Distribución de troyano njRAT vía correo bajo suplantación de identidad de la Agencia Nacional de Tránsito del Ecuador (ANT)
El día 10 de noviembre se ha detectado una campaña de distribución de malware desde una cuenta de correo que suplanta la identidad de la Agencia Nacional de Tránsito del Ecuador (ANT). El correo recibido cuenta con las siguientes características: Remitente: «transito_movilidad_colombia[@]hotmail[.]com»Asunto: «AGENCIA NACIONAL DE TRANSITO , INFORMA COMAPRENDO ELECTRONCIO.» Adjunto: «INFORMACION DETALLADA DE COMPARENDO ELECTRONICO AGENCIA NACIONAL DE TRANSITO.vbs.bz2». El adjunto contiene un archivo malicioso que desencadena una serie de descargas de malware con el propósito de tomar control del equipo del destinatario. Pese a que el usuario del correo indica movilidad Colombia, podemos observar en el cuerpo del…
Vulnerabilidad crítica en WP Reset PRO, el plugin de WordPress que permite borrar base de datos
Recientemente se ha divulgado una vulnerabilidad crítica en el plugin WP Reset PRO de WordPress, la misma permite que usuarios autenticados en un sitio web puedan borrar toda su base de datos. La vulnerabilidad tiene el identificador CVE-2021-36909. El plugin WP Reset PRO ayuda a un usuario con permisos de administración a restablecer rápidamente la base de datos del sitio a los valores de instalación predeterminados sin modificar ningún archivo. Elimina todas las personalizaciones y el contenido o solo las partes elegidas, como la configuración del tema. Sin embargo, la falta de autorización y verificación del token nonce permite que…
Vulnerabilidad zero-day en GlobalProtect VPN de Palo Alto Networks
Palo Alto Networks (PAN) ha publicado una vulnerabilidad crítica zero-day que afecta a su producto GlobalProtect VPN: Una vulnerabilidad de corrupción de memoria (CVE-2021-3064) en el portal GlobalProtect de Palo Alto Networks y las interfaces de puerta de enlace que permite a un atacante de red no autenticado interrumpir los procesos del sistema y potencialmente ejecutar código arbitrario con privilegios de root. El atacante debe tener acceso de red a la interfaz de GlobalProtect para aprovechar este problema. Puntuación CVSS v3.1: 9.8/10.Los productos afectados son los siguientes: PAN-OS 8.1.16 e inferiores. Las recomendaciones de mitigación del fabricante Palo Alto Networks…
Vulnerabilidad crítica en modulo TIPC del Kernel de Linux
Se ha descubierto una falla de seguridad en el modulo de proceso comunicación interna transparente (TIPC), también conocida como CVE-2021-43267, es una vulnerabilidad de heap overflow que se puede explotar tanto localmente como de manera remota ejecutando código arbitrariamente en el Kernel, adquiriendo privilegios de root y tomando completo control sobre las máquinas vulnerables. Fallo en MSG_CRYPTO TIPC es un protocolo que funciona en la capa de transporte, diseñado para nodos activos en un ambiente de cluster dinámico para comunicarse mutuamente de manera confiable de tal forma que es más eficiente y tolera más errores que otros protocolos como TCP….
«Shrootless»: vulnerabilidad crítica en macOS
Recientemente MSRV (Miscrosoft Security Vulnerability Research) publicó una vulnerabilidad de Escala de privilegios, denominada Shrootless, también conocida con el identificador CVE-2021-30892, afecta a varios sistemas operativos de Apple macOS. Falla del SIP (System Integrity Protection) SIP es el sistema de macOS para proteger la modificación de carpetas y archivos, bloqueando software potencialmente malicioso al restringir al usuario root limitando sus acciones sobre partes protegidas del sistema operativo. La vulnerabilidad Shrootless es posible debido a que el deamon system_installd con caracterísitcas de com.apple.rootless.install.inheritable permite a cualquier subproceso pasar por encima de las restricciones de SIP. Al interceptar el proceso de instalación…
OptinMonster: La vía rápida para el código arbitrario en WordPress
Ha sido expuesta una vulnerabilidad para OptinMonster, para todas las versiones desde la 2.6.4 o inferiores. El Plugin de WordPress ha sido afectado por una vulnerabilidad de alta severidad que permite el ingreso no autorizado a la API de un website con consecuencias dantescas como la divulgación de información sensible de millones de sitios en WordPress. La vulnerabilidad, con el identificador CVE-2021-39341, fue descubierta el 28 de septiembre del 2021. OptinMonster es uno de los plugins más populares de WordPress, entre sus funciones está convertir a los visitantes de un sitio web de visitantes a suscriptores o incluso clientes. La…
HashThemes Demo Importer: ¡El Plugin de WordPress que puede dejarte sin sitio web!
El día 25 de octubre del 2021 ha comenzado la divulgación a cargo de Wordfence acerca de la vulnerabilidad con el identificador CVE-2021-39333 que se encuentra asociada al plugin HashThemes Demo Importer. Este plugin tiene, entre sus funcionalidades, que un usuario con los privilegios adecuados pueda resetear a valores predeterminados un sitio web por completo. En la versión 1.1.2 del plugin se presentó la vulnerabilidad misma que permite a un atacante ganar acceso de manera arbitraria y borrar el contenido del sitio sin mayor problema. El plugin presentaba un fallo al realizar las comprobaciones de permisos para realizar varias acciones…
Ejecución de código remoto en phpMyAdmin (CVE-2018-12613)
Se ha publicado un reciente exploit remoto para phpMyAdmin en sus versiones 4.8.0/4.8.1 (Software de Administración de Base de Datos) en el cual un atacante puede incluir archivos en el servidor y ejecutar código remoto, mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Se explota la vulnerabilidad identificada en el CVE-2018-12613. El atacante puede iniciar el exploit desde la red, la vulnerabilidad se encuentra presente en una porción de código, donde las páginas son redireccionadas y cargadas dentro del app phpMyAdmin. El atacante DEBE estar autenticado, excepto en los casos que se tenga…
MediaTags: Un plugin de WordPress vulnerable a ataques XSS
El día 25 de octubre de 2021, se ha hecho público un exploit para realizar un Stored Cross-Site Scripting (Stored XSS). Este exploit no tiene un CVE asociado, sin embargo, este tipo de ataques también conocido como XSS Type-2 está asociado al CWE-79. Este tipo de ataques consta en depositar un payload en el database de un website para escalar privilegios de forma no autorizada o para robar información sensible almacenada en el sitio web. Una vez que el payload ha sido instalado con éxito se pueden realizar operaciones no autorizadas o realizar el robo de datos sensibles. La vulnerabilidad…
Plugin de WordPress Ninja Tables con vulnerabilidad XSS (Cross-Site Scripting)
El día lunes, 25 de Octubre del 2021, se publicó una vulnerabilidad de Cross-Site Scripting (XSS) que afecta al plugin de WordPress Ninja Tables con versión menor o igual a la 4.1.7. Este plugin es utilizado por más de 70,000 páginas de WordPress, del cual el 100% de sitios son vulnerables, debido a que la versión más actual es la 4.1.7. XSS Almacenado (Persistente) Este tipo de Cross-site Scripting es el más peligroso de los dos tipos de XSS (almacenado y reflectivo), debido a que un atacante puede inyectar código malicioso diréctamente a una aplicación web vulnerable; Al ser explotada…