Actualización de parches de Oracle de octubre de 2024: más de 300 vulnerabilidades de seguridad solucionadas, se recomienda una implementación inmediata

La actualización crítica de octubre de 2024 (CPU) de Oracle incluye 334 nuevos parches de seguridad que abordan 220 CVE únicos. Notablemente, 186 parches resuelven vulnerabilidades explotables de forma remota que no requieren autenticación. Oracle Communications recibió la mayor atención, con 81 de los 100 parches abordando fallos críticos explotables de forma remota sin necesidad de autenticación. MySQL, Fusion Middleware, Financial Services Applications y E-Business Suite también recibieron actualizaciones significativas, con 45 parches para MySQL (12 de ellos relacionados con problemas explotables de forma remota). Otros productos como Communications Applications, Analytics y PeopleSoft recibieron aproximadamente una docena de parches cada uno. Se lanzaron conjuntos de parches más pequeños para Oracle Commerce, Java SE y varios productos empresariales. Oracle aconseja a los clientes aplicar las actualizaciones de inmediato, ya que los actores de amenazas han explotado vulnerabilidades conocidas para las que ya existían parches. La actualización incluye también correcciones para CVE no explotables y componentes de terceros. Como en actualizaciones anteriores, Oracle enfatiza la importancia de una implementación oportuna de los parches para evitar ciberataques en sistemas no actualizados.

Empresa hackeada después de contratar sin saberlo a un cibercriminal norcoreano como trabajador remoto de TI

Una empresa, cuyo nombre no se ha revelado, fue hackeada después de contratar sin saberlo a un cibercriminal norcoreano como contratista remoto de TI. El individuo había falsificado sus credenciales y datos personales, permitiéndole acceder a la red de la empresa, donde descargó datos sensibles y exigió un rescate. Secureworks reportó el ataque para crear conciencia sobre la creciente amenaza de operativos norcoreanos que se hacen pasar por trabajadores remotos. Se cree que el contratista, que presuntamente es un hombre, fue contratado en el verano y pasó cuatro meses accediendo a los sistemas de la empresa. Al parecer, canalizó su salario de regreso a Corea del Norte, eludiendo sanciones a través de métodos complejos de lavado de dinero. Tras ser despedido por bajo rendimiento, la empresa recibió correos electrónicos de rescate exigiendo criptomonedas, amenazando con filtrar los datos robados si no se pagaba el rescate. Este caso destaca una tendencia creciente de operativos norcoreanos que se infiltran en empresas occidentales, con informes que sugieren que esta práctica ha afectado incluso a empresas de la lista Fortune 100. Las organizaciones deberían utilizar Cyberconnect360 para reclutar talento, garantizando verificaciones de antecedentes exhaustivas y una revisión experta.

Clientes de Microsoft enfrentan más de 600 millones de ataques diarios de ciberdelincuentes y actores estatales

El informe de Defensa Digital de Microsoft revela que sus clientes enfrentan diariamente más de 600 millones de amenazas cibernéticas, desde ransomware hasta ataques de identidad. Los actores de amenazas estatales están colaborando cada vez más con grupos de ciberdelincuentes, compartiendo herramientas y tácticas para espionaje, influencia y ganancias financieras. Esta convergencia ha alimentado un aumento de los ataques, con grupos estatales que explotan tensiones geopolíticas, como los conflictos en Ucrania e Israel, para atacar a entidades a nivel global. Protegerse de este panorama de amenazas en constante expansión requiere una estrategia integral de defensa cibernética, no solo prácticas rutinarias de higiene cibernética. Es esencial fortalecer los espacios digitales e involucrar todos los niveles, desde los usuarios individuales hasta los ejecutivos corporativos y líderes gubernamentales, para construir resiliencia. Además, los ciberdelincuentes también están utilizando la IA para ataques más sofisticados, lo que hace crucial que las organizaciones adopten medidas de ciberseguridad ágiles y robustas. El informe de Microsoft subraya la naturaleza globalizada de la guerra cibernética, enfatizando la necesidad de que las organizaciones se mantengan alerta frente a estas amenazas en rápida evolución.

Más de 200 aplicaciones maliciosas encontradas en Google Play, con casi 8 millones de descargas, advierten los investigadores

Los investigadores han descubierto que más de 200 aplicaciones maliciosas se distribuyeron a través de Google Play entre junio de 2023 y abril de 2024, acumulando casi ocho millones de descargas. Estas aplicaciones pertenecen a familias de malware como Joker, que roba información y suscribe a los usuarios a servicios premium, y Adware, que carga anuncios intrusivos. Facestealer, Coper y Harly son otras amenazas identificadas. A pesar de los controles de seguridad de Google Play, los atacantes suelen eludirlos utilizando técnicas como el 'versionado', donde el malware se distribuye a través de actualizaciones o se carga desde servidores controlados por los atacantes. Algunas campañas de malware, como Necro y Goldoson, han alcanzado millones de usuarios incrustando código malicioso en categorías populares de aplicaciones, como productividad y estilo de vida. Los investigadores informaron una disminución general de los ataques de malware en Google Play, con un promedio de 1,7 millones de bloqueos al mes. Para mantenerse seguros, los usuarios deben leer las reseñas de las aplicaciones, examinar los permisos y evitar instalar aplicaciones que soliciten acceso innecesario a información sensible.

CISA añade vulnerabilidades críticas de SolarWinds, Windows y Firefox a la lista de vulnerabilidades explotadas; se insta a las agencias a parchear antes del 5 de noviembre

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha añadido tres vulnerabilidades a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), incluyendo una falla crítica en SolarWinds Web Help Desk (WHD) abordada en agosto de 2024. Esta falla, identificada como CVE-2024-28987, involucra credenciales codificadas que podrían permitir a los atacantes acceder y manipular datos de WHD sin autorización. SolarWinds emitió una corrección poco después de que se reportara la falla, instando a los usuarios a actualizar a WHD 12.8.3 Hotfix 2 o una versión posterior. Las agencias federales tienen hasta el 5 de noviembre de 2024 para asegurar sus sistemas. Las otras dos vulnerabilidades son una falla en el Kernel de Windows, CVE-2024-30088, explotada por APT34 para obtener privilegios de SISTEMA, y una falla de Mozilla Firefox, CVE-2024-9680, potencialmente utilizada para espionaje. CISA requiere que las agencias federales solucionen estas fallas antes de la misma fecha límite.

Grupo norcoreano ScarCruft explota una vulnerabilidad zero-day de Windows para desplegar malware RokRAT a través de un programa de anuncios comprometido

El grupo de hackers norcoreano ScarCruft, también conocido como TA-RedAnt, ha explotado una vulnerabilidad zero-day de Windows ahora parcheada, CVE-2024-38178, para distribuir un malware llamado RokRAT. La falla, calificada con 7,5 en la escala CVSS, era un problema de corrupción de memoria en el motor de scripting, en particular al usar Edge en modo Internet Explorer. Microsoft solucionó el problema en agosto de 2024, pero el ataque requería que los usuarios hicieran clic en un enlace malicioso para activar la ejecución remota de código. El AhnLab Security Intelligence Center y el National Cyber Security Center de Corea del Sur identificaron la campaña, llamada Operación Code on Toast. ScarCruft aprovechó un módulo no compatible de Internet Explorer dentro de un programa de anuncios ‘toast’ para distribuir el malware. Al comprometer el servidor de una agencia de publicidad local, los atacantes infectaron dispositivos a través de contenido publicitario trampa. RokRAT permite acceso remoto, enumeración de archivos y terminación de procesos, utilizando servicios en la nube legítimos como Dropbox y Google Cloud como servidores de comando y control para evitar la detección.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.