1. Feliz Navidad! 🎄🎄

2. Vulnerabilidad Crítica en Fortinet y Sophos y posible fuga de información en Cisco

3. El grupo Lazarus apunta a ingenieros nucleares con el malware CookiePlus

Feliz Navidad! 🎄🎄

Desde el equipo de BeeHackers queremos desearte Feliz Navidad, que pases unos días tranquilos y sin incidentes, y un 2025 lleno de alegría.

PD: cuidado con los emails / SMS / whatsapp con felicitación maliciosa, es un vector muy aprovechado en este tiempo. Recientemente hemos lanzado varias campañas de Ingeniería Social en varios clientes aprovechando las fiestas y los resultado hablan por si mismos.

Vulnerabilidad Crítica en Fortinet y Sophos y posible fuga de información en Cisco

Los malvados no se toman vacaciones. Esta semana hemos visto una nueva vulnerabilidad crítica de Fortinet (si una más) y también otra de Sophos (si, otra).

La vulnerabilidad crítica de Fortinet permite a los atacantes inyectar comandos de forma remota. Identificada como CVE-2024-48889 afecta expresamente a:

• FortiManager 7.6.0 (Fixed in 7.6.1 or above)

• FortiManager versions 7.4.0 through 7.4.4 (Fixed in 7.4.5 or above)

• FortiManager Cloud versions 7.4.1 through 7.4.4 (Fixed in 7.4.5 or above)

• FortiManager versions 7.2.3 through 7.2.7 (Fixed in 7.2.8 or above)

• FortiManager Cloud versions 7.2.1 through 7.2.7 (Fixed in 7.2.8 or above)

• FortiManager versions 7.0.5 through 7.0.12 (Fixed in 7.0.13 or above)

• FortiManager Cloud versions 7.0.1 through 7.0.12 (Fixed in 7.0.13 or above)

• FortiManager versions 6.4.10 through 6.4.14 (Fixed in 6.4.15 or above)

Por otro lado, Sophos publica Hotfixes para fallos críticos de actualización para evitar la explotación de diferentes vulnerabilidades:

• CVE-2024-12727 (puntuación CVSS: 9,8) - Una vulnerabilidad de inyección SQL

• CVE-2024-12728 (puntuación CVSS: 9,8): vulnerabilidad de credenciales débiles derivada de una frase de contraseña de inicio de sesión SSH sugerida

• CVE-2024-12729 (puntuación CVSS: 8,8) - Una vulnerabilidad de inyección de código post-auth en el Portal de usuario que permite a los usuarios autenticados obtener la ejecución remota de código.

Por último, para terminar la semana de la muerte de los grandes fabricantes, en varios foros se está publicando información de una posible brecha de datos en Cisco. Aun no está toda la información, estaremos atentos para ver si se confirma y la profundidad que pueda tener este caso.

Fortinet | Sophos | Cisco

El grupo Lazarus apunta a ingenieros nucleares con el malware CookiePlus

Se ha observado que el Grupo Lazarus, un infame actor de amenazas vinculado a la República Popular Democrática de Corea (RPDC), ha aprovechado una «compleja cadena de infección» dirigida al menos a dos empleados pertenecientes a una organización no identificada relacionada con la energía nuclear en el plazo de un mes en enero de 2024.

Los ataques, que culminaron con el despliegue de una nueva puerta trasera modular denominada CookiePlus, forman parte de una larga campaña de ciberespionaje conocida como Operación Dream Job, también rastreada como NukeSped por la empresa de ciberseguridad Kaspersky. Se sabe que está activa desde al menos 2020, cuando fue expuesta por ClearSky.

«Lazarus está interesado en llevar a cabo ataques a la cadena de suministro como parte de la campaña DeathNote, pero esto se limita principalmente a dos métodos: el primero es mediante el envío de un documento malicioso o un visor de PDF troyanizado que muestra las descripciones de trabajo adaptadas al objetivo», dijo la firma rusa en un análisis exhaustivo.

«El segundo es mediante la distribución de herramientas de acceso remoto troyanizadas como VNC o PuTTY para convencer a los objetivos de que se conecten a un servidor específico para una evaluación de habilidades».

Enlace 

Ver historial de Publicaciones