Publicado el

Campaña de suplantación de Meta

En un entorno digital cada vez más amenazante, la protección de nuestros datos personales y credenciales de acceso se ha vuelto una prioridad crítica. Sin embargo, los ciberdelincuentes continúan ideando métodos sofisticados para engañar a los usuarios y robar información sensible. Recientemente, se ha detectado una nueva campaña de phishing que suplanta la página del centro de privacidad de Meta con el objetivo de robar credenciales y/o el código de doble factor de autenticación (2FA).

Cómo funciona

En esta reciente campaña de phishing, los atacantes envían correos electrónicos o mensajes a las víctimas, haciéndose pasar por la plataforma legítima y alertándolas sobre un supuesto problema de seguridad en su cuenta, como por ejemplo » La página XXXXXX infringe las normas de la comunidad» o «La página XXXXXX se eliminará debido a infracciones de políticas.». El mensaje incluye un enlace que redirige a una página web que parece ser el centro de privacidad de la plataforma.

La página falsificada está diseñada meticulosamente para imitar el aspecto del centro de privacidad original, incluyendo logotipos, colores y estilos de fuente.

imagen_suplantacion_meta

La web indica que se va a borrar la  página de la red social y para evitarlo se debe rellenar un formulario con los datos de la cuenta y las credenciales.

formulario_appeal

Tras rellenar todos los datos se solicita la contraseña de la cuenta asociada al email indicado. Posteriormente, al aceptar la contraseña se solicitaría el doble factor de autenticación. De esta forma los atacantes tomarían control total sobre la cuenta objetivo.

 

Campo contraseña
Cómo protegerse

    • Verificación de Enlaces y Remitentes: Siempre verifica la URL de los enlaces y el remitente en correos electrónicos o mensajes antes de hacer clic. Asegúrate de que la dirección web sea la oficial de la plataforma.
      En este caso concreto, los enlaces tenían la estructura, XXX[.]pages[.]dev, donde XXX representa número y letras aleatorios, y el remitente era del dominio oxkrqdecor[.]com.
      Aunque, tanto los enlaces como los remitente pueden variar de un caso a otro, no suelen tener nada que ver con facebook.com o meta.com u otras páginas oficiales.

    • No Compartir Códigos 2FA: Ante la duda, no compartas los códigos de 2FA, mantener este recurso bajo control garantiza mantener control sobre la cuenta ¡Incluso cuando el atacante conoce el usuario y contraseña!

    • Doble Comprobación de Mensajes: Si recibes una alerta sobre un problema de seguridad, verifica la información directamente a través de la plataforma oficial, evitando usar enlaces proporcionados en mensajes sospechosos.

    • Educación Continua:  Desde la web concienciaT podrás mantenerte informado sobre las últimas campañas y tácticas de phishing. Además encontrarás multitud de cursos para prepararte para el mundo digital.

      Conclusión

      La seguridad en línea es una responsabilidad compartida. Al estar atentos y tomar medidas preventivas, podemos reducir significativamente el riesgo de caer en trampas de phishing. Si sospechas que has sido víctima de esta nueva campaña, cambia tus contraseñas de inmediato y contacta con el soporte de la plataforma afectada para obtener asistencia. Recuerda, la prevención y la educación son nuestras mejores herramientas contra los ciberdelincuentes.

Publicado el

Vulnerabilidad en Apache HTTP Server

La Apache Software Foundation ha solucionado múltiples vulnerabilidades en su popular servidor HTTP Apache. Las vulnerabilidades incluyen problemas de denegación de servicio (DoS), ejecución remota de código y acceso no autorizado.

Una de estas vulnerabilidades es una vulnerabilidad puede llevar a la exposición involuntaria de código fuente.

Está catalogada como CVE-2024-39884.

Análisis

La vulnerabilidad CVE-2024-39884, es descrita por Apache como: «Una regresión en el núcleo del servidor HTTP de Apache ignora algún uso de la configuración basada en contenido de los manejadores.»

Es decir, un fallo introducido por una actualización reciente permite que cuando algunas directivas como «AddType» son utilizadas bajo ciertas condiciones, puedan exponer el código fuente de algunos archivos.

Esta vulnerabilidad aún no tiene CVSS asociado, pero Apache, siguiendo su propio criterio, la ha catalogado como «Importante».

Recomendaciones

Actualizar a la versión 2.4.6.1

Referencias

Publicado el

Vulnerabilidad en OpenSSH

Introducción

La vulnerabilidad CVE-2024-6387 fue descubierta y reportada el 1 de julio de 2024 por OpenSSH. Esta falla crítica afecta a múltiples versiones de OpenSSH, permitiendo a un atacante no autenticado ejecutar código arbitrario de forma remota con privilegios de root.

Análisis

CVE-2024-6387 se encuentra en las versiones 8.5p1 a 9.7p1 de OpenSSH. La vulnerabilidad se debe a una validación insuficiente de las entradas en el protocolo de autenticación. Un atacante puede enviar paquetes especialmente diseñados para explotar esta debilidad, lo que le permite ejecutar comandos maliciosos con privilegios elevados. Esta vulnerabilidad es crítica debido a su potencial para comprometer completamente los sistemas afectados.

La explotación de esta vulnerabilidad puede llevar a la instalación de malware, robo de datos y control total del sistema comprometido. Es crucial que los administradores de sistemas tomen medidas inmediatas para mitigar este riesgo.

Recomendaciones

Para mitigar el riesgo asociado con CVE-2024-6387, se recomienda implementar las siguientes medidas:

    • Actualizar el Software: Asegúrese de que todas las instancias de OpenSSH se actualicen a la versión más reciente que incluye los parches de seguridad necesarios.
    • Revisión de Configuración: Revise y refuerce las configuraciones de seguridad de OpenSSH para limitar el acceso solo a usuarios autorizados.

Referencias

Publicado el

Vulnerabilidad Zero-Day descubierta en Switches Cisco

Introducción

La vulnerabilidad CVE-2024-20399 fue descubierta por el equipo de seguridad de la firma Sygnia, quien informó a Cisco sobre la explotación de esta falla en sus dispositivos Cisco NX-OS. Esta vulnerabilidad ha sido objeto de atención debido a su gravedad y al impacto potencial en infraestructuras críticas.

Análisis

La vulnerabilidad encontrada es la siguiente:

    • CVE-2024-20399

La vulnerabilidad encontrada tiene lugar en la interfaz de línea de comandos (CLI) del software Cisco NX-OS. Permite a un usuario local autenticado ejecutar comandos arbitrarios como root en el sistema operativo subyacente del dispositivo afectado. Esto se debe a la validación insuficiente de los argumentos pasados a comandos específicos de configuración en la CLI. Para explotar esta vulnerabilidad, un atacante debe tener credenciales de administrador, lo que le permitiría ejecutar comandos con privilegios elevados, potencialmente comprometiendo la seguridad del dispositivo y la red asociada.

El impacto de esta vulnerabilidad es significativo, ya que permite la ejecución de código malicioso con privilegios de root, lo que podría llevar a la instalación de malware y a un control completo del dispositivo afectado. La explotación de esta vulnerabilidad ha sido vinculada a actores estatales, lo que subraya la necesidad de una pronta mitigación.

  • La serie de productos afectados es:
  •  
    • MDS 9000 Series Multilayer Switches
    • Nexus 3000 Series Switches
    • Nexus 5500 Platform Switches
    • Nexus 5600 Platform Switches
    • Nexus 6000 Series Switches
    • Nexus 7000 Series Switches
    • Nexus 9000 Series Switches in standalone NX-OS mode

Recomendaciones

Para mitigar el riesgo asociado con CVE-2024-20399, se recomienda implementar las siguientes medidas:

    • Actualizar el Software: Asegurarse de que todos los dispositivos Cisco NX-OS estén actualizados con las últimas versiones que incluyen los parches de seguridad relevantes.
    • Revisión de Configuración: Revisar y fortalecer las configuraciones de seguridad en los dispositivos para limitar el acceso a usuarios autorizados y minimizar los vectores de ataque.

Referencias