Backdoor de cuenta de usuario descubierto en más de cien mil dispositivos Zyxel firewalls y VPN gateways
Más de 100.000 firewalls, VPN gateways y controladores de puntos de acceso Zyxel contienen una cuenta de puerta trasera de nivel de administrador codificada que puede otorgar a los atacantes acceso de root a los dispositivos a través de la interfaz SSH o el panel de administración web, identificado como CVE-2020-29583. La cuenta de puerta trasera, descubierta por un equipo de investigadores de seguridad holandeses de Eye Control, se considera tan mala en términos de vulnerabilidades. Los expertos en seguridad advierten que cualquier persona, desde operadores de botnet DDoS hasta grupos de piratas informáticos patrocinados por el estado y bandas de…
Múltiples vulnerabilidades reportadas en FortiWeb
Fortiguard ha reportado varias vulnerabilidades en su producto FortiWeb y para las que Fortinet ha lanzado las actualizaciones respectivas. A continuación, se detallan las vulnerabilidades, productos afectados y solución respectiva. Inyección SQL ciega (CVE-2020-29015): Esta vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar consutas o comando SQL arbitrarios enviando una solicitud especialmente diseñada que contiene una declaración SQL maliciosa.Productos Afectados: FortiWeb versiones 6.3.7 y menores, FortiWeb versiones 6.2.3 y menores.Soluciones: FortiWeb versiones 6.3.8 o mayores, FortiWeb versiones 6.2.4 o mayores. Vulnerabilidad de desbordamiento de búfer basado en pilas (CVE-2020-29016): Esta vulnerabilidad podría permitir a un atacante remoto no…
Malware convierte a los servidores en mineros de criptomonedas
Un malware multiplataforma basado en Golang convierte a los servidores Windows y Linux en mineros de la criptomoneda Monero. La criptomoneda Monero proporciona una serie de funcionalidades que permiten firmar una transacción sin revelar las direcciones (o claves públicas) de quien envía o recibe monedas, ni del monto involucrado. El acceso a la información exacta sobre dicho monto está disponible únicamente para las partes involucradas en la transacción. El investigador de seguridad de Intezer, Avigayil Mechtinge, reveló que los atacantes detrás de esta campaña han estado actualizando activamente las capacidades del gusano, que se propaga en sistemas mediante servicios públicos de…
SolarWinds libera una actualización de seguridad para el nuevo malware SUPERNOVA
A principios de este mes, SolarWinds sufrió un ciberataque que permitió a los actores de amenazas modificar un archivo legítimo SolarWinds Orion «Orion.Core.BusinessLayer.dll» DLL para incluir el malware malicioso de puerta trasera SUNBURST. Luego, este archivo se distribuyó a los clientes de SolarWinds mediante una función de actualización automática en un ataque a la cadena de suministro. Tanto Palo Alto como Microsoft informaron sobre un malware adicional llamado SUPERNOVA distribuido mediante el archivo DLL, este malware es un webshell colocado en el código de la red Orion y la plataforma de monitoreo de aplicaciones y permite a los atacantes ejecutar…
Múltiples vulnerabilidades en Treck TCP/IP stack
Cybersecurity & Infraestructure Security Agency (CISA) notificó en su ICS Advisory (ICSA-20-353-01) múltiples vulnerabilidades encontradas en Treck TCP/IP stack, también conocido como: Kasago TCP/IP, ELMIC, Net+ OS, Quadnet, GHNET v2, Kwiknet, o AMX que permiten la ejecución de códigos arbitrarios o denegación de servicios. Los siguientes componentes de Treck TCP/IP stack versión 6.0.1.67 o anteriores están siendo afectadas: HTTP Server IPv6 DHCPv6 Se han reportado 4 vulnerabilidades: HEAP-BASED BUFFER OVERFLOW CWE-122: Es una vulnerabilidad CVE-2020-25066 en componentes del HTTP Server que permiten a los atacantes realizar denegación de servicio, aunque también es posible ejecutar códigos arbitrarios. OUT-OF-BOUNDS WRITE CWE-787: La…
Vulnerabilidades críticas afectan dispositivos «thin client» de Dell Wyse
Se ha notificado vulnerabiliades críticas en los dispositivos Dell Wyse Thin Client que ejecuten ThinOS 8.6 o inferior, que permite a los atacantes la posibilidad de ejecutar códigos maliciosos y el acceso a ficheros arbitrarios. Las dos vulnerabilidades identificadas son: CVE-2020-29491 y CVE-2020-29492. El primero permite a un atacante no autenticado acceder al sistema afectado y obtener información sensible almacenada en ficheros INI de configuración. Mientras que el segundo, permite la modificación de los fichero INI. Los atacantes podrían filtrar credenciales de escritorio remoto, configurar VNC para el control remoto, manipular resultados DNS, entre otros escenarios. Según cyberMDX, los modelos…
Bypass de autenticación en Apache Pulsar Manager
Se ha hecho pública una vulnerabilidad crítica en Apache Pulsar Manager, identificada como CVE-2020-17520, una funcionalidad del componente Verification Handler es afectada por este fallo y podría permitir a un atacante remoto pasar por alto el rol administrador de pulsar-manager y obtener acceso a cualquier API HTTP. El ataque se puede efectuar a través de la red local. La explotación no necesita ninguna autentificación específica y al momento, no se conoce los detalles técnicos ni hay ningún exploit disponible. La vulnerabilidad afecta a la versión 0.1.0 de Apache Pulsar Manager. Apache ha lanzado un parche de seguridad que corrige esta…
Vulnerabilidad de ejecución remota de código en Webmin
Investigadores de seguridad han descubierto una vulnerabilidad de ejecución remota de código presente en Webmin, herramienta de administración de recursos de red. Cualquier usuario autorizado de utilizar el módulo «Package Updates» puede realizar ejecución arbitraria de comandos con privilegios de super usuario. Esta vulnerabilidad, identificada como CVE-2020-35606, hace abuso de la remediación de seguridad tomada para corregir el fallo reportado sobre el CVE-2019-12840, lo cual permite un nuevo y potencial vector de ataque. Impacto: Vector de acceso: A través de red Complejidad de Acceso: Baja Autenticación: No disponible Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso…
Vulnerabilidad crítica en plugin ‘Contact Form 7’ afecta a más de 5 millones de sitios WordPress
El equipo de investigación de Astra descubrió una vulnerabilidad crítica de tipo «Unrestricted File Upload» en el complemento de WordPress ‘Contact Form 7′ instalado en más de 5 millones de sitios de WordPress. ‘Contact Form 7‘ es un complemento muy popular de WordPress, el cual es utilizado para añadir formularios de contacto en un sitio y gestionar los contactos que dejan los usuarios tras completar el formulario. La vulnerabilidad, identificada como CVE-2020-35489, reside en la función de subir archivos la cual permite cargar archivos sin restricción de formato. Impacto Al explotar esta vulnerabilidad, los atacantes podrían subir archivos de cualquier…
Apple lanza actualizaciones de seguridad para varios productos
Apple lanza actualizaciones a varios de sus dispositivos para arreglar varias vulnerables presentes en las ultimas semanas. En iOS 12.5, a vulnerabilidad CVE-2020-27951, permitía la ejecución de código no autorizado que generaba una infracción de la política de autenticación. El parche esta disponible para iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 y iPod touch (sexta generación). Para iOS 14.3 and iPadOS 14.3 todas las actualizaciones van enfocadas a dispositivos iPhone 6s o superior, iPad Air 2 o superior, iPad mini 4 o superior y iPod touch de 7ma generación. La primera vulnerabilidad…