Boletín 11 de Noviembre

Author

Ramón Salado
November 11th, 2024

  1. Página de bloqueo para contenidos ilegales en España

  2. Vulnerabilidad RCE en MS SharePoint explotada activamente

  3. Palo Alto aconseja asegurar la interfaz PAN-OS ante una posible amenaza de RCE

  4. Un paquete PyPI malicioso con 37.000 descargas roba claves AWS

Nueva Página de bloqueo para contenidos ilegales en España

En la actualidad, cada operador muestra a los usuarios una página distinta cuando este intenta acceder a un dominio bloqueado por razones legales, como por violación de propiedad intelectual. Esto es porque los operadores reciben la orden de bloquear un dominio determinado desde los juzgados o desde organismos responsables en materia de propiedad intelectual, como los adscritos al Ministerio de Cultura.

Hace unos meses, este Ministerio empezó a trabajar en un modelo de página web que sirviera de aviso para estos casos, con el objetivo de homogeneizar la forma en la que se transmite esta información al usuario, que debería tener derecho a conocer por qué una determinada web es inaccesible a causa de un bloqueo.

Ahora, ya conocemos cómo se verá esa web debido a que el recurso ha sido publicado en la dirección web https://bloqueadaseccionsegunda.cultura.gob.es/. Esta web, con IP 212.128.117.23, está alojada en servidores del Ministerio de Cultura, y la previsión es que las operadoras comiencen a usar esta misma advertencia de forma universal en España para las webs bloqueadas por piratería o difusión de contenidos con copyright.

Vulnerabilidad RCE en MS SharePoint explotada activamente

Una vulnerabilidad de ejecución remota de código (RCE) de Microsoft SharePoint divulgada recientemente como CVE-2024-38094 está siendo explotada para obtener acceso inicial a las redes corporativas.

Microsoft solucionó la vulnerabilidad el 9 de julio de 2024, como parte del paquete del martes de parches de julio, marcando el problema como "importante". La semana pasada, CISA agregó CVE-2024-38094 al Catálogo de vulnerabilidades explotadas conocidas (KEV), pero no compartió cómo se está aprovechando la falla en los ataques actuales.

Un nuevo informe de Rapid7 esta semana arroja luz sobre cómo los atacantes explotan la falla de SharePoint, afirmando que se utilizó en una violación de la red que fueron llamados a investigar. "Nuestra investigación descubrió a un atacante que accedió a un servidor sin autorización y se movió lateralmente a través de la red, comprometiendo todo el dominio". "El atacante no fue detectado durante dos semanas. Rapid7 determinó que el vector de acceso inicial era la explotación de una vulnerabilidad, CVE 2024-38094, dentro del servidor SharePoint local".

Palo Alto aconseja asegurar la interfaz PAN-OS ante una posible amenaza de RCE

Palo Alto Networks emitió el viernes un aviso informativo instando a los clientes a asegurarse de que el acceso a la interfaz de gestión de PAN-OS está protegido debido a una posible vulnerabilidad de ejecución remota de código.

"Palo Alto Networks es consciente de una reclamación de una vulnerabilidad de ejecución remota de código a través de la interfaz de gestión de PAN-OS", dijo la compañía. "En este momento, no conocemos los detalles específicos de la vulnerabilidad reclamada. Estamos monitorizando activamente cualquier indicio de explotación".

Mientras tanto, el proveedor de seguridad de redes ha recomendado a los usuarios que configuren correctamente la interfaz de gestión de acuerdo con las mejores prácticas, y que se aseguren de que el acceso a la misma sólo es posible a través de IPs internas de confianza para limitar la superficie de ataque.

Un paquete PyPI malicioso con 37.000 descargas roba claves AWS

Un paquete malicioso de Python llamado 'fabrice' lleva presente en el Python Package Index (PyPI) desde 2021, robando credenciales de Amazon Web Services a desarrolladores desprevenidos.

Según la empresa de seguridad de aplicaciones Socket, el paquete se ha descargado más de 37.000 veces y ejecuta scripts específicos de plataformas para Windows y Linux.

El gran número de descargas se debe a que fabrice typosquatting el paquete legítimo de gestión de servidores remotos SSH "fabric", una biblioteca muy popular con más de 200 millones de descargas.

Un experto explicó a BleepingComputer que fabrice permaneció tanto tiempo sin ser detectado porque se desplegaron herramientas de escaneado avanzadas después de su presentación inicial en PyPI, y muy pocas soluciones realizaron escaneados retroactivos.

SOC 24/7

Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad.

Auditoría de Seguridad

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.