Noticias Destacadas

5 vulnerabilidades severas del router D-Link reveladas.

La compañía D-Link ha revelado cinco vulnerabilidades graves en algunos de sus modelos de routers, lo que podría permitir un grave compromiso de la red. Además, algunos dispositivos han alcanzado su fase de «final de la vida útil», lo que significa que no serían parcheados.

Las vulnerabilidades reportadas por el equipo de ACE – Loginsoft incluyen ataques reflejados de Cross-Site Scripting (XSS), desbordamientos de búfer para obtener credenciales de administrador, omitir la autenticación por completo y ejecutar código arbitrario.
Cualquier atacante con acceso a la página de administración del enrutador puede llevar a cabo dichos ataques incluso si no conoce las credenciales de administrador.
Para la mayoría de las configuraciones, el atacante debería estar presente en la misma red que el enrutador para acceder a la interfaz de administración web del enrutador.
Se vuelve mucho más problemático para aquellos usuarios que permiten el acceso remoto a la interfaz de administración web del enrutador D-Link.
Si la interfaz de administración remota está habilitada, todo lo que un atacante remoto debería hacer es realizar una solicitud simple a la dirección IP pública del enrutador, omitir la autenticación y hacerse cargo del dispositivo y la red.

Respuesta de D-Link

En un aviso exhaustivo que cubre todos los CVE, D-Link lanzó una lista de todas las versiones de firmware y dispositivos de hardware vulnerables. 

Algunas de las vulnerabilidades se informaron tan pronto como el 9 de febrero de 2019, según D-Link, mientras que algunas de las advertencias de Loginsoft se remontan a marzo de 2020.

Sin embargo, los 5 CVE solo se han revelado públicamente el 22 de julio de 2020, según NVD. 

Para más información:

Múltiples vulnerabilidades en Moodle

La plataforma de aprendizaje Moodle, ha realizado recientemente una publicación sobre la detección y correción de múltiples vulnerabilidades de severidad alta y media.

La siguientes vulnerabilidades de severidad alta deben ser solventadas mediante la actualización a las versiones 3.9.1, 3.8.4, 3.7.7 y 3.5.13.

CVE-2020-14320: Vulnerabilidad en el filtro de registro de tareas, aumentaba el riesgo de un ataque XSS reflejado.

  • Versiones afectadas: 3.9, 3.8 a 3.8.3 y 3.7 a 3.7.6

CVE-2020-14321: Permitía a los usuarios con rol de profesor escalar al rol de manager.

  • Versiones afectadas: 3.9, 3.8 a 3.8.3, 3.7 a 3.7.6, 3.5 a 3.5.12 y todas las versiones previas sin soporte.

CVE-2020-14322: No tener un límite en la carga de archivos a la plataforma, aumentaba el riesgo de un ataque de denegación de servicio.

  • Versiones afectadas: 3.9, 3.8 to 3.8.3, 3.7 a 3.7.6, 3.5 to 3.5.12 y todas las versiones previas sin soporte.

La vulnerabilidad de severidad media registrada con el identificador CVE-2019-11358, hace referencia a una versión de JQuery obsoleta que aumentaba el riesgo de contaminación. Las versiones afectadas desde la 3.8 a la 3.8.3, deben ser actualizadas a las versiones 3.8.4 y 3.9.

Se recomienda gestionar con sus proveedores la actualización de Moodle a las versiones no vulnerables disponibles.

Referencias:

  • https://moodle.org/security/index.php?o=3&p=0
  • https://moodle.org/mod/forum/discuss.php?d=407394
  • https://moodle.org/mod/forum/discuss.php?d=407393
  • https://moodle.org/mod/forum/discuss.php?d=407392
  • https://moodle.org/mod/forum/discuss.php?d=407391
  • https://www.incibe-cert.es/en/node/160719

Nuevas Actualizaciones de Seguridad en Apple

Apple ha lanzado actualizaciones de seguridad que remedian múltiples vulnerabilidades en múltiples productos, las cuales podrían permitir que un atacante tome el control de un sistema afectado.

Las actualizaciones también remedian vulnerabilidades reportadas en el Kernel, como la vulnerabilidad con identificador CVE-2019-14899 publicada el año pasado, que permite a un punto de acceso malicioso, o un usuario adyacente, determinar si un usuario conectado está utilizando una VPN, hacer inferencias positivas sobre los sitios web que está visitando, y determinar la secuencia correcta y los números de reconocimiento en uso, permitiendo al actor malo inyectar datos en la secuencia TCP. Esto proporciona todo lo necesario para que un atacante secuestre conexiones activas dentro del túnel VPN.

Para conservar la seguridad de los productos Apple, es muy importante mantener actualizado el software. Se recomienda los usuarios y administradores revisar las páginas de publicación de Apple para los siguientes productos y aplicar las actualizaciones necesarias:

Ten presente que no se pueden deshacer las actualizaciones de software de iOS, iPadOS, tvOS y watchOS.

Mas Información:

Vulnerabilidad RCE CRÍTICA que afecta a Servidores Windows desde hace 17 años

La falla de ejecución remota de código de 17 años (CVE-2020-1350), denominada ‘SigRed’ por Check Point, podría permitir que un atacante remoto no autenticado pueda ejecutar código arbitrario y llegue a obtener privilegios de administrador de dominio sobre servidores específicos y tome el control completo de la infraestructura de TI de una organización .

La vulnerabilidad existe en los servidores DNS Windows cuando no pueden manejar correctamente las solicitudes. Este problema resulta de una falla en la implementación del rol del servidor DNS de Microsoft y afecta a todas las versiones de Windows Server. Los servidores DNS que no son de Microsoft no se ven afectados.

Microsoft lanzó una actualización para el CVE-2020-1350, que está clasificado como una vulnerabilidad «wormable» y tiene un puntaje base de CVSS de 10.0. La actualización corrige la vulnerabilidad al modificar la forma en que los servidores DNS de Windows manejan las solicitudes.

Las vulnerabilidades «wormable» tienen el potencial de propagarse a través de malware entre computadoras vulnerables sin la interacción del usuario. Windows DNS Server es un componente de red central. Si bien actualmente no se sabe que esta vulnerabilidad se use en ataques activos, es esencial que los clientes apliquen las actualizaciones de Windows para abordar esta vulnerabilidad lo antes posible.

Si aplicar la actualización rápidamente no es práctico, hay disponible una solución alternativa basada en el registro que no requiere reiniciar el servidor. La actualización y la solución se detallan en la publicación del CVE-2020-1350 de Microsoft.

Para más información:

  • https://thehackernews.com/2020/07/windows-dns-server-hacking.html?m=1#click=https://t.co/Qoode1dizp
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
  • https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/
  • https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-execution-vulnerability

Vanity URL – Personalización de enlaces Zoom permitía suplantar a otras organizaciones

El mecanismo Vanity URL permite a las organizaciones crear una versión personalizada de los enlaces de invitaciones de Zoom.

Los investigadores de la firma de ciberseguridad CheckPoint revelaron detalles de una falla menor pero fácil de explotar en Zoom, el software de videoconferencia muy popular y ampliamente utilizado.

Un atacante podría haber intentado hacerse pasar por el enlace de Vanity URL de una organización y enviar invitaciones que parecían legítimas para engañar a una víctima. Además, el atacante podría haber dirigido a la víctima a un sitio web dedicado de subdominio, donde la víctima ingresó al ID de la reunión correspondiente y no se le hizo saber que la invitación no provenía de la organización legítima.

El problema de seguridad se centra en las funcionalidades de subdominio descritas anteriormente. Hay varias formas de ingresar a una reunión que contiene un subdominio, incluido el uso de un enlace directo de subdominio que contiene el ID de la reunión o el uso de la interfaz de usuario web personalizada del subdominio de la organización.

Hay muchos escenarios relevantes del día a día que podrían haberse aprovechado utilizando este método de suplantación, lo que podría haber resultado en un intento de phishing exitoso, especialmente si se utiliza para suplantar la URL de Zoom Vanity de una empresa. Por ejemplo, un atacante podría haberse presentado como empleados legítimos en la empresa, enviando una invitación desde el Vanity URL de una organización a clientes relevantes para ganar credibilidad. Esta actividad podría haberse aprovechado para robar credenciales e información confidencial, así como otras acciones de fraude.

Todos los detalles de cómo un atacante podría hacerse pasar por los enlaces de subdominio Zoom de una organización o el sitio web real de subdominio se notificaron responsablemente a Zoom Video Communications, Inc.. Zoom ha solucionado este problema de seguridad, por lo que las vulnerabilidades descritas ya no son posibles.

Más información:

14 fallas día cero en CentOS permiten instalar ransomware en la red

Especialistas en análisis de vulnerabilidades reportan el hallazgo de al menos 14 vulnerabilidades de seguridad en CentOS, un panel de gestión de hosting gratuito pensado para facilitar la administración de servidores dedicados y VPS. Acorde al reporte, la explotación exitosa de estas vulnerabilidades podría permitir escenarios como inyección SQL o escaladas de directorios.

A continuación se presentan algunos detalles sobre las fallas reportadas, además de sus respectivos puntajes. Cabe señalar que estas vulnerabilidades no han recibido una clave de identificación según el Common Vulnerability Scoring System (CVSS).

  • La insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “user” de “ajax_mail_autoreply.php” permite a los hackers remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo. La falla recibió un puntaje de 6.9/10.
  • La validación de entrada incorrecta dentro de “ajax_ftp_manager.php” permite a los hackers remotos ejecutar comandos arbitrarios en el sistema objetivo. Esta falla es considerada crítica, pues recibió un puntaje de 9/10. 
  • La desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “package” en “ajax_list_accounts.php” permite a los actores de amenazas remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo. Esta vulnerabilidad recibió un puntaje de 6.9/10.
  • Una desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “status” en “ajax_list_accounts.php” permite a los usuarios remotos ejecutar consultas SQL arbitrarias en la base de datos objetivo, mencionan los especialistas en análisis de vulnerabilidades.
  • Esta falla existe debido a una insuficiente desinfección insuficiente de datos enviados por el usuario en el parámetro “username” de “ajax_list_accounts.php”, lo que permitiría a los actores de amenazas remotos ejecutar consultas SQL arbitrarias. La falla recibió un puntaje de 6.9/10.
  • Una insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “type” de “ajax_list_accounts.php” permitiría a los hackers remotos ejecutar consultas SQL arbitrarias. La vulnerabilidad recibió un puntaje de 6.9/10.
  • Esta falla existe debido a la inadecuada depuración de los datos proporcionados por los usuarios, mencionan los expertos en análisis de vulnerabilidades. La falla permitiría obtener información confidencial ejecutando consultas SQL arbitrarias.
  • Una insuficiente depuración de los datos proporcionados por el usuario en el parámetro “email” en “ajax_mail_autoreply.php” permitiría a los hackers maliciosos ejecutar consultas SQL arbitrarias en la base de datos. La vulnerabilidad recibió un puntaje de 6.9/10.
  • La falla existe debido a la insuficiente desinfección de los datos proporcionados por el usuario en el parámetro “search” de “ajax_mail_autoreply.php”. Los hackers remotos podrían enviar una solicitud especialmente diseñada para ejecutar consultas SQL arbitrarias. La falla recibió un puntaje de 6.9/10.
  • Un error de validación de entrada al procesar secuencias transversales dentro del parámetro “ajax_mod_security.php” en “file” permitiría a los atacantes ejecutar ataques de escalada de directorios. Esta es una falla crítica que recibió un puntaje de 9/10, mencionan los especialistas en análisis de vulnerabilidades.
  • Una insuficiente depuración de los datos proporcionados por el usuario en el parámetro “domain” de “ajax_new_account.php” permitiría a los actores de amenazas ejecutar consultas SQL arbitrarias y obtener información potencialmente confidencial. La falla recibió un puntaje de 6.9/10.
  • La falla existe por la incorrecta depuración de los datos proporcionados por el usuario en el parámetro “username” en “ajax_add_mailbox.php”. Un hacker remoto no autenticado podría permitir a los hackers remotos ejecutar consultas SQL arbitrarias. La falla recibió un puntaje de 6.9/10.
  • La desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “term” en “ajax_dashboard.php” permitiría a los hackers ejecutar consultas SQL arbitrarias en la base de datos objetivo. Esta vulnerabilidad recibió un puntaje de 6.9/10.
  • La vulnerabilidad existe debido a la desinfección insuficiente de los datos proporcionados por el usuario en el parámetro “account” en “ajax_mail_autoreply.php”, lo que podría conducir a la ejecución de consultas SQL arbitrarias en el sistema objetivo. La falla recibió un puntaje de 6.9/10.

Los desarrolladores recibieron el reporte y reconocieron las fallas. Por desgracia, hasta ahora no hay parches de seguridad disponibles para corregir estas vulnerabilidades o soluciones alternativas para mitigar el riesgo de explotación. La buena noticia es que hasta el momento no se han reportado intentos de explotación en escenarios reales o algún malware vinculado a este ataque.

Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.

Nuevo ransomware macOS descubierto con capacidades de spyware

Dinesh Devadoss, un investigador de malware de la firma K7 Lab, publicó los hallazgos el martes sobre un nuevo ejemplo de ransomware macOS.

El malware conocido como ThiefQuest o EvilQuest además de encriptar los archivo de la víctima, también tiene capacidades de spyware que le permiten obtener contraseñas y números de tarjetas de crédito. El componente de spyware también se esconde persistentemente como una puerta trasera en los dispositivos infectados, lo que significa que se queda incluso después de que una computadora se reinicia, y podría usarse como plataforma de lanzamiento para ataques adicionales o de «segunda etapa».

Dado que el ransomware es tan raro en Macs para empezar, este golpe doble es especialmente notable.

Para que su equipo se infecte, es necesario descargar un instalador comprometido y luego descartar una serie de advertencias de Apple para ejecutarlo. Es un buen recordatorio para obtener su software de fuentes confiables, como los desarrolladores cuyo código está «firmado» por Apple para demostrar su legitimidad, o de la propia App Store de Apple.

Existen varios indicadores de compromiso relacionados con EvilQuest que pueden estar en monitoreo para verificar si algún equipo se encuentra infectado dentro de una red.

Como siempre, ante estos ataques la mejor manera de evitar las consecuencias es mantener un buen conjunto de copias de seguridad. Se recomienda guardar al menos dos copias de seguridad de todos los datos importantes, y al menos una no debe mantenerse adjunta a su Mac en todo momento. Por otro lado, es muy importante verificar los sitios de descarga de todo el software utilizado en el equipo.

Más Información:

VMware corrige vulnerabilidad crítica en Workstation y Fusion.

VMware lanzó actualizaciones de seguridad para corregir múltiples vulnerabilidades en VMware ESXi, Workstation y Fusion, siendo una de ellas un error crítico en las configuraciones predeterminadas de Workstation y Fusion que tienen gráficos 3D habilitados.

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) también  emitió una alerta  hoy advirtiendo que un «atacante podría explotar algunas de estas vulnerabilidades para tomar el control de un sistema afectado», y alentando a los usuarios y administradores a actualizar lo antes posible.

Vulnerabilidad crítica con un puntaje base de 9.3 CVSSv3

El problema crítico de seguridad rastreado como  CVE-2020-3962  es una  falla de uso libre en el dispositivo SVGA que podría permitir a los atacantes locales ejecutar código arbitrario en el hipervisor desde una máquina virtual después de una explotación exitosa.

Para bloquear los ataques diseñados para abusar de esta vulnerabilidad, se recomienda a los usuarios de VMware Workstation (Pro y Player) y VMware Fusion (Pro) actualizar de inmediato a la versión 15.5.5, mientras que los clientes de VMware ESXi deben actualizar a ESXi_7.0.0-1.20.16321839, ESXi670 -202004101-SG o ESXi650-202005401-SG.

VMware también proporcionó una solución alternativa para los usuarios que no pueden actualizar inmediatamente sus instalaciones, lo que requiere deshabilitar la aceleración de gráficos 3D apagando la máquina virtual, yendo a VM> Configuración> Hardware> Pantalla y desmarcando «Acelerar gráficos 3D».

Defectos importantes y moderados de gravedad.

VMware corrigió otras nueve vulnerabilidades de seguridad ( CVE-2020-3963 , CVE-2020-3964 , CVE-2020-3965 , CVE-2020-3966 , CVE-2020-3967 , CVE-2020-3968 , CVE-2020-3969 , CVE -2020-3970 , CVE-2020-3971 ) impactando ESXi, Workstation y Fusion, con puntajes base CVSSv3 que van desde 4.0 a 8.1.
Después de explotar con éxito estas fallas, los atacantes con acceso local a una máquina virtual (con privilegios de administrador en algunos casos) podrían ejecutar código en el hipervisor desde la VM, activar una condición de denegación de servicio (DoS), leer información privilegiada en el hipervisor memoria o en memoria física.

VMware proporciona enlaces a descargas de actualizaciones de seguridad que abordan todos los problemas que afectan a los productos VMware ESXi, Workstation y Fusion.

En abril, VMware corrigió una vulnerabilidad crítica en la plataforma de administración de infraestructura virtual de vCenter Server que podría haber permitido a los atacantes tomar el control de los dispositivos virtuales afectados o los sistemas Windows.

Para más información:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3962

Vulnerabilidades de Oracle E-Business Suite permitirían secuestro de operaciones comerciales

En un informe publicado por la empresa de ciberseguridad Onapsis, se revelaron detalles técnicos sobre las vulnerabilidades que informó en E-Business Suite (EBS) de Oracle, un grupo integrado de aplicaciones diseñadas para automatizar CRM, ERP y SCM operaciones para organizaciones.

Oracle parchó las dos vulnerabilidades, denominadas «BigDebIT» y calificó con un puntaje CVSS de 9.9, en una actualización de parche crítico (CPU) lanzada a principios de enero. Pero la compañía dijo que aproximadamente el 50 por ciento de los clientes de Oracle EBS no han implementado los parches hasta la fecha.

Los defectos de seguridad podrían ser explotados por atacantes para apuntar a herramientas de contabilidad como «General Ledger» en un intento de robar información confidencial y cometer fraude financiero.

https://thehackernews.com/images/-MQr2_aXQIiI/Xui5-9cxI7I/AAAAAAAAAdM/VNzUtWdNSSwy_NRApQRwIwfWGOU5kZApwCLcBGAsYHQ/s728-e100/oracle-software-hacking.jpg

Vale la pena señalar que los vectores de ataque BigDebIT se suman a las vulnerabilidades PAYDAY ya informadas en EBS descubiertas por Onapsis hace tres años, luego de lo cual Oracle lanzó una serie de parches hasta abril de 2019.

Identificado con los ID CVE-2020-2586 y CVE-2020-2587, los nuevos defectos residen en el Sistema de Gestión de Recursos Humanos (HRMS) de Oracle en un componente llamado Hierarchy Diagrammer que permite a los usuarios crear organizaciones y jerarquías de posición asociadas con una empresa. Juntos, pueden explotarse incluso si los clientes de EBS han implementado parches lanzados en abril de 2019.

Los defectos de Oracle E-Business Suite permiten a los atacantes secuestrar las operaciones comerciales.

«La diferencia es que con estos parches, se confirma que incluso con los sistemas actualizados son vulnerables a estos ataques y, por lo tanto, deben priorizar la instalación de la CPU de enero», dijo la compañía en una nota publicada en enero.

Si sus operaciones comerciales y la seguridad de los datos confidenciales dependen de E-Business Suite (EBS) de Oracle, asegúrese de haber actualizado recientemente y esté ejecutando la última versión disponible de software.

La importancia de aplicar la actualización de parche crítico

Dado el riesgo financiero involucrado, se recomienda que las empresas que usan Oracle EBS realicen una evaluación inmediata para asegurarse de que no están expuestas a estas vulnerabilidades y apliquen los parches para solucionarlos.

«Las organizaciones deben ser conscientes de que las herramientas GRC actuales y otros métodos de seguridad tradicionales (firewalls, controles de acceso, SoD y otros) serían ineficaces para prevenir este tipo de ataque en los sistemas vulnerables Oracle EBS. Si las organizaciones tienen sistemas Oracle EBS orientados a Internet, la probabilidad de amenaza potencial se vería significativamente aumentada. Las organizaciones bajo ataque no se darán cuenta del ataque y no conocerán el alcance del daño hasta que se encuentre evidencia de una auditoría interna o externa muy extensa». advierten los investigadores.

Referencias:

  • https://thehackernews.com/2020/06/oracle-e-business-suite.html
  • https://nvd.nist.gov/vuln/detail/CVE-2020-2586
  • https://nvd.nist.gov/vuln/detail/CVE-2020-2587

Actualización de Seguridad de WordPress solventa múltiples vulnerabilidades XSS

La última versión de seguridad de WordPress 5.4.2, lanzada el pasado 10 de junio, contiene 23 correcciones y mejoras, que incluyen parches para seis vulnerabilidades XSS de riesgo moderado y otros errores de seguridad.

Las fallas de seguridad están presentes en las versiones 5.4.1 y anteriores, por tanto, es importante actualizar.

Para que se vean afectados por los riesgos de seguridad que fueron resueltos en la última versión de WordPress, se requiere un atacante autenticado. Esto significa que los administradores de sistemas que evitan que las personas se registren por sí mismas o que den acceso a personas desconocidas probablemente no se vean afectados.

Aun así, se recomienda actualizar el software, que en su mayoría será un proceso que ocurrirá automáticamente.

XSS destaca en la actualización

Uno de los problemas de XSS abordados por la actualización significaba que los usuarios autenticados con bajos privilegios podían agregar JavaScript a las publicaciones en el editor de bloques.

El defecto de seguridad central de WordPress fue descubierto por el investigador de seguridad Sam Thomas.

Un problema separado de XSS significaba que los usuarios autenticados con permisos de carga podían agregar JavaScript a los archivos multimedia.

Y el investigador Nrimo Ing Pandum encontró un problema de XSS autenticado a través de la carga de temas.

Pero el lanzamiento no se trata solo de errores XSS. La actualización también resuelve un problema de redireccionamiento abierto en wp_validate_redirect (), descubierto por Ben Bidner del equipo de seguridad de WordPress.

También se ha resuelto un problema en el que los comentarios de las publicaciones y páginas protegidas con contraseña se podían mostrar bajo ciertas condiciones.

Complemento peril

Por último, la solución también se debe a una falla de escalada de privilegios que significaba que la opción de establecer pantalla puede ser mal utilizada por complementos, descubiertos por el investigador de seguridad Simon Scannell de RIPS Technologies.

Scannell indicó: «El requisito era cualquier usuario con acceso al panel de administración del sitio, lo cual es posible con complementos como bbPress. Una superposición de estos dos complementos podría hacer que un usuario del foro no privilegiado se haga cargo del sitio «.

Estas diversas correcciones de seguridad se resumen en un aviso del equipo de seguridad de WordPress.

WordPress 5.4.2 es una versión de mantenimiento. La próxima versión principal será la versión 5.5, que tiene fecha de lanzamiento para mediados de agosto.

Para aquellos usuarios que aún no se encuentran en la versión 5.4, también hay versiones actualizadas de 5.3 y anteriores que solucionan los mismos problemas de seguridad.

Referencias:

  • https://es.wordpress.org/category/actualizaciones/
  • https://portswigger.net/daily-swig/wordpress-security-critical-flaw-fixed-in-bbpress-forum-plugin
  • https://portswigger.net/daily-swig/wordpress-security-release-addresses-multiple-xss-vulnerabilities
1 7 8 9 13