Blog Blog

XSec News 20-04-2025

April 21, 2025
Santiago Ingold
Noticias

4Chan hackeado

Arrancamos con la noticia de que hackeraron al foro de internet 4Chan. Por si no sabés que es 4Chan, es un foro muy importante de la historia reciente de internet y digo historia pero reciente porque es un foro del 2003.

En este foro surgieron en cierta forma algunos de los primeros memes de Internet y también está relacionado con el surgimiento de Anonymous ya que varios miembros de 4Chan eran miembros de Anonymous y viceversa.

Pero, ¿Qué sucedió? Bueno, al parecer un grupo de gente que se fue de 4Chan y creó otro foro llamado soyjak.party, serían quienes en una especie de venganza atacaron 4Chan.

Lo más interesante de todo esto es que lograron atacar el foro ya que usaba una versión vulnerable de PHP y al parecer robaron información del foro, de los administradores y hasta el código fuente de 4Chan.

Esto nos muestra una y otra vez la importancia de tener las aplicaciones y el software de base siempre actualizados y en especial de aquellos sistemas expuestos a Internet.

BreachForums ¿También?

Por otro lado, el otro foro que está fuera de servicio es BreachForums, el reconocido foro de hackers donde se publicaban ataques, brechas de datos, entre otros.

Si bien no hay información oficial al respecto, por un lado se rumorea que IntelBroker, uno de los principales actores del foro, habría sido detenido por el FBI, mientras que el grupo Dark Storm Team dice que le hizo un ataque de denegación de servicio "por diversión".

Al momento de escribir estas noticias el sitio sigue caído y será cuestión de tiempo para saber que fue lo que sucedió.

CVE sin financiamiento

Mientras tanto, tuvimos un casi colapso mundial de expertos de ciberseguridad, ya que el gobierno de Estados Unidos, habría frenado los fondos con los que financiaba el proyecto CVE de Mitre. Si, el proyecto que mantiene en funcionamiento el catálogo y la organización de las vulnerabilidades que se van descubriendo.

En principio la situación se resolvió con la intervención de la agencia CISA, quién aseguró que el proyecto de CVE se mantendría en funcionamiento.

Si bien no es un proyecto super llamativo o que aparezca constantemente en las noticias, es uno de los pilares en que se construye la seguridad de las organizaciones de todo el mundo, tanto a nivel de escaneo de vulnerabilidaes, respuesta a incidentes, comunicación entre distintos involucrados, etc.

Sinceramente me parece otro paso en falso de la administración Trump y su fetiche con el recorte de gastos. A partir de esta situación, todos nos dimos cuenta de que se dependía demasiado de Estados Unidos para este tipo de cosas y una de las alternativas es empezar a consumir las bases de datos de vulnerabilidades de China, si justamente de China.

Por otro lado, se posiciona al país del norte cada vez menos como una referencia a nivel de ciberseguridad, lo que tiene implicaciones no solamente técnicas sino también geopolíticas, así que no, Trump no está jugando ningún ajedrez en 4D, más bien parece que quiere jugar a las damas con fichas de ajedrez.

Surge la CVE Foundation

Y a consecuencia de esto, surgió la CVE foundation, que básicamente es una fundación sin fines de lucro y sin la dependencia directa del gobierno de Estados Unidos, para garantizar el funcionamiento del sistema CVE en caso de que otras situaciones como esta vuelvan a ocurrir.

Aún no se sabe exactamente quienes están detrás de esta iniciativa, pero al parecer serían todos personas que ya trabajan de una forma u otra con el proyecto.

Además, también otros actores del ecosistema como VX-Underground, hicieron copias de los CVE hasta el momento y los pusieron a disposición en caso de que fueran necesarios.

Sinceramente no deja de sorprenderme la torpeza estratégica de este tipo de acciones.

Recall vuelve a Windows

Y Microsoft finalmente publicó Recall en una versión preview de Windows. Para los que no lo recuerdan, recall es una herramienta que va sacando capturas de pantalla en forma constante sobre lo que haces en la PC, para luego pasarlo por una inteligencia artificial y que puedas hacerle preguntas.

Las consideraciones y problemas de seguridad ya los hemos comentado hasta el cansancio en su momento y no los vamos a repetir todos, pero en resumen no sabemos realmente como se guardan esas imágenes, si van a ir a la nube o si tiene algún tipo de protección para, por ejemplo, no guardar capturas de pantalla con información sensible como tarjetas de crédito o contraseñas.

Al menos, por ahora, es opt-in así que si decidís usarlo ya es un problema tuyo. Como siempre, lean un poco y sepan lo que están habilitando en sus equipos porque sino después se pueden llevar sorpresas desagradables.

Vulnerabilidad de hashes NTLM explotada activamente

Y siguiendo con los amigos de Microsoft, se publicó una nueva vulnerabilidad que expone los hashes NTLM que está siendo explotada activamente por actores de amenaza tanto contra actores de gobierno como contra organizaciones privadas.

Si bien esta vulnerabilidad ya cuenta con un parche desde marzo, se han detectado múltiples casos de intento de explotación mediante correos de phishing. Estos correos incluyen un link a un archivo .zip en DropBox, que dentro tiene un archivo de tipo ms-library que explota la vulnerabilidad intentando hacer una conexión SMB a un servidor controlado por el atacante. Este intento de conexión es el que envía el hash NTLM que podría ser utilizado luego en un ataque posterior.

Como siempre, mantengan sus equipos lo más actualizados posible, en este caso Windows, y no está de más recordar la importancia de capacitar a los usuarios para que estén atentos al phishing.

Links de Cisco Webex a RCE

Para terminar, tenemos una nueva vulnerabilidad en Cisco Webex que permite a los atacantes sin autenticar obtener ejecución remota de código sobre los equipos de las vícitimas. Todo esto a través de enlaces de invitación falsos.

Básicamente los atacantes explotan la forma en que webex procesa los parámetros de las url de conexión a reuniones, para forzar una descarga maliciosa sobre los equipos de las víctimas, lo cual finalmente les permite la ejecución de código.

Esta vulnerabilidad también se encuentra parcheada, por lo que si usás Cisco Webex, actualizá lo antes posible.

Referencias

"4chan Hacked", Most Popular Image-Bulletin Board Compromised
https://thehackernews.com/2014/04/4chan-Hacked-Image-Bulletin-Board.html

Is BreachForums Dead Again? Russian Hacker Forum Post Sparks FBI Honeypot Rumors
https://leakd.com/news/is-breachforums-dead-again-russian-hacker-forum-post-sparks-fbi-honeypot-rumors/
https://cybernews.com/news/breachforums-dark-storm-ddos-cyberattack-fbi-hackers/

MITRE warns that funding for critical CVE program expires today
https://www.bleepingcomputer.com/news/security/mitre-warns-that-funding-for-critical-cve-program-expires-today/

The CVE foundation
https://www.thecvefoundation.org/home

VX-Underground CVE Archive
https://vx-underground.org/Archive/CVE

Microsoft finalmente publica Recall
https://blogs.windows.com/windows-insider/2025/04/10/releasing-windows-11-build-26100-3902-to-the-release-preview-channel/

Windows NTLM hash leak flaw exploited in phishing attacks on governments
https://www.bleepingcomputer.com/news/security/windows-ntlm-hash-leak-flaw-exploited-in-phishing-attacks-on-governments/

Cisco Webex bug lets hackers gain code execution via meeting links
https://www.bleepingcomputer.com/news/security/cisco-webex-bug-lets-hackers-gain-code-execution-via-meeting-links/

Santiago Ingold

Santiago Ingold

Volver al blog