Vulnerabilidad crítica en Confluence Server y Confluence Data Center permite ejecución remota de código
Una vulnerabilidad crítica en el software de colaboración en equipo de Atlassian, Confluence, está siendo utilizada recientemente en campañas activas de escaneo y explotación. El fallo de seguridad afecta a las versiones on-premise Confluence Server y Confluence Data Center, y ha sido identificado como CVE-2021-26084. La vulnerabilidad radica en la tecnología OGNL (Object-Graph Navigation Language), un lenguaje de scripting que interactúan con el código fuente Java, sobre el cual se encuentra desarrollado la gran mayoría del software Confluence. Según lo expuesto por el fabricante, el fallo puede ser explotado por actores de amenaza para evadir autenticación e inyectar comandos maliciosos…
Vulnerabilidad crítica en documentos Office para Windows de ejecución remota de código.
Los equipos de seguridad de Microsoft han informado una vulnerabilidad identificada como CVE-2021-40444, la cual consiste en una explotación de MSHTML, el cual es un componente de Internet Explorer que se relaciona con funciones de HTML, que permite atacar a los usuarios de Microsoft Office mediante ejecución remota de código (RCE). El ataque consiste en el envío de archivos de Office, engañando a las victimas para que lo abran, lo cual ejecutará en Internet Explorer una página web previamente creada, en esta se tiene un controlador ActiveX que podrá realizar descarga de malware en la computadora de la víctima. Los…
Vulnerabilidad crítica en Moodle
Se ha hecho pública una vulnerabilidad crítica en Moodle, la popular plataforma de e-learning de código abierto utilizada por 190.000 organizaciones en todo el mundo, la cual podría permitir ejecución remota de código (RCE). El fallo de seguridad, asignado con identificador CVE-2021-36394, fue descubierto por los investigadores Robin Peraglie y Johannes Moritz. Consiste en una vulnerabilidad de inyección de objetos PHP en el módulo de autenticación Shibboleth de Moodle, el cual se encuentra deshabilitado por defecto. Si el módulo se encuentra activado, la vulnerabilidad podría permitir a atacantes no autenticados lograr la ejecución remota de código (RCE), lo que resulta…
Vulnerabilidad de inyección de comandos en el complemento «Plainview Activity Monitor» de WordPress
En el año 2018 se encontró una vulnerabilidad de inyección de comando en un gestión de contenidos: WordPress. Dicha debilidad existe en el plugin «Plainview Activity Monitor» que afecta a las versiones 20161228 o anterior. Se le identifica como CVE-2018-15877. Considerar que esta vulnerabilidad no puede ser ejecutada remotamente por sí sola. Es necesario que estén presentes: vulnerabilidad de ataque CSRF y vulnerabilidad reflejada de secuencias de comandos entre sitios. Cuando estas 3 debilidades trabajan juntas, el atacante puede ejecutar comandos de manera remota en el sistema de otro usuario permitiendo el acceso no autorizado a datos privados. En el…
PrintNightmare: Vulnerabilidad sin parche afecta al servicio de cola de impresión de Windows – CVE-2021-34527
Microsoft lanzó el 01/07/2021 una vulnerabilidad identificada como CVE-2021-34527, que afecta al servicio de cola de impresión de Windows y permitiría la ejecución de código remoto en los sistemas con dicho servicio, incluso desde las cuentas de usuarios que sólo tienen permisos básicos. Cabe mencionar, que este problema es similar pero distinto de la vulnerabilidad a la que se le asigna CVE-2021-1675, que aborda una vulnerabilidad diferente en RpcAddPrinterDriverEx (). El vector de ataque también es diferente al CVE-2021-1675 que fue abordado por la actualización de seguridad publicada el 8 de junio de 2021. La vulnerabilidad de ejecución remota de…
Ransomware afecta a varias empresas con Kaseya VSA
Durante la tarde del 2 de Julio del 2021, se han reportado varias empresas comprometidas con el ransomware perteneciente al grupo REvil gracias al software de administración de TI llamado Kaseya VSA Kaseya es un popular proveedor de servicios administrados que brinda infraestructura de TI a varias empresas. VSA se encuentra entre los programas de software más populares del mundo para MSP (Proveedores de servicios gestionados) que brindan servicios de RMM (Monitoreo y administración remota). Durante las últimas horas emitió un aviso de seguridad advirtiendo a sus clientes que apaguen inmediatamente su servidor VSA para evitar la propagación del ataque….
Vulnerabilidad crítica en Windows Print Spooler (CVE-2021-1675)
Se ha hecho pública una vulnerabilidad clasificada como crítica que afecta a todas las versiones del sistema operativo Microsoft Windows. La vulnerabilidad, con identificador CVE-2021-1675, reside en una función desconocida del servicio Print Spooler (spoolsv.exe) el cual de forma predeterminada es habilitado por Windows, encargado de interactuar con impresoras locales o en red y gestiona el proceso de impresión. El fallo de seguridad ha sido clasificado de tipo RCE (ejecución remota de código), afectando principalmente la confidencialidad, integridad y disponibilidad. La vulnerabilidad resulta fácil de explotar, el ataque se realiza localmente y para explotarla se requiere una autentificación. Recientemente ha…
VMware corrige una vulnerabilidad crítica de vCenter Server RCE
VMware ha corregido dos vulnerabiliades (CVE-2021-21985, CVE-2021-21986) que afectan a VMware vCenter Server y VMware Cloud Foundation. Vulnerabilidad de ejecución remota de código en vSphere Client (CVE-2021-21985) El CVE-2021-21985 es una vulnerabilidad crítica de ejecución remota de código en vSphere Client (HTML5). Existe debido a la falta de validación de entrada en el complemento Virtual SAN Health Check, que está habilitado de forma predeterminada en vCenter Server. Tiene una calificación de 9.8 en la escala CVSSv3. Un atacante que tenga acceso al puerto 443 puede aprovechar la vulnerabilidad para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que…
Vulnerabilidad grave en PLCs de Siemens podría ser explotada de manera remota y sin necesidad de autenticación.
Investigadores de la firma de ciberseguridad industrial Claroty han descubierto una vulnerabilidad grave en los controladores lógicos programables (PLCs) de Siemens, registrada bajo el ID CVE-2020-15782 se genera por una omisión de protección del sistema de memoria a través de una operación específica (y no revelada). Esto permitiría que un atacante con acceso de red a través del puerto TCP/102 pudiese acceder a áreas de memoria protegidas, escribir datos y código en áreas de la misma o leer datos confidenciales para lanzar otros ataques, como por ejemplo la ejecución de código arbitrario. Los investigadores demostraron cómo un atacante podía eludir…
Instalador troyano de AnyDesk distribuido en Google
El famoso programa de AnyDesk ha sido utilizado para armar una campaña maliciosa en que el instalador se distribuye a través de anuncios maliciosos de Google. La campaña, que se estima empezó el 21 de abril de este año, es exitosa si personas desprevenidas que están usando Google buscan ‘AnyDesk’ y no se percatan que el anuncio no es de la página oficial. La página maliciosa es un clon del sitio web legítimo de AnyDesk y de este modo la víctima se descarga un instalador bajo nombre AnyDeskSetup.exe, que al ejecutarse, descarga un PowerShell para acumular y exfiltrar información del…