Security News for Everyone

2022-02-03 10:11:21 #Wormfole #Blockchain #Cryptocurrency #DeFi

La plataforma de criptomonedas Wormfole pierde 322 millones de dólares por un hackeo

Este accidente sería el segundo más grande ocurrido con plataformas DeFi. Un atacante explotó una vulnerabilidad para robar millones de dólares.

El ataque impactó a Wormhole Portal, una aplicación que permite a usuarios cambiar criptomonedas por otras.

Fuente en inglés:
https://therecord.media/cryptocurrency-platform-wormhole-hacked-for-an-estimated-322-million/ Open / Comment

2022-02-02 22:37:34 #GitHub #devs

Una caída de GitHub afecta a desarrolladores

GitHub estaba caído a nivel mundial, impidiendo accesos a páginas web, realizar commits, clonar proyectos o hacer pull requests.

El problema parece resuelto actualmente según GitHub status, aunque todavía no se sabe el motivo de la caída.

Fuente en inglés:
https://www.bleepingcomputer.com/news/technology/github-outage-impacts-actions-codespaces-issues-pull-requests/

Historial de incidencias:
https://www.githubstatus.com/history Open / Comment

2022-02-02 10:46:56 #Ransomware

Un ciberataque afecta a los suministros de combustible alemanes

Los sistemas están paralizados pero todavía se desconoce la gravedad del problema. El sábado se produjo el ciberataque que causó problemas en las operaciones.

Oiltanking Deutschland GmbH & Co. KG es una compañía que suministra y almacena aceite, combustible y petróleo para empresas como Shell.

Fuente en inglés:
https://www.bbc.com/news/technology-60215252 Open / Comment

2022-02-02 10:40:36 #Selenium #QA #OpenSource #Chrome

EvilSelenium: Una modificación del entorno de pruebas

EvilSelenium es un nuevo proyecto que abusa Chrome para explotar software a través de un Selenium modificado.

Las características actuales de momento pueden hacer lo siguiente:
- Robar credenciales
- Robar cookies
- Tomar capturas de webs
- Dumps de emails de Office o Gmail
- Dumps de mensajes de WhatsApp
- Descargar y exfiltrar ficheros
- Añadir claves SSH a GitHub

Repositorio:
https://github.com/mrd0x/EvilSelenium Open / Comment

2022-02-02 00:17:07 #Akamai #Upnproxy #Upnp

"UpnProxy": Miles de routers vulnerables a ataques vía UPnP

¡Importante!

Los investigadores de la empresa Akamai han detectado una fuerte campaña maliciosa llamada: "Eternal Silence" la cuál abusa del protocolo UPnP (Universal Plug and play), este es un protocolo que básicamente permite que los dispositivos de tu red que sean compatibles con él, detecten la presencia de otros dispositivos, se comuniquen entre ellos y incluso que creen canales de comunicación más directos con internet.

La vulnerabilidad consiste en utilizar miles de routers a modo de proxy, de forma que el ciberdelincuente pueda ocultar la ubicación real. Este protocolo esta presente en la mayoría de los routers actuales que utilizamos, permitiendo el reenvío de puertos (forwardings ports) de forma automática, para el acceso a diferentes servicios y/o software, como hemos mencionado con anterioridad y que tiene como objetivo facilitar a un posible atacante la capacidad de agregar entradas de reenvío de puertos upn a través de la conexión WAN expuesta de un dispositivo.

Los analistas han informado a que los ataques que intentan exponer son en concreto:

Puertos TCP 139 y 445 en los dispositivos conectados al router para posteriormente, explotar las vulnerabilidades ya conocida como Eternal Blue (CVE-2017-0144) y EternalRed (CVE-2017-7494) en sistemas Windows y Linux que no estén debidamente parcheados.

Esta nueva técnica de ataque ha sido denominada por la empresa como "UPNProxy" y según lo que han podido averiguar, de los más de 3 millones de routers UPnP escaneados en línea, 277.000 serían vulnerables a UPnProxy y más de 45.000 ya habrían sido infectados. Por lo que la empresa advierte que estas técnicas son casi imperceptibles para los usuario/as y se recomienda como solución auditar las entradas de la tabla NAT y en caso de detectar una anomalía, reiniciar y/o actualizar el firmware de nuestro dispositivo lo más rápidamente posible.

Fuente en inglés:
https://www.akamai.com/content/dam/site/en/documents/research-paper/upnproxy-blackhat-proxies-via-nat-injections-white-paper.pdf Open / Comment

2022-02-01 23:57:33 #Qnap #Nas #0day

Qnap da más información sobre ataques en sus productos

Hace una semana se hizo publico que la compañía había sufrido una serie de ataques contra sus dispositivos, que estuvieran conectados a Internet a través de un nuevo ransomware llamado: Deadbolt.

A día de hoy, se sabe que el vector de ataque esta centrada en la explotación de un 0-day en sus dispositivos nas, del que no se conocían hasta el momento detalles, ni tampoco ninguna declaración oficial por parte del fabricante.

No obstante, el PSIRT (equipo de respuestas de incidentes de los productos QNAP), ha notificado acerca de los actores maliciosos que podrían estar aprovechando una vulnerabilidad ya parcheada, para ejecutar código arbitrario, particularmente del avisado de seguridad (QSA-21-57), aunque no detallan que la explotación de este fallo sea el desencadenante de estos ataques de ransomware, es probable que si lo sean puesto que la concordancias de fechas es cercana.

Desde la empresa, recomiendan a sus clientes actualizar sus dispositivos a las últimas versiones de QTS y QTS hero, pero cabe mencionar que un usuario ha indicado en el foro de Qnap que igualmente ha sido víctima de este ransom, a pesar de tener instalada la última versión del firmware, lo que indica que es probable que los atacantes continúan explotando una vulnerabilidad diferente.

Os mantendremos informados, en cuanto hayan mas novedades al respecto.

Fuentes en inglés:
https://www.qnap.com/en/security-news/2022/descriptions-and-explanations-of-the-qts-quts-hero-recommended-version-feature
https://www.qnap.com/en/security-advisory/qsa-21-57 Open / Comment

2022-02-01 12:02:22 #2FA #Troyano #Android #PlayStore

Un troyano suplanta una aplicación de autenticación 2FA

Una aplicación maliciosa encontrada en la tienda de aplicaciones de Android fue instalada por más de 10mil usuarios.

Es recomendable desinstalar la aplicación 2FA Authenticator de Google PlayStore cuanto antes en caso de tenerla.

Fuente en inglés:
https://blog.pradeo.com/vultur-malware-dropper-google-play Open / Comment

2022-02-01 10:50:30 #WordPress

600mil páginas de WordPress afectadas por una vulnerabilidad crítica

Un plugin utilizado en más de 1 millón de sitios web con WordPress contiene una vulnerabilidad de ejecución de código remoto.

Essential Addons for Elementor se ve afectada en la versión 5.0.4 y anteriores.

Fuente en inglés:
https://www.bleepingcomputer.com/news/security/600k-wordpress-sites-impacted-by-critical-plugin-rce-vulnerability/

Actualización:
https://wordpress.org/plugins/essential-addons-for-elementor-lite/ Open / Comment

2022-02-01 10:43:33 #Samba

Un nuevo bug en Samba permite realizar ejecución de código remoto

Samba ha lanzado actualizaciones para solventar fallos de seguridad. Todas las versiones anteriores a 4.13.17 se ven afectadas.

En caso de ser explotados, permite a atacantes realizar ejecución de código remoto con permisos de root.

Fuente en inglés:
https://thehackernews.com/2022/01/new-samba-bug-allows-remote-attackers.html?m=1 Open / Comment

2022-01-31 12:00:09 #Hackandbeers #CTF

Hack&Beers Huelva

El primer Hack&Beers de Huelva viene en formato de taller de iniciación a la Cibersguridad, teniendo lugar el 14 de febrero de 18:30 a 20:30.

Es imprescindible traer portátiles propios con Kali Linux, aparte de sacar las entradas aunque el evento sea gratuito.

Más información y entradas:
https://hackandbeers.es/events/hack-beers-huelva-vol-1-taller/ Open / Comment