La empresa de infraestructura web Cloudflare reveló el miércoles que los actores de amenazas están intentando activamente explotar un segundo fallo revelado en la utilidad de inicio de sesión Log4j, ampliamente utilizada, por lo que es imperativo que los usuarios se apresuren a instalar la última versión, ya que un aluvión de ataques continúa golpeando los sistemas sin parches con una serie de programas maliciosos.
La solución conjunta se probará en los controles de seguridad de los aeropuertos de Aberdeen, Glasgow y Southampton, con el objetivo de identificar artículos prohibidos en la estación de control de equipajes de un aeropuerto mediante una máquina de rayos X en tiempo real.
El hack tuvo lugar a las 10 pm UTC el 11 de diciembre de 2021 y resultó en la transferencia de tokens ERC-20, Binance Smart Chain y Polygon por un monto de 77 millones de dólares desde las hot wallets, según la firma de seguridad blockchain Peckshield Inc.
John Bambenek, principal cazador de amenazas de Netenrich, le dijo a ZDNet que la solución es deshabilitar la funcionalidad JNDI por completo (que es el comportamiento predeterminado en la última versión).
io puede explotar esta vulnerabilidad al enviar una solicitud especialmente diseñada a un sistema vulnerable que hace que ese sistema ejecute código arbitrario”, dijo la agencia en una guía emitida el lunes. “La solicitud permite al adversario tomar el control total del sistema. El adversario puede entonces robar información, lanzar ransomware o realizar otras actividades maliciosas”.
Lo que hace que la CVE-2021-44228 sea especialmente peligrosa es su facilidad de explotación: incluso un ciberdelincuente sin experiencia podría ejecutar con éxito un ataque utilizando esta vulnerabilidad. De acuerdo con los investigadores, todo lo que tienen que hacer los atacantes es obligar a la aplicación a escribir una única cadena en el registro y luego pueden cargar su propio código en la aplicación debido a la función de sustitución de búsqueda de mensajes.
Fue gracias a esta medida que descubrieron que el presunto atacante había subido durante el mes de octubre mas de una decena de miles de archivos con información confidencial sobre las vacunas, así como los estudios y análisis de las mismas.
La única funcionalidad que implementa este malware es la relacionada con el despliegue de otros troyanos de control remoto del equipo, lo que lo convierte en lo que se conoce como un dropper. El uso de RATDispenser supone un cambio en la tendencia actual, en la que habitualmente se encontraban documentos de Microsoft Office utilizados como primera etapa de infección que daban lugar a una posterior etapa de despliegue del RAT.
roxyLogon y ProxyShell hacen referencia a un conjunto de fallos en los servidores Microsoft Exchange que podrían permitir a un atacante elevar privilegios y ejecutar código arbitrario de forma remota, lo que le permitiría tomar el control de las máquinas vulnerables. Mientras que los fallos de ProxyLogon se solucionaron en marzo, los de ProxyShell se parchearon en una serie de actualizaciones publicadas en mayo y julio.