RENAPER solo expone la deficiencias del Estado Argentino en Ciberseguridad

Al Estado argentino nunca le importó la ciberseguridad. En los últimos 20 años las palabras "seguridad", "ciberseguridad", "seguridad informática", "seguridad de la información", "datos personales", llámalo como quieras, simplemente fue una mentira en los políticos y dirigentes de turno.

Nota para monos entrenados: este NO es un problema de Milei, Cristina, Macri, etc. Este NO es un problema de UN gobierno, es un problema del Estado Argentino y la desidia respecto al tema.

Este es un capítulo más, para terminar de poner el último clavo al cajón de los datos personales de TODOS los argentinos y al REgistro NAcional de las PERsonas (RENAPER).

Durante 2021, hubo diferentes filtraciones que involucraron a dicho Organismo, a los DNI y pasaportes de los ciudadanos argentinos. Luego de nuestra publicación en octubre de 2021 y durante los últimos años RENAPER se ha encargado de DESMENTIR en diferentes oportunidades y en cuanto foro público tuviera la oportunidad, que "dicha filtración de datos era falsa", incluso con la evidencia tangible de los archivos y las fotos de los DNIs de todos nosotros publicados en Internet. Esta negación se acaba de repetir hace 5 minutos.

Este comportamiento se repitió sistemáticamente durante 2022, 2023 y 2024 para sistemas de RENAPER, SISA (salud), DNRPA, y tantos otros y, hoy apareció la frutilla del postre, porque en el Estado argentino, siempre puede ser peor. Para muestra vale un botón: RENAPER solo es uno de los Organismos que expone la deficiencias del Estado Argentino en Ciberseguridad.

Se acaba de publicar (en un dominio ONION en la Deep Web) una base de datos de 65 millones de registros de los DNI. Podríamos decir "noticia vieja" porque, ¿quién no ha hecho backup de una de las base de datos más importantes del país y la ha puesto a disposición de cualquier delincuente?

NOTA: lo único que (aún) no se ha publicado de forma completa son las fotos, huella dactilar y firma de las personas, las cuales fueron puestos a la venta por el delincuente. De todos modos, parte de estos datos ya habían sido publicados a principio de año por otro delincuente (¿o el mismo?).

La noticia "nueva" es que, a este conjuntos de datos, se ha sumado el código fuente PHP de aplicaciones internas del Organismo, los Web Services y APIs que son utilizados por otras organizaciones, empresas, bancos, fintech, supermercados, obras sociales, etc. para verificar la identidad de una persona. Sí, cada vez que alguien te pide tu foto o tu DNI, esos datos son contrastados contra RENAPER, a través de un servicio por el cual el Organismo cobra (sí, cobra por ese servicio).

Dentro del código fuente mencionado también se encuentran las direcciones IPs de los servidores internos, así como el nombre de usuario y contraseña que permite acceder a todas las bases de datos del Organismo.

Sería el equivalente a decir que todas las aplicaciones sensibles de la entidad ahora son Open Source. Dejando las "bromas" de lado, también expone las vulnerabilidades que tiene el código fuente (por ejemplo, SQLi y XSS) así como los detalles internos de su funcionamiento.

También es importante remarcar que, si bien los datos se publicaron hoy, eso no implica que se hayan extraído hoy. Tampoco implica que el delincuente haya sido bloqueado, detectado, encontrado o que incluso siga dentro de los sistemas de la Organización o haya logrado persistencia en los mismos. Pensar de forma tan lineal es ridículo; un trabajo de este tipo y por el volumen de datos, puede llevar bastante tiempo (y a veces paciencia) de acuerdo a las técnicas utilizadas por el delincuente (por ejemplo, se puede observar una webshell en una las imágenes).

En conclusión, ahora los datos de todos los ciudadanos argentinos están publicados en Internet junto a diferentes APIs y formas de conexión con otros organismos y empresas y los clientes de los mismos.

• La recomendación para las empresas es cambiar los accesos a dichas APIs.
• La recomendación para los ciudadanos... no hay; los datos ya son públicos. Cambiar el DNI tampoco es una solución, porque esto puede volver a suceder y, en última instancia, la mayoría de nuestros datos personales no cambian (el número de trámite es la excepción).

Las implicancias de esta fuga están por verse pero mientras, ¿qué espera el Estado argentino para tomar acciones, investigar, encontrar a los delincuentes (internos y externos) y a partir de ahora, comenzar a pensar en la Ciberseguridad como Política de Estado?

MENSAJE PARA RENAPER: no nieguen el problema, informen, digan la verdad y veamos como seguir para adelante desde aquí. El Estado es responsable.

Lic. Cristian Borghello, Director de Segu-Info

Seguir leyendo...

Ataques de fuerza bruta a gran escala dirigida a VPN y servicios SSH

Cisco Talos está monitoreando un aumento global en ataques de fuerza bruta contra una variedad de objetivos, incluidos servicios de red privada virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde al menos el 18 de marzo de 2024.

Todos estos ataques parecen originarse en nodos de salida de TOR y una variedad de otros túneles y servidores proxy anónimos.

Dependiendo del entorno de destino, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio. El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga aumentando. Los servicios afectados conocidos se enumeran a continuación. Sin embargo, estos ataques pueden afectar a servicios adicionales.

• Cisco Secure Firewall VPN
• Checkpoint VPN
• Fortinet VPN
• SonicWall VPN
• RD Web Services
• Miktrotik
• Draytek
• Ubiquiti

Los intentos de fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas. El objetivo de estos ataques parece ser indiscriminado y no dirigido a una región o industria en particular. Las direcciones IP de origen de este tráfico están comúnmente asociadas con servicios de proxy, que incluyen, entre otros:

• TOR
• VPN Gate
• IPIDEA Proxy
• BigMama Proxy
• Space Proxies
• Nexus Proxy
• Proxy Rack

La lista proporcionada anteriormente no es exhaustiva, ya que los actores de amenazas pueden utilizar servicios adicionales.

Debido al aumento significativo y al gran volumen de tráfico, hemos agregado las direcciones IP asociadas conocidas a nuestra lista de bloqueo. Es importante tener en cuenta que es probable que cambien las direcciones IP de origen de este tráfico.

Dado que estos ataques se dirigen a una variedad de servicios VPN, las mitigaciones variarán según el servicio afectado. Para los servicios VPN de acceso remoto de Cisco, puede encontrar orientación y recomendaciones en un blog de soporte reciente de Cisco:

Estamos incluyendo los nombres de usuario y contraseñas utilizados en estos ataques en los IOCs para crear conciencia. Las direcciones IP y las credenciales asociadas con estos ataques se pueden encontrar en el repositorio de GitHub.

Fuente: Talos

Seguir leyendo...

Notepad++ comprometido en el ataque de malware "WikiLoader" y DLL Hijacking

Investigadores de seguridad del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) han descubierto una sofisticada campaña de malware dirigida al ampliamente utilizado editor de texto Notepad++. Este ataque, denominado "WikiLoader", demuestra el alarmante ingenio de los actores de amenazas modernos y los riesgos asociados incluso con el software aparentemente confiable.

Cómo WikiLoader explota la confianza

En el centro de este ataque se encuentra una técnica conocida como secuestro de DLL. Los atacantes modificaron subrepticiamente un complemento predeterminado de Notepad++, "mimeTools.dll", para ejecutar código malicioso cada vez que se inicia el editor de texto. Dado que este complemento se incluye con cada instalación de Notepad++, los usuarios desencadenan la infección sin saberlo tan pronto como utilizan el software.

Dentro del complemento vulnerable, los atacantes ocultaron cuidadosamente su carga útil. Un archivo disfrazado de certificado inofensivo, "certificate.pem", enmascara una shell cifrada: la etapa inicial del ataque. La complejidad aumenta a medida que el malware sobrescribe el código dentro de otro complemento, "BingMaps.dll", e inyecta un hilo en el proceso central de Windows "explorer.exe". Esto garantiza la persistencia y hace que el ataque sea más difícil de detectar.

La campaña WikiLoader muestra múltiples tácticas diseñadas para frustrar la detección antivirus:

• Ocultarse a plena vista: el uso de llamadas al sistema indirectas (llamadas al sistema) ayuda a que el malware evite ser señalado por las herramientas de monitoreo estándar.
• Jugando al gato y al ratón: el malware busca activamente procesos comúnmente utilizados para el análisis. Si se detecta alguno, se apaga inmediatamente para evitar una investigación más profunda.

Los actores de amenazas detrás de WikiLoader tienen un objetivo claro: establecer un punto de apoyo en la computadora de la víctima. Lo hacen haciendo que el Notepad++ comprometido se conecte con un servidor de comando y control (C2) que se hace pasar inteligentemente por una página de inicio de sesión de WordPress. Es desde aquí desde donde se entrega la carga útil final del malware, aunque sus capacidades exactas aún no se han revelado por completo.

La misión de reconocimiento de WikiLoader

Incluso sin la carga útil final, WikiLoader plantea un riesgo importante al recopilar meticulosamente información sobre el sistema infectado. Esto incluye:

• Nombre de la computadora y nombre de usuario
• Nivel de acceso de administrador
• Configuración de idioma y sistema

Pasos críticos para los usuarios de Notepad++ y más

El descubrimiento del malware WikiLoader dentro de Notepad++ subraya las vulnerabilidades inherentes a las aplicaciones de software ampliamente utilizadas. La facilidad con la que el malware se integra en las herramientas cotidianas resalta la necesidad crítica de vigilancia, incluso cuando se trata de software en el que millones de personas confían y utilizan con frecuencia.

• La fuente importa: descargue siempre Notepad++ y cualquier otro software, exclusivamente de fuentes oficiales y confiables. El software pirateado plantea riesgos importantes.
• Parche inmediatamente: si es usuario de Notepad++, asegúrese de tener la última versión para mitigar este exploit.
• La vigilancia es clave: tenga mucho cuidado con comportamientos inesperados en su sistema, incluso con software conocido. Manténgase informado sobre las amenazas actuales a la ciberseguridad.

IOC

• c4ac3b4ce7aa4ca1234d2d3787323de2 : package file(npp.8.6.3.portable.x64.zip)
• 6136ce65b22f59b9f8e564863820720b : mimeTools.dll
• fe4237ab7847f3c235406b9ac90ca8 45: certificate.pem
• d29f25c4b162f6a19d4c6b96a540648c: package file(npp.8.6.4.portable.x64.zip )
• 8b7a358005eff6c44d66e44f5b266d33 : mimeTools.dll
• d5ea5ad8678f362bac86875cad47ba21 : certificate.pem

Fuente: SecurityOnline

Seguir leyendo...

Vulnerabilidad crítica de PuTTY expone claves privadas (PARCHEA)

Se descubrió una falla de seguridad grave (CVE-2024-31497) en el popular cliente SSH PuTTY (versiones 0.68 a 0.80), que afecta a una amplia gama de software, incluidos FileZilla, WinSCP, TortoiseGit y TortoiseSVN.

La vulnerabilidad radica en cómo PuTTY genera valores aleatorios (nonces) utilizados dentro del proceso de firma ECDSA. En la configuración NIST P-251, la aleatoriedad está muy sesgada. Los atacantes pueden aprovechar este sesgo para reconstruir la clave privada después de recopilar solo unas 60 firmas creadas con la clave comprometida.

¿Quién está en riesgo?

Cualquiera que utilice las versiones afectadas de PuTTY o productos relacionados como Filezilla para la autenticación SSH con claves ECDSA NIST P-521 es vulnerable. Los atacantes pueden obtener las firmas necesarias comprometiendo brevemente un servidor SSH al que se conecta o potencialmente desde fuentes públicas donde haya utilizado la clave (como confirmaciones de GIT firmadas).

Esta vulnerabilidad no sólo afecta a los usuarios de PuTTY sino que también se extiende a otras herramientas:

• FileZilla (Versiones 3.24.1 – 3.66.5)
• WinSCP (Versiones 5.9.5 – 6.3.2)
• TortoiseGit (Versiones 2.4.0.2 – 2.15.0)
• TortoiseSVN (Versiones 1.10.0 – 1.14.6)

Una clave privada comprometida es desastrosa. Los atacantes pueden hacerse pasar por el usuario y potencialmente obtener acceso a cualquier servidor donde utilice esa clave para la autenticación. El daño persiste incluso después de que se parchea la vulnerabilidad: las claves previamente expuestas quedan comprometidas permanentemente.

Qué se debe hacer

• Identificar claves vulnerables: comprobar si se utiliza claves ECDSA NIST P-521. En PuTTYgen, la huella digital comienza con "ecdsa-sha2-nistp521".
• Revocar claves comprometidas: eliminar las claves públicas comprometidas de todos los archivos de authorized_keys en los servidores y cualquier servicio en línea donde se utilicen (como GitHub).
• Generar nuevas claves: crear nuevos pares de claves (idealmente usando Ed25519, que no se vea afectado) para reemplazar las comprometidas.
• Actualizar su software: actualizar PuTTY inmediatamente a la versión 0.81 o posterior. Hacer lo mismo con FileZilla (versión 3.67.0), WinSCP (versión 6.3.3), TortoiseGit (versión 2.15.0.1) y TortoiseSVN. Si no puede actualizar TortoiseSVN, cambiar y utilizar PuTTY Plink actualizado para conexiones SSH.

Notas adicionales

Esta falla NO expone firmas mediante espionaje pasivo de la red. Un atacante necesita control activo de un servidor o acceso a sus datos firmados.

Otros tamaños de claves ECDSA muestran un ligero sesgo pero no son prácticamente explotables en este momento.

Fuente: SecurityOnline

Seguir leyendo...

54 mil millones de cookies de usuarios filtradas

Según una investigación llevada a cabo por investigadores de NordPVN, se han encontrado más de 54.000 millones de cookies filtradas en la dark web. Aunque las cookies se conocen sobre todo como una herramienta esencial para navegar, muchos desconocen que se han convertido en una de las herramientas clave de los delincuentes para robar datos y acceder a sistemas sensibles.

"Gracias a las ventanas emergentes de consentimiento de cookies, vemos las cookies como una parte necesaria, aunque molesta, de estar online. Sin embargo, muchos no se dan cuenta de que si un atacante se hace con tus cookies activas, podría no necesitar conocer ningún inicio de sesión, contraseña e incluso MFA para hacerse con tus cuentas", afirma Adrianus Warmenhoven de NordVPN.

¿Cómo funcionan las cookies y qué riesgos plantean las cookies robadas?

En primer lugar, es importante entender que la configuración de las cookies es necesaria. Literalmente, no hay otra forma de que un dispositivo sepa qué usuario está accediendo. Sin cookies, el servidor no puede verificar el usuario.

En pocas palabras, una vez que el usuario inicia sesión con una contraseña y/o MFA, el servidor le da una cookie. Y la próxima vez que el mismo usuario vuelva con esta cookie, el servidor la reconoce y sabe que ese usuario ya ha iniciado sesión, por lo que no hay necesidad de volver a pedirle la misma información.

Sin embargo, si esta cookie es robada y sigue activa, un atacante puede potencialmente iniciar sesión en su cuenta sin tener su contraseña ni necesitar MFA.

Además de los datos de sesión ya mencionados, las cookies también pueden contener otra información sensible, como el nombre de las personas, su ubicación, orientación, tamaño, etc.

¿Qué tipo de cookies se han encontrado?

De 54.000 millones de cookies analizadas, el 17% estaban activas. "Aunque pueda parecer que el 17% no es tanto, es importante entender que se trata de una cantidad enorme de datos personales: más de nueve mil millones de cookies.

Y, aunque las cookies activas presentan un mayor riesgo, las inactivas siguen representando una amenaza para la privacidad del usuario, así como la posibilidad de que los delincuentes utilicen la información almacenada para abusos o manipulaciones posteriores.

Más de 2.500 millones de todas las cookies del conjunto de datos procedían de Google; otros 692 millones de Youtube; 658 millones eran de Microsoft; 574 millones de Bing; 318 millones de MSN y 275 millones de Amazon.

Las cookies de estas cuentas principales son especialmente peligrosas porque pueden utilizarse para acceder a otros datos de inicio de sesión a través de, por ejemplo, la recuperación de contraseñas, sistemas corporativos o SSO.

En cuanto a los datos de los países de Latinoamérica, entre los primeros 15 países con más cookies se encuentran Brasil, México, Colombia, Perú y Argentina, con 557 millones de cookies en el conjunto de datos, de las cuales el 27 % estaban activas. En total, había 244 países y territorios representados en el conjunto de datos de cookies, lo que demuestra la amplitud de la cobertura de estos enormes sistemas de malware.

El análisis de NordVPN de las categorías de palabras clave dentro de las cookies filtradas reveló una gran cantidad de datos de usuario en riesgo, con las cookies de "ID asignada" e "ID de sesión" encabezando la lista, cruciales para la identificación del usuario y el mantenimiento de las sesiones. El botín también contiene cantidades significativas de cookies de autenticación e inicio de sesión, junto con detalles personales como nombres, correos electrónicos y direcciones.

El nombre, el correo electrónico, la ciudad, la contraseña y la dirección fueron los más comunes en la categoría de información personal.

"Si se combinan todos estos datos con la edad, el tamaño, el género o la orientación, se obtiene una imagen muy íntima del usuario, que puede permitir realizar estafas o ataques bien dirigidos", señala.

Se utilizaron hasta 12 tipos diferentes de malware para robar estas cookies. Casi el 57 % fueron recogidas por Redline, un popular infostealer y keylogger.

Cómo prevenir el robo de cookies

Hay varias medidas para mejorar su seguridad y evitar el robo de cookies, que incluyen:

• Eliminar todas cookies periódicamente
• Rechazar cookies en los cuadros de consentimiento del sitio web
• Tener cuidado con los sitios web que visita y los archivos que descarga
• El uso de herramientas de ciberseguridad, como el software antivirus, puede protegerlo de los infostealer.
• Además, el uso de una herramienta de monitoreo de la dark web pueden alertar cuando sus datos se ven comprometidos y terminan publicados.

Fuente: NordVPN I y II

Seguir leyendo...

Compilación de manuales y herramientas para análisis y reversing

Esta compilación de manuales, material teórico y herramientas de Indetectables está pensada para que sea útil a los que se están iniciando en el anális de malware y en el mundo del cracking y la ingeniería reversa de aplicaciones.

El toolkit está compuesto por 98 herramientas que cubren todo lo que podemos necesitar para realizar ingeniería reversa y análisis.

Las herramientas provienen de sus páginas oficiales aunque se recomienda usarlas con cautela.

Es el material ideal para combinar con el curso de reversing en C++ de Ricardo Narvaja (aka @ricnar456) y la lista de Crack Latinos.

Fuente: Indetectables

Seguir leyendo...

Telegram corrige Zero-Day de la aplicación de Windows utilizada para iniciar scripts de Python

Telegram solucionó una vulnerabilidad de día cero en su aplicación de escritorio de Windows que podría usarse para eludir las advertencias de seguridad e iniciar automáticamente scripts de Python.

En los últimos días han estado circulando rumores en X y en foros de hacking sobre una supuesta vulnerabilidad de ejecución remota de código en Telegram para Windows.

Si bien algunas de estas publicaciones afirmaron que se trataba de una falla de Zero-Click, los videos que demuestran la supuesta omisión de advertencia de seguridad y la vulnerabilidad RCE muestran claramente a alguien haciendo clic en un medio compartido para iniciar la calculadora de Windows.

Telegram rápidamente cuestionó estas afirmaciones, diciendo que "no pueden confirmar que exista tal vulnerabilidad y que el video probablemente sea un engaño".

Sin embargo, al día siguiente, se compartió una prueba de concepto de exploit en el foro XSS explicando que un error tipográfico en el código fuente de Telegram para Windows podría explotarse para enviar archivos Python .pyzw que omiten las advertencias de seguridad al hacer clic.

Esto provoca que Python ejecuta automáticamente el archivo sin una advertencia de Telegram como lo hace con otros ejecutables, y se suponía que sucedería con este archivo si no fuera por un error tipográfico. Para empeorar las cosas, la prueba de concepto disfrazó el archivo Python como un video compartido, junto con una miniatura, que podría usarse para engañar a los usuarios para que hicieran clic en el video falso para verlo.

Telegram negó con razón que el error fuera una falla de Zer-Click, pero confirmó que solucionaron el "problema" en Telegram para Windows para evitar que los scripts de Python se inicien automáticamente al hacer clic.

Los rumores sobre la existencia de vulnerabilidades de Zero-Click en Telegram Desktop son inexactos. Algunos expertos recomendaron deshabilitar las descargas automáticas en Telegram; no hubo problemas que pudieran haber sido provocados por las descargas automáticas.

Sin embargo, en Telegram Desktop, había un problema que requería que el usuario hiciera clic en un archivo malicioso mientras tenía el intérprete de Python instalado en su computadora. Al contrario de informes anteriores, esta no fue una vulnerabilidad sin hacer clic y podría afectar solo a una pequeña fracción de nuestra base de usuarios: menos del 0,01% de nuestros usuarios tienen Python instalado y usan la versión relevante de Telegram para escritorio.

Se ha aplicado una solución del lado del servidor para garantizar que incluso este problema ya no se reproduzca, por lo que todas las versiones de Telegram Desktop (incluidas las anteriores) ya no tienen este problema.

La vulnerabilidad

El cliente Telegram Desktop realiza un seguimiento de una lista de extensiones de archivos asociadas con archivos riesgosos, como archivos ejecutables.

Cuando alguien envía uno de estos tipos de archivos en Telegram y un usuario hace clic en el archivo, en lugar de iniciar automáticamente el programa asociado en Windows, Telegram primero muestra una advertencia de seguridad.

Sin embargo, los tipos de archivos desconocidos compartidos en Telegram se iniciarán automáticamente en Windows, lo que permitirá que el sistema operativo decida qué programa usar.

Cuando se instala Python para Windows, asocia la extensión de archivo .pyzw con el ejecutable de Python, lo que hará que Python ejecute los scripts automáticamente cuando se haga doble clic en el archivo. La extensión .pyzw es para zipapps de Python, que son programas Python autónomos contenidos en archivos ZIP.

Los desarrolladores de Telegram eran conscientes de que este tipo de ejecutables debían considerarse riesgosos y los agregaron a la lista de extensiones de archivos ejecutables. Desafortunadamente, cuando agregaron la extensión, cometieron un error tipográfico al ingresar la extensión como 'pywz' en lugar de la ortografía correcta de 'pyzw'.

Por lo tanto, cuando esos archivos se enviaron a través de Telegram y se hizo clic en ellos, Python los inició automáticamente si estaba instalado en Windows. Esto permite efectivamente a los atacantes eludir las advertencias de seguridad y ejecutar código de forma remota en el dispositivo Windows de un objetivo si pueden engañarlos para que abran el archivo.

Para enmascarar el archivo, los investigadores idearon el uso de un bot de Telegram para enviar el archivo con un tipo MIME de 'video/mp4', lo que provocó que Telegram mostrara el archivo como un video compartido. Si un usuario hace clic en el vídeo para verlo, el script se iniciará automáticamente a través de Python para Windows.

BleepingComputer probó este exploit con el investigador de ciberseguridad AabyssZG, quien también compartió demostraciones en X. Este archivo simplemente contiene código Python para abrir un símbolo del sistema. Cuando hace clic en el video para verlo, Python ejecuta automáticamente el script.

Telegram utilizó una solución del lado del servidor que agrega la extensión .untrusted a los archivos pyzw, que, al hacer clic, hará que Windows le pregunte qué programa desea usar para abrirlos en lugar de iniciarlos automáticamente en Python. Las versiones futuras de la aplicación Telegram Desktop deberían incluir el mensaje de advertencia de seguridad en lugar de agregar la extensión ".untrusted", agregando un poco más de seguridad al proceso.

Fuente: BleepingComputer

Seguir leyendo...

Vulnerabilidad crítica de PAN-OS en Palo Alto Networks, bajo ataque activo (CVE-2024-3400)

Palo Alto Networks advierte que una vulnerabilidad crítica que afecta su software PAN-OS utilizado en sus gateway GlobalProtect y está siendo explotada activamente. La vulnerabilidad permite la ejecucción de código remoto con privilegios de root.

Registrado como CVE-2024-3400, el problema tiene una puntuación CVSS de 10.

"Una vulnerabilidad de inyección de comandos en la función GlobalProtect en versiones y funciones específicas de PAN-OS puede permitir que un atacante no autenticado ejecute código arbitrario con privilegios de root en el firewall", dijo la compañía en un aviso.

La división Unit 42 de la compañía está rastreando la actividad bajo el nombre Operación MidnightEclipse, atribuyéndola como el trabajo de un único actor de amenazas de procedencia desconocida.

La falla afecta a las siguientes versiones de PAN-OS:

• PAN-OS <11.1.2-h3
• PAN-OS <11.0.4-h1
• PAN-OS <10.2.9-h1

"Este problema se aplica sólo a los firewalls PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 configurados con la puerta de enlace GlobalProtect o el portal GlobalProtect (o ambos) y la telemetría del dispositivo habilitada", aclaró la compañía en su aviso actualizado.

La compañía también dijo que el problema se aplica solo a los firewalls que tienen las configuraciones tanto para GlobalProtect gateway (Red > GlobalProtect > Gateway) como para la telemetría del dispositivo (Dispositivo > Configuración > Telemetría) habilitadas.

Si bien no hay otros detalles técnicos sobre la naturaleza de los ataques, Palo Alto Networks reconoció que "es consciente de un número limitado de ataques que aprovechan la explotación de esta vulnerabilidad".

Mientras tanto, recomienda a los clientes con una suscripción a Prevención de amenazas que habiliten el ID de amenaza 95187 para protegerse contra esta amenaza.

El desarrollo se produce cuando los actores de amenazas chinos han dependido cada vez más de Zero-Days que afectan a Barracuda Networks Fortinet, Ivanti, y VMware para violar objetivos de interés e implementar puertas traseras encubiertas para un acceso persistente.

"La habilidad y la velocidad empleadas por el atacante sugieren un actor de amenazas altamente capaz con un manual claro de a qué acceder para promover sus objetivos", dijo la firma estadounidense de ciberseguridad Volexity.

CISA agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), exigiendo que las agencias federales apliquen los parches antes del 19 de abril para mitigar amenazas potenciales. Palo Alto Networks publicó publicará las correcciones el 14 de abril (ya publicadas).

La operación MidnightEclipse (UTA0218) implica la explotación de la falla para crear un cron que se ejecuta cada minuto para recuperar comandos alojados en un servidor externo ("172.233.228[.]93/policy" o "172.233.228[.]93/patch"), que luego se ejecutan utilizando bash.

En los ataques documentados hasta la fecha, se ha observado que UTA0218 implementa cargas útiles adicionales para iniciar shells, filtrar datos de configuración de PAN-OS, eliminar archivos de registro e implementar la herramienta de tunelización Golang denominada GOST (GO Simple Tunnel).

Las búsquedas en Shodan, Fofa y Censys arrojan miles de dispositivos GlobalProtect en línea y posiblemente vulnerables. Los IOC se encuentran disponibles en el sitio de Volexity.

Actualización 14/04: este problema se solucionó en las versiones de revisión de PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 y en todas las versiones posteriores de PAN-OS. También estarán disponibles revisiones para otras versiones de mantenimiento.

Fuente: THN

Seguir leyendo...

"Ver" personas a través de las paredes con WiFi

Un equipo de investigadores ha creado un método que permite la detección tridimensional de cuerpos humanos en interiores. Este sistema, que funciona con la infraestructura wifi existente, no solo identifica la presencia de personas, sino que también rastrea sus movimientos en tiempo real, abriendo un nuevo horizonte de posibilidades para la seguridad y la automatización del hogar.

Un reciente estudio de la Universidad Carnegie Mellon, divulgado a través de arXiv, destaca el uso de "DensePose", una tecnología avanzada que mapea los píxeles de la superficie corporal en imágenes. Esta herramienta, en conjunto con redes neuronales, permite detectar la ubicación espacial de personas mediante la interpretación de las alteraciones que causan en las señales wifi, lo que representa un avance significativo en el campo de la visión por computadora y la inteligencia artificial.

Cómo conocer la ubicación de las personas "sin verlas"

El informe expone el progreso en la creación de tecnologías alternativas a las cámaras y dispositivos de alto costo, como el LiDAR, que oscilan entre los 600 y 700 dólares, para la detección de personas. Este nuevo enfoque aprovecha dispositivos más económicos, con precios alrededor de los 30 dólares, para ofrecer una solución accesible y eficiente en la visualización y seguimiento de individuos sin necesidad de equipos tradicionales de imagen.

En el experimento se emplearon routers TP-Link Archer A7 AC1750, ubicados en los extremos opuestos de una habitación. Con la presencia de varias personas en el espacio, se utilizó inteligencia artificial para analizar cómo afectaban la señal wifi. Esta data fue procesada mediante DensePose para crear representaciones tridimensionales de las figuras humanas.

El experimento demostró que, en la mayoría de los casos, se lograron crear representaciones detalladas de las personas en la sala. Los investigadores destacaron que la precisión de estas estructuras era comparable a la obtenida mediante "algunos enfoques basados en imágenes".

De acuerdo con los investigadores, una de las ventajas de este método sobre las cámaras es que las estimaciones de la estructura del cuerpo humano son "más respetuosas" con la privacidad humana. Además, no se requiere luz y el sistema es capaz de detectar poses corporales aun cuando hay objetos adicionales en el camino que podrían oscurecer la vista si se tratara de una cámara tradicional.

El sistema ha demostrado ser eficaz en numerosas instancias, según lo presentado por los investigadores; sin embargo, aún enfrenta desafíos al identificar y posicionar a las personas, especialmente cuando adoptan "posturas atípicas o poco comunes". Además, su eficiencia se ve comprometida en espacios con alta densidad de personas, siendo tres individuos el número óptimo para su reconocimiento efectivo.

Un nuevo nivel de "privacidad", según los investigadores

Los investigadores consideran que el analizar las señales wifi puede servir como sustituto de las cámaras RGB normales para detectar personas en una habitación.

Este desarrollo tecnológico representa un avance significativo en la protección de la privacidad a un costo accesible. La capacidad de esta tecnología para adaptarse y monitorear el bienestar de las personas, así como identificar comportamientos "sospechosos" en el hogar, la posiciona como una herramienta valiosa para la seguridad y la asistencia sanitaria domiciliaria.

Fuente: Xataka

Seguir leyendo...

Chrome Enterprise: obtiene seguridad Premium pero debes pagar por ella

Google ha anunciado una nueva versión de su navegador para organizaciones, Chrome Enterprise Premium, que viene con controles de seguridad ampliados por una tarifa mensual por usuario.

El producto es un paso adelante con respecto a Chrome Enterprise, ahora degradado a Chrome Enterprise Core, y brinda protección de datos y amenazas, mayores opciones de control y capacidades de generación de informes.

Seguridad adicional a un costo

La nueva alternativa de seguridad mejorada de Google para empresas tiene como objetivo "fortalecer la seguridad de los terminales a nivel del navegador donde tiene lugar casi todas las actividades e interacciones de alto valor en la empresa".

En comparación con la variante Core, Chrome Enterprise Premium generalmente está disponible por una tarifa mensual de $6 para cada usuario y brinda a las organizaciones seguridad adicional a través de varias capacidades.

Los controles de nivel empresarial en la variante Premium del navegador permiten hacer cumplir políticas, administrar actualizaciones y extensiones de software y admitir múltiples protocolos TCP como RDP, SCP y SSH.

Los controles de acceso basados en el contexto pueden mitigar los riesgos de filtración de datos para aplicaciones aprobadas y no aprobadas, y ayudar a hacer cumplir el acceso continuo Zero Trust a SaaS y aplicaciones basadas en web.

Las funciones de protección de datos y amenazas dependen en parte de la IA para mejorar las defensas y ofrecer inspección de contenido y prevención de pérdida de datos, antimalware y antiphishing.

Algunas empresas que ya utilizan Chrome Enterprise Premium dicen que observaron beneficios significativos e inmediatos.

Nick Reva, jefe de ingeniería de seguridad corporativa de Snap, dijo que la configuración de restricciones y advertencias de prevención de pérdida de datos en Chrome Enterprise Premium al compartir información confidencial en plataformas de inteligencia artificial generativa condujo a una reducción del 50% en las transferencias de contenido.

El jefe de seguridad de la información de la empresa de biotecnología Roche dijo que a las pocas horas de activar el nuevo navegador de Google para empresas, "pudieron identificar y detener un intento de exfiltrar una gran cantidad de información corporativa".

Fuente: THN

Seguir leyendo...