTOS) pequeño, escalable y optimizado para dispositivos con recursos limitados, en múltiples arquitecturas.

En la publicación se menciona que el proyecto Zephyr ha tenido granes logros y que recientemente alcanzó la superación de 80 000 confirmaciones desde que se lanzó como código abierto en 2015.

Actualmente, Zephyr admite más de 450 placas que ejecutan microcontroladores integrados desde Arm y RISC-V hasta Tensilica, NIOS, ARC y x86 como sistemas de un solo núcleo y de varios núcleos. Zephyr RTOS tiene un conjunto creciente de bibliotecas de software que se pueden usar en diversas aplicaciones y sectores industriales, como IoT industrial, objetos conectados, aprendizaje automático y más. Está construido con un enfoque en un amplio soporte de chips, seguridad, confiabilidad, lanzamientos a largo plazo y un creciente ecosistema de código abierto.

Citar" El Proyecto Zephyr reúne a una comunidad diversa de desarrolladores, ingenieros y expertos en todos los niveles para crear una solución respaldada por la industria en la que puedan confiar durante el ciclo de vida de sus productos ", dijo Kate Stewart, Vicepresidenta de Sistemas Embebidos Confiables. "Nuestro enfoque en la integración de tecnologías clave y el hecho de que está respaldado por un ecosistema completo, lo han convertido en una plataforma ideal para productos de rápido tiempo de comercialización".

En la publicación de blog, tambien se menciona el lanzamiento de la versión 3.4 de Zephyr en la cual se destaca que se han añadido nuevas APIs e implementaciones de controladores para interactuar con unidades NVMe, dispositivos SMBus y relojes en tiempo real de manera uniforme.

Ademas de ello, tambien se destaca que Zephyr 3.4 también presenta varias mejoras en su marco de pruebas integrado (Twister) que permiten una redacción de pruebas más completa que en versiones anteriores. Con ello, ahora los desarrolladores pueden usar marcos de prueba de terceros populares como pyTest, GoogleTest y RobotFramework para escribir pruebas de extremo a extremo que se ejecutan en hardware real o emulado y, por ejemplo, se pueden conectar a servidores IoT.

Tambien, se menciona que con el nuevo lanzamiento se agregó el soporte para más de 30 placas nuevas y también se agregaron docenas de controladores nuevos, desde sensores ambientales hasta DSP de audio y dispositivos SoC integrados.

Finalmente, cabe mencionar que algunos de los productos que funcionan con Zephyr incluyen:

• CuteCircuit's Soundshirt: un dispositivo portátil que da vida a la música y los medios de una manera que se puede sentir físicamente, en tiempo real y en el cuerpo en un lenguaje táctil único para cada pieza de música, cine, juegos o experiencias de realidad virtual.
• Lilbit es un proveedor líder de rastreadores de mascotas, que es un dispositivo liviano que se conecta al collar y se empareja con un teléfono inteligente. No solo rastrean la ubicación en tiempo real, sino que también verifican la temperatura, los patrones de sueño, el nivel de actividad y los hábitos alimenticios.
• SODAQ TRACK Solar: un innovador dispositivo de seguimiento de activos, diseñado específicamente para soportar entornos industriales exigentes. Este dispositivo está diseñado para proporcionar una amplia gama de lecturas y puntos de datos, lo que facilita la conexión de activos en línea y su gestión eficaz.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha colocado un conjunto de ocho fallas en el catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basadas en evidencia de explotación activa.

Esto incluye seis deficiencias que afectan a los teléfonos inteligentes Samsung y dos vulnerabilidades que afectan a los dispositivos D-Link. Todos los defectos han sido parcheados a partir de 2021.

• CVE-2021-25394 (puntuación CVSS: 6,4) - Vulnerabilidad de condición de carrera de dispositivos móviles Samsung
• CVE-2021-25395 (puntuación CVSS: 6,4) - Vulnerabilidad de condición de carrera de dispositivos móviles Samsung
• CVE-2021-25371 (puntuación CVSS: 6,7): una vulnerabilidad no especificada en el controlador DSP utilizado en dispositivos móviles Samsung que permite cargar bibliotecas ELF arbitrarias
• CVE-2021-25372 (puntuación CVSS: 6,7) - Comprobación incorrecta de límites de dispositivos móviles Samsung dentro del controlador DSP en dispositivos móviles Samsung
• CVE-2021-25487 (puntuación CVSS: 7,8): vulnerabilidad de lectura fuera de los límites de los dispositivos móviles Samsung que provoca la ejecución de código arbitrario
• CVE-2021-25489 (puntuación CVSS: 5,5) - Vulnerabilidad de validación de entrada incorrecta en dispositivos móviles Samsung que provoca un fallo en el kernel
• CVE-2019-17621 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código no autenticada en el enrutador D-Link DIR-859
• CVE-2019-20500 (puntuación CVSS: 7,8): vulnerabilidad de inserción de comandos de SO autenticado en D-Link DWL-2600AP

La adición de las dos vulnerabilidades de D-Link sigue a un informe de la Unidad 42 de Palo Alto Networks el mes pasado sobre actores de amenazas asociados con una variante de botnet Mirai que aprovecha las fallas en varios dispositivos IoT para propagar el malware en una serie de ataques a partir de marzo de 2023.

Sin embargo, no está claro de inmediato cómo se están explotando las fallas en los dispositivos Samsung. Pero dada la naturaleza de la orientación, es probable que hayan sido utilizados por un proveedor comercial de spyware en ataques altamente dirigidos.

Vale la pena señalar que Google Project Zero reveló un conjunto de fallas en noviembre de 2022 que, según dijo, fueron armadas como parte de una cadena de exploits dirigida a los teléfonos Samsung.

A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 20 de julio de 2023 para proteger sus redes contra posibles amenazas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El organismo sueco de protección de datos ha advertido a las empresas contra el uso de Google Analytics debido a los riesgos planteados por la vigilancia del gobierno de Estados Unidos, siguiendo medidas similares de Austria, Francia e Italia el año pasado.

El desarrollo se produce después de una auditoría iniciada por la Autoridad Sueca para la Protección de la Privacidad (IMY) contra cuatro compañías CDON, Coop, Dagens Industri y Tele2.

"En sus auditorías, IMY considera que los datos transferidos a los Estados Unidos a través de la herramienta de estadísticas de Google son datos personales porque los datos pueden vincularse con otros datos únicos que se transfieren", dijo IMY.

"La autoridad también concluye que las medidas técnicas de seguridad que las empresas han tomado no son suficientes para garantizar un nivel de protección que corresponda esencialmente al garantizado dentro de la UE / EEE".

La autoridad de protección de datos también multó a $ 1.1 millones para el proveedor sueco de servicios de telecomunicaciones Tele2 y menos de $ 30,000 para el mercado local en línea CDON que no implementó medidas de seguridad adecuadas para anonimizar los datos antes de la transferencia.

Además, se ha ordenado a CDON, Coop y Dagens Industri que dejen de utilizar Google Analytics. Se dice que Tele2 ha dejado de usar voluntariamente el servicio.

La investigación, agregó el IMY, se basó en una queja presentada por la organización sin fines de lucro de privacidad None of Your Business (noyb) alegando violaciones de las leyes del Reglamento General de Protección de Datos (GDPR).

La decisión se basa en el hecho de que tal UE-U.S. Las transferencias de datos se han encontrado ilegales a la luz de las posibles preocupaciones de vigilancia de que los datos almacenados en servidores estadounidenses podrían estar sujetos al acceso de las agencias de inteligencia en el país.

Preocupaciones similares han llevado a Meta a recibir una multa récord de $ 1.3 mil millones por parte de las agencias de protección de datos de la Unión Europea. Dicho esto, la UE y los Estados Unidos están en el proceso de finalizar un nuevo acuerdo de transferencia de datos, llamado UE-EE.UU. Marco de privacidad de datos, que reemplaza al ahora inválido Privacy Shield.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Olvídese de las cuentas de spam criptográfico, Twitter tiene otro problema que involucra bots y cuentas que promueven contenido para adultos y se infiltran en mensajes directos e interacciones en la plataforma. Y no parece haber una solución fácil a la vista.

Si bien el problema ha existido durante un tiempo, el aumento en los bots porno es irónico, dadas las prometedoras afirmaciones de Elon Musk de abordar los bots y las cuentas falsas en Twitter, después de su adquisición de la plataforma.

Un Twitterverso de bots porno

Esta semana, los investigadores de seguridad marcaron muchas cuentas de spam que comenzaron a seguirlas o a iniciar conversaciones o interacciones de mensajes directos no solicitados (como me gusta y respuestas).

En un tweet, el grupo de investigación de seguridad, MalwareHunterTeam expuso múltiples cuentas de Twitter que son robots de spam que se inyectan dentro de las interacciones en forma de me gusta. Esto es para atraer a los usuarios a ver los perfiles de estas cuentas de bot y hacer clic en los enlaces enumerados en su biografía. Estos enlaces conducen a sitios de conexión y NSFW.


Una de esas cuentas de Twitter con enlaces ilícitos en su biografía se muestra a continuación. Desde entonces, la cuenta ha sido suspendida:


El periodista estadounidense Chris Geidner también destacó una respuesta de Twitter a su reciente artículo que había recibido de un "bot porno" a los pocos minutos de publicar el artículo:


Mikel García, un profesional de TI con sede en el Reino Unido, publicó una captura de pantalla de múltiples robots de spam que promocionaban señuelos falsos, incluidos "trabajos a tiempo parcial" a través de mensajes directos:


Aunque Twitter ha estado suspendiendo las cuentas de bots a medida que surgen, la plataforma aún no ha aplicado ninguna solución efectiva o novedosa para contener el spam y los bots, por lo que es similar a una situación de golpe-a-mole.

"¡Si nuestra oferta de Twitter tiene éxito, derrotaremos a los robots de spam o moriremos en el intento!" Musk había declarado el año pasado en medio de discusiones sobre la adquisición de la plataforma.

Pero, en este punto, los bots siguen siendo un problema importante para Twitter sin una solución a la vista.

Durante el fin de semana, Musk anunció que Twitter estaba aplicando temporalmente límites de velocidad para reducir el "raspado de datos y la manipulación del sistema". No está claro si esto se está haciendo, en parte, para apuntar a la actividad iniciada por bots.


Musk había eliminado anteriormente las insignias azules de las cuentas verificadas bajo criterios anteriores y las había reemplazado con un sistema de pago para todos, en un intento por derribar lo que había llamado un sistema de "señores y campesinos". Sin embargo, por su propia admisión, eligió mantener intactas las insignias de verificación para algunas cuentas prominentes "pagando por ellas personalmente".

En múltiples ocasiones, los actores de amenazas han abusado de las cuentas verificadas por Twitter Blue para impulsar estafas criptográficas, frustrando así el propósito mismo de la verificación.

Sin implementar un proceso simplificado para mantener a raya las cuentas falsas y los bots, los problemas de spam existentes en Twitter están aquí para quedarse.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha negado las afirmaciones de los llamados hacktivistas "Anonymous Sudan" de que violaron los servidores de la compañía y robaron credenciales para 30 millones de cuentas de clientes.

Anonymous Sudan es conocido por debilitar los ataques distribuidos de denegación de servicio (DDoS) contra entidades occidentales en los últimos meses. El grupo ha confirmado su afiliación con hacktivistas pro-rusos como Killnet.

El mes pasado, Microsoft admitió que Anonymous Sudan fue responsable de las interrupciones e interrupciones del servicio a principios de junio que afectaron a varios de sus servicios, incluidos Azure, Outlook y OneDrive.

Ayer, los hacktivistas alegaron que habían "pirateado con éxito a Microsoft" y "accedieron a una gran base de datos que contenía más de 30 millones de cuentas, correos electrónicos y contraseñas de Microsoft".

Anonymous Sudan ofreció vender esta base de datos a las partes interesadas por $ 50,000 e instó a los compradores interesados a ponerse en contacto con su bot de Telegram para organizar la compra de los datos.


La publicación incluso incluye una muestra de los datos que ofrecieron (supuestamente robados de Microsoft) como prueba de la violación y advirtió que Microsoft negaría esas afirmaciones.

El grupo proporcionó 100 pares de credenciales, pero su origen no pudo ser verificado (datos antiguos, el resultado de una violación en un proveedor de servicios externo, robados de los sistemas de Microsoft).

BleepingComputer se ha puesto en contacto con Microsoft para solicitar un comentario sobre la validez del dicho de Anonymous Sudan y un portavoz de la compañía negó rotundamente cualquier reclamo de violación de datos.

"En este momento, nuestro análisis de los datos muestra que este no es un reclamo legítimo y una agregación de datos", dijo un representante de la compañía a BleepingComputer.


No está claro en este momento si la investigación de Microsoft está completa o está en curso. Además, la reacción de la compañía a la posible divulgación pública de los datos aún está por verse.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Se ha observado que los actores de amenazas asociados con el ransomware BlackCat emplean trucos de publicidad maliciosa para distribuir instaladores deshonestos de la aplicación de transferencia de archivos WinSCP.

"Los actores maliciosos utilizaron la publicidad maliciosa para distribuir una pieza de malware a través de páginas web clonadas de organizaciones legítimas", dijeron los investigadores de Trend Micro en un análisis publicado la semana pasada. "En este caso, la distribución involucró una página web de la conocida aplicación WinSCP, una aplicación de Windows de código abierto para la transferencia de archivos".

La publicidad maliciosa se refiere al uso de técnicas de envenenamiento SEO para propagar malware a través de la publicidad en línea. Por lo general, implica secuestrar un conjunto elegido de palabras clave para mostrar anuncios falsos en las páginas de resultados de búsqueda de Bing y Google con el objetivo de redirigir a los usuarios desprevenidos a páginas incompletas.

La idea es engañar a los usuarios que buscan aplicaciones como WinSCP para que descarguen malware, en este caso, una puerta trasera que contiene una baliza Cobalt Strike que se conecta a un servidor remoto para operaciones de seguimiento, al tiempo que emplea herramientas legítimas como AdFind para facilitar el descubrimiento de redes.

El acceso proporcionado por Cobalt Strike se abusa aún más para descargar una serie de programas para realizar reconocimiento, enumeración (PowerView), movimiento lateral (PsExec), omitir el software antivirus (KillAV BAT) y filtrar datos de clientes (cliente PuTTY Secure Copy). También se observa el uso de la herramienta de evasión de defensa Terminator para manipular el software de seguridad mediante un ataque Bring Your Own Vulnerable Driver (BYOVD).

En la cadena de ataque detallada por la compañía de ciberseguridad, los actores de amenazas lograron robar privilegios de administrador de alto nivel para realizar actividades posteriores a la explotación e intentaron configurar la persistencia utilizando herramientas de monitoreo y administración remotas como AnyDesk, así como servidores de respaldo de acceso.

"Es muy probable que la empresa se hubiera visto sustancialmente afectada por el ataque si se hubiera buscado la intervención más tarde, especialmente porque los actores de la amenaza ya habían logrado obtener acceso inicial a los privilegios de administrador de dominio y comenzaron a establecer puertas traseras y persistencia", dijo Trend Micro.


El desarrollo es solo el último ejemplo de actores de amenazas que aprovechan la plataforma Google Ads para servir malware. En noviembre de 2022, Microsoft reveló una campaña de ataque que aprovecha el servicio de publicidad para implementar BATLOADER, que luego se utiliza para eliminar el ransomware Royal.

También se produce cuando la compañía checa de ciberseguridad Avast lanzó un descifrador gratuito para el incipiente ransomware Akira para ayudar a las víctimas a recuperar sus datos sin tener que pagar a los operadores. Akira, que apareció por primera vez en marzo de 2023, ha ampliado su huella objetivo para incluir sistemas Linux.

"Akira tiene algunas similitudes con el ransomware Conti v2, lo que puede indicar que los autores del malware se inspiraron al menos en las fuentes filtradas de Conti", dijeron los investigadores de Avast. La compañía no reveló cómo descifró el algoritmo de cifrado del ransomware.

El sindicato Conti / TrickBot, también conocido como Gold Ulrick o ITG23, cerró en mayo de 2022 después de sufrir una serie de eventos perturbadores desencadenados por el inicio de la invasión rusa de Ucrania. Pero el grupo de delitos electrónicos continúa existiendo hasta la fecha, aunque como entidades más pequeñas y utilizando criptadores e infraestructura compartidos para distribuir.

IBM Security X-Force, en una reciente inmersión profunda, dijo que los cifrados de la pandilla, que son aplicaciones diseñadas para cifrar y ofuscar malware para evadir la detección de escáneres antivirus y dificultar el análisis, también se están utilizando para diseminar nuevas cepas de malware como Aresloader, Canyon, CargoBay, DICELOADER, Lumma C2, Matanbuchus, Minodo (anteriormente Domino), Pikabot, SVCReady y Vidar.

"Anteriormente, los cifrados se usaban predominantemente con las familias centrales de malware asociadas con ITG23 y sus socios cercanos", dijeron los investigadores de seguridad Charlotte Hammond y Ole Villadsen. "Sin embargo, la fractura de ITG23 y la aparición de nuevas facciones, relaciones y métodos, han afectado la forma en que se usan los criptadores".

A pesar de la naturaleza dinámica del ecosistema del cibercrimen, a medida que los actores cibernéticos nefastos van y vienen, y algunas operaciones se asocian, cierran o cambian el nombre de sus esquemas motivados financieramente, el ransomware ha permanecido como una amenaza constante.

Esto incluye la aparición de un nuevo grupo de ransomware como servicio (RaaS) llamado Rhysida, que ha destacado principalmente los sectores de educación, gobierno, fabricación y tecnología en Europa occidental, América del Norte y del Sur, y Australia.

"Rhysida es una aplicación de ransomware criptográfica de Windows ejecutable portátil (PE) de 64 bits compilada utilizando MINGW / GCC", dijo SentinelOne en un artículo técnico. "En cada muestra analizada, el nombre del programa de la aplicación se establece en Rhysida-0.1, lo que sugiere que la herramienta se encuentra en las primeras etapas de desarrollo".

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login