A continuación, hemos seleccionado las noticias de seguridad a nivel mundial más relevantes.
El investigador de ciberseguridad stealthcopter ha detectado una vulnerabilidad crítica en el complemento multilingüe WPML de WordPress. El fallo, identificado como CVE-2024-6386 y con una puntuación CVSSv3 9.9 de acuerdo con el fabricante, afecta a todas las versiones del plugin anteriores a la 4.6.13. La vulnerabilidad se debe a una falta de validación y limpieza de entrada. En concreto, el plugin utiliza plantillas Twig para mostrar el contenido de shortcodes, si bien no depura correctamente la entrada, lo que puede dar lugar a una inyección de plantillas en el servidor (SSTI). Esto permite que atacantes autenticados, con acceso de nivel “Contributor” y superior, puedan ejecutar código arbitrario de forma remota en el servidor. Accede a la noticia completa en https://www.wordfence.com/blog/
Los investigadores de Netskope Threat Labs han descubierto una campaña de ataques de phishing empleando códigos QR. Tras detectar un aumento considerable de ataques explotando Microsoft Sway, una herramienta cloud que permite crear presentaciones online y que fue empleada por los atacantes para alojar sitios web de destino que pretendían engañar a los usuarios de Microsoft 365 para que entregaran sus credenciales. En concreto, los atacantes enviaban correos electrónicos a las víctimas redirigiéndoles a páginas de phishing alojadas en sway.cloud.microsoft, animando a los usuarios a que escanearan los códigos QR maliciosos. Accede a la noticia completa en https://www.netskope.com/es
Los investigadores de Akamai Security Intelligence and Response Team (SIRT) han detectado una nueva campaña de distribución de la variante Corona de la botnet Mirai que explota varias vulnerabilidades, entre ellas una 0-day. Aunque esta campaña fue detectada por primera vez en marzo de 2024, desde Akamai afirman haber detectado trazas de actividad asociadas a dicha operación que datan de diciembre de 2023. En concreto, los actores maliciosos explotaron CVE-2024-7029, CVSSv4 8.7 según ICS-CERT, una vulnerabilidad 0-day de inyección de comandos en las cámaras de circuito cerrado de televisión (CCTV) AVTECH que permitiría a los atacantes ejecutar código remoto (RCE). Asimismo, los investigadores destacan que esta vulnerabilidad llevaría existiendo desde al menos 2019, año desde el cual existe una Prueba de Concepto (PoC) de dicho fallo, aunque hasta 2024 no se le ha asignado un CVE. Accede a la noticia completa en https://www.akamai.com/blog/
Investigadores de ANY.RUN descubrieron que actores de amenazas están utilizando la plataforma en la nube PythonAnywhere para alojar y distribuir el ransomware Razr. Este malware emplea el cifrado AES-256 en modo CBC para bloquear archivos de las víctimas, exigiendo un rescate para su descifrado. Concretamente, los archivos maliciosos están alojados en el subdominio xmb.pythonanywhere.com, eludiendo la detección al aprovechar esta plataforma legítima. Asimismo, el ransomware genera un ID único, una clave de cifrado y un vector de inicialización, enviando estos datos a un servidor C2 sin cifrar. Accede a la noticia completa en Accede a la noticia completa en https://any.run/report/
SonicWall ha emitido un parche de seguridad con el cual corrige una vulnerabilidad crítica en su sistema operativo SonicOS, que afecta a varios modelos de firewalls. La vulnerabilidad, identificada como CVE-2024-40766 y con una puntuación CVSSv3 de 9.3 según fabricante, permite a los atacantes obtener acceso no autorizado a recursos y, en determinadas condiciones, hacer que el firewall se bloquee comprometiendo por completo el sistema. El fallo afecta a los dispositivos SonicWall Firewall Gen 5 y Gen 6, así como a los dispositivos Gen 7 que ejecutan SonicOS 7.0.1-5035 y versiones anteriores. SonicWall recomienda encarecidamente actualizar el firmware a la última versión disponible. Asimismo, para minimizar el posible impacto, recomienda restringir el acceso a la gestión del firewall a fuentes de confianza o deshabilitar el acceso a la gestión WAN desde fuentes de Internet. Accede a la noticia completa en https://psirt.global.sonicwall.com/
El equipo de investigadores de Mandiant ha publicado una investigación en la que informan sobre el descubrimiento de un nuevo dropper denominado Peaklight dirigido contra sistemas Windows. En concreto, según los investigadores, actores maliciosos estarían distribuyendo dicho software malicioso mediante archivos LNK que se descargan automáticamente cuando los usuarios buscan una película en motores de búsqueda. Una vez la víctima ejecuta dicho archivo, del cual se han identificado varias variantes, da comienzo el proceso de infección, el cual destaca que la carga útil que termina con la infección de PeakLight utiliza codificaciones hexadecimales y base64 con el fin de evadir soluciones de seguridad. Posteriormente, el proceso terminará en fases posteriores con la distribución de otros malware como Lumma Stealer, Hijack Loader y CryptBot. Accede a la noticia completa en https://cloud.google.com/blog/
Si tu empresa ha sido víctima de un ataque, puedes llamar al teléfono 017, es una línea gratuita que el Instituto Nacional de Ciberseguridad (INCIBE) pone a tu disposición.
¡Hasta pronto!
Consulta las opciones disponibles para tu empresa: Fusión Digital, Fibra óptica, Movistar Prosegur Alarmas, y Soluciones digitales
Gestiona los productos y servicios contratados en el área privada de Mi Gestión Digital.