Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
79
)
-
▼
enero
(Total:
79
)
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
Así hackearon a Telefónica: un infostealer e ingen...
-
Google Daily Listen, una IA que resume tus noticia...
-
MAGIS TV PRO: cómo descargar BlueStacks 5 para pod...
-
Telefónica sufre la filtración de los datos de su ...
-
OFFAT: OFFensive API Tester OWASP
-
Ejemplos ataques DDoS capa 7 con MHDDoS
-
HDMI 2.2: promete 96 Gbps y el fin de los problema...
-
Jeff Bezos competirá con Elon Musk en España por o...
-
Amenazan con exponer ubicaciones de más de 40 mill...
-
¿Qué es Netflow e IPFIX? Monitoreo y Análisis de T...
-
Activar SATA Link Power Management en OPNsense
-
Más de 4.000 puertas traseras usando webshells reg...
-
Automatizar copias de seguridad en OPNsense
-
Optimizar rendimiento de OPNsense: Tunables
-
Microsoft Phi-4, su IA más poderosa que ahora es d...
-
Corsair Xeneon Edge, una pantalla táctil de 14,5" ...
-
Raspberry Pi 5 con 16GB
-
Establecer un clúster OPNsense HA (Alta Disponibil...
-
El fin del soporte para Windows 10 en octubre de 2...
-
Comando netsh en Windows: ejemplos de uso
-
Los cambios en la moderación de Meta permiten llam...
-
AMD anuncia sus nuevos procesadores gaming de sobr...
-
Los nuevos procesadores Core Ultra 200 de Intel de...
-
Razer presenta un prototipo de silla con calefacci...
-
¿Quieres un adaptador de cassette con Bluetooth? ¡...
-
Megafiltración de datos en call center expone a 7 ...
-
Túnel SSH port forwarding: Local, remote y dynamic
-
Herramientas de IA gratuitas que debes conocer
-
ChatGPT reconoce que pierden dinero incluso con la...
-
Hackean los datos de los miembros de la argentina ...
-
Publicar automáticamente de un Feed RSS a Telegram...
-
¿Qué es un webhook?
-
Nvidia presenta las nuevas tarjetas gráficas GeFor...
-
Qué es el rate limit y por qué debes limitar petic...
-
Monitorización HDD y SSD con SMART en OPNsense con...
-
¿Qué es la tecnología HARM de discos duros? ¿Qué i...
-
Alternativas gratuitas al Escritorio Remoto: RustD...
-
Uptime Kuma, monitoreo de servicios y más
-
El CAPTCHA de DOOM
-
La importancia de la pasta térmica del procesador
-
Intel XMP VS AMD EXPO
-
Vulnerabilidad crítica en Nuclei que permite ejecu...
-
Detenido un soldado estadounidense de 20 años que ...
-
DoubleClickjacking: la nueva amenaza de los dobles...
-
OPNsense IPv6 tunnel con Hurricane Electric Tunnel...
-
Configurar Dynamic DNS (DDNS) en OPNsense
-
Cómo escanear documentos y convertirlos a PDF dire...
-
¿Qué es la ventana de contexto en IA?
-
Estados Unidos ofrece 10 millones de dólares por l...
-
Apple pagará 95 millones de dólares para resolver ...
-
Exploit DoS para LDAP Nightmare (CVE-2024-49112)
-
0.0.0.0 : ¿Qué es la Dirección IP “cero” ?
-
-
▼
enero
(Total:
79
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Telefónica, una importante empresa de telecomunicaciones, confirmó recientemente una brecha en su sistema interno de venta de billetes, que ... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d... -
El puerto USB-C en los iPhone 15 y iPhone 15 Pro, una de las novedades más destacadas de esa generación, despertó tanto entusiasmo como du...
"Explotación masiva" de los firewalls de Fortinet con ataques de día cero 0-day
Hay campaña activa dirigida a dispositivos FortiGate con interfaces de administración expuestas en Internet pública está provocando inicios de sesión administrativos y cambios de configuración no autorizados, creación de nuevas cuentas y realización de autenticaciones SSL VPN.
Los investigadores han descubierto que los atacantes están apuntando a los dispositivos para realizar inicios de sesión administrativos no autorizados y otros cambios de configuración, crear nuevas cuentas y realizar la autenticación SSL VPN.
Los investigadores de Arctic Wolf han estado rastreando la campaña desde que notaron por primera vez actividad sospechosa en los dispositivos FortiGate a principios de diciembre. Observaron que los actores de amenazas obtenían acceso a las interfaces de administración en los firewalls afectados (cuyas versiones de firmware oscilaban entre FortiOS 7.0.0-7.0.16 y FortiProxy 7.0.0-7.2.12) y alteraban sus configuraciones. Además, en los entornos comprometidos, los atacantes también usaban DCSync para extraer credenciales.
Artic Wolf publicó un boletín de seguridad en diciembre tras el descubrimiento de la campaña, mientras que la publicación reciente del blog reveló detalles más detallados, incluidos los atacantes que probablemente explotaron una falla de día cero. Sin embargo, no han "confirmado definitivamente" este vector de acceso inicial, aunque la cronología comprimida en las organizaciones afectadas, así como las versiones de firmware afectadas por la campaña, sugieren que los atacantes están explotando una vulnerabilidad aún no revelada.
Las víctimas de la campaña no representaban un sector específico ni un tamaño de organización, lo que sugiere "que el objetivo era de naturaleza oportunista en lugar de ser un objetivo deliberado y metódico", agregaron.
Lo que alertó a los investigadores sobre la actividad maliciosa "en contraste con las actividades legítimas del firewall, es el hecho de que los atacantes hicieron un uso extensivo de la interfaz jsconsole desde un puñado de direcciones IP inusuales. Los productos de firewall de próxima generación de FortiGate tienen una característica estándar y "cómoda" que permite a los administradores acceder a la interfaz de línea de comandos a través de la interfaz de administración basada en la web, explicaron los investigadores.
Más específicamente, se abrieron conexiones sospechosas desde estas direcciones IP probablemente falsificadas al puerto TCP 8023 (el puerto CLI basado en web en los dispositivos), así como al puerto TCP 9980, que se utiliza para funciones de estructura de seguridad y para enviar consultas de API REST a equipos FortiGate.
"Según la base de conocimientos de FortiGate, cuando se realizan cambios a través de la consola CLI basada en la Web, la interfaz de usuario se registra como jsconsole junto con la dirección IP de origen de quien haya realizado los cambios", escribieron. "Por el contrario, los cambios realizados a través de ssh se enumerarían como ssh para la interfaz de usuario".
Un ciberataque de cuatro fases que aún continúa
Los investigadores dividieron la campaña en cuatro fases que comenzaron a mediados de noviembre: comenzó con una fase de escaneo de vulnerabilidades, seguida de una fase de reconocimiento a fines de noviembre, una fase de configuración de VPN SSL a principios de diciembre y luego concluyó con un movimiento lateral desde mediados hasta fines de diciembre. Sin embargo, señalaron que la campaña está en curso y es posible que descubran más actividad en el futuro.
Por lo general, el recuento total de inicios de sesión exitosos en jsconsole desde direcciones IP anómalas osciló entre varios cientos y varios miles de entradas para cada organización víctima, abarcando las cuatro fases de la campaña. "La mayoría de estas sesiones fueron de corta duración, con eventos de cierre de sesión correspondientes en un segundo o menos", escribieron los investigadores. "En algunos casos, se produjeron varios eventos de inicio o cierre de sesión en el mismo segundo, y se produjeron hasta cuatro eventos por segundo".
¡No exponer las interfaces de gestión a Internet pública!
Los dispositivos Fortinet son un objetivo popular para los actores de amenazas, ya que las vulnerabilidades encontradas en los productos se explotan ampliamente para violar las redes. Para protegerse contra los ataques, las organizaciones nunca deben exponer las interfaces de gestión de dispositivos Fortinet en Internet pública, independientemente de las especificaciones del producto, según los investigadores. En cambio, el acceso a estas interfaces debe limitarse a los usuarios internos de confianza o a IP previamente autorizadas.
Los administradores también deben seguir la mejor práctica común de actualizar periódicamente el firmware de los dispositivos para corregir cualquier falla u otros problemas de seguridad. Además, agregaron los investigadores, las organizaciones también deben asegurarse de que la monitorización de syslog esté configurada para todos los dispositivos de firewall de una organización para aumentar la probabilidad de detectar la actividad maliciosa de forma temprana.
Fortinet confirma un nuevo día cero
Fortinet ha publicado detalles de una nueva vulnerabilidad crítica de omisión de autenticación en FortiOS y FortiProxy (CVE-2024-55591, CVSS: 9,6) que, según afirma, se está utilizando para secuestrar firewall y violar redes empresariales.
"Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS y FortiProxy puede permitir que un atacante remoto obtenga privilegios de superadministrador a través de solicitudes diseñadas al módulo websocket de Node.js", dijo la compañía en un aviso publicado hace minutos.
La deficiencia afecta a las siguientes versiones:
- FortiOS 7.0.0 a 7.0.16 (actualización a 7.0.17 o superior)
- FortiProxy 7.0.0 a 7.0.19 (actualización a 7.0.20 o superior) y
- FortiProxy 7.2.0 a 7.2.12 (actualización a 7.2.13 o superior)
Para todos los dispositivos de firewall, se recomienda enfáticamente restringir el acceso a la interfaz de administración a redes internas confiables en todas las configuraciones, independientemente del proveedor.
Para los dispositivos de firewall FortiGate, se debe consultar la siguiente documentación para obtener un resumen de las prácticas recomendadas de fortalecimiento de la seguridad: https://docs.fortinet.com/document/fortigate/6.4.0/hardening-your-fortigate/582009/system-administrator-best-practices
Fuente: DarkReading
Vía:
https://blog.segu-info.com.ar/2025/01/probable-zero-day-esta-impulsando.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.