Publicado el

Campaña de suplantación de Meta

En un entorno digital cada vez más amenazante, la protección de nuestros datos personales y credenciales de acceso se ha vuelto una prioridad crítica. Sin embargo, los ciberdelincuentes continúan ideando métodos sofisticados para engañar a los usuarios y robar información sensible. Recientemente, se ha detectado una nueva campaña de phishing que suplanta la página del centro de privacidad de Meta con el objetivo de robar credenciales y/o el código de doble factor de autenticación (2FA).

Cómo funciona

En esta reciente campaña de phishing, los atacantes envían correos electrónicos o mensajes a las víctimas, haciéndose pasar por la plataforma legítima y alertándolas sobre un supuesto problema de seguridad en su cuenta, como por ejemplo » La página XXXXXX infringe las normas de la comunidad» o «La página XXXXXX se eliminará debido a infracciones de políticas.». El mensaje incluye un enlace que redirige a una página web que parece ser el centro de privacidad de la plataforma.

La página falsificada está diseñada meticulosamente para imitar el aspecto del centro de privacidad original, incluyendo logotipos, colores y estilos de fuente.

imagen_suplantacion_meta

La web indica que se va a borrar la  página de la red social y para evitarlo se debe rellenar un formulario con los datos de la cuenta y las credenciales.

formulario_appeal

Tras rellenar todos los datos se solicita la contraseña de la cuenta asociada al email indicado. Posteriormente, al aceptar la contraseña se solicitaría el doble factor de autenticación. De esta forma los atacantes tomarían control total sobre la cuenta objetivo.

 

Campo contraseña
Cómo protegerse

    • Verificación de Enlaces y Remitentes: Siempre verifica la URL de los enlaces y el remitente en correos electrónicos o mensajes antes de hacer clic. Asegúrate de que la dirección web sea la oficial de la plataforma.
      En este caso concreto, los enlaces tenían la estructura, XXX[.]pages[.]dev, donde XXX representa número y letras aleatorios, y el remitente era del dominio oxkrqdecor[.]com.
      Aunque, tanto los enlaces como los remitente pueden variar de un caso a otro, no suelen tener nada que ver con facebook.com o meta.com u otras páginas oficiales.

    • No Compartir Códigos 2FA: Ante la duda, no compartas los códigos de 2FA, mantener este recurso bajo control garantiza mantener control sobre la cuenta ¡Incluso cuando el atacante conoce el usuario y contraseña!

    • Doble Comprobación de Mensajes: Si recibes una alerta sobre un problema de seguridad, verifica la información directamente a través de la plataforma oficial, evitando usar enlaces proporcionados en mensajes sospechosos.

    • Educación Continua:  Desde la web concienciaT podrás mantenerte informado sobre las últimas campañas y tácticas de phishing. Además encontrarás multitud de cursos para prepararte para el mundo digital.

      Conclusión

      La seguridad en línea es una responsabilidad compartida. Al estar atentos y tomar medidas preventivas, podemos reducir significativamente el riesgo de caer en trampas de phishing. Si sospechas que has sido víctima de esta nueva campaña, cambia tus contraseñas de inmediato y contacta con el soporte de la plataforma afectada para obtener asistencia. Recuerda, la prevención y la educación son nuestras mejores herramientas contra los ciberdelincuentes.

Publicado el

[SCI] Múltiples vulnerabilidades en ThinManager ThinServer de Rockwell Automation

Introducción

Rockwell Automation ha notificado 2 vulnerabilidades de tipo validación de datos de entrada incorrecta de severidad crítica que afectan a varias versiones de su producto ThinManager ThinServer.[1]

Análisis

Las vulnerabilidades encontradas son las siguientes:

      • CVE-2024-5988 – Validación incorrecta de entrada (CWE-20):
        Debido a una validación incorrecta de entrada, un atacante sin autenticar es capaz de enviar un mensaje malicioso para invocar un ejecutable local o remoto y crear una ejecución remota de código en el dispositivo afectado.
      • CVE-2024-5989 – Validación incorrecta de entrada (CWE-20):
        Debido a una validación incorrecta de entrada, un atacante sin autenticar es capaz de enviar un mensaje malicioso para invocar una inyección SQL al programa y de esta manera poder realizar una ejecución remota de código en el dispositivo afectado.
  • La serie de productos afectados es:
    • ThinManager ThinServer, versiones:
      • 11.1.0
      • 11.2.0
      • 12.0.0
      • 12.1.0
      • 13.0.0
      • 13.1.0

Recomendaciones

Actualizar ThinManager ThinServer a las siguientes versiones:

      • 11.1.8
      • 11.2.9
      • 12.0.7
      • 12.1.8
      • 13.0.4
      • 13.0.5
      • 13.1.2
      • 13.1.3
      • 13.2.2

Referencias

Publicado el

Vulnerabilidad en Apache HTTP Server

La Apache Software Foundation ha solucionado múltiples vulnerabilidades en su popular servidor HTTP Apache. Las vulnerabilidades incluyen problemas de denegación de servicio (DoS), ejecución remota de código y acceso no autorizado.

Una de estas vulnerabilidades es una vulnerabilidad puede llevar a la exposición involuntaria de código fuente.

Está catalogada como CVE-2024-39884.

Análisis

La vulnerabilidad CVE-2024-39884, es descrita por Apache como: «Una regresión en el núcleo del servidor HTTP de Apache ignora algún uso de la configuración basada en contenido de los manejadores.»

Es decir, un fallo introducido por una actualización reciente permite que cuando algunas directivas como «AddType» son utilizadas bajo ciertas condiciones, puedan exponer el código fuente de algunos archivos.

Esta vulnerabilidad aún no tiene CVSS asociado, pero Apache, siguiendo su propio criterio, la ha catalogado como «Importante».

Recomendaciones

Actualizar a la versión 2.4.6.1

Referencias

Publicado el

Vulnerabilidad en OpenSSH

Introducción

La vulnerabilidad CVE-2024-6387 fue descubierta y reportada el 1 de julio de 2024 por OpenSSH. Esta falla crítica afecta a múltiples versiones de OpenSSH, permitiendo a un atacante no autenticado ejecutar código arbitrario de forma remota con privilegios de root.

Análisis

CVE-2024-6387 se encuentra en las versiones 8.5p1 a 9.7p1 de OpenSSH. La vulnerabilidad se debe a una validación insuficiente de las entradas en el protocolo de autenticación. Un atacante puede enviar paquetes especialmente diseñados para explotar esta debilidad, lo que le permite ejecutar comandos maliciosos con privilegios elevados. Esta vulnerabilidad es crítica debido a su potencial para comprometer completamente los sistemas afectados.

La explotación de esta vulnerabilidad puede llevar a la instalación de malware, robo de datos y control total del sistema comprometido. Es crucial que los administradores de sistemas tomen medidas inmediatas para mitigar este riesgo.

Recomendaciones

Para mitigar el riesgo asociado con CVE-2024-6387, se recomienda implementar las siguientes medidas:

    • Actualizar el Software: Asegúrese de que todas las instancias de OpenSSH se actualicen a la versión más reciente que incluye los parches de seguridad necesarios.
    • Revisión de Configuración: Revise y refuerce las configuraciones de seguridad de OpenSSH para limitar el acceso solo a usuarios autorizados.

Referencias