Vulnerabilidades en productos de Cisco | |
|
CVE-2024-20446: Vulnerabilidad en Cisco NX-OS permite ataque de denegación de servicio. - (ALTA)
Se detectó una vulnerabilidad de manejo inadecuado de campos específicos en un mensaje RELAY-REPLY de DHCPv6 en el software Cisco NX-OS, el cual permite que un atacante remoto no autenticado envíe un paquete DHCPv6 específicamente diseñado a cualquier dirección IPv6, para provocar que el proceso “dhcp_snoop” se bloquee y genere una condición de denegación de servicio.
Los switches Cisco Nexus 3000 Series, Cisco Nexus 7000 Series Y Cisco Nexus 9000 Series se encuentran afectados si están ejecutando una versión vulnerable de Cisco NX-OS, y cuentan con el agente de retransmisión DHCPv6 habilitado, o presentan al menos una dirección IPv6 configurada en los dispositivos afectados.
CVE-2024-20411: Vulnerabilidad en Cisco NX-OS permite ejecución de código arbitrario. - (MEDIA)
Cisco NX-OS presenta una vulnerabilidad de restricciones de seguridad insuficientes durante la ejecución de comandos desde el shell Bash. Un atacante local autenticado, con privilegios para acceder al shell Bash, puede aprovechar la vulnerabilidad al ejecutar un comando específico creado en el sistema operativo subyacente, y permitir la ejecución de código arbitrario con los privilegios de “root”.
CVE-2024-20413: Vulnerabilidad en Cisco NX-OS permite escalación de privilegios. - (MEDIA)
Una vulnerabilidad de restricciones de seguridad insuficientes al ejecutar argumentos de la aplicación desde el shell Bash permite que un atacante local autenticado, con privilegios para acceder al shell Bash, ejecute un comando específico creado en el sistema operativo subyacente, para que de esta manera pueda crear nuevos usuarios con los privilegios de “network-admin”.
Los switches Nexus 3000 y 9000 se encuentran afectados por estas vulnerabilidades si ejecutan una versión vulnerable de Cisco NX-OS y cuentan con el shell Bash habilitado o un usuario configurado para usar el shell Bash.
CVE-2024-20284, CVE-2024-20285 y CVE-2024-20286: Vulnerabilidades en Cisco NX-OS permiten acceso no autorizado. - (MEDIA)
El intérprete de Python de Cisco NX-OS cuenta con vulnerabilidades de validación insuficiente de la entrada brindada por el usuario. Esto puede ser aprovechado por un atacante local autenticado y con privilegios de ejecución de Python para manipular funciones específicas dentro del intérprete, escapar del entorno aislado de Python y ejecutar comandos arbitraros en el sistema operativo subyacente con los privilegios del usuario autenticado.
Los switches MDS 9000 Series Multilayer, Nexus 3000 Series, Nexus 5500 Platform, Nexus 5600 Platform, Nexus 6000 Series, Nexus 7000 Series y Nexus 9000 Series están afectados por estas vulnerabilidades si ejecutan una versión vulnerable de Cisco NX-OS.
CVE-2024-20289: Vulnerabilidad en Cisco NX-OS permite inyección de comandos. - (MEDIA)
Se detectó una vulnerabilidad de validación insuficiente de argumentos en la CLI de Cisco NX-OS, el cual puede ser aprovechado por un atacante local autenticado y con pocos privilegios para ejecutar comandos arbitrarios en el sistema operativo subyacente, luego de incluir una entrada creada como argumento en un equipo vulnerable.
Los switches Nexus 3000 Series, Nexus 9000 Series y Fabric Series, además de los interconectores UCS 6400 Series Fabric y UCS 6500 Series Fabric son afectados por la vulnerabilidad Cisco NX-OS si ejecutan una versión vulnerable.
| |
CONTROLADOR DE INFRAESTRUCTURA DE POLÍTICAS DE APLICACIONES DE CISCO | | |
|
CVE-2024-20478: Vulnerabilidad en Cisco Application Policy Infrastructure Controller permite elevación de privilegios. - (MEDIA)
El componente de actualización de software de Cisco Application Policy Infrastructure Controller (APIC) y Cisco Cloud Network Controller, presenta una vulnerabilidad surgida por una validación insuficiente de firmas de las imágenes de software. Un atacante remoto autenticado con privilegios de nivel administrador puede aprovechar la vulnerabilidad al instalar una imagen de software modificada y ejecutar código arbitrario para elevar sus privilegios a nivel “root”.
VE-2024-20279: Vulnerabilidad en Cisco Application Policy Infrastructure Controller permite modificar comportamiento de políticas. - (MEDIA)
Una vulnerabilidad de control de acceso inadecuado cuando se utilizan dominios de seguridad en Cisco Application Policy Infrastructure Controller puede ser aprovechada por un atacante remoto, autenticado con una cuenta de usuario asociada a un dominio de seguridad restringido, para leer, modificar o eliminar políticas secundarias creadas bajo políticas predeterminadas del sistema. Esto puede provocar la interrupción del tráfico de la red.
La vulnerabilidad afecta a Cisco APIC cuando tienen configurado dominios de seguridad restringidos con usuarios asociados que tenían permisos de administrador de puertos.
| |
Vulnerabilidades en productos Adobe | |
|
CVE-2024-34133: Vulnerabilidad en Adobe Illustrator permite ejecución de código arbitrario. - (ALTA)
Se detectó una vulnerabilidad en Adobe Illustrator debido a una escritura fuera de límite, el cual puede ser aprovechado por un atacante para ejecutar código arbitrario. Al atacante requiere que la víctima interactúe con un archivo malicioso para explotar la vulnerabilidad.
CVE-2024-34118: Vulnerabilidad en Adobe Illustrator permite denegación de servicio. - (MEDIA)
Adobe Illustrator cuenta con una vulnerabilidad de validación de entrada incorrecta, el cual permite que un atacante genere una condición de denegación de servicio, al lograr que una víctima abra un archivo malicioso.
| |
|
CVE-2024-34124: Vulnerabilidad en Adobe Dimension permite ejecución de código arbitrario. - (ALTA)
Una vulnerabilidad de escritura fuera de límites en Adobe Dimension puede ser aprovechada por un atacante para ejecutar código arbitrario, tras engañar a la víctima para que interactúe con un archivo malicioso.
CVE-2024-41865: Vulnerabilidad en Adobe Dimension permite ejecución de código arbitrario. - (ALTA)
Adobe Dimension presenta una vulnerabilidad de ruta de búsqueda no confiable, el cual permite que un atacante pueda ejecutar código arbitrario, al insertar un archivo malicioso en la ruta de búsqueda para que la aplicación ejecute el código cuando localiza ejecutables o bibliotecas.
| |
|
CVE-2024-34117: Vulnerabilidad en Adobe Photoshop permite ejecución de código arbitrario. - (ALTA)
Se detectó una vulnerabilidad de uso después de la liberación de la memoria en Adobe Photoshop, en la cual un atacante, tras engañar a la víctima para abrir un archivo malicioso, puede ejecutar código arbitrario en el contexto del usuario actual.
| |
|
CVE-2024-39389: Vulnerabilidad en Adobe InDesign permite ejecución de código arbitrario. - (ALTA)
Una vulnerabilidad de desbordamiento de búfer basada en pila en Adobe InDesign permite que un atacante pueda ejecutar código arbitrario, luego de que una víctima abra un archivo malicioso.
CVE-2024-39390: Vulnerabilidad en Adobe InDesign permite ejecución de código arbitrario. - (ALTA)
Un atacante puede aprovechar una vulnerabilidad de escritura fuera de los límites en Adobe InDesign para ejecutar código arbitrario, tras engañar a una víctima para que abra un archivo específicamente diseñado.
| |
|
CVE-2024-39422: Vulnerabilidad en Adobe Acrobat and Reader permite ejecución de código arbitrario. - (ALTA)
Se detectó una vulnerabilidad de uso después de liberación de la memoria en Adobe Acrobat and Reader, la cual puede ser aprovechada por un atacante para ejecutar código arbitrario, luego de que la víctima abra un archivo malicioso.
CVE-2024-39425: Vulnerabilidad en Adobe Acrobat and Reader permite elevación de privilegios. - (ALTA)
Adobe Acrobat and Reader cuenta con una vulnerabilidad de verificación incorrecta de firma criptográfica de los datos, la cual podría permitir que un atacante, que tenga acceso local con pocos privilegios al sistema vulnerable, pueda escalar sus privilegios.
| |
|
CVE-2024-39386: Vulnerabilidad en Adobe Bridge permite ejecución de código arbitrario. - (ALTA)
Una vulnerabilidad de escritura fuera de los límites en Adobe Bridge permite que un atacante pueda ejecutar código arbitrario, luego de engañar a la víctima para interactuar con un archivo especialmente diseñado.
| |
ADOBE SUBSTANCE 3D STAGER | | |
|
CVE-2024-39388: Vulnerabilidad en Adobe Substance 3D Stager permite ejecución de código arbitrario. - (ALTA)
Se detectó una vulnerabilidad de uso después de liberación de la memoria en Adobe Substance 3D Stager, en la cual un atacante, tras engañar a la víctima para abrir un archivo malicioso, puede ejecutar código arbitrario en el programa vulnerable.
| |
|
CVE-2024-39397: Vulnerabilidad en Adobe Commerce permite ejecución de código arbitrario. - (ALTA)
Adobe Commerce cuenta con una vulnerabilidad de carga sin restricciones de archivos de tipo peligroso, el cual puede ser aprovechado por un atacante para ejecutar código arbitrario, tras cargar un archivo malicioso que posteriormente se ejecuta en el servidor afectado. No se requiere interacción de la víctima para explotar la vulnerabilidad, pero la complejidad del ataque es alta.
CVE-2024-39398: Vulnerabilidad en Adobe Commerce permite evitar funciones de seguridad. - (ALTA)
Una vulnerabilidad de restricción inadecuada de intentos excesivos de autenticación en Adobe Commerce permite que un atacante pueda eludir las funciones de seguridad y generar ataques de fuerza bruta, lo cual puede ocasionar que el atacante obtenga acceso no autorizado al sistema afectado.
| |
|
CVE-2024-41858: Vulnerabilidad en Adobe InCopy permite ejecución de código arbitrario. - (ALTA)
Una vulnerabilidad de desbordamiento de enteros en Adobe InCopy permite que un atacante pueda ejecutar código arbitrario, luego de engañar a la víctima para que abra un archivo malicioso.
| |
ADOBE SUBSTANCE 3D SAMPLER | | |
|
CVE-2024-41861: Vulnerabilidad en Adobe Substance 3D Sampler permite fuga de memoria. - (MEDIA)
Adobe Substance 3D Sampler cuenta con una vulnerabilidad de lectura fuera de límites, que puede ser aprovechada por un atacante para eludir mitigaciones como ASLR y generar una divulgación de memoria confidencial.
| |
ADOBE SUBSTANCE 3D DESIGNER | | |
|
CVE-2024-41864: Vulnerabilidad en Adobe Substance 3D Designer permite fuga de memoria. - (ALTA)
Una vulnerabilidad de escritura fuera de límites en Adobe Substance 3D Designer permite que un atacante pueda ejecutar código arbitrario, luego de que un usuario abra un archivo malicioso en un sistema vulnerable.
| |
Análisis profundo de la nueva variante de Snake Keylogger | |
Los laboratorios FortiGuard de Fortinet detectaron recientemente una campaña de phishing que incluía un documento de Excel malicioso adjunto al correo electrónico de phishing. | |
|
Se realizó un análisis profundo de la campaña y se descubrió que se trata de una nueva variante de Snake Keylogger.
Snake Keylogger (también conocido como “404 Keylogger” o “KrakenKeylogger”) es un keylogger basado en suscripción con muchas funciones. Es un software basado en .NET que se vendió originalmente en un foro de hackers.
| |
Una vez ejecutado en el equipo de la víctima, tiene la capacidad de robar datos confidenciales, incluidas las credenciales guardadas de los navegadores web y otros programas populares, el portapapeles del sistema e información básica del dispositivo. También puede registrar las pulsaciones de teclas y realizar capturas de pantalla. | | | |
|
El correo electrónico de phishing, que incluía un documento de Excel malicioso, inducía al destinatario a abrir el archivo para ver los detalles de un “pago de saldo”. El documento de Excel se mostraba en diferentes herramientas y expliqué cómo descargaba un archivo HTA explotando una vulnerabilidad conocida.
Luego aprovecha múltiples scripts de lenguaje, como JavaScript, VBScript y PowerShell, para descargar el módulo Loader de Snake Keylogger.
Después, se explica cómo el módulo Loader extrae varios módulos (incluidos varios módulos intermedios y el módulo Deploy) de la sección de recursos del archivo. El malware suele utilizar un proceso como este para evitar ser detectado y analizado.
A continuación, se presenta cómo el módulo Snake Keylogger Deploy establece persistencia en la computadora de la víctima y realiza el vaciado del proceso para colocar el módulo central en un proceso recién creado para ejecutarse.
Por último, examinama cómo Snake Keylogger roba información confidencial de la computadora de la víctima y cómo los datos robados se envían al atacante mediante el protocolo SMTP.
| |
AA24-241A: Asesoramiento conjunto en materia de ciberseguridad sobre actores cibernéticos con sede en Irán que atacan a organizaciones estadounidenses | |
Un aviso conjunto sobre ciberseguridad destaca la actividad de ransomware de un actor cibernético con sede en Irán dirigida a organizaciones estadounidenses. El aviso incluye los CVE explotados, junto con las técnicas, tácticas y procedimientos utilizados por los actores de amenazas. | |
El 28 de agosto, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) publicó un aviso de ciberseguridad conjunto (CSA, por sus siglas en inglés) en coordinación con la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) y el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3, por sus siglas en inglés). El aviso destaca las actividades recientes de los actores de amenazas iraníes que llevan a cabo operaciones de ransomware contra organizaciones estadounidenses en varias industrias, incluidos el gobierno local, la defensa, las finanzas, la educación y la atención médica, así como otros países, como Israel, Azerbaiyán y los Emiratos Árabes Unidos. | |
Los actores de amenazas nombrados en el aviso se conocen con algunos apodos, entre ellos Pioneer Kitten, Fox Kitten, UNC757, Parasite, RUBIDIUM y Lemon Sandstorm. Se ha observado que estos actores colaboran con grupos de ransomware como NoEscape, Ransomhouse y ALPHV (también conocido como BlackCat) para extorsionar a sus víctimas. Los aspectos técnicos del aviso destacan qué técnicas, tácticas y procedimientos (TTP) se han observado que utilizan los actores de amenazas, incluidos los indicadores de compromiso (IOC). El aviso señala seis CVE específicos que aprovechan los actores de amenazas en la fase de acceso inicial de sus ataques: | | | |
|
Cada una de las vulnerabilidades descritas en el CSA ha existido durante un tiempo y cada uno de los proveedores ha publicado los parches y las mitigaciones correspondientes. Recomendamos revisar cada uno de los avisos de los proveedores que se muestran a continuación:
- Aviso de seguridad CVE-2024-3400 de Palo Alto Networks
- Aviso de Check Point 2024-2024-24919
- Aviso sobre CVE-2019-19781 de Citrix
- Aviso sobre CVE-2023-3519 de Citrix
- Aviso F5 CVE-2022-1388
- Aviso sobre Ivanti CVE-2024-21887
Además, la CSA proporciona indicadores de cumplimiento y detalles técnicos que pueden ayudar a las organizaciones en sus procesos de respuesta a incidentes. Recomendamos encarecidamente revisar los detalles que se describen en la CSA. Si su organización tiene activos que no han sido parcheados para las vulnerabilidades CVE mencionadas anteriormente, es posible que los dispositivos sin parches se hayan visto afectados debido a la gravedad y frecuencia de los ataques que involucran estas vulnerabilidades. Por lo tanto, puede ser necesario realizar una revisión cuidadosa de estos sistemas y procesos de respuesta a incidentes para determinar el impacto y el alcance de un posible compromiso de los sistemas sin parches.
| |
Análisis de dos vulnerabilidades de ejecución de código arbitrario que afectan a WPS Office | |
ESET research descubre una vulnerabilidad en WPS Office para Windows, siendo explotada por el grupo de ciberespionaje APT C-60 apuntando a países del este de Asia. | |
Los investigadores de ESET descubrieron una vulnerabilidad de ejecución de código en WPS Office para Windows (CVE-2024-7262), que estaba siendo explotada por APT-C-60, un grupo de ciberespionaje alineado con Corea del Sur. Tras analizar la causa raíz, descubrimos posteriormente otra forma de explotar el código defectuoso (CVE-2924-7263). Tras un proceso de divulgación coordinado, ambas vulnerabilidades están ahora parcheadas; en este blogpost ofrecemos detalles técnicos. | |
|
Al investigar las actividades de APT-C-60, se encontró un extraño documento de hoja de cálculo que hacía referencia a uno de los muchos componentes descargadores del grupo. El análisis nos condujo al descubrimiento de una vulnerabilidad de ejecución de código en WPS Office para Windows que APT-C-60 está explotando para atacar a países del este asiático. La carga útil final es una puerta trasera personalizada que se ha denominado internamente SpyGlace, documentada públicamente por ThreatBook como TaskControler.dll.
Según el sitio web de WPS, este software tiene más de 500 millones de usuarios activos en todo el mundo, lo que lo convierte en un buen objetivo para llegar a un número considerable de personas. Durante el proceso coordinado de divulgación de vulnerabilidades, DBAPPSecurity publicó de forma independiente un análisis de la vulnerabilidad armada y confirmó que APT-C-60 ha explotado la vulnerabilidad para distribuir malware a usuarios de China.
| | | |
|
Dado que WPS Office es una suite de software distribuida principalmente en Asia, APT-C-60 demostró hasta qué punto está decidida a comprometer objetivos en países del este asiático. Independientemente de si el grupo desarrolló o compró el exploit para CVE-2024-7262, no cabe duda de que requirió cierta investigación sobre el funcionamiento interno de la aplicación, así como conocimientos sobre cómo se comporta el proceso de carga de Windows. El exploit es astuto, ya que es lo suficientemente engañoso como para engañar a cualquier usuario para que haga clic en una hoja de cálculo de aspecto legítimo, a la vez que muy eficaz y fiable. La elección del formato de archivo MHTML permitió a los atacantes convertir una vulnerabilidad de ejecución de código en una remota.
Además, el descubrimiento de CVE-2024-7263 subraya la importancia de un cuidadoso proceso de verificación de parches y de asegurarse de que el problema principal se ha abordado en su totalidad.
Se recomienda encarecidamente a los usuarios de WPS Office para Windows que actualicen su software a la última versión.
| |
Fuente: WeLiveSecurity by ESET | |
Aviso de amenaza de ciberseguridad: vulnerabilidad de día cero explotada por Microsoft | |
El grupo de hackers Lazarus aprovechó recientemente una falla de día cero corregida en Microsoft Windows. La vulnerabilidad, identificada como CVE-2024-38193 con una puntuación CVSS de 7,8, es una vulnerabilidad Bring Your Own Vulnerable Driver (BYOVD) para Winsock. | |
CVE-2024-38193 es una vulnerabilidad de escalada de privilegios en el controlador AFD.sys, que viene preinstalado en todos los dispositivos Windows. Esta vulnerabilidad permite a los atacantes eludir las restricciones de seguridad normales y obtener acceso no autorizado a áreas sensibles del sistema. También permite a los usuarios acceder a áreas del sistema que normalmente están restringidas. | |
|
El ataque es especialmente peligroso porque el controlador AFD.sys es un componente fundamental de Windows. Su explotación no requiere la introducción de controladores adicionales. Este método de ataque va más allá del enfoque típico de BYOVD, en el que los atacantes incorporan sus propios controladores vulnerables para eludir las medidas de seguridad.
La falla recuerda a una vulnerabilidad de escalada de privilegios anterior, CVE-2024-21338, que involucraba al controlador de AppLocker y permitía un acceso no autorizado similar. El Grupo Lazarus ha demostrado un patrón de explotación de estas fallas de escalada de privilegios, incluido el uso del rootkit FudModule para evadir la detección.
| | | |
|
El Grupo Lazarus implementa estratégicamente el rootkit FudModule en circunstancias específicas para maximizar su impacto, lo que demuestra su enfoque selectivo y calculado. Esta cuidadosa estrategia de implementación, combinada con el amplio alcance del controlador afectado, convierte a CVE-2024-38193 en una vulnerabilidad crítica.
Barracuda MSP recomienda las siguientes acciones para mitigar cualquier riesgo causado por CVE-2024-38193:
- Instale el último parche de actualización lo antes posible y verifique que las actualizaciones automáticas funcionen correctamente para garantizar la aplicación oportuna de correcciones de seguridad críticas.
- Realice verificaciones de antecedentes exhaustivas de los posibles empleados y utilice servicios de verificación de identidad para evitar la infiltración de actores de amenazas que utilizan tácticas de ingeniería social.
- Auditar y revisar las configuraciones de seguridad para garantizar que los controles de acceso y los permisos estén configurados y actualizados correctamente.
| |
|
Acerca de Bafing
Somos una empresa con más de 29 años de experiencia en el mercado de Tecnologías que ofrece soluciones muy especializadas en Ciberseguridad, eHealth y Smart Buildings.
El presente documento es una comunicación de carácter general hecha exclusivamente con propósitos informativos. Usted recibe este newsletter tras haberse suscrito al mismo. Si no desea continuar recibiéndolo, por favor escribir a bdigital@bafing.com
| | | | |
