Más intentos sospechosos de hacerse cargo de proyectos de código abierto, un robo de datos en un socio de Cisco Duo y más.
Bienvenido a Cyber Security Today. Es miércoles 17 de abril de 2024. Soy Howard Solomon.
La reciente adquisición de una utilidad de cifrado utilizada por Linux puede no ser un incidente aislado. La Fundación OpenJS, sede de proyectos abiertos de JavaScript, dice que recientemente detectó un intento por parte de uno o varios actores de amenazas de designarlos como nuevos mantenedores de un proyecto para corregir cualquier vulnerabilidad. Después de eso, OpenJS reconoció que otros dos proyectos de JavaScript no alojados por la Fundación tuvieron intentos de adquisición similares. Esto sigue al descubrimiento por parte de un desarrollador de Microsoft a principios de este mes de un esfuerzo de tres años por parte de un actor de amenazas para persuadir a los mantenedores de la herramienta de compresión XZ Utils para que se hicieran cargo de ese proyecto. En ese caso, algunos distribuidores de Linux incluyeron una versión maliciosa de esa utilidad en las versiones de desarrollo de Linux que contenían una puerta trasera cargada por el nuevo supervisor. Si un actor de amenazas se hace cargo de un proyecto de JavaScript, él también podría usar su acceso para cargar un código malicioso que terminaría en cientos o miles de sistemas de TI. OpenJS y Open Source Security Foundations advierten a los mantenedores de proyectos que tengan cuidado con las solicitudes por correo electrónico de miembros desconocidos de la comunidad de código abierto para ser elevados al estado de mantenedor.
Otra empresa importante se ha visto afectado por una violación de datos de un socio. Esta vez es Cisco Systems. Según Bleeping Computer, las organizaciones que utilizan la plataforma de autenticación multifactor Cisco Duo para acceder a los sistemas de TI corporativos están siendo notificadas de un incidente el 1 de abril. Un pirata informático comprometió el sistema de un proveedor de telecomunicaciones que Cisco utiliza para enviar códigos MFA a personas mediante mensajes de texto SMS o llamadas de voz sobre IP. Cisco no nombró al proveedor. Tampoco dice cuántas personas se vieron afectadas. ¿Cómo fue pirateado el proveedor de telecomunicaciones? Un empleado cayó en un correo electrónico de phishing, lo que permitió al atacante obtener sus credenciales de inicio de sesión. Luego descargaron registros de mensajes. Los registros no tienen información personal. Pero incluyen números de teléfono de quienes usan Duo, incluidos los empleados de la empresa. Un pirata informático podría utilizar esos números para llamar a los empleados y engañarlos para que proporcionen información confidencial, como contraseñas.
Delinea ha liberado actualizaciones de seguridad para su plataforma, así como para las versiones locales y en la nube de su suite de gestión de acceso Secret Server. Las actualizaciones tapan una vulnerabilidad crítica en la API de mensajería SOAP que podría permitir a un atacante eludir la autenticación de acceso a las redes de TI. Esto se produce después de que un investigador publicara un informe la semana pasada sobre el descubrimiento del defecto. Hizo público sus hallazgos porque había estado intentando sin éxito desde febrero llamar la atención de Delinea. No fue hasta el viernes pasado que la empresa reconoció el hallazgo. En un comunicado, Delinea dijo que están por llegar parches para versiones anteriores de Secret Server.
administradores de TI Se insta a cuyas empresas utilizan la utilidad PuTTY de código abierto para la transferencia de archivos, o que utilizan aplicaciones con el cliente PuTTY como FileZilla, WinSCP y TortiseGit, a actualizar las aplicaciones de inmediato. Esto se produce después del descubrimiento de una vulnerabilidad crítica que podría permitir a un actor de amenazas recuperar una clave privada y luego falsificar firmas digitales que permitan el acceso a cualquier servidor para el que se utilice la clave. Los administradores deben revocar sus claves existentes y generar nuevas claves para reemplazarlas.
Hoteles Omni, con propiedades en EE.UU., Canadá y México, dice que en el ciberataque del mes pasado estuvo involucrada “información limitada” de un subconjunto de clientes. Los datos no incluyen detalles de pago personales, información financiera o números de Seguro Social. Pero, dice la compañía, puede incluir nombres, correos electrónicos y direcciones postales. Según Security Week, la banda de ransomware Daixin Team se ha atribuido la responsabilidad.
Tres juntas escolares canadienses se han inscrito en el plan de estudios de concientización sobre seguridad de Fortinet. El programa bilingüe gratuito tiene módulos para estudiantes K-12 que cubren cómo estar seguros en línea y cómo proteger la privacidad. Las tres juntas están en Ontario.
Los actores de amenazas utilizan Múltiples trucos para obtener credenciales de inicio de sesión en sesiones privadas de videoconferencia de Zoom de organizaciones. Un informe de esta semana de Abnormal Security señala seis tácticas. Estos incluyen la creación de páginas de inicio de sesión falsas que se parecen al sitio web oficial de Zoom y luego difundir enlaces a ellas en correos electrónicos de phishing; engañar a los empleados para que descarguen malware que robe las credenciales de Zoom; y simplemente rellenar credenciales con contraseñas compradas en la web oscura. El informe podría ser utilizado por los departamentos de TI en la formación de seguridad.
Bots malos automatizados cada vez más tráfico de Internet. Eso es según un nuevo informe de Imperva. El tráfico automatizado está costando a las organizaciones miles de millones de dólares debido a ataques a sitios web, API y aplicaciones. Los bots hacen de todo, desde web scraping, apropiación de cuentas, difusión de spam y lanzamiento de ataques de denegación de servicio. El informe dice que los líderes de TI pueden mitigar esta amenaza fortaleciendo las defensas del sitio web, fortaleciendo los procesos de inicio de sesión de los empleados y clientes del sitio web; proteger las API y aplicaciones móviles expuestas y vigilar el tráfico sospechoso.
Finalmente, Un grupo de espionaje norcoreano está intensificando sus actividades. Eso es según los investigadores de Proofpoint. Emitieron un informe esta semana sobre un grupo de expertos en seguridad llamado por varios nombres, incluidos TA 427, Emerald Sleet, APT43, Thallium o Kimsuky KIM-SUCK-IE. Por lo general, el grupo se dirige a expertos en política exterior estadounidense y surcoreana haciéndose pasar por un miembro de un grupo de expertos, un periodista o un académico. A los destinatarios se les envían correos electrónicos con la esperanza de iniciar una conversación en línea. Una táctica: aprovechar la laxa protección del correo electrónico de una organización, en particular no hacer cumplir el uso estricto del protocolo DMARC. Eso permite a este grupo hacerse pasar por remitentes en direcciones de correo electrónico.
Siga Cyber Security Today en Apple Podcasts, Spotify o agréguenos a su Flash Briefing en su altavoz inteligente.
