Lightning Framework: nuevo malware dirigido a entornos Linux
El equipo de investigadores de Intezer ha publicado información relativa a un nuevo tipo de malware que afecta a entornos Linux y que han denominado Lightning Framework. Si bien los investigadores no han localizado una muestra completa y algunos detalles del malware aún se desconocen, se han podido analizar algunas de sus características.
Se trata de un malware avanzado que se instala en el sistema de la víctima a través de un downloader que descargará todos sus módulos y plugins. A partir de ahí, el malware se hace pasar por el gestor de contraseñas GNOME para conectar con un servidor Command & Control polimórfico y descargar más componentes.
Otras de sus características son la manipulación de marcas de tiempo e IDs de procesos, la creación de un script con el nombre «elastisearch» para crear persistencia y la implantación de una puerta trasera mediante la creación de su propio servidor SSH.
Tal y como apunta el medio Bleeping Computer, Lightning Framework es el último de una creciente ola de variantes de malware que atacan sistemas Linux, tras la detecciones recientes de otros casos como OrBit, Symbiote, BPFDoor o Syslogk.
Más info →
* * *
Cisco corrige múltiples vulnerabilidades
Cisco ha lanzado parches de seguridad para corregir 45 vulnerabilidades (tres críticas, una categorizada como alta y 41 de gravedad media) que afectaban a diversos productos.
De los fallos corregidos destacan tres, catalogados como CVE-2022-20857 CVSS 9,8, CVE-2022-20858 CVSS 8,9 y CVE-2022-20861 CVSS 9,8, que afectaban a la solución de gestión de centros de datos Cisco Nexus Dashboard y que podrían permitir a un atacante remoto no autentificado ejecutar comandos arbitrarios y realizar acciones con privilegios de root o de administrador.
Asimismo, también destaca otro fallo de gravedad alta, catalogado como CVE-2022-20860 CVSS 7.4, en la implementación SSL/TLS de Cisco Nexus Dashboard que podría permitir a un atacante remoto no autenticado alterar las comunicaciones interceptando el tráfico en ataques man-in-the-middle.
Si bien no se tiene constancia de que estos fallos se estén explotando activamente, desde Cisco instan a los usuarios de los dispositivos afectados que apliquen los parches lo antes posible.
Más info →
* * *
Luna: Nuevo ransomware dirigido a Windows, Linux y ESXi
Investigadores de seguridad de Kaspersky han descubierto en un foro de ransomware de la dark web una nueva familia de ransomware basada en el lenguaje de programación Rust, denominada como Luna.
Este nuevo ransomware parece tener capacidades para cifrar dispositivos que utilicen varios sistemas operativos, incluyendo Windows, Linux y sistemas ESXi. Según los expertos de Kaspersky, actualmente Luna parece ser un ransomware simple en fase de desarrollo y, por el momento, limitado únicamente a opciones de línea de comandos.
No obstante, su esquema de cifrado es poco habitual, al combinar el intercambio seguro de claves X25519 de curva elíptica Diffie-Hellman, utilizando Curve25519 con el algoritmo de cifrado simétrico Advanced Encryption Standard (AES).
Asimismo, la tendencia del uso de un lenguaje multiplataforma como Rust, denota la corriente utilizada por las bandas de ciberdelincuentes que desarrollan ransomware capaz de dirigirse a múltiples sistemas operativos, sin realizar grandes esfuerzos y adaptaciones para cada objetivo.
Según indica la investigación, no se conocen datos sobre posibles víctimas de esta familia de ransomware, ya que sus operadores acaban de ser descubiertos y su actividad aún está siendo monitorizada.
Más info →
* * *
Atlassian corrige fallo crítico en credenciales codificadas de Confluence
Atlassian ha lanzado una actualización de seguridad en la que ha corregido una vulnerabilidad crítica de credenciales codificadas en Confluence Server y Data Center que podría permitir a atacantes remotos no autenticados iniciar sesión en servidores vulnerables.
En concreto, la contraseña codificada se añade tras la instalación de la aplicación Questions for Confluence (versiones 2.7.34, 2.7.35 y 3.0.2) para una cuenta con el nombre de usuario disabledsystemuser, diseñada para ayudar a los administradores con la migración de datos de la aplicación a la nube de Confluence.
La cuenta disabledsystemuser se crea con una contraseña codificada y se añade al grupo confluence-users, que permite ver y editar todas las páginas no restringidas dentro de Confluence por defecto.
Por tanto, la explotación de esta vulnerabilidad, clasificada como CVE-2022-26138, permitiría a un atacante iniciar sesión y acceder a cualquier página a la que el grupo confluence-users tenga acceso.
Por el momento no se ha observado la explotación activa de este fallo y, desde Atlassian, afirman que esta aplicación, que ayuda a mejorar las comunicaciones internas, estaría instalada en más de 8.000 servidores de Confluence.
Para parchear este error se recomienda actualizar a las versiones corregidas (2.7.38 o superiores a 3.0.5), o deshabilitar o eliminar la cuenta disabledsystemuser, ya que desinstalar la aplicación Questions for Confluence no sería suficiente.
Más info →
* * *
CloudMensis: Nuevo malware dirigido a macOS
Un grupo de investigadores de ESET ha descubierto un nuevo malware que estaría siendo utilizado para implementar puertas traseras y exfiltrar información en dispositivos macOS. Este software malicioso fue detectado inicialmente en abril del 2022 por el equipo de ESET y ha sido denominado como CloudMensis.
Una de sus características a destacar es el uso de servicios de almacenamiento en la nube como DropBox, Yandex Disk o pCloud para la comunicación con sus servidores de comando y control (C2). Asimismo, CloudMensis consigue ejecutar código en el sistema objetivo y obtener privilegios de administrador para ejecutar una segunda fase más funcional que recopila información, como archivos adjuntos en correos electrónicos, capturas de pantalla, exfiltración de documentos, pulsaciones de teclado y otros datos sensibles.
De igual manera, por el momento se desconoce cómo se distribuye y cuál es el vector de infección, así como también quiénes serían los objetivos finales de este malware y el actor amenaza al que atribuir esta actividad.
Más info →
The post Boletín semanal de ciberseguridad, 16 — 22 de julio appeared first on Think Big.