1. Android Security Bulletin

2. Ciberdelincuentes norcoreanos se infiltra en un centenar de tecnológicas

3. Nuevos ataques de phishing de AitM evitan MFA y EDR

4. Secuestro de BGP

Android Security Bulletin

El boletín de Android, relativo a septiembre de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una denegación de servicio.

Las 2 vulnerabilidades de severidad crítica, detectadas en componentes Qualcomm (subcomponente WLAN), consisten en desbordamientos de búfer en FM Host, lo que podría provocar la corrupción de la memoria. Se han asignado los identificadores CVE-2024-33042 y CVE-2024-33052 para estas vulnerabilidades.

Adicionalmente, en el framework del sistema operativo, se ha corregido una vulnerabilidad de severidad alta y tipo escalada local de privilegios sin necesidad de privilegios de ejecución adicionales, que se encontraba en explotación activa. Se ha asignado el identificador CVE-2024-32896 para esta vulnerabilidad.

Enlace

Ciberdelincuentes norcoreanos se infiltra en un centenar de tecnológicas

Los ciberdelincuentes lograron ser contratados como desarrolladores de ‘software’ en grandes empresas estadounidenses y, desde dentro, robaron información y dinero para el régimen.

Una investigación que presenta esta semana la empresa de ciberseguridad CrowdStrike, ha revelado que un grupo de ciberdelincuentes norcoreanos consiguió entrar en más de un centenar de empresas estadounidenses, la mayoría del sector tecnológico o de las fintech y muchas de ellas incluidas en el ranking Fortune 500.

Enlace

Nuevos ataques de phishing de AitM evitan MFA y EDR

Los atacantes utilizan cada vez más nuevos kits de herramientas de phishing (de código abierto, comerciales y criminales) para ejecutar ataques de adversario en el medio (Adversary-in-the-Middle - AitM).

AitM permite a los atacantes no solo recopilar credenciales sino también robar sesiones en vivo, lo que les permite eludir los controles tradicionales de prevención de phishing, como MFA, EDR y filtrado de contenido de correo electrónico.

El phishing AitM es una técnica que utiliza herramientas dedicadas para actuar como proxy entre el objetivo y un portal de inicio de sesión legítimo para una aplicación. Como es un proxy de la aplicación real, la página aparecerá exactamente como el usuario espera, porque está iniciando sesión en el sitio legítimo, simplemente tomando un desvío a través del dispositivo del atacante.

 Enlace | Vídeo

Secuestro de BGP

El secuestro de BGP se produce cuando los atacantes redirigen con fines maliciosos el tráfico de Internet. Los atacantes logran esto al declarar de forma falsa que son los propietarios de grupos de direcciones IP, llamados prefijos IP, de los que en realidad no son propietarios, ni controlan ni enrutan. Un secuestro de BGP es muy parecido a como si alguien cambiara todas las señales de un tramo de autovía y redirigiera el tráfico de automóviles hacia las salidas incorrectas.

BGP son las siglas de Border Gateway Protocol, y es el protocolo de enrutamiento de Internet. Cuando un Sistema Autónomo (AS) anuncia una ruta a prefijos IP que no controla en realidad, este anuncio, si no se filtra, puede propagarse y añadirse a las tablas de enrutamiento de los enrutadores de BGP por Internet. Desde ese momento, y hasta que alguien se dé cuenta y corrija las rutas, el tráfico hacia esas IP se dirigirá a ese AS. Sería como reclamar un territorio si no hubiera un gobierno local que verificara y aplicara los títulos de propiedad.

 Enlace