¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

¿Quién vive en la casita?

Consultas: 666 Comentarios: 8 Ranking: 9

lunes, 11 de enero de 2021

Una investigación de los ataques APT a las instituciones públicas de Kazajistán y Kirguisia, cuyos resultados publicamos en octubre de este año, entre otras cosas, confirmó que la presencia no autorizada de los malintencionados en la red duró más de 3 años, y varios grupos de hackers podían estar vinculados a los ataques: en las redes al mismo tiempo había programas de distinta procedencia. Y es lógico: si un sistema de seguridad de una empresa tiene una vulnerabilidad (contraseña débil, vulnerabilidades en el software usado por no haber instalado las actualizaciones de seguridad, trabajo de usuarios con permisos que permiten instalar software no permitido en la empresa…), varios grupos pueden aprovecharse de estas posibilidades. Un ejemplo conocido es SolarWinds.

Mientras tanto, en cuanto al escándalo vinculado a SolarWings, se revelan detalles interesantes. Así, por ejemplo, las credenciales del servidor de actualizaciones del software SolarWinds, desde el cual se difundía la actualización maliciosa, estaban publicadas en acceso libre en GitHub ya el año pasado, la información correspondiente estaba disponible como mínimo a partir del noviembre de 2019. Cabe destacar que las actualizaciones del software SolarWinds de contenido malicioso estaban disponibles para clientes de la empresa de marzo a junio de este año en los servidores de la empresa y tenían firma digital legítima del desarrollador. Es decir, primero apareció la contraseña en acceso libre. No se sabe si la contraseña fue cambiada. Se informa que un ataque de prueba a la red SolarWings fue realizado en el año 2019, justo en octubre. Aunque por supuesto puede ser una coincidencia porque la contraseña publicada en GitHab era muy simple (solarwinds123 – hasta sin mayúsculas) y, por lo tanto, pudo ser averiguada fácilmente antes de la detección de GitHab.

Por lo tanto, es lógico que aparezcan hipótesis de que en la red SolarWings hay rastros de actividad de otro grupo más que usa web shell Supernova no firmado con el certificado legítimo SolarWings (a diferencia de SUNBURST anteriormente detectado). Se supone que con Supernova fueron infectadas las instalaciones SolarWinds Orion, disponibles en la red, usando los exploits de la vulnerabilidad similar a CVE-2019-8917.

#hackeo #malware #seguridad_corporativa #actualizaciones_de_seguridad #tecnologías_Dr.Web #hacker

El mundo de antivirus recomienda

Más arriba hemos mencionado que las actualizaciones maliciosas se difundían durante varios meses, y ninguna empresa que las descargó notó cosas raras. Esto nos recordó otra investigación realizada, sobre in miner incrustado en el software usado en toda Rusia en varias empresas con varios sistemas de protección. Entonces nadie le hacía caso a la carga excesiva de sus servidores.

Tanto nuestras investigaciones como un ejemplo de SolarWings confirman que varios tipos de malware pueden penetrar en la red de empresas, así mismo, en las actualizaciones de los sistemas usados.

Por lo tanto, recomendamos comprobar las actualizaciones de programas, antes de instalar las mismas, en nuestro servicio Dr.Web vxCube.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios