Ciberataques por Coronavirus
La necesidad y urgencia de informarse, como el sensacionalismo por la situación actual, ha sido aprovechada por los ciberatacantes para propagar malware y phishing. Ejemplo de Phishing: Correos que parecen provenir de los Centros para el Control y Prevención de Enfermedades (CDC, por sus siglas en inglés), una institución real de EE.UU., y ofrecen algunas recomendaciones sobre el coronavirus. El dominio del que provienen los correos resulta convincente: cdc-gov.org, mientras que el dominio real de los CDC es cdc.gov. Son tan similares que es probable que un usuario descuidado no se percate de la diferencia. ¿Qué debo hacer? Ser escéptico…
GhostCat: New High-Risk Vulnerability Affects Servers Running Apache Tomcat
Se presenta nueva vulnerabilidad en sistemas Apache Tomcat. Afecta a todas las versiones (9.x/8.x/7.x/6.x) lanzadas en los últimos 13 años, dado que presenta un fallo de lectura e inclusión de archivos, explotable en la configuración por defecto. Nombrado «Ghostcat» y etiquetado como CVE-2020-1938 (CVSS 9.8), el fallo puede permitir a atacantes remotos y no autenticados, leer el contenido de cualquier archivo de un servidor vulnerable y obtener información sensible, permitiendo así la posibilidad de ejecución arbitraria de código. Según la compañía china de seguridad cibernética Chaitin Tech, la vulnerabilidad reside en el protocolo AJP del software Apache Tomcat que surge…
Un fallo crítico en un plugin para WordPress deja vulnerables más de 200.000 webs.
Un popular plugin de temas para WordPress que cuenta con más de 200,000 instalaciones activas contiene una vulnerabilidad de software severa y fácil de explotar que, si no se parchea, podría permitir a los atacantes remotos no autenticados comprometer una amplia gama de sitios web y blogs. El plugin vulnerable en cuestión es ‘ThemeGrill Demo Importer‘ el cual viene incluido en temas tanto gratuitos como premium vendidos por la compañía de desarrollo de software ThemeGrill. El plugin ThemeGrill Demo Importer ha sido diseñado para permitir a los administradores de sitios de WordPress importar contenido de demostración, widgets y configuraciones de…
Google y Microsoft compraron los datos robados por Avast.
Vice, una entidad reguladora de protección de datos de la República Checa, ha estado llevando a cabo una investigación en profundidad de las prácticas detrás de esta recopilación masiva de datos, revelando que los principales clientes a los que fueron vendidos nuestros datos eran gigantes tecnológicos como Google y Microsoft. Entre otros la compañía habría registrado la información de búsquedas dentro Google y Google Maps, YouTube, la barra de Windows, y otros registros dentro del navegador entre los que destacan un especial interés en lo referente al comportamiento de los usuarios dentro de las páginas webs para adultos. Por el…
Encontrados 5 zero-days en Cisco Discovery Protocol
Investigadores de la empresa de seguridad Armis han encontrado cinco vulnerabilidades graves que afectan a decenas de millones de dispositivos que utilizan el protocolo CPD (Cisco Discovery Protocol) para descubrir otros dispositivos de la red aunque se encuentren en VLANs separadas. El protocolo, el cual pertenece a la capa de enlace de datos (capa 2 del modelo OSI), es empleado por dispositivos como routers, teléfonos VoIP o cámaras de seguridad. Entre los posibles riesgos de las vulnerabilidades se encuentran romper la segmentación de la red, filtración de información de dispositivos como los de cámaras y teléfonos VoIP o realizar un…
Fallo crítico en SMTPD expone servidores de correo en Linux y OpenBSD.
Investigadores en seguridad han descubierto una vulnerabilidad, clasificada como CVE-2020-724 que permitiría a un atacante tomar el control remoto de servidores Linux y OpenBSD. OpenSMTPD es una implementación open source del servidor de correo inicialmente desarrollado para OpenBSD y que, actualmente, viene pre-instalado como parte del software propio de la mayoría de distribuciones UNIX. Según Qualys Research Labs, responsables de haber descubierto el fallo, la vulnerabilidad estriba en el modo en que OpenSMTPD valida la dirección del remitente a través de una función defectuosa llamada smtp_mailaddr(). Esta función puede ser explotada para ejecutar código arbitrario con permisos de root en…
Vulnerabilidad crítica de bypass de autenticación externa (LDAP) en Cisco Firepower Center
Se reporta nueva vulnerabilidad crítica en Cisco Firepower Center, registrada bajo el ID CVE-2019-16028, consiste en el bypass de autenticación desde un servidor externo (LDAP), debido a una falla en las respuestas de autenticación. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP diseñadas a un dispositivo afectado. Una explotación exitosa podría permitir al atacante obtener acceso administrativo a la interfaz de administración basada en web del dispositivo afectado. Cisco recomienda actualizar el software de Cisco Firepower a las versiones que tienen solventada esta vulnerabilidad y aplicar los parches de seguridad disponibles, detallados a continuación: Versiones anteriores a 6.1.0: migrar…
ModSecurity 3 con Nginx vulnerable a ataque DoS
El ataque, que provoca un ‘segmentation fault’ por un análisis incorrecto de las cookies, ha sido catalogado con un CVSS de 7.5 Ervin Hegedüs, un colaborador habitual del proyecto de software libre ModSecurity, ha encontrado, junto con otros usuarios, un fallo en la forma en que ModSecurity 3 interpreta las cookies, la cual puede aprovecharse para producir una violación de segmento (del inglés ‘Segmentation Fault’) en el proceso de Nginx. El error, que ya ha sido subsanado en una nueva versión, se encuentra en la forma en que divide las partes de una cookie, las cuales, si están bien formadas…
Citrix publica los parches para CVE-2019-19781 que afecta a ADC y Gateway.
Finalmente, Citrix ha liberado la actualización para mitigar la vulnerabilidad crítica, asignada al código CVE-2019-19781, que fue publicada a principios de este mes. Desde entonces, dado el lapso de tiempo transcurrido, puede estimarse en cientos el número de dispositivos expuestos a internet que han sido vulnerados aprovechando este fallo. La vulnerabilidad en cuestión, se corresponde con un ataque de directorio transversal que permitía a un atacante ejecutar de forma remota código arbitrario en varias versiones de los productos ADC y Gateway de Citrix, así como en versiones antiguas de Citrix SD-WAN WANOP. Está valorada como crítica, con una puntuación de…
Nueva vulnerabilidad en navegador Internet Explorer (IE) – CVE-2020-0674
Se reporta nueva vulnerabilidad de riesgo moderado en Internet Explorer, registrada bajo el ID CVE-2020-0674 , consiste en la ejecución de código remoto facilitada por la forma en la que el motor de scripts del navegador hace uso de los objetos en la memoria de IE, lanzando el proceso mediante la librería JScript.dll. Explotando esta vulnerabilidad, un atacante puede ejecutar código aleatorio de manera remota en los equipos afectados y hacerse con el control total de éstos con tan solo convencer a los usuarios para que abran una página maliciosa en IE. Se expone que si el usuario que ha iniciado sesión en…