Noticias de Seguridad

Vulnerabilidad zero-day en Apache HTTP server 2.4.49

Se ha hecho público una vulnerabilidad crítica de día cero que afecta a Apache HTTP Server, uno de los servidores web de código abierto más utilizados para Unix y Windows, la cual podría permitir a atacantes externos tener acceso a archivos arbitrarios que residen en los sistemas afectados. El fallo de seguridad con identificador CVE-2021-41773, descubierto por el investigador Ash Daulton con el equipo de cPanel Security Team, reside en la normalización de rutas de Apache HTTP Server y es clasificado de tipo path traversal y file disclosure. Los ataques de tipo path traversal implican el envío de solicitudes para…

Múltiples vulnerabilidades en productos Nagios XI

Se han revelado hasta 11 vulnerabilidades de seguridad en los sistemas de administración de red de Nagios, los principales problemas son dos fallas de ejecución remota de código (CVE-2021-37344, CVE-2021-37346) en Nagios XI Switch Wizard y Nagios XI WatchGuard Wizard, una vulnerabilidad de inyección SQL (CVE-2021-37350) en Nagios XI, y una falsificación de solicitud del lado del servidor (SSRF) que afecta a Nagios XI Docker Wizard, así como un RCE post-autenticado en la herramienta Auto-Discovery de Nagios XI. Nagios es una herramienta de monitorización de código abierto muy extendida a nivel empresarial e institucional. Las vulnerabilidades de severidad crítica son:…

Fallo de seguridad en protocolo Autodiscover de Microsoft Exchange expone más de cien mil credenciales

Investigadores de seguridad han descubierto una falla de diseño en una función del servidor de correo electrónico de Microsoft, Exchange, el cual puede ser usado para obtener credenciales de aplicaciones y dominios de Windows de usuarios alrededor del mundo. Descubierto por Amit Serper, AVP de Security Research en la firma de seguridad Guardicore, el fallo de seguridad se encuentra en el protocolo de Microsoft, Autodiscover, una función de los servidores de correo electrónico Exchange, que permite a los clientes de correo electrónico descubrir automáticamente los servidores de correo electrónico, proporcionar credenciales y luego recibir las configuraciones adecuadas. El protocolo es…

SOVA, El nuevo troyano bancario para Android

A inicios del mes de agosto del 2021 investigadores de ThreatFabric descubrieron un troyano bancario denominado SOVA (búho en ruso), el cual está en fase de desarrollo inicial, sin embargo, tiene potencial para convertirse en una amenaza de alto riesgo. SOVA en su primera versión tiene características similares a otros troyanos, como la superposición bancaria, manipulación de notificaciones y keylogging, pero los creadores de SOVA plantean añadir características que permitan realizar ataques de denegación de servicio distribuidos (DDoS) , hombre en el medio (MiTM) y funcionalidades de ransomware. Los autores del malware han anunciado una superposición de tres etapas, lo…

Vulnerabilidad crítica en VMware de ejecución remota de código

VMware ha corregido una vulnerabilidad crítica CVE-2021-22005 la cual tiene una calificación de 9.8/10 en la escala CVSSv3 que afectan a los siguientes productos: VMware vCenter Server VMware Cloud Foundation. Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar del error para ejecutar código en vCenter Server cargando un archivo malicioso desde internet según afirma la seguridad de VMWare. A continuación, los productos y versiones afectadas con la versión recomendada por VMware: Productos Versión Versión corregida vCenter Server 7.0 7.0 U2c vCenter Server 6.7 6.7 U3o vCenter Server 6.5 6.5 U3q Cloud Foundation (vCenter…

Vulnerabilidad crítica en Confluence Server y Confluence Data Center permite ejecución remota de código

Una vulnerabilidad crítica en el software de colaboración en equipo de Atlassian, Confluence, está siendo utilizada recientemente en campañas activas de escaneo y explotación. El fallo de seguridad afecta a las versiones on-premise Confluence Server y Confluence Data Center, y ha sido identificado como CVE-2021-26084. La vulnerabilidad radica en la tecnología OGNL (Object-Graph Navigation Language), un lenguaje de scripting que interactúan con el código fuente Java, sobre el cual se encuentra desarrollado la gran mayoría del software Confluence. Según lo expuesto por el fabricante, el fallo puede ser explotado por actores de amenaza para evadir autenticación e inyectar comandos maliciosos…

Vulnerabilidad crítica en documentos Office para Windows de ejecución remota de código.

Los equipos de seguridad de Microsoft han informado una vulnerabilidad identificada como CVE-2021-40444, la cual consiste en una explotación de MSHTML, el cual es un componente de Internet Explorer que se relaciona con funciones de HTML, que permite atacar a los usuarios de Microsoft Office mediante ejecución remota de código (RCE). El ataque consiste en el envío de archivos de Office, engañando a las victimas para que lo abran, lo cual ejecutará en Internet Explorer una página web previamente creada, en esta se tiene un controlador ActiveX que podrá realizar descarga de malware en la computadora de la víctima. Los…

Vulnerabilidad crítica en Moodle

Se ha hecho pública una vulnerabilidad crítica en Moodle, la popular plataforma de e-learning de código abierto utilizada por 190.000 organizaciones en todo el mundo, la cual podría permitir ejecución remota de código (RCE). El fallo de seguridad, asignado con identificador CVE-2021-36394, fue descubierto por los investigadores Robin Peraglie y Johannes Moritz. Consiste en una vulnerabilidad de inyección de objetos PHP en el módulo de autenticación Shibboleth de Moodle, el cual se encuentra deshabilitado por defecto. Si el módulo se encuentra activado, la vulnerabilidad podría permitir a atacantes no autenticados lograr la ejecución remota de código (RCE), lo que resulta…

Vulnerabilidad de inyección de comandos en el complemento «Plainview Activity Monitor» de WordPress

En el año 2018 se encontró una vulnerabilidad de inyección de comando en un gestión de contenidos: WordPress. Dicha debilidad existe en el plugin «Plainview Activity Monitor» que afecta a las versiones 20161228 o anterior. Se le identifica como CVE-2018-15877. Considerar que esta vulnerabilidad no puede ser ejecutada remotamente por sí sola. Es necesario que estén presentes: vulnerabilidad de ataque CSRF y vulnerabilidad reflejada de secuencias de comandos entre sitios. Cuando estas 3 debilidades trabajan juntas, el atacante puede ejecutar comandos de manera remota en el sistema de otro usuario permitiendo el acceso no autorizado a datos privados. En el…

PrintNightmare: Vulnerabilidad sin parche afecta al servicio de cola de impresión de Windows – CVE-2021-34527

Microsoft lanzó el 01/07/2021 una vulnerabilidad identificada como CVE-2021-34527, que afecta al servicio de cola de impresión de Windows y permitiría la ejecución de código remoto en los sistemas con dicho servicio, incluso desde las cuentas de usuarios que sólo tienen permisos básicos. Cabe mencionar, que este problema es similar pero distinto de la vulnerabilidad a la que se le asigna CVE-2021-1675, que aborda una vulnerabilidad diferente en RpcAddPrinterDriverEx (). El vector de ataque también es diferente al CVE-2021-1675 que fue abordado por la actualización de seguridad publicada el 8 de junio de 2021. La vulnerabilidad de ejecución remota de…