Noticias de Seguridad

Escalamiento de privilegios locales en pkexec de Polkit

Una vulnerabilidad de corrupción de memoria (CVE-2021-4034) fue encontrada en Polkit, el cual es un componente para los sistemas Linux y Unix que deja a procesos no privilegiados realizar procesos que necesitan permisos de «super usuario», sin que estos tengan que ejecutarse como root, mientras que «sudo», no necesita que todo el proceso sea ejecutado con privilegios del sistema, permitiendo un mayor control sobre los permisos. El origen de esta falla es desde hace más de 12 años, y parece proceder del primer commit publicado de pkexec. Esto quiere decir que todas las versiones de Polkit se encuentran afectadas. Una función desconocida del archivo /usr/bin/pkexec es afectada por esta vulnerabilidad. Por…

Backdoors en varios sitios de WordPress

En septiembre del 2021 varios temas y plugis de WordPress que se encontraban alojados en el sitio web de la empresa AccessPress Themes fueron modificadas con código sospechoso. Los atacantes infectaron más de 40 temas y 53 plugins de la empresa precitada. En una investigación realizada por la compañía de investigadores de seguridad JetPack, publicada el 18 de enero, se ha podido conocer que el código sospechoso contenido en los plugins y temas del vendor permitirían a los atacantes tener un acceso backdoor a cualquier sitio que posee esas extensiones. JetPack detalla que el código solo era ejecutado cuando las…

Vulnerabilidad de alto riesgo en 3 plugins de WordPress afecta a 84,000 sitios web

Se ha publicado una falla de seguridad que afecta 3 plugins de WordPress diferentes, afectando mas de 84,000 páginas web, el cual puede ser utlilizado por un actor malicioso para tomar completo control sobre el sitio. Conocido como CVE-2022-0215, el ataque de CSRF (Cross-Site Request Forgery) categorizado con puntuación de 8.8 en la escala de CVSS afecta los 3 plugins de Xootix. Login/Signup Popup Side Cart Woocommerce Waitlist Woocommerce Cross-site request forgery, también conocido como ataque de un click o session riding, ocurre cuando un usuario autenticado es engañado por un atacante para introducir un request especialmente creado hacia la…

Vulnerabilidad de escalamiento de privilegios del servicio de dominio de Windows Active Directory

Se tienen dos vulnerabilidades bajo los identificadores CVE-2021-42278, CVE-2021-42287 ambas con un indicador CVSS de 8.8 considerado crítico, las cuales están asociadas a una falla de escalamiento de privilegios que afectan a Active Directory Domain Services (AD DS, de Microsoft). Active Directory se ejecuta en Microsoft Windows Server y se utiliza para la gestión de identidades y accesos. CVE-2021-42278 permite a un atacante manipular el atributo SAM-Account-Name, que se utiliza para iniciar sesión a un usuario en en Active Directory Domain Services. CVE-2021-42287 permite hacerse pasar por los controladores de dominio. Una vez que el atacante compromete a un usuario…

Nueva vulnerabilidad Crítica Zero day en la librería Log4j2 de Java llamada Log4Shell

El pasado 24 de noviembre del 2021 se ha reportado una vulnerabilidad de ejecución de código remoto (RCE), la cual ha sido asociada con el identificador de MITRE CVE-2021-44228 (conocida también como Log4Shell). Log4j2 es una librería de código abierto de Java que, comúnmente, está incorporada en los servidores web Apache, la vulnerabilidad está presente en las versiones de Log4j2 desde la 2.0-beta hasta la 2.14.1. El 10 de diciembre un exploit para la vulnerabilidad ha sido compartido en internet, exponiendo a empresas y usuarios en general a ataques RCE, incrementando la criticidad de la vulnerabilidad. Los servidores del videojuego…

Vulnerabilidad RCE afecta a Microsoft Windows

. La vulnerabilidad (CVE-2021-34535) de ejecución remota de código afecta a clientes de escritorio remoto con una calificación CVSSv3 de 8.8 siendo catalogada con una severidad alta, fue parcheada por Windows en agosto del 2021. Microsoft no ha indicado detalles técnicos de la vulnerabilidad. El ataque puede ser realizado a través de la red, no requiere ninguna forma de autenticación. La ejecución remota de código es un ciberataque mediante el cual un atacante puede ejecutar comandos de forma remota en el dispositivo informático de otra persona. Existen dos escenarios que pueden causar que un atacante aproveche esta vulnerabilidad: La víctima…

Servidores de Microsoft Exchange afectados por ataques internos de cadena de respuesta

Actores maliciosos estan afectando a los servidores de Microsoft Exchange mediante vulnerabilidades de ProxyShell y ProxyLogon con el fin de propagar malware y evitar la detección por medio de correos electrónicos internos de cadena de respuesta robados. Cuando los atacantes realizan las campañas maliciosas de correo electrónico, lo complicado es engañar a los usuarios a fin de que abran adjuntos que disponen de malware o que incluyan vínculos. Los investigadores de TrendMicro han anunciado una táctica utilizada para distribuir correo electrónico malicioso a los usuarios internos explotando los servidores de Microsoft Exchange utilizando las vulnerabilidades ProxyShell y ProxyLogon (CVE-2021-26855, CVE-2021-26857,…

Actores APT explotando vulnerabilidades Microsoft Exchange y Fortinet (AA21-321A)

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos publicó la alerta AA21-321A detallando las actividades maliciosas de un grupo APT (Advanced Persistent Threat – Amenaza Avanzada Persistente) financiado por el gobierno iraní. Este grupo toma ventaja de organizaciones robando y cifrando su información, explotando vulnerabilidades de Fortinet y Microsoft Exchange. Según investigaciones del FBI, CISA, ACSC y NCSC, este APT ataca un gran rango de sectores de infraestructura crítica, incluyendo transporte y salud pública. Acorde a lo encontrado, el grupo busca explotar vulnerabilidades ya conocidas en lugar de sectores específicos. La finalidad de estas actividades son la exfiltración…

Vulnerabilidades en BusyBox afectan a dispositivos con Linux

BusyBox es un paquete de aplicaciones que proporciona distintas utilidades Unix en un solo archivo ejecutable. Es decir, es un compendio de comandos y estándares Unix que permite realizar tareas tediosas de manera sencilla. El paquete de software es utilizado por muchos dispositivos de tecnología operativa (OT) e Internet de las cosas (IoT). Investigadores han descubierto 14 vulnerabilidades críticas que permiten la denegación de servicio (DoS) y ejecución remota de código (RCE). Se han asignado el ID de CVE desde el CVE-2021-42373 hasta el CVE-2021-42386. Afectan a versiones de BusyBox desde la 1.16 hasta las 1.33.1. Para la explotación de…

Distribución de troyano njRAT vía correo bajo suplantación de identidad de la Agencia Nacional de Tránsito del Ecuador (ANT)

El día 10 de noviembre se ha detectado una campaña de distribución de malware desde una cuenta de correo que suplanta la identidad de la Agencia Nacional de Tránsito del Ecuador (ANT). El correo recibido cuenta con las siguientes características: Remitente: «transito_movilidad_colombia[@]hotmail[.]com» Asunto: «AGENCIA NACIONAL DE TRANSITO , INFORMA COMAPRENDO ELECTRONCIO.» Adjunto: «INFORMACION DETALLADA DE COMPARENDO ELECTRONICO AGENCIA NACIONAL DE TRANSITO.vbs.bz2». El adjunto contiene un archivo malicioso que desencadena una serie de descargas de malware con el propósito de tomar control del equipo del destinatario. Pese a que el usuario del correo indica movilidad Colombia, podemos observar en el cuerpo…