Nueva vulnerabilidad Crítica Zero day en la librería Log4j2 de Java llamada Log4Shell
El pasado 24 de noviembre del 2021 se ha reportado una vulnerabilidad de ejecución de código remoto (RCE), la cual ha sido asociada con el identificador de MITRE CVE-2021-44228 (conocida también como Log4Shell). Log4j2 es una librería de código abierto de Java que, comúnmente, está incorporada en los servidores web Apache, la vulnerabilidad está presente en las versiones de Log4j2 desde la 2.0-beta hasta la 2.14.1. El 10 de diciembre un exploit para la vulnerabilidad ha sido compartido en internet, exponiendo a empresas y usuarios en general a ataques RCE, incrementando la criticidad de la vulnerabilidad. Los servidores del videojuego…
Vulnerabilidad RCE afecta a Microsoft Windows
. La vulnerabilidad (CVE-2021-34535) de ejecución remota de código afecta a clientes de escritorio remoto con una calificación CVSSv3 de 8.8 siendo catalogada con una severidad alta, fue parcheada por Windows en agosto del 2021. Microsoft no ha indicado detalles técnicos de la vulnerabilidad. El ataque puede ser realizado a través de la red, no requiere ninguna forma de autenticación. La ejecución remota de código es un ciberataque mediante el cual un atacante puede ejecutar comandos de forma remota en el dispositivo informático de otra persona. Existen dos escenarios que pueden causar que un atacante aproveche esta vulnerabilidad: La víctima…
Servidores de Microsoft Exchange afectados por ataques internos de cadena de respuesta
Actores maliciosos estan afectando a los servidores de Microsoft Exchange mediante vulnerabilidades de ProxyShell y ProxyLogon con el fin de propagar malware y evitar la detección por medio de correos electrónicos internos de cadena de respuesta robados. Cuando los atacantes realizan las campañas maliciosas de correo electrónico, lo complicado es engañar a los usuarios a fin de que abran adjuntos que disponen de malware o que incluyan vínculos. Los investigadores de TrendMicro han anunciado una táctica utilizada para distribuir correo electrónico malicioso a los usuarios internos explotando los servidores de Microsoft Exchange utilizando las vulnerabilidades ProxyShell y ProxyLogon (CVE-2021-26855, CVE-2021-26857,…
Actores APT explotando vulnerabilidades Microsoft Exchange y Fortinet (AA21-321A)
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos publicó la alerta AA21-321A detallando las actividades maliciosas de un grupo APT (Advanced Persistent Threat – Amenaza Avanzada Persistente) financiado por el gobierno iraní. Este grupo toma ventaja de organizaciones robando y cifrando su información, explotando vulnerabilidades de Fortinet y Microsoft Exchange. Según investigaciones del FBI, CISA, ACSC y NCSC, este APT ataca un gran rango de sectores de infraestructura crítica, incluyendo transporte y salud pública. Acorde a lo encontrado, el grupo busca explotar vulnerabilidades ya conocidas en lugar de sectores específicos. La finalidad de estas actividades son la exfiltración…
Vulnerabilidades en BusyBox afectan a dispositivos con Linux
BusyBox es un paquete de aplicaciones que proporciona distintas utilidades Unix en un solo archivo ejecutable. Es decir, es un compendio de comandos y estándares Unix que permite realizar tareas tediosas de manera sencilla. El paquete de software es utilizado por muchos dispositivos de tecnología operativa (OT) e Internet de las cosas (IoT). Investigadores han descubierto 14 vulnerabilidades críticas que permiten la denegación de servicio (DoS) y ejecución remota de código (RCE). Se han asignado el ID de CVE desde el CVE-2021-42373 hasta el CVE-2021-42386. Afectan a versiones de BusyBox desde la 1.16 hasta las 1.33.1. Para la explotación de…
Distribución de troyano njRAT vía correo bajo suplantación de identidad de la Agencia Nacional de Tránsito del Ecuador (ANT)
El día 10 de noviembre se ha detectado una campaña de distribución de malware desde una cuenta de correo que suplanta la identidad de la Agencia Nacional de Tránsito del Ecuador (ANT). El correo recibido cuenta con las siguientes características: Remitente: «transito_movilidad_colombia[@]hotmail[.]com» Asunto: «AGENCIA NACIONAL DE TRANSITO , INFORMA COMAPRENDO ELECTRONCIO.» Adjunto: «INFORMACION DETALLADA DE COMPARENDO ELECTRONICO AGENCIA NACIONAL DE TRANSITO.vbs.bz2». El adjunto contiene un archivo malicioso que desencadena una serie de descargas de malware con el propósito de tomar control del equipo del destinatario. Pese a que el usuario del correo indica movilidad Colombia, podemos observar en el cuerpo…
Vulnerabilidad crítica en WP Reset PRO, el plugin de WordPress que permite borrar base de datos
Recientemente se ha divulgado una vulnerabilidad crítica en el plugin WP Reset PRO de WordPress, la misma permite que usuarios autenticados en un sitio web puedan borrar toda su base de datos. La vulnerabilidad tiene el identificador CVE-2021-36909. El plugin WP Reset PRO ayuda a un usuario con permisos de administración a restablecer rápidamente la base de datos del sitio a los valores de instalación predeterminados sin modificar ningún archivo. Elimina todas las personalizaciones y el contenido o solo las partes elegidas, como la configuración del tema. Sin embargo, la falta de autorización y verificación del token nonce permite que…
Vulnerabilidad zero-day en GlobalProtect VPN de Palo Alto Networks
Palo Alto Networks (PAN) ha publicado una vulnerabilidad crítica zero-day que afecta a su producto GlobalProtect VPN: Una vulnerabilidad de corrupción de memoria (CVE-2021-3064) en el portal GlobalProtect de Palo Alto Networks y las interfaces de puerta de enlace que permite a un atacante de red no autenticado interrumpir los procesos del sistema y potencialmente ejecutar código arbitrario con privilegios de root. El atacante debe tener acceso de red a la interfaz de GlobalProtect para aprovechar este problema. Puntuación CVSS v3.1: 9.8/10.Los productos afectados son los siguientes: PAN-OS 8.1.16 e inferiores. Las recomendaciones de mitigación del fabricante Palo Alto Networks…
Vulnerabilidad crítica en modulo TIPC del Kernel de Linux
Se ha descubierto una falla de seguridad en el modulo de proceso comunicación interna transparente (TIPC), también conocida como CVE-2021-43267, es una vulnerabilidad de heap overflow que se puede explotar tanto localmente como de manera remota ejecutando código arbitrariamente en el Kernel, adquiriendo privilegios de root y tomando completo control sobre las máquinas vulnerables. Fallo en MSG_CRYPTO TIPC es un protocolo que funciona en la capa de transporte, diseñado para nodos activos en un ambiente de cluster dinámico para comunicarse mutuamente de manera confiable de tal forma que es más eficiente y tolera más errores que otros protocolos como TCP….
«Shrootless»: vulnerabilidad crítica en macOS
Recientemente MSRV (Miscrosoft Security Vulnerability Research) publicó una vulnerabilidad de Escala de privilegios, denominada Shrootless, también conocida con el identificador CVE-2021-30892, afecta a varios sistemas operativos de Apple macOS. Falla del SIP (System Integrity Protection) SIP es el sistema de macOS para proteger la modificación de carpetas y archivos, bloqueando software potencialmente malicioso al restringir al usuario root limitando sus acciones sobre partes protegidas del sistema operativo. La vulnerabilidad Shrootless es posible debido a que el deamon system_installd con caracterísitcas de com.apple.rootless.install.inheritable permite a cualquier subproceso pasar por encima de las restricciones de SIP. Al interceptar el proceso de instalación…