Vulnerabilidad crítica en Windows Print Spooler (CVE-2021-1675)
Se ha hecho pública una vulnerabilidad clasificada como crítica que afecta a todas las versiones del sistema operativo Microsoft Windows. La vulnerabilidad, con identificador CVE-2021-1675, reside en una función desconocida del servicio Print Spooler (spoolsv.exe) el cual de forma predeterminada es habilitado por Windows, encargado de interactuar con impresoras locales o en red y gestiona el proceso de impresión. El fallo de seguridad ha sido clasificado de tipo RCE (ejecución remota de código), afectando principalmente la confidencialidad, integridad y disponibilidad. La vulnerabilidad resulta fácil de explotar, el ataque se realiza localmente y para explotarla se requiere una autentificación. Recientemente ha…
VMware corrige una vulnerabilidad crítica de vCenter Server RCE
VMware ha corregido dos vulnerabiliades (CVE-2021-21985, CVE-2021-21986) que afectan a VMware vCenter Server y VMware Cloud Foundation. Vulnerabilidad de ejecución remota de código en vSphere Client (CVE-2021-21985) El CVE-2021-21985 es una vulnerabilidad crítica de ejecución remota de código en vSphere Client (HTML5). Existe debido a la falta de validación de entrada en el complemento Virtual SAN Health Check, que está habilitado de forma predeterminada en vCenter Server. Tiene una calificación de 9.8 en la escala CVSSv3. Un atacante que tenga acceso al puerto 443 puede aprovechar la vulnerabilidad para ejecutar comandos con privilegios ilimitados en el sistema operativo subyacente que…
Vulnerabilidad grave en PLCs de Siemens podría ser explotada de manera remota y sin necesidad de autenticación.
Investigadores de la firma de ciberseguridad industrial Claroty han descubierto una vulnerabilidad grave en los controladores lógicos programables (PLCs) de Siemens, registrada bajo el ID CVE-2020-15782 se genera por una omisión de protección del sistema de memoria a través de una operación específica (y no revelada). Esto permitiría que un atacante con acceso de red a través del puerto TCP/102 pudiese acceder a áreas de memoria protegidas, escribir datos y código en áreas de la misma o leer datos confidenciales para lanzar otros ataques, como por ejemplo la ejecución de código arbitrario. Los investigadores demostraron cómo un atacante podía eludir…
Instalador troyano de AnyDesk distribuido en Google
El famoso programa de AnyDesk ha sido utilizado para armar una campaña maliciosa en que el instalador se distribuye a través de anuncios maliciosos de Google. La campaña, que se estima empezó el 21 de abril de este año, es exitosa si personas desprevenidas que están usando Google buscan ‘AnyDesk’ y no se percatan que el anuncio no es de la página oficial. La página maliciosa es un clon del sitio web legítimo de AnyDesk y de este modo la víctima se descarga un instalador bajo nombre AnyDeskSetup.exe, que al ejecutarse, descarga un PowerShell para acumular y exfiltrar información del…
Vulnerabilidad XSS en el complemento ‘ReDi Restaurant Booking’ de WordPress
Se ha reportado una vulnerabilidad XSS en el plugin de WordPress «ReDi Restaurant Reservation», el cual permite a los negocios de restaurantes gestionar las reservas de sus clientes. El investigador en ciberseguridad, Bastijn Ouwendijk, alertó el día 15 de abril a los creadores del plugin, de una vulnerabilidad de tipo Cross-Site Scripting (XSS) la cual afectaba a versiones anteriores a la 21.0307. Registrada bajo el ID CVE-2021-24299, esta vulnerabilidad es fácil de explotar y permitiría a los atacantes no autenticados, acceder a los datos de reserva, información de clientes, e incluso, filtrar la clave API privada del plugin, almacenados en…
Múltiples vulnerabilidades críticas en EXIM
Investigadores de la firma de seguridad Qualys han hecho público múltiples fallos de seguridad en el popular software de servidor de correo electrónico de código abierto EXIM. Se encontraron 21 vulnerabilidades en total, de las cuales 10 podrían prestarse para una explotación remota. Exim es un agente de transporte de correo de código abierto desarrollado para sistemas operativos tipo Unix que está en funcionamiento en el 60% de los servidores de correo de internet. Algunas de las vulnerabilidades reportadas se pueden encadenar para realizar una ejecución remota de código no autenticado y obtener privilegios de root en Exim Server. A…
Archivos maliciosos de jQuery infectan sitios con WordPress
Se han detectado versiones falsificadas del complemento jQuery en varios sitios web. Estos archivos suelen estar guardados como «jquery-migrate.js» y «jquery-migrate.min.js» donde suelen estar comúnmente los archivos tipo JavaScript. jQuery que permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web. Los atacantes aprovechan su popularidad del nombre ya que es usado por 7.2 millones de sitios web. Los atacantes reemplazan el archivo original con una falsificación en la siguiente ruta: «./wp-includes/js/jquery/». El archivo malicioso carga un malware desde la página «hxxps://stick.travelinskydream[.]ga/analytics.js»….
Vulnerabilidad de inyección de entidad externa XML en WordPress
Investigadores de la firma de seguridad SonarSource han hecho público un fallo de seguridad de tipo inyección de entidad externa XML (XXE) en WordPress, el cual podría permitir a los atacantes robar de forma remota los archivos de una víctima. La vulnerabilidad, etiquetada con el identificador CVE-2021-29447, existe debido a una validación insuficiente de la entrada XML proporcionada por el usuario en la biblioteca Media Library. Un usuario remoto autenticado con capacidad para cargar archivos puede pasar un código XML especialmente diseñado a la aplicación afectada y ver el contenido de archivos arbitrarios en el sistema o iniciar solicitudes a…
Cisco corrige un error que permite la ejecución remota de código con privilegios de root
Cisco ha realizado la publicación de actualizaciones de seguridad para solventar una vulnerabilidad crítica (CVE-2021-1479) de ejecución remota de código (RCE) previa a la autenticación que afecta al componente de administración remota del «SD-WAN vManage», recibió una puntuacion de gravedad de 9.8/10 en CVSS. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud de conexión diseñada al componente vulnerable que, cuando se procesa, podría causar una condición de desbordamiento del búfer. Cisco La compañía también publicó otras soluciones para dos vulnerabilidades de seguridad con alta gravedad en las funciones de administración de usuario (CVE-2021-1137) y transferencia de archivos del sistema…
Vulnerabilidades graves en el plugin Facebook para WordPress
El equipo de Wordfence Threat Intelligence ha indicado errores que impactan en «Facebook para WordPress», anteriormente conocido como «Official Facebook Pixel», dicho complemento es usado para obtener las acciones realizadas por los usuarios y monitorear el trafico.La vulnerabilidad tiene un puntaje de 9 en CVSS. El problema radica en la función «run_action()» debido que se puede realizar un «PHP Object Injection» lo que permitiría al atacante subir un archivo a la plataforma para realizar la ejecución de códigos con fines maliciosos. This flaw made it possible for unauthenticated attackers with access to a site’s secret salts and keys to achieve…