La Agencia Americana de Ciberseguridad e Infraestructura (CISA) mantiene una visión útil de las vulnerabilidades conocidas que explotan los atacantes. El 5 de abril, la agencia añadió cuatro nuevas vulnerabilidades de seguridad a esta visión general. Aquí puedes descubrir qué es, cuáles son los riesgos y cómo puedes protegerte de ellos.
La vulnerabilidad de Spring4Shell permite la ejecución remota de código
¿Qué ha pasado?
La vulnerabilidad «Spring4Shell» (CVE-2022-22965) está preocupando actualmente a los expertos en ciberseguridad. El framework de código abierto Spring proporciona herramientas y utilidades para aplicaciones empresariales basadas en el lenguaje de programación Java. El muelle ayuda a reducir el esfuerzo necesario para construir las aplicaciones.
El 31 de marzo, la empresa confirmó la vulnerabilidad zero-day y lanzó un parche que debería solucionar el problema.
Sin embargo, la empresa estadounidense de seguridad Sonatype señaló esta semana que, a pesar del lanzamiento del parche, más del 80% de las descargas recientes son versiones potencialmente vulnerables. Al parecer, los programas de empresas que usan Spring y se usan en todo el mundo se ven afectados. El Equipo de Respuesta a Emergencias Informáticas (CERT) de la Universidad Carnegie Mellon ha publicado una lista de empresas afectadas.
La empresa de ciberseguridad Kasada también descubrió que los ciberdelincuentes utilizan herramientas automatizadas de escaneo de vulnerabilidades para probar miles de URLs y averiguar qué sistemas aún no han sido parcheados.
Un portavoz de la compañía de telecomunicaciones aseguró a BleepingComputer que no se robó información sensible ni datos de clientes como parte del ciberataque. Los ciberdelincuentes solo lograron acceder a software operativo interno, que no está relacionado con información confidencial. No se encontró ninguna prueba de que se hubieran pinchado datos o secretos comerciales.
El incidente fue descubierto por herramientas internas de monitorización que documentaron la intrusión de los actores no autorizados mediante el robo de credenciales. Según T-Mobile, el acceso a los criminales fue rápidamente cortado y las credenciales comprometidas utilizadas fueron desactivadas de inmediato. Los sistemas y procesos de la empresa han sido limpiados y funcionan según lo previsto.
El incidente cibernético fue sacado a la luz por el periodista independiente de investigación Brian Krebs, quien fue el primero en informar sobre el incidente. Pudo analizar mensajes filtrados de chat de Telegram entre miembros de la banda Lapsus$ y determinar que los atacantes habían logrado robar código fuente interno de T-Mobile y luego penetrar en los sistemas.
¿Qué puedo hacer?
Además de Spring4Shell, CISA catalogó dos vulnerabilidades (CVE-2022-22675 y CVE-2022-22674) reveladas por Apple el 1 de abril que afectan a sus dispositivos iPhone, iPad y Mac más utilizados.
¿Qué ha pasado?
En la vulnerabilidad CVE-2022-22675, el componente de decodificación de audio y vídeo afecta a AppleAVD. Esta vulnerabilidad también puede llevar a la ejecución de códigos remotos.
En combinación con la segunda vulnerabilidad CVE-2022-22674, que permite leer la memoria del núcleo de macOS, los ciberdelincuentes también podrían obtener información sensible sobre sus posibles víctimas.
Apple afirmó que ambas vulnerabilidades han sido corregidas. Sin embargo, existe el riesgo de que las vulnerabilidades ya hayan sido explotadas.
¿Qué puedo hacer?
Las actualizaciones de seguridad para iOS y iPad (iOS 15.4.1 y macOS Monterey 12.3.1) están disponibles para iPhone 6S y posteriores, todos los modelos iPad Pro, todos los iPad Air 2 y posteriores, iPad 5ª generación y posteriores, iPad Mini 4 y posteriores, y iPod Touch (7ª generación). Si usas uno de estos dispositivos, deberías instalar las actualizaciones lo antes posible y no esperar a una actualización automática de seguridad de Apple:
La visión general de CISA también se ha ampliado para incluir la vulnerabilidad CVE-2021-45382. Afecta a los modelos de router DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L y DIR-836L de D-Link. La vulnerabilidad también abre la puerta a la ejecución remota de código.
¿Qué ha pasado?
No hay más actualizaciones disponibles para estos dispositivos – la última se lanzó el 19 de diciembre de 2021 – ya que son los llamados dispositivos de fin de vida. Los productos han llegado al final de su vida útil y ya no se mantienen en servicio. En consecuencia, se desarrollan vulnerabilidades en estos dispositivos y se convierten así en un objetivo popular para ataques, especialmente porque los dispositivos están constantemente encendidos y conectados a Internet. Los routers comprometidos suelen ser utilizados por ciberdelincuentes para disfrazar su ubicación mientras lanzan ataques.
¿Qué puedo hacer?
La propia D-Link recomienda retirar y reemplazar los modelos mencionados. Para que las empresas cumplan con la Directiva Operativa Vinculante 22-01, esto debe hacerse antes del 25 de abril de 2022.
