Vulnerabilidades Críticas en Productos Canon

Antecedentes:


Canon Inc. ha divulgado la existencia de múltiples vulnerabilidades de alta gravedad en varios de sus productos, relacionadas con fallos de seguridad tipo buffer overflow (desbordamiento de búfer). La explotación exitosa de estas vulnerabilidades podría permitir que un atacante remoto ejecute código arbitrario en el sistema afectado, comprometiendo así la seguridad de la infraestructura tecnológica de las organizaciones.

Detalles de las Vulnerabilidades:


Canon, conocida mundialmente por sus productos ópticos y de captura y reproducción de imágenes, como cámaras, impresoras y fotocopiadoras, ha identificado tres vulnerabilidades críticas que afectan a sus impresoras multifuncionales de oficina pequeña y modelos de impresoras láser.


Las vulnerabilidades se describen como sigue:


CVE-2024-12647 (Desbordamiento de Búfer en Fuentes CPCA):


  • Afecta el procesamiento de fuentes CPCA en impresoras multifuncionales de oficina pequeña y láser. Un atacante remoto podría provocar un desbordamiento del buffer al procesar fuentes durante la descarga de datos, lo que podría hacer que el producto se detenga o ejecute código arbitrario en el sistema de destino.


CVE-2024-12648 (Desbordamiento de Búfer en Etiquetas EXIF ​​de Datos TIFF):


  • Este fallo se presenta en el procesamiento de etiquetas EXIF ​​de imágenes TIFF en las impresoras multifuncionales y láser. Un atacante podría aprovechar esta vulnerabilidad para provocar la detención del producto o la ejecución de código malicioso.


CVE-2024-12649 (Desbordamiento de Búfer en Fuentes XPS):


  • Afecta el procesamiento de fuentes de datos XPS. Un atacante podría inducir un desbordamiento del buffer al interactuar con las impresoras afectadas, lo que permitiría la ejecución de código arbitrario o la detención del dispositivo.


Productos Afectados:


Los siguientes modelos de impresoras de Canon son vulnerables a los desbordamientos de búfer mencionados anteriormente:


  • Imagen en colorCLASS LBP632CDW (versión 05.04)
  • Imagen en colorCLASS LBP633CDW (versión 05.04)
  • Imagen en colorCLASS MF652CW (versión 05.04)
  • Imagen en colorCLASS MF653CDW (versión 05.04)
  • Imagen en colorCLASS MF654CDW (versión 05.04)
  • Imagen en colorCLASS MF656CDW (versión 05.04)
  • i-SENSYS MF657Cdw (versión 05.04)
  • i-SENSYS MF655Cdw (versión 05.04)
  • i-SENSYS MF651Cw (versión 05.04)
  • i-SENSYS LBP633Cdw (versión 05.04)
  • i-SENSYS LBP631Cw (versión 05.04)

Recomendaciones:


Para mitigar el riesgo asociado con estas vulnerabilidades, se recomienda tomar las siguientes acciones:


  • Actualizar los productos afectados a la última versión de software disponible. Canon ha lanzado actualizaciones que solucionan estos fallos de seguridad. Asegúrese de aplicar estas actualizaciones de forma inmediata para proteger sus dispositivos y sistemas de posibles explotaciones remotas.


  • Monitorear los dispositivos afectados para detectar posibles signos de explotación. Ante la sospecha de un ataque, es esencial realizar una revisión exhaustiva de los registros y el comportamiento de los productos vulnerables.

Continúa leyendo aquí

Fuente: Canon

Informe sobre Troyano Bancario Coyote
screenshot image

En el último mes, FortiGuard Labs ha identificado una serie de ataques cibernéticos que utilizan archivos LNK como vector inicial de infección. Estos archivos contienen comandos PowerShell diseñados para ejecutar scripts maliciosos y conectarse a servidores remotos con el fin de desplegar el troyano bancario Coyote. Este malware tiene como objetivo principal a usuarios en Brasil y busca robar credenciales de más de 70 aplicaciones financieras y numerosos sitios web. A continuación, se detalla el funcionamiento de cada fase de la operación maliciosa.

Fases del Ataque


1. Archivo LNK y Ejecución de PowerShell


El ataque comienza con un archivo LNK que ejecuta un comando de PowerShell oculto. Este comando se conecta a un servidor remoto y descarga un script malicioso para iniciar la siguiente etapa del ataque.

El análisis de estos archivos revela un identificador único que permite rastrear su origen y conexión con otros archivos maliciosos asociados a Coyote. Se han identificado varias URLs que alojan estos scripts, lo que sugiere una infraestructura bien organizada para distribuir el malware.


2. Cargador y Shellcode


El archivo DLL denominado "bmwiMcDec" actúa como cargador, inyectando la carga útil "npuGDec" en la memoria del sistema. Utiliza técnicas de inyección de procesos para ejecutar código malicioso sin ser detectado, empleando la herramienta Donut para descifrar y ejecutar la carga final de MSIL (lenguaje intermedio de Microsoft).

Una vez descifrado, el malware establece persistencia en el sistema modificando el registro de Windows para asegurar su ejecución en cada inicio. Posteriormente, recopila información del sistema y la envía a servidores remotos.


3. Ejecución del Troyano Bancario Coyote


La carga útil final ejecuta el troyano Coyote, que implementa diversas técnicas para evadir análisis y detección. Algunas de sus funcionalidades incluyen:


  • Verificación del entorno: Detecta nombres de usuario y herramientas de virtualización para evadir entornos de análisis.
  • Monitoreo de actividad: Supervisa la ventana activa en busca de accesos a sitios financieros.
  • Interacción con el servidor C2: Se comunica con servidores remotos para recibir instrucciones, las cuales pueden incluir la captura de pantalla, el cierre de procesos, la manipulación de ventanas activas y la inyección de superposiciones de phishing.

Figura 1: Cadena de ataque

El troyano bancario Coyote representa una amenaza significativa para los usuarios de servicios financieros, especialmente en Brasil. Su sofisticado método de distribución a través de archivos LNK y su capacidad para evadir detección lo convierten en una herramienta peligrosa para los ciberdelincuentes.


Para mitigar el riesgo, se recomienda:


  • Evitar la apertura de archivos LNK de origen desconocido.
  • Implementar soluciones de seguridad que detecten comportamientos sospechosos de PowerShell.
  • Monitorizar el tráfico de red en busca de conexiones a dominios maliciosos.
  • Capacitar a los usuarios en la identificación de posibles amenazas de phishing.

Continúa leyendo aquí

Fuente: Fortinet

Riesgos de Ransomware en la Nube y Claves Administradas por el Cliente
amenazas-ciberseguridad-nube image

El ransomware ha evolucionado y ahora los actores de amenazas están abusando de las funciones nativas de la nube para atacar datos críticos. Un reciente informe de Halcyon detalla cómo una campaña de ransomware ha explotado la función Server-Side Encryption con Claves Proporcionadas por el Cliente (SSE-C) de Amazon Web Services (AWS). A través del uso de credenciales robadas, los atacantes encriptan objetos S3 con sus propias claves, haciendo que los datos sean irrecuperables. Este boletín examina el modus operandi de estos ataques y ofrece estrategias de mitigación para proteger los entornos en la nube.

Exploit de SSE-C en Ataques de Ransomware


SSE-C:


Características y Funcionamiento AWS SSE-C permite a los clientes gestionar sus propias claves de cifrado en Amazon S3, proporcionando un mayor control sobre la seguridad de sus datos. Sin embargo, esta funcionalidad también presenta riesgos cuando es utilizada por actores malintencionados. Entre sus principales características se encuentran:


  • Claves controladas por el cliente, sin almacenamiento en AWS.
  • Validación mediante HMAC para verificar claves de descifrado.
  • Cifrado de datos en tránsito y en reposo.
alert_sse-c_encryptedobject image

Figura 1: Alerta para identificar sobrescrituras de objetos cifrados SSE-C

Abuso de SSE-C en Ransomware:


Los atacantes han desarrollado técnicas para explotar SSE-C con el siguiente flujo de ataque:


  1. Compromiso de credenciales: Obtienen accesos válidos mediante phishing, repositorios expuestos o compra en mercados clandestinos.
  2. Cifrado malicioso: Utilizan SSE-C para reencriptar datos en S3 con claves propias, bloqueando el acceso legítimo.
  3. Eliminación de backups: Modifican políticas de ciclo de vida para borrar archivos en pocos días.
  4. Exigencia de rescate: Dejan notas de extorsión en los directorios afectados con instrucciones de pago.

Mitigación y Protección:


Para reducir el riesgo de ataques de ransomware en entornos AWS, se recomienda implementar las siguientes medidas:


1. Habilitación de Versionado de S3 y MFA Delete


  • Permite recuperar versiones previas de objetos en caso de cifrado malicioso.
  • MFA Delete impide la eliminación de datos sin una autenticación adicional.


2. Restricción del Uso de SSE-C


  • Configurar políticas de bucket para bloquear el uso no autorizado de SSE-C.
  • Aplicar controles de acceso basados en principios de menor privilegio.


3. Monitoreo y Detección Temprana


  • Habilitar CloudTrail para registrar eventos de cifrado y descifrado.
  • Implementar detección de anomalías para identificar accesos inusuales.
alert_bucketversnotenabled image

Figura 2: Alerta sobre control de versiones de bucket no habilitado

El abuso de SSE-C por parte de actores de ransomware demuestra cómo las funciones avanzadas de la nube pueden convertirse en vectores de ataque si no se administran correctamente. Para prevenir incidentes de este tipo, las organizaciones deben adoptar estrategias de seguridad proactivas, limitar el uso de claves administradas por el cliente y fortalecer sus controles de acceso. La implementación de mecanismos de monitoreo y detección puede ser la clave para mitigar estos ataques antes de que causen daños irreparables.

Continúa leyendo aquí

Fuente: SentinelOne

Vulnerabilidades Críticas en Google Chromium
01_Hactivism_Overview_1920x900 image

Antecedentes


Google ha identificado y publicado dos vulnerabilidades de alta severidad en el motor JavaScript V8 de Google Chromium, afectando las plataformas Windows, Mac y Linux. Estas fallas de seguridad, relacionadas con desbordamiento de búfer y acceso a la memoria fuera de los límites, podrían permitir a un atacante remoto no autenticado ejecutar código arbitrario, provocar una denegación de servicio (DoS) y comprometer el sistema afectado.

Detalles de las vulnerabilidades


Las vulnerabilidades detectadas afectan directamente la gestión de la memoria en el motor V8 de Google Chromium, permitiendo que atacantes remotos exploten estos fallos mediante la manipulación de contenido web malicioso.


CVE-2025-0611 (Desbordamiento de Búfer en V8 de Google Chromium):


  • Esta vulnerabilidad se debe a un error de límite en el motor JavaScript V8. Un atacante remoto no autenticado puede engañar a la víctima para que acceda a una página web maliciosamente diseñada, lo que provocaría una corrupción de memoria y la ejecución de código arbitrario en el sistema afectado.


CVE-2025-0612 (Acceso a Memoria Fuera de los Límites en V8 de Google Chromium):


  • Esta vulnerabilidad permite que un atacante remoto no autenticado ejecute código arbitrario y tome el control del sistema afectado. En versiones de Google Chrome anteriores a la 132.0.6834.110, el acceso indebido a la memoria en el motor V8 puede generar corrupción del montón a través de páginas HTML diseñadas específicamente para explotar esta falla.

Productos Afectados


Los siguientes productos se encuentran en riesgo debido a estas vulnerabilidades:


  • Google Chromium versiones 132.0.6834.0 a 132.0.6834.109.

Recomendaciones



  • Actualizar inmediatamente Google Chromium a la versión 132.0.6834.110 o posterior, que corrige estos fallos de seguridad.


  • Supervisar periódicamente los avisos de seguridad de fuentes confiables para recibir actualizaciones sobre vulnerabilidades y parches.


  • Evitar hacer clic en enlaces desconocidos o descargar archivos de fuentes no confiables hasta que se hayan aplicado las actualizaciones necesarias.


  • Realizar copias de seguridad periódicas de los datos críticos en ubicaciones seguras y fuera de línea para facilitar la recuperación ante un posible ataque exitoso.


  • Restringir el acceso a sistemas sensibles únicamente al personal autorizado, reduciendo el impacto potencial en caso de una vulnerabilidad explotada.


  • Utilizar soluciones de ciberseguridad confiables y actualizadas, como antivirus y herramientas de detección de amenazas, para prevenir la explotación de estas vulnerabilidades.


  • Implementar sistemas de detección de comportamiento sospechoso y establecer protocolos claros de respuesta ante incidentes de seguridad.

Continúa leyendo aquí

Fuente: Tenable

CL-STA-0048: Operación de Espionaje Dirigida a Objetivos de Alto Valor en el Sur de Asia
01_Hactivism_Overview_1920x900 image

Este boletín de inteligencia presenta un análisis detallado sobre la operación CL-STA-0048, una campaña de espionaje dirigida a entidades gubernamentales y de telecomunicaciones en el sur de Asia. Se ha identificado un alto grado de sofisticación en los ataques, lo que sugiere una amenaza persistente avanzada (APT) posiblemente patrocinada por un estado-nación. Las técnicas, herramientas y objetivos analizados indican con moderada-alta confianza una conexión con actores de amenazas vinculados a China.

Información Clave de Ciberseguridad


Objetivos y Motivación


Los atacantes buscaron obtener información sensible de empleados gubernamentales y datos confidenciales de organizaciones clave, reflejando una intención de espionaje estratégico. La persistencia y meticulosidad observadas sugieren una operación bien planificada y respaldada por recursos significativos.


Vectores de Ataque y Explotación


La campaña CL-STA-0048 se basó en la explotación de vulnerabilidades en servidores expuestos, incluyendo:


  • Sistema de información de Internet (IIS)
  • Apache Tomcat
  • Servicios MSSQL


Los atacantes demostraron alta adaptabilidad, ajustando sus métodos en función de la efectividad de sus intentos de intrusión.


Técnicas de Exfiltración de Datos


Entre las técnicas utilizadas para la extracción de información destacan:

  • Exfiltración a través de DNS mediante ping: Uso de solicitudes DNS para transferir datos a los atacantes.
  • Abuso de SQLcmd: Robo de datos de bases de datos SQL mediante la herramienta SQLcmd.
word-image-365337-138128-15-768x135 image

Figura 1: Ejecución de línea de comandos de recolección de base de datos.

Técnicas de Distribución de Malware


Los atacantes emplearon sofisticados métodos de distribución de malware, tales como:


  • Hex Staging: Fragmentación y ensamblaje de cargas útiles en el sistema comprometido.
  • Carga lateral de DLL: Uso de binarios legítimos para ejecutar código malicioso.


Malware y Herramientas Utilizadas


  • PlugX: RAT modular utilizado en operaciones de ciberespionaje.
  • Cobalt Strike: Herramienta de pruebas de penetración utilizada maliciosamente.
  • VPN de SoftEther: Empleada para comunicaciones encubiertas.
  • Winos4.0 Downloader: Descargador basado en KCP para la ejecución de cargas maliciosas.


Conexión con Actores de Amenaza Chinos


  • El análisis de TTPs, herramientas y objetivos apunta a un nexo con grupos de amenazas chinos, con similitudes a DragonRank, aunque CL-STA-0048 es tratado como un grupo independiente.
word-image-334521-138128-5 image

Figura 2: Detección del flujo de ejecución de PlugX

Recomendaciones


  • Parcheo inmediato de vulnerabilidades en IIS, Apache Tomcat y MSSQL.
  • Mejora en la higiene de TI, incluyendo autenticación de múltiples factores y actualización de credenciales.
  • Monitoreo de amenazas continuo para detectar comportamientos anómalos en la red.
  • Capacitación del personal sobre técnicas de phishing y otras formas de ingeniería social.
  • Cooperación con la comunidad de ciberseguridad para el intercambio de información sobre amenazas.

Continúa leyendo aquí

Fuente: Palo Alto

Alerta de aviso: Fuga de datos robados de FortiGate
feature_lumu-advisory-Stolen-FortiGate-Data-Leak-1024x576 image

Un actor de amenazas ha filtrado en la red oscura datos extraídos de más de 15,000 dispositivos FortiGate de Fortinet. Estos datos provienen de una vulnerabilidad crítica, la CVE-2022-40684, que afectó a dispositivos con FortiOS. La explotación de esta vulnerabilidad permitió la extracción de archivos de configuración con credenciales, reglas de firewall y accesos VPN. Aunque Fortinet lanzó parches en 2022, muchas organizaciones podrían haber sido comprometidas antes de su aplicación.

Impacto y Riesgos


  • Compromiso de Credenciales: Las credenciales filtradas podrían ser usadas para accesos ilegítimos, escalamiento de privilegios y movimientos laterales dentro de las redes afectadas.
  • Exposición de la Arquitectura de Red: Los archivos filtrados podrían contener información crítica sobre configuraciones de seguridad y dispositivos en la red.
  • Persistencia del Ataque: Aun con parches aplicados, las credenciales comprometidas pueden ser reutilizadas por atacantes si no han sido actualizadas.
  • Ingeniería Social y Ransomware: La información filtrada podría ser utilizada para ataques dirigidos a empleados o para desplegar malware dentro de la organización.

Acciones Urgentes


  • Actualizar Dispositivos: Asegurar que todas las implementaciones de FortiGate tengan la última versión de firmware.


  • Rotar Credenciales: Cambiar todas las contraseñas y claves de acceso, incluyendo las de VPN e IPsec.


  • Revisar Configuraciones: Identificar reglas inusuales en los firewalls y eliminar posibles puertas traseras.


  • Revocar Certificados Expuestos: Cualquier clave o certificado filtrado debe ser reemplazado.


  • Implementar Autenticación Multifactor (MFA): Reforzar accesos críticos con MFA para prevenir accesos no autorizados.


  • Supervisar Actividad Sospechosa: Analizar registros de actividad para detectar patrones de comportamiento anómalos.


  • Adoptar un Enfoque de Confianza Cero: Asumir que la red ya está comprometida y aplicar medidas de segmentación y monitoreo estricto.
Fortigate-Leak-Advisory-Image-1-1024x529 image

Recomendaciones Adicionales


  • Realizar auditorías de seguridad periódicas.


  • Establecer monitoreo continuo para detección temprana de amenazas.



  • Sensibilizar al personal sobre riesgos de phishing e ingeniería social.

Continúa leyendo aquí

Fuente: Lumu

Ransomware ataca ESXi a través de túneles SSH ocultos

Antecedentes:



Grupos de ransomware y actores de amenazas han adoptado técnicas avanzadas para evadir la detección, utilizando herramientas nativas como SSH para establecer túneles SOCKS entre sus servidores de Comando y Control (C2) y los entornos comprometidos. Este método, conocido como "vivir fuera de la tierra", permite a los atacantes operar dentro de la infraestructura legítima sin generar alertas en las soluciones de seguridad convencionales.

Detalles de la amenaza:


Investigaciones recientes han revelado que los ataques de ransomware dirigidos a sistemas VMware ESXi no solo buscan cifrar datos y exigir pagos, sino que también reutilizan estos dispositivos como puntos de acceso persistentes dentro de las redes corporativas.


Los dispositivos ESXi, al no ser monitoreados con la misma rigurosidad que otros sistemas, están siendo explotados para redirigir tráfico malicioso, ocultando la comunicación con los servidores C2 y permitiendo la persistencia a largo plazo en la red comprometida.


Los atacantes se benefician de la estabilidad de estos dispositivos, ya que rara vez se apagan inesperadamente, lo que convierte esta técnica de túnel SSH en una puerta trasera semipermanente que es difícil de detectar y eliminar.
image-13 image

Recomendaciones de Seguridad:


Para mitigar esta amenaza y fortalecer la seguridad de los entornos VMware ESXi, se recomienda:


  • Configurar el reenvío de registros de ESXi para centralizar la recopilación de eventos y facilitar las investigaciones forenses en caso de incidentes de seguridad.
  • Monitorear y analizar regularmente los siguientes archivos de registro en busca de indicios de actividad sospechosa relacionada con túneles SSH:


  • /var/log/shell.log (Registro de actividad en la shell de ESXi).
  • /var/log/hostd.log (Registro del agente del host).
  • /var/log/auth.log (Registro de autenticaciones).
  • /var/log/vobd.log (Registro del daemon observador de VMware).


  • Implementar medidas de detección y respuesta específicas para el uso indebido de SSH y la exfiltración de datos mediante túneles SOCKS.
  • Aplicar políticas de acceso restrictivas para reducir la exposición de los sistemas ESXi a accesos no autorizados.
  • Actualizar y reforzar los controles de seguridad en los servidores de virtualización para prevenir la explotación de vulnerabilidades.

Los ataques dirigidos a entornos ESXi están evolucionando hacia modelos más sofisticados que priorizan la persistencia y el sigilo dentro de las redes corporativas. La implementación de medidas proactivas de monitoreo, análisis de registros y restricción de accesos es fundamental para detectar y mitigar estas amenazas antes de que comprometan la infraestructura crítica.

Continúa leyendo aquí

Fuente: Centro Nacional de Seguridad Digital
Contáctanos

Central: +511 2259900 anexo 110

Equipo de Marketing: marketing@bafing.com o al +51 969454618

Command Center y SOC: helpdesk@bafing.com o al +51 971500877



www.bafing.com

Facebook

Twitter

LinkedIn
LinkedIn Síguenos

Acerca de Bafing

Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.

El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com

Bafing S.A.C. | Av. Del Parque Sur 560 | Lima, 15036 PE

Cancelar suscripción | Aviso de datos de Constant Contact

Constant Contact