Malware ‘Octopus Scanner’ compromete proyectos de código abierto en un ataque masivo a la cadena de suministro de GitHub
El equipo de GitHub Security Lab advirtió sobre una campaña de malware que se ha extendido en GitHub a través de proyectos Java comprometidos. Investigaciones posteriores mostraron que el malware, denominado Octopus Scanner, es capaz de identificar los archivos del proyecto NetBeans e incrustar cargas maliciosas tanto en los archivos del proyecto como en los archivos JAR. A continuación se muestra una descripción de alto nivel de la operación de Octopus Scanner: Identificar el directorio NetBeans del usuarioEnumerar todos los proyectos en el directorio de NetBeansCopiar la carga maliciosa cache.dat en nbproject / cache.datModificar el archivo nbproject / build-impl.xml para…
Vulnerabilidad de inyección de código en VMware Cloud Director
VMware ha abordado una vulnerabilidad con severidad alta de tipo inyección de código que afecta a su producto Cloud Director, la cual podría explotarse para tomar control de la infraestructura de los servicios en la nube. La vulnerabilidad, rastreada con identificador CVE-2020-3956, consiste en un problema de inyección de código que podría ser explotado por un atacante autenticado para enviar tráfico malicioso a Cloud Director, lo que podría permitir la ejecución de código arbitrario. Según la compañía, la vulnerabilidad puede ser explotada a través de las interfaces de usuario basadas en HTML5 y Flex, la interfaz API Explorer y el…
Apple publica actualización de seguridad iOS 13.5.1 y iPadOS 13.5.1 que corrige vulnerabilidad zero-day
Apple lanzó parches de seguridad para abordar la vulnerabilidad zero-day CVE-2020-9859 que se había utilizado para hacer jailbreak a los dispositivos con iOS 13.5. Según la página oficial de seguridad de Apple, iOS 13.5.1 y iPadOS 13.5.1 corrigen una vulnerabilidad que permitía a las aplicaciones «ejecutar código arbitrario con privilegios de kernel«. Apple también menciona que el exploit es el mismo que se encontró recientemente por el equipo de Unc0ver, lo que confirma que la última versión del iOS 13 bloquea el jailbreak. El software de Unc0ver se aprovecha de un exploit de kernel zero-day, que se encontró poco después…
Vulnerabilidad de ejecución remota de código en Microsoft Excel (CVE-2020-0901)
Existe una vulnerabilidad de ejecución remota de código en el software Microsoft Excel cuando el software falla al manejar adecuadamente los objetos en la memoria, la cual es rastreada con identificador CVE-2020-0901. Un atacante podría aprovechar la vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativo, el atacante podría tomar el control del sistema afectado. El atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario…
Actualizaciones de Seguridad para VMware ESXi, Workstation, Fusion, VMRC y Horizon Client
Se han liberado actualizaciones de seguridad para múltiples vulnerabilidades de seguridad en VMware ESXi, Workstation, Fusion, VMRC y Horizon Client. La explotación exitosa de estas vulnerabilidades puede permitir una condición de denegación de servicio, hasta que un usuario normal escale de bajos privilegios a root. Productos afectados: VMware ESXi versiones anteriores a la 6.7 ESXi670-202004101-SG VMware Workstation Pro / Player (Workstation) verisiones anteriores a la 15.5.2 VMware Fusion Pro / Fusion (Fusion) versiones anteriores a la 11.5.5 VMware Remote Console para Mac (VMRC for Mac) versiones 11.x y anteriores VMware Horizon Client para Mac versiones 5.x y anteriores VMware ESXi, Workstation y…
Nueva versión de malware que abre puertos RDP
Investigadores de SentinelOne han descubierto una nueva versión del malware Sarwent que abre los puertos RDP (Remote Desktop Protocol) en las computadoras infectadas para que hackers puedan obtener acceso a los equipos infectados. Se cree que los operadores de Sarwent probablemente se están preparando para vender el acceso a estos sistemas, un método común para monetizar hosts con capacidad RDP. El malware Sarwent es un troyano que existe desde 2018. En sus versiones anteriores, el malware contenía un conjunto limitado de funcionalidades, como la capacidad de descargar e instalar otro malware en computadoras comprometidas. En las últimas semanas se ha…
Exploit remoto para el plugin de WordPress Drag and Drop File Upload Contact Form 1.3.3.2
Se ha publicado un reciente exploit remoto para el plugin de WordPress Drag and Drop File Upload Contact Form con su versión 1.3.3.2. Este exploit explota la vulnerabilidad CVE-2020-12800 la cual permite ejecutar código no autenticado mediante la carga de un archivo. Evitando las restricciones de tipos de archivos permitidos se puede llegar a subir un shell reverso para ganar acceso remoto al equipo. El autor del exploit, Austin Martin, explica como se puede agregar el caracter ‘%’ al final de la extensión del tipo del archivo y al final del nombre del archivo que se sube. Por ejemplo, «php%»…
Backdoor ComRat ahora utiliza Gmail para C&C
ComRAT es un troyano de acceso remoto (RAT) que salió a la luz después de que el grupo Turla APT lo usó varios ataques hacia distintos países en el 2008. La primera versión de la puerta trasera tenía capacidades de gusano y se estaba extendiendo a través de unidades extraíbles. Investigadores de seguridad de ESET han publicado un extenso informe que describe una nueva versión del malware ComRAT (también conocido como Agent.BTZ) utilizado por Turla APT. Turla utiliza la interfaz de usuario web de Gmail como uno de los dos canales de comando y control para el malware actualizado, siendo el otro…
Safe-Linking: Resuelve una vulnerabilidad que ha afectado a Linux por 20 años
Durante casi dos décadas, los ciberdelincuentes se han aprovechado de un fallo de seguridad en el diseño de la memoria de los programas de Linux para explotar esta vulnerabilidad y tomar el control del ordenador de la víctima. Los programas de Linux son los componentes básicos de millones de computadoras personales, dispositivos Android, computadoras portátiles, enrutadores de Internet, productos de IoT, televisores inteligentes y más. También se utilizan para crear servicios web para bancos globales, plataformas y grandes aerolíneas. Durante dos décadas, los programas de Linux ha sufrido una vulnerabilidad que permitía a cualquier ciberdelincuente ejecutar código malicioso una vez…
0-day del sistema de archivos en Windows sin solucionar
La Iniciativa Zero Day (ZDI) hizo públicas cuatro nuevas vulnerabilidades 0-day que afectan a Microsoft Windows, afectando tres de ellas al sistema de archivos de Windows. Las vulnerabilidades 0-day de Microsoft Windows afectan principalmente al archivo splwow64.exe, que es un host de controlador de impresora para aplicaciones de 32 bits. El ejecutable Spooler Windows OS (Windows 64 bits) permite que las aplicaciones de 32 bits sean compatibles con un sistema Windows de 64 bits. CVE-2020-0915, CVE-2020-0916 y CVE-2020-0986 afectan a este archivo. Las tres se clasifican como de gravedad alta en el sistema de puntuación CVE, con una calificación de 7.0. Estas vulnerabilidades…