Categoría: Actualidad

Toyota ha revelado una violación de datos después de que se filtrara un archivo de 240 GB de datos robados de sus sistemas en un foro de ciberdelincuencia.

La empresa intentó restar importancia al incidente alegando que la brecha de seguridad tiene un alcance limitado.
El proveedor de automóviles ya ha notificado el incidente a las personas afectadas, pero no ha facilitado detalles técnicos sobre el mismo.

«Somos conscientes de la situación. El problema es de alcance limitado y no afecta a todo el sistema, estamos comprometidos con aquellos que se han visto afectados y proporcionaremos asistencia si es necesario», añadió el comunicado de la compañía

Los investigadores notaron que el archivo robado fue creado el 25 de diciembre de 2022, lo que sugiere que los atacantes pueden haber comprometido un servidor de copia de seguridad donde se almacenaron los datos.

En diciembre de 2023, Toyota Financial Services (TFS) advirtió a sus clientes de que había sufrido una filtración de datos que expuso datos personales y financieros confidenciales.

Toyota Financial Services (TFS) es la rama financiera de Toyota Motor Corporation. Es una filial de Toyota y presta una serie de servicios financieros a los clientes y concesionarios de Toyota en todo el mundo. TFS ofrece diversos productos financieros, como préstamos para automóviles, leasing y soluciones de seguros. El objetivo de TFS es ayudar a los clientes de Toyota a financiar sus vehículos y facilitar la compra o el arrendamiento de vehículos Toyota mediante opciones financieras flexibles y adaptadas a sus necesidades. Los servicios prestados por Toyota Financial Services pueden variar según la región, y los clientes normalmente pueden acceder a estos servicios a través de los concesionarios Toyota o de plataformas en línea.

El sitio web alemán Heise obtuvo la notificación de violación de datos enviada por Toyota a los clientes alemanes. La empresa les informó de que los autores de la amenaza habían accedido a nombres completos, direcciones de residencia, información de contacto, detalles de arrendamiento con opción de compra e IBAN (número internacional de cuenta bancaria).

El 17 de noviembre de 2023, la banda de ransomware Medusa reivindicó la autoría del ataque y amenazó con filtrar los datos supuestamente robados si la empresa no pagaba el rescate.

La banda de ransomware exigió inicialmente un pago de 8.000.000 dólares para borrar los datos supuestamente robados a la empresa, y ofrecía la opción de ampliar el plazo por 10.000 dólares más al día.

Medusa Toyota fijó la fecha límite para el 26 de noviembre y publicó una muestra de los datos robados como prueba del hackeo.

El popular experto en ciberseguridad Kevin Beaumont observó por primera vez que la oficina de la empresa en Alemania tenía un Citrix Gateway vulnerable expuesto en línea. Los actores de la amenaza probablemente explotaron la vulnerabilidad Citrix Bleed para obtener acceso inicial a la red de la empresa.

• •  

Referencias

• • • https://securityaffairs.com/167274/uncategorized/zerosevengroup-toyota-data-breach.html

Introducción

HPE Product Security Response Team ha reportado 10 vulnerabilidades que afectan a AP (Access Points) con ArubaOS e InstantOS, 3 de severidad crítica y 7 medias. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código/comandos      arbitrarios y realizar una denegación de servicio.

Análisis

Las vulnerabilidades críticas se describen a continuación:

• • • Vulnerabilidades en el servicio Soft AP Daemon que podrían permitir a un atacante, no autenticado, realizar un RCE. Una explotación exitosa podría permitir la ejecución de comandos arbitrarios en el sistema operativo subyacente, lo que llevaría a un compromiso completo del sistema. Se ha asignado los identificadores CVE-2024-42393 y CVE-2024-42394 para estas vulnerabilidades. 

• • • Vulnerabilidad en el servicio de gestión de certificados AP que podría permitir a un atacante, no autenticado, realizar un RCE. Una explotación exitosa podría permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo afectado, comprometiendo el sistema por completo. Se ha asignado el identificador CVE-2024-42395 para esta vulnerabilidad.

Recursos afectados

• • • ArubaOS 10.6.x.x: 10.6.0.0 y anteriores

    • ArubaOS 10.4.x.x: 10.4.1.3 y anteriores

    • InstantOS 8.12.x.x: 8.12.0.1 y anteriores

    • InstantOS 8.10.x.x: 8.10.0.12 y anteriores

    • Todas las versiones de los siguientes productos EoM (End of Maintenance):

      • ArubaOS 10.5.x.x

      • ArubaOS 10.3.x.x

      • InstantOS 8.11.x.x

      • InstantOS 8.9.x.x

      • InstantOS 8.8.x.x

      • InstantOS 8.7.x.x

      • InstantOS 8.6.x.x

      • InstantOS 8.5.x.x

      • InstantOS 8.4.x.x

      • InstantOS 6.5.x.x

      • InstantOS 6.4.x.x

Recomendaciones

Actualizar los AP afectados a las versiones:

• • • ArubaOS 10.6.x.x: 10.6.0.1 y posteriores;
    • ArubaOS 10.4.x.x: 10.4.1.4 y posteriores;
    • InstantOS 8.12.x.x: 8.12.0.2 y posteriores;
    • InstantOS 8.10.x.x: 8.10.0.13 y posteriores.

Referencias

• • • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-hpe-aruba
    • https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04678en_us&docLocale=en_US

Introducción

Rockwell Automation ha publicado información sobre 7 vulnerabilidades que afectan a varios de sus productos, siendo 1 de ellas de severidad crítica. La explotación de esta vulnerabilidad podría permitir que un atacante ejecute código arbitrario, realice una denegación de servicio, tome el control de una cuenta de usuario, bloquear el dispositivo, modificar archivos y ejecutarlos con privilegios elevados.^{[1][2][3][4][5][6]}

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • • CVE-2018-1285 – Restricción incorrecta de referencia a entidad externa XML (XXE) (CWE-611):
      Apache log4net en versiones anteriores a 2.0.10, no deshabilita las entidades externas XML cuando analiza los archivos de configuración de log4net. Esto permite realizar ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net controlados por el atacante.

• La serie de productos afectados es:
  • • AADvance Standalone OPC-DA Server, versiones 2.01.510 y posteriores.
    • Versiones 34.011 y posteriores de:
      • ControlLogix 5580;
      • GuardLogix 5580.
    • DataMosaix Private Cloud, versiones anteriores a 7.07.
    • FactoryTalk View SE, versión 13.0.
    • Versiones anteriores a 36.011, 35.013 y 34.014 de:
      • CompactLogix 5380 (5069 – L3z);
      • CompactLogix 5480 (5069 – L4);
      • ControlLogix 5580 (1756 – L8z);
      • GuardLogix 5580 (1756 – L8z);
      • Compact GuardLogix 5380 (5069 – L3zS2).

Recomendaciones

Actualizar los productos afectados a las siguientes versiones correctoras, o aplicar las medidas de mitigación adecuadas:

• • • AADvance Standalone OPC-DA Server: versiones 2.02 o posteriores.
    • ControlLogix 5580 y GuardLogix 5580: versiones 34.014 y posteriores.
    • DataMosaix Private Cloud: versiones desde 7.07 hasta 7.09.
    • FactoryTalk View SE: eliminar los privilegios de lectura y escritura al grupo de usuarios Everyone.
    • CompactLogix 5380 y 5480, ControlLogix 5580, GuardLogix 5580 y Compact GuardLogix 5380: versiones 36.011, 35.013 y 34.014. Además, restringir las comunicaciones con el objeto CIP 103 (0x67).

Referencias

• [1] ICSA-24-226-02 – Rockwell Automation AADvance Standalone OPC-DA Server
• [2] ICSA-24-226-03 – Rockwell Automation GuardLogix/ControlLogix 5580 Controller
• [3] ICSA-24-226-05 – Rockwell Automation DataMosaix Private Cloud
• [4] ICSA-24-226-06 – Rockwell Automation FactoryTalk View Site Edition
• [5] ICSA-24-226-09 – Rockwell Automation ControlLogix, GuardLogix 5580, CompactLogix, Compact GuardLogix 5380
• [6] ICSA-24-226-10 – Rockwell Automation ControlLogix, GuardLogix 5580, CompactLogix, and Compact GuardLogix 5380