Publicado el

CSIRT-CV recibe a los estudiantes del CIPFP Misericordia

El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) ha recibido en sus instalaciones a un grupo de 37 estudiantes del CIPFP Misericordia (Centro Integrado Público de Formación Profesional) durante este mes de diciembre.

Divididos en dos jornadas, 13 alumnos del Ciclo Formativo de Grado Superior de Sistemas de Telecomunicación e Informáticos (STI) y 24 alumnos del Ciclo Formativo de Grado Superior de Automatización y Robótica Industrial (ARI) han disfrutado de la visita a las instalaciones del centro de ciberseguridad y de varias charlas específicas impartidas por compañeros de CND (Seguridad Defensiva), CNA (Seguridad Ofensiva), Ciberseguridad Industrial y Concienciación en Ciberseguridad.

En la charla introductoria, se les ha explicado qué es CSIRT-CV, sus funciones y los diferentes departamentos que lo compone, mientras que en el resto se les ha proporcionado una visión integral de las estrategias, técnicas y tácticas utilizadas en el día a día por estos profesionales en el ámbito de la seguridad informática.

El recorrido por las instalaciones ha incluido una visita al laboratorio de Ciberseguridad Industrial del CSIRT-CV, dedicado a la investigación y a la realización de pruebas en equipos reales con el fin de detectar posibles vulnerabilidades que pudieran evitar y reducir los efectos de posibles ataques por parte de ciberdelicuentes.

Allí, los estudiantes han conocido de primera mano las herramientas y tecnologías empleadas en la protección de infraestructuras críticas y sistemas industriales que abarcan desde una Unidad de Imagen Médica y una SmartCity, que cuenta con cámaras de vigilancia de tráfico, cargadores eléctricos para los turismos o sensores de llenado de los contenedores.

La visita de los estudiantes del CIPFP Misericordia al CSIRT-CV refleja el compromiso del centro con la formación y la concienciación en Ciberseguridad. Estas jornadas no solo enriquecen el conocimiento de los futuros profesionales, sino que también fomentan una cultura de seguridad y buenas prácticas en el ámbito tecnológico a nivel personal. Estas visitas son fundamentales para crear una sociedad cada vez más preparada y resiliente frente a las crecientes amenazas en el mundo digital.

Publicado el

Vulnerabilidad que permite ejecución remota de código en Apache Tomcat

Se ha descubierto una vulnerabilidad de severidad crítica en Apache Tomcat que podría permitir la ejecución remota de código.

Análisis
 

La vulnerabilidad de severidad crítica podría permitir una ejecución remota de código (RCE) si el servlet predeterminado está habilitado para escritura (el parámetro de solo lectura readonly inicialmente está configurado como falso, el cual no es su valor por defecto) para un sistema de ficheros que no distinga entre mayúsculas y minúsculas (case sensitive). Una lectura y subida simultáneas del mismo fichero podría omitir las verificaciones de distinción entre mayúsculas y minúsculas de Tomcat y hacer que el archivo cargado sea tratado como un JSP, lo que permitiría la ejecución remota de código.

Esta vulnerabilidad, de severidad crítica, tiene asignado el código CVE-2024-50379.

Versiones Afectadas

Apache Tomcat, versiones:

    • desde 11.0.0-M1 hasta 11.0.1;
    • desde 10.1.0-M1 hasta 10.1.33;
    • desde 9.0.0.M1 hasta 9.0.97.

Recomendaciones

Actualizar a las siguientes versiones de Apache Tomcat:

    • 11.0.2 o posterior.
    • 10.1.34 o posterior.
    • 9.0.98 o posterior.

Referencias

 

  •  
Publicado el

Microsoft Teams, utilizado para distribuir malware a través de campañas de ingeniería social 

Microsoft Teams está siendo utilizado por ciberdelincuentes para distribuir malware mediante campañas de ingeniería social, según informa el medio Hispasec Una-al-día.

En el artículo, se detalla que los atacantes están aprovechando la popularidad de Microsoft Teams en entornos corporativos para distribuir DarkGate, un malware avanzado diseñado para robar información y comprometer sistemas. Las campañas comienzan con mensajes aparentemente legítimos enviados a través de Teams, en los que se incluye un enlace malicioso o archivos adjuntos. La naturaleza confiable de la plataforma facilita que las víctimas caigan en la trampa al interpretar estos mensajes como provenientes de contactos legítimos.

DarkGate no es un malware común, ya que cuenta con funcionalidades avanzadas como la capacidad de evadir herramientas de detección y control, así como el robo de credenciales sensibles. Según el informe, la estrategia de los atacantes consiste en explotar credenciales de cuentas comprometidas, lo que les permite infiltrarse en empresas y distribuir enlaces maliciosos a empleados internos. Este método no solo garantiza una tasa más alta de éxito, sino que también dificulta la detección temprana del ataque.

Los investigadores enfatizan la importancia de adoptar medidas preventivas, como la capacitación de los empleados sobre amenazas de ingeniería social y la implementación de controles adicionales en plataformas de colaboración como Teams. Microsoft, por su parte, recomienda configurar herramientas avanzadas de autenticación multifactor y mantener políticas de acceso restringido para minimizar los riesgos.

El uso de plataformas legítimas como Teams subraya un cambio en las tácticas de los atacantes, quienes buscan adaptarse a los sistemas de trabajo híbrido y remoto. Las empresas deben mantenerse alerta, ya que estos vectores de ataque se están convirtiendo en una herramienta cada vez más común en campañas maliciosas dirigidas a organizaciones.

Referencias

Hispasec Una-al-día.

  •  
Publicado el

[SCI] Múltiples vulnerabilidades en Planet WGS-804HPT de Planet Technology

Introducción

Tomer Goldschmidt, de Claroty Research – Team82, ha informado sobre 3 vulnerabilidades en Planet WGS-804HPT: 2 de ellas de severidad crítica, que podrían provocar una ejecución remota de código o un bloqueo del programa.[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-48871 – Desbordamiento de búfer basado en pila (CWE-121):
      El producto afectado es vulnerable a un desbordamiento de búfer basado en la pila. Un atacante no autenticado podría enviar una solicitud HTTP maliciosa para que el servidor web no compruebe correctamente el tamaño de entrada antes de copiar los datos a la pila, lo que podría permitir la ejecución remota de código.
    • CVE-2024-52320 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo) (CWE-78):
      El producto afectado es vulnerable a una inyección de comandos. Un atacante no autenticado podría enviar comandos a través de una solicitud HTTP maliciosa que podría provocar la ejecución remota de código.

La serie de productos afectados es:

    • Planet WGS-804HPT: versión v1.305b210531

Recomendaciones

Actualizar a la versión 1.305b241111 o superior.

Referencias

[1] CISA-24-340-02 – Planet Technology Planet WGS-804HPT