Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1015
)
- ► septiembre (Total: 50 )
-
▼
abril
(Total:
123
)
- Reino Unido prohíbe vender dispositivos inteligent...
- Infostealers: malware que roba información
- Vulnerabilidades Zero-Day en firewalls Cisco ASA
- Volkswagen hackeada: roban 19.000 documentos del s...
- Vulnerabilidad grave en GNU C Library (glibc) de 2...
- TikTok dejará de pagar a sus usuarios para evitar ...
- Windows 11 empieza a mostrar anuncios en el menú d...
- El malware RedLine Stealer abusa de repos de Githu...
- ¿Qué es el eSIM swapping?
- Ransomware en México
- Crean un perro robot con lanzallamas
- PartedMagic, Rescatux, SystemRescueCD, distros Lin...
- TikTok podrá clonar tu voz con inteligencia artifi...
- Ex director de ciber política de la Casa Blanca ta...
- Nuevo Chromecast 4K con Google TV
- Europa abre una investigación contra TikTok por su...
- El senado de Estados Unidos vota contra TikTok, so...
- El fabricante de tu móvil estará obligado a arregl...
- Procesadores de Intel Core i9 13-14th pierden hast...
- Vulnerabilidad crítica en VirtualBox para Windows
- Estados Unidos ha librado una batalla aérea simula...
- La Policía Europea (Europol) quiere eliminar el ci...
- Bruselas amenaza con suspender la nueva versión de...
- La Audiencia Nacional de España niega a EEUU una e...
- Desarrollan en Japón inteligencia artificial que p...
- ¿Cómo se cuelan las aplicaciones maliciosas en la ...
- Telefónica cierra todas sus centrales de cobre y E...
- Configurar correo electrónico aún más seguro con A...
- Samsung aumenta la jornada laboral a 6 días para “...
- LaLiga pide imputar a directivos de Apple, Google ...
- Windows 11 le daría la espalda a Intel y AMD con s...
- Desmantelada la plataforma de phishing LabHost
- Microsoft Office 2016 y 2019 sin soporte a partir ...
- Blackmagic Camera, la app para Android para grabar...
- Apple permite instalar aplicaciones para iOS como ...
- Filtrados casi 6 millones de archivos con fotos de...
- Versión con malware de Notepad++
- PuTTY corrige una vulnerabilida en el uso de clave...
- 54 mil millones de cookies robadas
- Cómo detectar la autenticidad de fotografías y vídeos
- CISA presenta su sistema de análisis de malware
- Un ciberataque deja al descubierto los datos perso...
- La única persona que se conecta a Steam en la Antá...
- DiskMantler: así es «el destructor de discos duros...
- ¿Qué es el PPPoE (Protocolo Punto a Punto over Eth...
- ¿Qué es POE? ¿Cuáles son las diferencias entre POE...
- IPsec Passthrough y VPN Passthrough
- La gran pregunta del mundo del gaming: ¿Los juegos...
- Cómo cambiar el puerto por defecto 3389 de RDP
- Inteligencia artificial Grok usa protocolo Torrent...
- Cómo instalar programas o reinstalar Windows con W...
- Intel descataloga por sorpresa los chips Core de 1...
- El fabricante de accesorios Targus interrumpe sus ...
- Filtran base con datos personales de 5.1 millones ...
- Hollywood carga contra la piratería y propone una ...
- Google Fotos revela que el Borrador Mágico será un...
- Empleado de Microsoft expone un servidor sin contr...
- Cómo configurar un proxy o VPN para Telegram
- Sierra Space quiere entregar suministros bélicos d...
- El PSG reconoce un ciberataque contra su sistema d...
- Descubiertas varias vulnerabilidades de seguridad ...
- P4x: el hacker justiciero que tumbó internet en Co...
- Amazon consigue cerrar un canal de Telegram que pr...
- Elon Musk cree que la IA superará a la inteligenci...
- Ciberdelincuentes chinos usan la IA generativa par...
- Estos son todos los datos que recopila ChatGPT cad...
- Ofrecen 30 millones de dólares por encontrar explo...
- Se busca director para la Agencia Española de Supe...
- Find My Device de Android permite "Encontrar mi di...
- Google resenta Axion, su primer procesador basado ...
- A la venta por 10.000$ base de datos con de 39,8 m...
- Despedido el CEO de la productora de 'Got Talent' ...
- Spotify presenta AI Playlist: crea listas de repro...
- Elon Musk contra un juez de Brasil por el bloqueo ...
- OpenAI usó videos robados de YouTube para entrenar...
- Apple firma con Shutterstock un acuerdo de entre 2...
- MTA-STS: Strict Transport Security
- Si coges el metro en San Francisco, es gracias a u...
- La app de control parental KidSecurity expone dato...
- Stability AI en crisis tras incumplir pagos a prov...
- Tu número de móvil podría valer 14.000 euros: así ...
- Vulnerabilidad crítica de Magento permite robar da...
- Los atacantes que hackearon el Consorcio Regional ...
- Cómo se forjó el backdoor en xz (librería Linux)
- Cómo saber cuándo pasará el coche de Google Street...
- Dos hermanos se han hecho millonarios desarrolland...
- El Gobierno de España encarga a IBM crear un model...
- Google tiene la solución al gran problema del JPEG...
- Twitter regala verificaciones azules a cuentas que...
- La trampa de los cursos para aprender a programar ...
- Android 15 permitirá tener un espacio privado para...
- Google limitará los bloqueadores de anuncios en Ch...
- Microsoft bloqueará las actualizaciones de Windows...
- YouTube lanza una advertencia a OpenAI: usar sus v...
- Patente busca inyectar anuncios por HDMI cuando ju...
- Apple, cerca de sufrir escasez de chips por culpa ...
- La Guardia Civil detiene a un pasajero que extravi...
- Un estado alemán se aleja de Microsoft y usará Lin...
- Todo lo que necesitas saber sobre las VLANs en redes
- Documentos judiciales revelan que Facebook permiti...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Vulnerabilidades Zero-Day en firewalls Cisco ASA
Una nueva campaña de malware aprovechó dos vulnerabilidades Zero-Day en los equipos de red de Cisco Adaptive Security Appliances (ASA) para entregar malware personalizado y facilitar la recopilación encubierta de datos en entornos productivos.
Cisco Talos, que denominó la actividad ArcaneDoor, atribuyéndola como obra de un sofisticado actor patrocinado por el estado no documentado previamente y al que rastrea bajo el nombre UAT4356 (también conocido como Storm-1849 de Microsoft).
"UAT4356 implementó dos puertas traseras como componentes de esta campaña, 'Line Runner' y 'Line Dancer', que se usaron colectivamente para llevar a cabo acciones maliciosas en el objetivo, que incluyeron modificación de configuración, reconocimiento, captura/exfiltración de tráfico de red y potencialmente movimiento lateral", dijo Talos.
- CVE-2024-20353 (puntuación CVSS: 8,6): vulnerabilidad de denegación de servicio de servicios web del software Cisco Adaptive Security Appliance y Firepower Threat Defense
- CVE-2024-20359 (puntuación CVSS: 6,0): vulnerabilidad de ejecución persistente de código local del software Cisco Adaptive Security Appliance y Firepower Threat Defense
Si bien la segunda falla permite que un atacante local ejecute código arbitrario con privilegios de nivel root, se requieren privilegios de nivel de administrador para explotarlo. Junto con CVE-2024-20353 y CVE-2024-20359, en pruebas internas se descubrió una falla de inyección de comandos en el mismo dispositivo (CVE-2024-20358, puntuación CVSS: 6,0).
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) agregó las fallas a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo a las agencias federales que apliquen las correcciones proporcionadas por los proveedores antes del 1 de mayo de 2024.
Actualmente se desconoce la vía de acceso inicial exacta utilizada para violar los dispositivos, aunque se dice que UAT4356 comenzó los preparativos para ello ya en julio de 2023.
A un punto de apoyo exitoso le sigue el despliegue de dos implantes llamados Line Dancer y Line Runner, el primero de los cuales es una puerta trasera en memoria que permite a los atacantes cargar y ejecutar shellcode arbitrarias, incluida la desactivación de registros del sistema y la extracción de capturas de paquetes.
Line Runner, por otro lado, es un implante LUA persistente basado en HTTP instalado en Cisco Adaptive Security Appliance (ASA) aprovechando los Zero-Days mencionados para que pueda sobrevivir a través de reinicios y actualizaciones. Se ha observado que se utiliza para obtener información presentada por Line Dancer.
"Se sospecha que Line Runner puede estar presente en un dispositivo comprometido incluso si Line Dancer no lo está (por ejemplo, como una puerta trasera persistente o cuando un ASA afectado aún no ha recibido atención operativa completa por parte de los actores maliciosos)", según un aviso conjunto publicado por agencias de ciberseguridad de Australia, Canadá y el Reino Unido.
En cada fase del ataque, se dice que UAT4356 demostró una atención meticulosa para ocultar sus huellas y la capacidad de emplear métodos complejos para evadir el análisis forense en memoria y reducir las posibilidades de detección, lo que contribuye a su sofisticación y naturaleza esquiva.
Esto también sugiere que los actores de amenazas tienen una comprensión completa del funcionamiento interno del propio ASA y de las acciones forenses comúnmente realizadas por Cisco para la validación de la integridad de los dispositivos de red.
No está claro exactamente qué país está detrás de ArcaneDoor, sin embargo, tanto los delincuentes informáticos respaldados por el estado chino como el ruso han atacado los enrutadores de Cisco con fines de ciberespionaje en el pasado. Cisco Talos tampoco especificó cuántos clientes se vieron comprometidos en estos ataques.
El desarrollo destaca una vez más el aumento de los ataques a dispositivos y plataformas perimetrales, como servidores de correo electrónico, firewalls y VPN, que tradicionalmente carecen de soluciones de detección y respuesta de endpoints (EDR), como lo demuestra la reciente serie de ataques dirigidos a Barracuda Networks, Fortinet, Ivanti, Palo Alto Networks y VMware.
"Los dispositivos de red perimetral son el punto de intrusión perfecto para campañas centradas en el espionaje", afirmó Talos.
Como ruta crítica para que los datos entren y salgan de la red, estos dispositivos deben ser parcheados de manera rutinaria y rápida; usar versiones y configuraciones de hardware y software actualizadas; y ser monitoreados de cerca desde una perspectiva de seguridad. Estos dispositivos permiten a un actor ingresar directamente a una organización, redirigir o modificar el tráfico y monitorear las comunicaciones de la red.
Se recomienda observar los IOCs y seguir estos pasos para detectar una posible infección y actualización de Cisco Adaptive Security Appliances (ASA).
Fuente: THN
Vía:
https://blog.segu-info.com.ar/2024/04/explotan-dos-vulnerabilidades-zero-day.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.