Author: Seguridad CSIRT-CV

Efectius de la Policia Nacional han detingut un hacker que suposadament va estar darrere de desenes d’atacs cibernètics a organismes governamentals a Espanya i els Estats Units, incloent-hi objectius com l’Exèrcit dels EUA, l’ONU, l’OTAN i altres entitats internacionals, segons ha publicat el mitjà de comunicació Security Affairs.

L’arrest ha tingut lloc a la localitat de Calp, a Alacant, després d’una operació duta a terme per la Policia Nacional i la Guàrdia Civil, amb el suport del Centre Criptològic Nacional (CCN) del Centre Nacional d’Intel·ligència (CNI). Durant el registre, es van confiscar criptomonedes i equips informàtics del detingut. Les autoritats l’acusen de diversos delictes, com l’accés il·legal a sistemes informàtics, la divulgació de secrets, el dany a sistemes i el blanqueig de capitals.

El sospitós, que s’havia atribuït públicament l’autoria dels atacs en fòrums del web fosc, hauria accedit a servicis informàtics d’entitats públiques i privades, incloses institucions com la Guàrdia Civil, el Ministeri de Defensa, la Fàbrica Nacional de Moneda i Timbre, el Ministeri d’Educació, la Generalitat Valenciana, universitats espanyoles, així com bases de dades de l’OTAN i l’Exèrcit dels EUA, entre altres. Les dades robades, en la seua majoria personals, van ser posteriorment venudes o divulgades en fòrums cibernètics.

El hacker ha utilitzat ferramentes de missatgeria i navegació anònima per a ocultar la seua identitat, fet que ha dificultat la detecció de les seues activitats. A més, es creu que usava pseudònims en diferents fòrums per a evitar ser identificat i capturat. La investigació va començar a principis de 2024, després que dades robades a una associació empresarial de Madrid foren filtrades en fòrums de ciberdelinqüència. En eixos fòrums, el hacker va utilitzar fins a tres àlies diferents per a llançar ciberatacs a una varietat d’organitzacions internacionals, i accedir a bases de dades confidencials i documents interns.

Segons el comunicat de la Policia Nacional, per a la captura del ciberdelinqüent van col·laborar l’EUROPOL i el Departament d’Investigacions de Seguretat Nacional (HSI) dels EUA.

Referència:
https://securityaffairs.com/173932/cyber-crime/spanish-police-arrested-notorious-hacker.html

Google i Mozilla han llançat noves actualitzacions de seguretat per als navegadors Chrome i Firefox amb la finalitat de corregir múltiples vulnerabilitats de gravetat alta relacionades amb la gestió de memòria. Entre estes, destaquen fallades del tipus use-after-free, que poden permetre l’execució de codi maliciós, corrupció de dades o atacs de denegació de servici. Es recomana als usuaris que actualitzen els navegadors com més prompte millor per a mitigar estos riscos.

Anàlisi

Les vulnerabilitats corregides en estes actualitzacions afecten components crítics dels dos navegadors que exposen els usuaris a possibles atacs. En Chrome, Google ha solucionat dotze vulnerabilitats, entre les quals CVE-2025-0444 i CVE-2025-0445, que són fallades use-after-free en la biblioteca gràfica Skia i el motor JavaScript V8, respectivament. Estes fallades poden provocar corrupció de memòria i, si es combinen amb altres errors en parts privilegiades del navegador, podrien permetre l’execució de codi maliciós o inclús eludir la protecció de l’entorn controlat de proves (sandbox).

D’altra banda, Firefox 135 aborda diverses fallades semblants, incloent-hi CVE-2025-1009 i CVE-2025-1010, que són vulnerabilitats use-after-free en la Custom Highlight API i en el llenguatge de transformacions XSLT, cosa que podria permetre a atacants executar un codi arbitrari en el sistema de la víctima. A més, Mozilla va corregir CVE-2025-1016 i CVE-2025-1020, dos errors greus en la gestió de memòria que afecten Firefox, Thunderbird i les seues versions de suport estés (ESR), i que podrien derivar en l’execució de codi maliciós. Juntament amb estes fallades, l’actualització soluciona altres errors de gravetat mitjana i baixa que podrien facilitar atacs de suplantació d’identitat (spoofing), filtracions de privacitat i verificacions inadequades de certificats.

Recursos afectats

• • • Chrome 133 en Windows, macOS i Linux
    • Firefox 135
    • Thunderbird 135
    • Firefox ESR 128.7 i 115.20

Recomanacions

Referències

https://www.securityweek.com/chrome-133-firefox-135-patch-high-severity-vulnerabilities/

Les actualitzacions de seguretat d’Android de febrer de 2025 aborden un total de 48 vulnerabilitats, incloses dos de crítiques: una vulnerabilitat de dia zero en el nucli d’Android (CVE-2024-53104) i una fallada de corrupció de memòria en el component WLAN de Qualcomm (CVE-2024-45569). La primera ha sigut explotada activament, i això representa un risc significatiu per als usuaris.

Anàlisi

• • CVE-2024-53104, és una fallada d’escalada de privilegis en el controlador USB Video Class del nucli d’Android, causada per una anàlisi incorrecta de fotogrames UVC_VS_UNDEFINED en la funció uvc_parse_format, la qual cosa provoca un càlcul erroni de la grandària de la memòria i pot derivar en execució de codi arbitrari o atacs de denegació de servici.
  • CVE-2024-45569, és una fallada de corrupció de memòria en el microprogramari WLAN de Qualcomm, originat per una validació incorrecta de l’índex de matriu en analitzar l’ML IE, la qual cosa permet a atacants remots executar codi arbitrari, accedir o modificar memòria i causar bloquejos sense necessitat de privilegis ni interacció de l’usuari.

Mentres que CVE-2024-53104 ha sigut explotat activament, CVE-2024-45569 representa una amenaça significativa si no es mitiga a temps

Recursos afectats

• • CVE-2024-53104: Dispositius Android amb el nucli afectat, especialment aquells que permeten accés a controladors de vídeo USB.

  • CVE-2024-45569: Dispositius Android amb maquinari Qualcomm que utilitzen la funcionalitat WLAN afectada.

Recomanacions

• • Actualitzar el sistema operatiu Android tan prompte com els pedaços de seguretat de febrer de 2025 estiguen disponibles per al dispositiu.
  • Evitar connectar dispositius USB desconeguts per a mitigar el risc d’explotació de CVE-2024-53104.
  • Deshabilitar WLAN en dispositius Qualcomm si no és necessari, fins que s’aplique el pedaç per a CVE-2024-45569.

Referències

https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-attacks/

https://securityaffairs.com/173812/hacking/google-android-kernel-zero-day-flaw.html

Broadcom ha llançat actualitzacions de seguretat per a corregir cinc vulnerabilitats en VMware Aria Operations i Aria Operations for Logs. La companyia advertix que els atacants podrien aprofitar estes fallades per a obtindre accés elevat o robar informació sensible.

Anàlisi

S’han identificat cinc vulnerabilitats en les versions 8.x del software:

• • CVE-2025-22218 (CVSS 8.5): un atacant amb permisos de View Only Admin podria accedir a les credencials d’un producte VMware integrat amb Aria Operations for Logs.

  • CVE-2025-22219 (CVSS 6.8): un atacant sense privilegis administratius podria injectar un script maliciós per a executar accions arbitràries com a administrador mitjançant un atac de Cross-Site Scripting (XSS) emmagatzemat.

  • CVE-2025-22220 (CVSS 4.3): un atacant sense privilegis administratius, però amb accés a la xarxa a l’API d’Aria Operations for Logs, podria realitzar operacions amb permisos d’administrador.

  • CVE-2025-22221 (CVSS 5.2): un atacant amb privilegis d’administrador podria injectar un script maliciós que s’executaria en el navegador de la víctima en eliminar una configuració d’agent.

  • CVE-2025-22222 (CVSS 7.7): un usuari sense privilegis administratius podria recuperar credencials d’un complement d’eixida si coneix un ID de credencial de servici vàlid.

Recursos afectats

Les vulnerabilitats afecten VMware Aria Operations i Aria Operations for Logs en les seues versions 8.x.

Recomanacions

Actualitzar a la versió 8.18.3.

Referèncias

https://securityaffairs.com/173677/security/vmware-aria-operations-flaws.html

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25329

https://thehackernews.com/2025/01/broadcom-patches-vmware-aria-flaws.html