Publicado el

Bloqueada la web ayudavalencia.es tras detectarse indicios de fraude con las donaciones de la DANA de Valencia

La página web ayudavalencia.es ha sido bloqueada después de que los técnicos del Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-CV) detectaran que esta plataforma estaba siendo utilizada para actividades fraudulentas aprovechando la recaudación de donaciones para los afectados de la DANA de Valencia.

CSIRT-CV ha reforzado sus labores habituales de vigilancia digital en especial para la detección de sitios fraudulentos o suplantaciones de identidad con motivo de la DANA. Gracias a ellas, el Centro de Respuesta ante Incidentes de Seguridad valenciano, detectó que la página operaba como una plataforma que presuntamente ofrecía servicios de asistencia y ayuda en la Comunidad Valenciana.

Sin embargo, los análisis técnicos del dominio y del tráfico de la web revelaron patrones sospechosos que podrían estar relacionados con intentos de fraude, incluyendo el posible robo de datos personales y financieros de los usuarios.

Tras rastrear la procedencia y funcionamiento de la web, se comprobó que el dominio no se correspondía con ningún dominio oficial y además solicitaban las donaciones en criptomonedas como Bitcoin, una táctica común en fraudes online debido a la dificultad de rastreo.

CSIRT-CV, inmediatamente, alertó de la web engañosa tanto al titular del dominio como a las Fuerzas y Cuerpos de Seguridad del Estado (FCSS), al Instituto Nacional de Ciberseguridad (INCIBE) y al Centro Criptológico Nacional (CCN) para que se tomaran las medidas oportunas, que implican el bloqueo de la web para evitar que los ciudadanos sean estafados.

Desde CSIRT-CV instamos a la población a extremar las precauciones y a verificar la autenticidad de los sitios web que soliciten información personal o financiera, especialmente aquellas que ofrezcan ayudas o pidan donaciones en respuesta a emergencias. Asimismo, se recomienda no realizar transferencias o compartir información confidencial en sitios de dudosa procedencia y siempre corroborar que el sitio es oficial o de confianza para el ciudadano.

El bloqueo de ayudavalencia.es es una medida preventiva mientras continúan las investigaciones y se colabora con las autoridades competentes para identificar a los responsables y proteger a la población de nuevos intentos de fraude.

Publicado el

¿Eres de los que siempre lleva el bluetooth activado?

¿Eres de los que siempre lleva el bluetooth activado? Cuidado porque podrías ser víctima del Bluesnarfing.

El Bluesnarfing es un tipo de ataque informático que explota vulnerabilidades en dispositivos con tecnología Bluetooth. Bluesnarfing es un término anglosajón que procede de dos palabras: bluetooth y snarfing. «Blue» se refiere a la especificación industrial para redes inalámbricas y «snarf» hace referencia al copiado de datos de un dispositivo sin permiso.

Este ataque permite a un ciberdelincuente acceder de manera no autorizada a la información almacenada en un dispositivo (habitualmente smartphones), como contactos, mensajes, fotos, archivos y otros datos personales, sin el conocimiento o consentimiento del propietario que tiene el bluetooth activado y, además, es visible a dispositivos de terceros.

Para llevarse a cabo el ataque, el atacante tiene que estar dentro del rango de bluetooth, es decir a unos 10 -15 metros de distancia del dispositivo objetivo. Si el dispositivo tiene una configuración de seguridad débil o si el atacante utiliza software especializado para explotar una vulnerabilidad, puede establecer una conexión sin que el usuario se dé cuenta y extraer información.

Generalmente, estos ataques se producen para robar información, y posteriormente venderla en la Dark Web o cometer otros delitos o actividades ilícitas.

Para protegerse contra el Bluesnarfing, es recomendable:

1. Desactivar el bluetooth cuando no se esté utilizando.
2. Configurar el Bluetooth como «No visible» u “oculto” para que otros dispositivos no puedan detectarlo.
3. Mantener el software del dispositivo actualizado para corregir posibles vulnerabilidades.
4. Evitar conexiones bluetooth en lugares públicos o desconocidos, donde los atacantes pueden estar presentes y aprovechar la oportunidad.
5. Usar aplicaciones de seguridad que puedan detectar y bloquear intentos no autorizados de acceso a tu dispositivo con funciones específicas para proteger contra ataques Bluetooth.
6. Revisar regularmente la lista de dispositivos emparejados en tu dispositivo por si encuentras alguno que no reconoces. Si se da el caso, elimínalo de la lista para evitar accesos no autorizados en el futuro.
7. Desconfiar de solicitudes de emparejamiento inesperadas de un dispositivo que no reconoces, recházala de inmediato, ya que podría ser un intento de Bluesnarfing.

Siguiendo estas recomendaciones, puedes reducir significativamente el riesgo de ser víctima de Bluesnarfing.

Publicado el

[SCI] Múltiples vulnerabilidades en cámaras PTZ de PTZOptics

Introducción

Konstantin Lazarev, investigador de GreyNoise, ha publicado un análisis sobre 2 vulnerabilidades que afectan a cámaras PTZ del fabricante PTZOptics, las cuales están siendo explotadas activamente. Estas fueron detectadas con su herramienta de detección de amenazas basada en inteligencia artificial Sift.[1]

La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código de forma remota o filtrar información del servidor web.[2]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-8956 – Autenticación Incorrecta  (CWE-287):
      Las cámaras PTZOptics PT30X-SDI/NDI-xx anteriores al firmware 6.3.40 son vulnerables a un problema de autenticación insuficiente. La cámara no aplica correctamente la autenticación en /cgi-bin/param.cgi cuando se envían solicitudes sin un encabezado de autorización HTTP. El resultado es que un atacante remoto y no autenticado puede filtrar datos confidenciales, como nombres de usuario, hashes de contraseñas y detalles de configuración. Además, el atacante puede actualizar valores de configuración individuales o sobrescribir todo el archivo.[3]
    • CVE-2024-8957 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)  (CWE-78):
      PTZOptics PT30X-SDI/NDI-xx anterior al firmware 6.3.40 es vulnerable a un problema de inyección de comandos del sistema operativo. La cámara no valida suficientemente el valor de configuración ntp_addr, lo que puede provocar la ejecución de comandos arbitrarios cuando se inicia ntp_client. Cuando se combina con CVE-2024-8956, un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo en los dispositivos afectados.[4]

La serie de productos afectados es:

    • PTZOptics PT30X-SDI, versiones anteriores a 6.3.40;
    • PTZOptics PT30X-NDI-xx-G2, versiones anteriores a 6.3.40;
    • otros equipos audiovisuales de marca blanca basados en el firmware de cámara PTZ de ValueHD Corporation, como dispositivos de Multicam Systems SAS o SMTAV Corporation

Recomendaciones

PTZOptics publicó actualizaciones de seguridad[5] en septiembre, pero algunos modelos, como PT20X-NDI-G2 y PT12X-NDI-G2, no recibieron dichas actualizaciones de firmware por haber llegado al final de su vida útil (EoL).

Posteriormente, GreyNoise detectó 2 nuevos modelos, PT20X-SE-NDI-G3 y PT30X-SE-NDI-G3, también vulnerables y que tampoco recibieron actualización.

Referencias

[1] GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI
[2] CVE-2024-8956, CVE-2024-8957: How to Steal a 0-Day RCE (With a Little Help from an LLM)
[3] PTZOptics NDI and SDI Cameras /cgi-bin/param.cgi Insufficient Authentication
[4] PTZOptics NDI and SDI Cameras Configuration Command Injection
[5] Latest Firmware Files

Publicado el

[SCI] Múltiples vulnerabilidades en la línea DDC4000 de Kieback&Peter

Introducción

El investigador, Raphael Ruf de terreActive AG ha reportado a CISA, 3 vulnerabilidades siendo 2 de ellas de severidad crítica, que afectan a la línea de productos DDC4000. La explotación de estas vulnerabilidades podría provocar que un atacante consiguiera permisos de administrador absolutos en el sistema.[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-41717 – Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)  (CWE-22):
      La serie DDC4000 de Kieback & Peter es vulnerable a una vulnerabilidad de path traversal, que puede permitir que un atacante no autenticado lea archivos en el sistema.
    • CVE-2024-43698 – Uso de credenciales débiles  (CWE-1391):
      La serie DDC4000 de Kieback & Peter utiliza credenciales débiles, lo que puede permitir que un atacante no autenticado obtenga derechos de administrador completos en el sistema.

La serie de productos afectados es:

    • DDC4100, versiones 1.7.4 y anteriores.
    • Versiones 1.12.14 y anteriores de los modelos:
      • DDC4002;
      • DDC4200;
      • DDC4200-L;
      • DDC4400.
    • Versiones 1.17.6 y anteriores de los modelos:
      • DDC4002e;
      • DDC4200e;
      • DDC4400e;
      • DDC4020e;
      • DDC4040e.

Recomendaciones

    • Los siguientes modelos han llegado al final de su vida, por lo que ya no reciben soporte:
      • DDC4100;
      • DDC4002;
      • DDC4200;
      • DDC4200-L;
    • Se recomienda a los usuarios actualizar los controladores y contactar con las oficinas locales de Kieback&Peter para actualizar el firmware de los sistemas a la versión 1.21.0 o posteriores en los siguientes modelos:
        • DDC4002e;
        • DDC4200e;
        • DDC4400e;
        • DDC4020e;

Referencias

[1] ICSA-24-291-05 – Kieback&Peter DDC4000 Series