Saltar al contenido
Volver al Blog

noticias · 10 min de lectura

Boletín — febrero 2024

ConnectWise ScreenConnect CVSS 10.0 por añadir un slash al final de una URL. Volt Typhoon lleva cinco años dentro de infra crítica US. Operación Cronos derriba LockBit. AnyDesk pierde los certs de firma. BlackCat tumba ChangeHealthcare. Y ArtPrompt enseña que los safety classifiers no leen ASCII art.

· Manuel López Pérez · noticias

ConnectWise ScreenConnect CVSS 10.0 por añadir un slash al final de una URL. Volt Typhoon lleva cinco años dentro de infra crítica US. Operación Cronos derriba LockBit. AnyDesk pierde los certs de firma. BlackCat tumba ChangeHealthcare. Y ArtPrompt enseña que los safety classifiers no leen ASCII art.

Febrero es un mes de bypasses triviales. Una URL con slash al final colapsa todo el parque ConnectWise. Volt Typhoon lleva cinco años dentro de infraestructura crítica US y CISA, NSA y FBI lo escriben en una advisory conjunta. La policía británica le toma la web a LockBit. AnyDesk pierde los certificados de firma de código. UnitedHealth, vía Change Healthcare, sale del mes con pharmacy operations en el suelo. Y de fondo, un paper enseña que los safety classifiers no leen ASCII art.

ConnectWise ScreenConnect CVE-2024-1709 — auth bypass por slash final

19 de febrero. ConnectWise publica un advisory urgente sobre dos bugs en ScreenConnect (versión 23.9.7 y anteriores): CVE-2024-1709 (CVSS 10.0, auth bypass) y CVE-2024-1708 (CVSS 8.4, path traversal). Encadenados, el primero entra y el segundo da RCE.

La técnica del auth bypass es lo que llama la atención. El SetupWizard de ScreenConnect solo debería estar disponible en instancias sin configurar. La comprobación se hace con string.Equals sobre la ruta: solo /SetupWizard.aspx da acceso. Resulta que cualquier ruta del tipo /SetupWizard.aspx/literallyanything también pasa: el routing de ASP.NET la enruta al mismo handler porque el segmento extra se interpreta como path-info, pero el Equals ya no coincide y el guard de “ya está configurada” se salta. El atacante visita /SetupWizard.aspx/abc, crea un nuevo usuario administrador, sobreescribe la base de datos local, entra. CVE-2024-1708 (path traversal) ya solo sirve para escribir cualquier archivo en el filesystem del servidor — webshell .aspx en la carpeta web, RCE.

CISA mete CVE-2024-1709 en KEV el 22 de febrero, con due date al 29 de febrero. Huntress reproduce el exploit en horas y publica el write-up técnico. El parque ScreenConnect tiene tracción enorme entre MSPs, lo que multiplica el blast radius: cada instancia comprometida sirve para llegar a docenas de clientes finales. Los primeros reports de ransomware (Play, LockBit antes de Cronos, Black Basta) sobre instancias ScreenConnect comprometidas aparecen la misma semana.

El bug es del manual: comparación de strings sobre rutas HTTP en un framework con routing magic. La defensa correcta es validar el estado interno (“¿está esta instancia ya configurada?”) en cada request al setup, no la URL.

Fuente: https://www.connectwise.com/company/trust/security-bulletins/connectwise-screenconnect-23.9.8

Volt Typhoon — cinco años dentro

7 de febrero. CISA, NSA y FBI publican la advisory AA24-038A: PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure. Atribuye a Volt Typhoon intrusiones contra infraestructura crítica US en los sectores de comunicaciones, energía, transporte y agua. La frase que recorta todos los titulares: agencias federales han observado actores manteniendo footholds en algunas víctimas durante al menos cinco años.

Lo distinto de esta advisory respecto a las anteriores: las agencias dicen explícitamente que el comportamiento de Volt Typhoon no encaja con espionaje tradicional. Hablan de pre-positioning: colocarse en redes IT con el objetivo de pivotar a OT y disrumpir funciones operativas en caso de crisis o conflicto con US. Esa categoría (actores con persistencia plurianual en infraestructura crítica civil, sin exfiltración masiva de datos, con TTPs orientados a aprender el entorno) empieza a tratarse como riesgo distinto de espionaje y de cibercrimen.

TTPs documentadas: living-off-the-land casi puro. Nada de malware persistente fancy; binarios legítimos del sistema (netsh, wmic, PowerShell, ntdsutil, scripts cmd), con credenciales válidas obtenidas a base de paciencia. Routers SOHO comprometidos en proxy. El reporte de Microsoft de mayo 2023 sobre Volt Typhoon ya describía la mecánica, pero la advisory de febrero pone fechas y sectores.

Para defensa la conclusión es incómoda: detectar Volt Typhoon-style no se hace con firmas. Se hace mirando baseline de comportamiento y anomalías sobre uso de binarios legítimos. Eso es caro y la mayoría de las organizaciones públicas afectadas no lo tienen.

Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a

Operación Cronos — la web de LockBit cambia de dueño

Operación Cronos — la web de LockBit cambia de dueño

19–20 de febrero. La National Crime Agency británica, en coordinación con FBI, Europol y autoridades de otros 8 países, ejecuta Operation Cronos. La infraestructura de LockBit cae bajo control policial: 34 servidores en tres países incautados, 28 servidores afiliados desconectados, 200+ wallets cripto congelados, dos arrestos (Polonia y Ucrania). La web de extorsión de LockBit muestra desde el 20 de febrero el banner de la NCA.

La parte distinta de esta operación frente a otros takedowns: la NCA usa la propia infraestructura incautada para publicar los avisos a las víctimas, los press releases, e incluso una cuenta atrás “humorística” sobre el contenido que iban a desvelar. PsyOps contra el grupo y contra sus afiliados, con efecto reputacional buscado. La NCA libera 1.000+ claves de descifrado para víctimas que pueden empezar a recuperar datos.

LockBitSupp (alias del operador principal) intenta reconstruir la operación días después con un nuevo onion site. La capacidad técnica está, pero la confianza de los afiliados se rompe — varios se mueven a otros operadores en las semanas siguientes. La narrativa de “infraestructura inviolable” del programa RaaS queda dañada.

Histórico: Operation Cronos es la continuación natural del takedown parcial de BlackCat/ALPHV de diciembre 2023 (ver boletín diciembre). El patrón se repite en 2024: ChangeHealthcare entra al final de febrero contra BlackCat justo cuando este grupo está en plena reconstrucción.

Fuente: https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group

AnyDesk — certificados de firma revocados

AnyDesk — certificados de firma revocados

2 de febrero. AnyDesk publica un comunicado: detectaron actividad sospechosa en sistemas de producción en enero, contrataron CrowdStrike, y revocan certificados de firma de código + passwords del portal web. Los detalles que filtran después: el atacante tuvo acceso a sistemas de build, exfiltró código fuente y robó al menos un certificado de firma usado para firmar binarios distribuidos a clientes. Versiones anteriores a 7.0.15 (Windows) y 8.0.8 estaban firmadas con el cert robado.

El impacto operacional es indirecto pero serio: cualquier binario firmado con ese cert antes de la revocación pasa el cheque de firma de Windows. Un atacante que tuviera el cert podía empaquetar un instalador malicioso indistinguible del legítimo. AnyDesk fuerza rotación, pero el ecosistema MSP que despliega AnyDesk en cliente queda expuesto durante la ventana.

A los pocos días, 18.000 credenciales del portal web de AnyDesk aparecen en venta en foros. AnyDesk insiste en que no fue ransomware. Sin más detalles públicos sobre el vector inicial.

Fuente: https://techcrunch.com/2024/02/05/remote-access-giant-anydesk-resets-passwords-and-revokes-certificates-after-hack/

ChangeHealthcare — BlackCat tumba el procesamiento de farmacias US

ChangeHealthcare — BlackCat tumba el procesamiento de farmacias US

21 de febrero. UnitedHealth, vía un 8-K, notifica que Change Healthcare (subsidiaria de Optum, parte de UnitedHealth Group) sufre un incidente cibernético severo. El servicio queda fuera. Pharmacy operations US arrasan: farmacias incapaces de procesar prescripciones aseguradas, hospitales sin poder facturar, laboratorios con resultados bloqueados. El 26 de febrero, BlackCat reclama el ataque en su site de leak.

El vector inicial es el más anodino: un portal de Citrix expuesto sin MFA, accedido con credenciales válidas robadas. El atacante mantuvo acceso del 12 al 21 de febrero antes de detonar el ransomware. Change Healthcare termina pagando 22 millones de dólares en cripto (confirmado posteriormente en una segunda extorsión cuando un afiliado descontento publica el wallet de cobro). El stack robado contiene PHI de más de 100 millones de individuos según las disclosures posteriores.

El incidente tiene dos lecturas. Una técnica: Change Healthcare es el clearing house que procesa una porción mayoritaria de las transacciones de seguros médicos en US. Un único punto de fallo de cuyo riesgo sistémico nadie había hablado seriamente antes. La concentración procesos cliente-vendor en healthcare US es estructural. Y la otra, regulatoria: HHS abre investigación sobre HIPAA. UnitedHealth termina el año con multas pendientes y litigios colectivos abiertos.

Esto pasa mientras Operation Cronos está derribando LockBit. BlackCat aprovecha el vacío y se queda con el negocio durante unos días — hasta que decide ejecutar un “exit scam” contra su propio afiliado responsable del ataque (que reclama no haber cobrado su parte). El RaaS estable que parecía consolidado en 2023 entra en turbulencia.

Fuente: https://www.unitedhealthgroup.com/newsroom/posts/2024-02-22-cybersecurity-update.html

ArtPrompt — los safety classifiers no leen ASCII art

15 de febrero. Jiang et al. publican ArtPrompt: ASCII Art-based Jailbreak Attacks against Aligned LLMs (arxiv 2402.11753). La técnica: escribir la palabra prohibida del prompt como ASCII art en un cloze. El safety classifier que mira el prompt como tokens no reconoce la palabra y deja pasar. El modelo, al generar la respuesta, lee el dibujo y completa la petición.

Resultados: ASR del 78 % contra GPT-3.5, 76 % contra Gemini, 52 % contra Claude, 32 % contra GPT-4, 20 % contra Llama2. Black-box, sin gradiente, sin fine-tune. Trabajo publicado en arxiv el día 15 y discutido la misma semana.

Cubrimos el paper en post dedicado — interesa por la generalización: ArtPrompt formaliza una familia más amplia (Unicode homoglyphs, base64, idiomas minoritarios, JSON ofuscado, sufijos GCG) que ataca todos el mismo gap entre lo que el classifier ve y lo que el modelo decodifica. Defender contra una modalidad concreta deja abierta la siguiente.

Hugging Face — JFrog encuentra 100 modelos maliciosos en el Hub

Hugging Face — JFrog encuentra 100 modelos maliciosos en el Hub

Finales de febrero. JFrog Security Research publica el resultado de un escaneo sistemático del Hugging Face Hub: ~100 modelos con backdoors silenciosos en pickle. Los modelos no llaman la atención por nombre o descripción — son clones de modelos legítimos (bert-base-uncased, variantes de gpt2, fine-tunes pequeños) con payload pickle adicional que se ejecuta al cargar.

Los payloads observados van desde reverse shells básicos a binarios completos que abren conexiones a C2 atacante-controlado. La superficie es la deserialización de pickle al hacer torch.load(...): cualquier from_pretrained(repo_id) ejecuta el pickle adjunto. Antes de la disclosure de JFrog, no había escáner activo en Hugging Face que rechazase estos modelos — la plataforma aceptaba cualquier blob.

Hugging Face responde activando picklescan en producción y promoviendo el formato safetensors (sin código ejecutable, solo metadata + tensores). El año siguiente, el equipo de seguridad de HF integra el escaneo automático y publica el flag Verified en repos. La lección estructural: el ecosistema AI heredó pickle como formato dominante porque era el default de PyTorch, no porque fuese seguro. JFrog catalyza el cambio operativo que el research de Wiz × HF en abril y los 22 fallos ML de diciembre van a profundizar.

Fuente: https://jfrog.com/blog/data-scientists-targeted-by-malicious-hugging-face-ml-models-with-silent-backdoor/ · https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle

Resto del mes

  • AISIC launch — 8 de febrero. NIST lanza el AI Safety Institute Consortium con 200+ miembros (empresas, universidades, civil society). Trabajo del consortium: red-teaming guidance, capability evaluations, watermarking de contenido sintético. https://www.nist.gov/news-events/news/2024/02/biden-harris-administration-announces-first-ever-consortium-dedicated-ai
  • FortiOS CVE-2024-21762 — 9 de febrero. Out-of-bounds write en SSL-VPN, ejecución de código no autorizado vía requests específicas. CVSS 9.8. Fortinet confirma explotación in the wild; CISA lo mete en KEV el mismo día. Otro appliance edge en la lista de 2024.
  • Microsoft Patch Tuesday — 13 de febrero. 73 CVEs. Dos zero-days: CVE-2024-21412 (SmartScreen bypass vía Internet Shortcut Files, explotado por Water Hydra contra traders financieros) y CVE-2024-21351 (Windows SmartScreen bypass, explotado in the wild).
  • Pwn2Own Vancouver 2024 — programación cerrada para marzo, pero los registros del concurso (categorías Tesla, virtualización, browsers, cloud-native, AI) publicados a final de febrero. Primera vez con categoría AI separada.
  • Google Gemini 1.5 release — 15 de febrero. Ventana de contexto a 1 millón de tokens, MoE arquitectura. La carrera por context length explota.
  • i-Soon leak — entre el 16 y 22 de febrero, alguien sube 570+ archivos internos de la empresa china i-Soon (proveedor de servicios ofensivos al PRC) a GitHub. Documentación de targets, herramientas, contratos. El leak más grande del año sobre operaciones APT chinas, equivalente a los Shadow Brokers en su día. SentinelLabs publica el primer análisis. https://www.sentinelone.com/labs/unmasking-i-soon-the-leak-that-revealed-chinas-cyber-operations/

Patrón del mes

Tres bugs que cualquier review medianamente seria habría detectado:

  • ConnectWise: comparación literal de strings sobre rutas HTTP.
  • AnyDesk: sistemas de build no aislados de superficie expuesta.
  • Change Healthcare: portal Citrix expuesto sin MFA.

Y un paper de AI security que ataca un gap de diseño que llevaba meses siendo intuición compartida. Lo común es que la mitigación correcta era barata y conocida en todos los casos, pero estaba pendiente. El delta atacante-defensor del que hablábamos en la retrospectiva 2023 sigue siendo el mismo en 2024.

Nos vemos en marzo con XZ — un caso bastante menos trivial.

Share:
Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Boletín — diciembre 2023

noticias · 6 min

Boletín — diciembre 2023

EU AI Act cierra acuerdo político tras 38 horas de trilogue. Comcast Xfinity notifica 35.7M cuentas vía Citrix Bleed. BlackCat sufre operación policial. Sleeper agents paper en preprint. Retrospectiva del año.

· Manuel López Pérez

Boletín — noviembre 2023

noticias · 5 min

Boletín — noviembre 2023

OpenAI DevDay anuncia GPTs y Assistants API; Sam Altman es despedido y reincorporado en cinco días. SysAid CVE-2023-47246. Lockbit explota Citrix Bleed contra Boeing e ICBC. Anthropic prefigura sleeper agents.

· Manuel López Pérez

Boletín — noviembre 2025

noticias · 13 min

Boletín — noviembre 2025

Anthropic publica el primer caso de espionaje con coding agent autónomo. Microsoft Ignite y AWS re:Invent meten "agent security" en producto: Entra Agent ID GA, AgentCore Policy en preview con Cedar. FortiWeb 0-day CVE-2025-64446 explotado in the wild. Cloudflare cae 4 horas el 18 por un feature file mal generado. Logitech entra al cluster Cl0p / Oracle E-Business. Patch Tuesday con CVE-2025-62215 zero-day en Windows Kernel.

· Manuel López Pérez