Las noticias sobre ciberseguridad a veces pueden parecer una película de terror interminable, ¿no es así? Justo cuando crees que los villanos están encerrados, una nueva amenaza emerge de las sombras.
Esta semana no es una excepción, con historias de fallas explotadas, espionaje internacional y travesuras de IA que podrían hacerte girar la cabeza. Pero no se preocupe, estamos aquí para desglosarlo todo en un lenguaje sencillo y brindarle el conocimiento que necesita para mantenerse a salvo.
¡Así que tome sus palomitas de maíz (y tal vez un firewall) y sumérjase en el último drama de ciberseguridad!
⚡ Amenaza de la semana
Se está explotando una falla crítica de Fortinet: Fortinet reveló que una falla de seguridad crítica que afecta a FortiManager (CVE-2024-47575, puntuación CVSS: 9.8), que permite la ejecución remota de código no autenticado, ha sido objeto de explotación activa en la naturaleza. Actualmente se desconoce exactamente quién está detrás de esto. Mandiant, propiedad de Google, está rastreando la actividad con el nombre UNC5820.
🚢🔐 Seguridad de Kubernetes para principiantes
Cómo implementar una solución de seguridad de contenedores y Mejores prácticas de seguridad de Kubernetes todo rodado en uno. Esta guía incluye todo lo esencial que debe saber sobre cómo construir una base de seguridad sólida y ejecutar un sistema operativo bien protegido.
Obtenga la guía
️🔥 CVE de tendencia
CVE-2024-41992, CVE-2024-20481, CVE-2024-20412, CVE-2024-20424, CVE-2024-20329, CVE-2024-38094, CVE-2024-8260, CVE-2024-38812, CVE- 2024-9537, CVE-2024-48904
🔔 Noticias destacadas
- Graves fallos criptográficos en cinco proveedores de almacenamiento en la nube: Investigadores de ciberseguridad han descubierto graves problemas criptográficos en las plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE) Sync, pCloud, Icedrive, Seafile y Tresorit que podrían explotarse para inyectar archivos, manipular datos de archivos e incluso obtener acceso directo a texto sin formato. . Los ataques, sin embargo, dependen de que un atacante obtenga acceso a un servidor para poder realizarlos.
- Lazarus explota el defecto de Chrome: Al actor de amenazas norcoreano conocido como Lazarus Group se le ha atribuido la explotación de día cero de una falla de seguridad ahora parcheada en Google Chrome (CVE-2024-4947) para tomar el control de los dispositivos infectados. Google abordó la vulnerabilidad a mediados de mayo de 2024. La campaña, que se dice que comenzó en febrero de 2024, implicaba engañar a los usuarios para que visitaran un sitio web que anunciaba un juego de tanques multijugador en línea (MOBA), pero incorporaba JavaScript malicioso para activar explotar y otorgar a los atacantes acceso remoto a las máquinas. El sitio web también se utilizó para ofrecer un juego completamente funcional, pero empaquetado en código para ofrecer cargas útiles adicionales. En mayo de 2024, Microsoft atribuyó la actividad a un grupo que rastrea como Moonstone Sleet.
- Se corrigió el error de adquisición de cuenta del kit de desarrollo en la nube (CDK) de AWS: Una falla de seguridad ahora parcheada que afecta el kit de desarrollo en la nube (CDK) de Amazon Web Services (AWS) podría haber permitido a un atacante obtener acceso administrativo a una cuenta de AWS objetivo, lo que habría resultado en una apropiación total de la cuenta. Tras la divulgación responsable el 27 de junio de 2024, Amazon solucionó el problema en la versión CDK 2.149.0 lanzada en julio de 2024.
- La SEC multa a cuatro empresas por divulgaciones engañosas sobre SolarWinds: La Comisión de Bolsa y Valores de EE. UU. (SEC) acusó a cuatro empresas públicas, Avaya, Check Point, Mimecast y Unisys, de realizar “divulgaciones materialmente engañosas” relacionadas con el ciberataque a gran escala que surgió del hack de SolarWinds en 2020. La agencia federal acusó a las empresas de restar importancia a la gravedad de la infracción en sus declaraciones públicas.
- 4 miembros de REvil sentenciados en Rusia: Cuatro miembros de la ya desaparecida operación de ransomware REvil, Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky y Ruslan Khansvyarov, han sido condenados a varios años de prisión en Rusia. Fueron arrestados originalmente en enero de 2022 luego de una operación policial por parte de las autoridades rusas.
📰 Alrededor del mundo cibernético
- Delta Air Lines demanda a CrowdStrike por apagón en julio: Delta Air Lines presentó una demanda contra CrowdStrike en el estado estadounidense de Georgia, acusando al proveedor de ciberseguridad de incumplimiento de contrato y negligencia después de que una importante interrupción en julio provocara 7.000 cancelaciones de vuelos, interrumpiera los planes de viaje de 1,3 millones de clientes y le costara a la aerolínea más de 500 dólares. millón. “CrowdStrike causó una catástrofe global porque tomó atajos, tomó atajos y eludió los mismos procesos de prueba y certificación que anunciaba, para su propio beneficio y beneficio”, dijo. “Si CrowdStrike hubiera probado la actualización defectuosa incluso en una computadora antes de su implementación, la computadora habría fallado”. CrowdStrike dijo que “las afirmaciones de Delta se basan en información errónea refutada, demuestran una falta de comprensión de cómo funciona la ciberseguridad moderna y reflejan un intento desesperado de desviar la culpa de su lenta recuperación de su incapacidad para modernizar su anticuada infraestructura de TI”.
- Meta anuncia una forma segura de almacenar contactos de WhatsApp: Meta ha anunciado un nuevo sistema de almacenamiento cifrado para contactos de WhatsApp llamado Identity Proof Linked Storage (IPLS), que permite a los usuarios crear y guardar contactos junto con sus nombres de usuario directamente dentro de la plataforma de mensajería aprovechando la transparencia clave y el módulo de seguridad de hardware (HSM). Hasta ahora, WhatsApp dependía de la libreta de contactos de un teléfono para fines de sincronización. NCC Group, que llevó a cabo una evaluación de seguridad del nuevo marco y descubrió 13 problemas, dijo que IPLS “tiene como objetivo almacenar los contactos dentro de la aplicación de un usuario de WhatsApp en los servidores de WhatsApp de una manera respetuosa con la privacidad” y que “los servidores de WhatsApp no tienen visibilidad”. en el contenido de los metadatos de contacto de un usuario”. Todas las deficiencias identificadas se han solucionado por completo a partir de septiembre de 2024.
- CISA y FBI investigan ataques de tifones de sal: La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) dijo que el gobierno estadounidense está investigando “el acceso no autorizado a infraestructura de telecomunicaciones comerciales” por parte de actores de amenazas vinculados a China. El desarrollo se produce en medio de informes de que el grupo de piratería Salt Typhoon irrumpió en las redes de AT&T, Verizon y Lumen. Las empresas afectadas fueron notificadas después de que se identificara la “actividad maliciosa”, dijo CISA. La amplitud de la campaña y la naturaleza de la información comprometida, si la hay, no están claras. Múltiples informes de The New York Times, The Wall Street Journal, Reuters, Associated Press y CBS News han afirmado que Salt Typhoon utilizó su acceso a gigantes de las telecomunicaciones para acceder a teléfonos o redes utilizadas por las campañas presidenciales demócratas y republicanas.
- El esquema fraudulento de trabajadores de TI se convierte en un problema mayor: Si bien Corea del Norte ha aparecido en las noticias recientemente por sus intentos de conseguir empleo en empresas occidentales, e incluso por exigir un rescate en algunos casos, un nuevo informe de la empresa de seguridad de identidad HYPR muestra que el plan de fraude de empleados no se limita sólo al país. La compañía dijo que recientemente ofreció un contrato a un ingeniero de software que decía ser de Europa del Este. Pero el posterior proceso de incorporación y verificación por video generó una serie de señales de alerta sobre su verdadera identidad y ubicación, lo que llevó al individuo anónimo a buscar otra oportunidad. Actualmente no hay evidencia que vincule la contratación fraudulenta con Corea del Norte, y no está claro qué buscaban. “Implementar un proceso de verificación de múltiples factores para vincular la identidad del mundo real con la identidad digital durante el proceso de aprovisionamiento”, dijo HYPR. “La verificación por vídeo es un control de identidad fundamental, y no sólo durante la incorporación”.
- Nuevos ataques a herramientas de inteligencia artificial: Los investigadores han descubierto una forma de manipular las marcas de agua digitales generadas por AWS Bedrock Titan Image Generator, lo que permite a los actores de amenazas no solo aplicar marcas de agua a cualquier imagen, sino también eliminarlas de las imágenes generadas por la herramienta. AWS solucionó el problema a partir del 13 de septiembre de 2024. El desarrollo sigue al descubrimiento de fallas de inyección rápida en Google Gemini for Workspace, lo que permite al asistente de inteligencia artificial producir respuestas engañosas o no deseadas, e incluso distribuir documentos y correos electrónicos maliciosos a cuentas de destino. cuando los usuarios solicitan contenido relacionado con sus mensajes de correo electrónico o resúmenes de documentos. Una nueva investigación también ha encontrado una forma de ataque de secuestro de LLM en el que los actores de amenazas aprovechan las credenciales expuestas de AWS para interactuar con grandes modelos de lenguaje (LLM) disponibles en Bedrock, usándolos en un caso para impulsar una aplicación de chat de juegos de roles sexuales que libera el modelo de IA. a “aceptar y responder con contenido que normalmente estaría bloqueado” por él. A principios de este año, Sysdig detalló una campaña similar llamada LLMjacking que emplea credenciales de nube robadas para apuntar a servicios LLM con el objetivo de vender el acceso a otros actores de amenazas. Pero en un giro interesante, los atacantes ahora también están intentando utilizar las credenciales de nube robadas para habilitar los modelos, en lugar de simplemente abusar de los que ya estaban disponibles.
🔥 Recursos e información
🎥 Seminario web para expertos en seguridad de la información
Seguridad de datos maestros en la nube con DSPM: ¿Tiene dificultades para mantenerse al día con la seguridad de los datos en la nube? No permita que sus datos confidenciales se conviertan en una responsabilidad. Únase a nuestro seminario web y conozca cómo Global-e, un facilitador líder del comercio electrónico, mejoró drásticamente su postura de seguridad de datos con DSPM. El CISO Benny Bloch revela su viaje, incluidos los desafíos, los errores y las lecciones críticas aprendidas. Obtenga información útil sobre cómo implementar DSPM, reducir el riesgo y optimizar los costos de la nube. Regístrese ahora y obtenga una ventaja competitiva en el mundo actual basado en datos.
🛡️Pregunta al experto
P: ¿Cuál es la vulnerabilidad más pasada por alto en los sistemas empresariales y que los atacantes tienden a explotar?
A: Las vulnerabilidades que más se pasan por alto en los sistemas empresariales a menudo radican en configuraciones incorrectas de IAM, como cuentas con permisos excesivos, seguridad API laxa, TI en la sombra no administrada y federaciones en la nube mal protegidas. Herramientas como Azure PIM o SailPoint ayudan a imponer privilegios mínimos mediante la gestión de revisiones de acceso, mientras que Kong o Auth0 protegen las API mediante la rotación de tokens y la supervisión de WAF. Los riesgos de la TI en la sombra se pueden reducir con Cisco Umbrella para el descubrimiento de aplicaciones y Netskope CASB para aplicar el control de acceso. Para proteger las federaciones, utilice Prisma Cloud u Orca para escanear configuraciones y ajustar las configuraciones, mientras que Cisco Duo habilita MFA adaptable para una autenticación más sólida. Finalmente, proteja las cuentas de servicio con administración automatizada de credenciales a través de HashiCorp Vault o AWS Secrets Manager, garantizando un acceso seguro y oportuno.
🔒 Consejo de la semana
Sube de nivel tu seguridad DNS: Si bien la mayoría de las personas se concentran en proteger sus dispositivos y redes, el Sistema de Nombres de Dominio (DNS), que traduce nombres de dominio legibles por humanos (como ejemplo.com) en direcciones IP legibles por máquinas, a menudo se pasa por alto. Imagine Internet como una gran biblioteca y el DNS como su catálogo de fichas; Para encontrar el libro (sitio web) que desea, necesita la tarjeta (dirección) correcta. Pero si alguien manipuló el catálogo, podrían llevarle a sitios web falsos para robar su información. Para mejorar la seguridad de DNS, use un solucionador centrado en la privacidad que no rastree sus búsquedas (un catálogo privado), bloquee sitios maliciosos usando un archivo “hosts” (extraiga las tarjetas de libros peligrosos) y emplee una extensión de navegador con DNS filtrado (contrate a un bibliotecario para que esté atento). Además, habilite DNSSEC para verificar la autenticidad de los registros DNS (verifique la autenticidad de la tarjeta) y cifre sus solicitudes de DNS usando DoH o DoT (susurre sus solicitudes para que nadie más pueda escucharlas).
Conclusión
Y ahí lo tiene: otra semana de desafíos de ciberseguridad para reflexionar. Recuerde, en esta era digital, la vigilancia es clave. Manténgase informado, alerta y seguro en el mundo cibernético en constante evolución. Volveremos el próximo lunes con más noticias e ideas que le ayudarán a navegar por el panorama digital.