La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado<\/a> dos fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV<\/a>) cat\u00e1logo, citando evidencia de explotaci\u00f3n activa en la naturaleza.<\/p>\n La lista de fallas est\u00e1 a continuaci\u00f3n:<\/p>\n La empresa taiwanesa de ciberseguridad DEVCORE, que descubri\u00f3 e inform\u00f3 CVE-2024-35250, compartido<\/a> detalles t\u00e9cnicos adicionales en agosto de 2024, indicando que est\u00e1 basado en Microsoft Kernel Streaming Service (MSKSSRV).<\/p>\n Actualmente no hay detalles sobre c\u00f3mo se est\u00e1n utilizando las deficiencias como arma en ataques del mundo real, aunque los exploits de prueba de concepto (PoC) para ambos<\/a> de a ellos<\/a> existen en el dominio p\u00fablico.<\/p>\n A la luz de la explotaci\u00f3n activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen la remediaci\u00f3n necesaria antes del 6 de enero de 2025 para proteger sus redes.<\/p>\n El desarrollo sigue a una alerta de la Oficina Federal de Investigaciones (FBI) sobre las campa\u00f1as de HiatusRAT que se expanden m\u00e1s all\u00e1 de los dispositivos de borde de red, como enrutadores, para escanear dispositivos de Internet de las cosas (IoT) de Hikvision, D-Link y Dahua ubicados en los EE. UU., Australia y Canad\u00e1. , Nueva Zelanda y el Reino Unido.<\/p>\n “Los actores escanearon c\u00e1maras web y DVR en busca de vulnerabilidades, incluidas CVE-2017-7921<\/a>, CVE-2018-9995<\/a>, CVE-2020-25078<\/a>, CVE-2021-33044<\/a>, CVE-2021-36260<\/a>y contrase\u00f1as d\u00e9biles proporcionadas por los proveedores”, dijo el FBI. dicho<\/a>. “Muchas de estas vulnerabilidades a\u00fan no han sido mitigadas por los proveedores”.<\/p>\n La actividad maliciosa, observada en marzo de 2024, implic\u00f3 el uso de utilidades de c\u00f3digo abierto llamadas Ingram<\/a> y Medusa<\/a> para escaneo y descifrado de autenticaci\u00f3n por fuerza bruta.<\/p>\n Las advertencias tambi\u00e9n se producen cuando Forescout Vedere Labs, con inteligencia compartida por PRODAFT, revel\u00f3 la semana pasada que los actores de amenazas han explotado fallas de seguridad en los enrutadores DrayTek para atacar m\u00e1s de 20,000 dispositivos DrayTek Vigor como parte de una campa\u00f1a coordinada de ransomware entre agosto y septiembre de 2023.<\/p>\n “La operaci\u00f3n aprovech\u00f3 una supuesta vulnerabilidad de d\u00eda cero, lo que permiti\u00f3 a los atacantes infiltrarse en redes, robar credenciales e implementar ransomware”, dijo la empresa. dicho<\/a>y agreg\u00f3 que la campa\u00f1a “involucr\u00f3 a tres actores de amenazas distintos: Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI-288) y LARVA-15 (Wazawaka), que siguieron un flujo de trabajo estructurado y eficiente”.<\/p>\n Se cree que Monstrous Mantis identific\u00f3 y aprovech\u00f3 la vulnerabilidad y recopil\u00f3 sistem\u00e1ticamente credenciales, que luego fueron descifradas y compartidas con socios confiables como Ruthless Mantis y LARVA-15.<\/p>\n En \u00faltima instancia, los ataques permitieron a los colaboradores realizar actividades posteriores a la explotaci\u00f3n, incluido el movimiento lateral y la escalada de privilegios, lo que en \u00faltima instancia condujo al despliegue de diferentes familias de ransomware como RagnarLocker, Nokoyawa, RansomHouse y Qilin.<\/p>\n “Monstrous Mantis retuvo el exploit en s\u00ed, conservando el control exclusivo sobre la fase de acceso inicial”, dijo la compa\u00f1\u00eda. “Esta estructura calculada les permiti\u00f3 obtener ganancias indirectas, ya que los operadores de ransomware que monetizaron con \u00e9xito sus intrusiones estaban obligados a compartir un porcentaje de sus ganancias”.<\/p>\n Se estima que Ruthless Mantis ha comprometido con \u00e9xito al menos 337 organizaciones, principalmente ubicadas en el Reino Unido y los Pa\u00edses Bajos, con LARVA-15 actuando como intermediario de acceso inicial (IAB) al vender el acceso que obtuvo de Monstrous Mantis a otros actores de amenazas.<\/p>\n Se sospecha que los ataques utilizaron un exploit de d\u00eda cero en dispositivos DrayTek, como lo demuestra el descubrimiento de 22 nuevas vulnerabilidades<\/a> que comparten causas ra\u00edz similares a CVE-2020-8515 y CVE-2024-41592.<\/p>\n “La recurrencia de tales vulnerabilidades dentro de la misma base de c\u00f3digo sugiere una falta de an\u00e1lisis exhaustivo de la causa ra\u00edz, b\u00fasqueda de variantes y revisiones sistem\u00e1ticas del c\u00f3digo por parte del proveedor despu\u00e9s de cada divulgaci\u00f3n de vulnerabilidad”, se\u00f1al\u00f3 Forescout.<\/p>\n <\/p>\n\n
\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/CISA-y-el-FBI-generan-alertas-sobre-fallas-explotadas-y.png\")
<\/a><\/center><\/div>\nEl FBI advierte sobre HiatusRAT dirigido a c\u00e1maras web y DVR<\/h3>\n
Enrutadores DrayTek explotados en una campa\u00f1a de ransomware<\/h3>\n
<\/a><\/div>\n<\/a><\/center><\/div>\n