Alertas de seguridad

El caso CVE-2019-2699 relaciona la vulnerabilidad difícil de explotar para la versión Java SE (Standard Edition): 8u202. La vulnerabilidad permite que un atacante no autenticado con acceso a la red, a través de múltiples protocolos envíe paquetes de red diseñados para enviar entradas maliciosas con el fin de comprometer completamente la plataforma Java SE.

El caso CVE-2019-0752 se relaciona con el motor de secuencias de comandos utilizado por Microsoft Internet Explorer, el cual podría permitir que un usuario malintencionado remoto no autenticado ejecute código arbitrario en un sistema de destino.

¿Cómo funciona la vulnerabilidad de LibreOffice?

El caso CVE-2019-9848 relaciona una vulnerabilidad que presenta la suite de ofimática de software libre LibreOffice, la cual permite a un atacante ejecutar código de manera remota en el equipo de la víctima. Este fallo había sido solucionado en la última versión (6.2.5) del software, pero se ha descubierto que es posible evadir el parche.

Existe una vulnerabilidad de omisión de la característica de seguridad de Windows cuando a través de un mensaje de NetLogon se puede obtener la clave de sesión y firmar los mensajes. Para aprovechar esta vulnerabilidad, un atacante podría enviar una solicitud de autenticación especialmente diseñada, también conocida como 'vulnerabilidad de omisión de la característica de seguridad de Microsoft Windows'.

Recientemente se detectó una vulnerabilidad en el agente de McAfee 5.6.1 Hotfix 2 y anteriores, la cual permite que un atacante con privilegios de administrador pueda interrumpir las funciones de los agentes de McAfee Agent (MA), McAfee Application and Change Control (MACC), McAfee Data Loss Prevention (DLP) y McAfee Endpoint Security Firewall (ENFSW).

¿En qué consiste?

Esta vulnerabilidad consiste en la copia arbitraria de contenido hacia un servidor FTP que ejecute versiones superiores a ProFTPd 1.3.5. La vulnerabilidad se sitúa exactamente en el módulo mod_copy el cual permite, bajo la emisión de comandos CPFR o CPTO, copiar archivos al servidor FTP por parte de usuarios sin permisos de escritura. Todo apunta a que el módulo realiza un control de acceso incorrecto.

¿En qué consiste esta vulnerabilidad en el GDI de Windows?

Existe una vulnerabilidad de ejecución de código remoto en la Interfaz de gráficos de Windows (GDI), a través de la cual un atacante podría tomar el control del sistema afectado. Esto le permitiría instalar programas; ver, cambiar, o eliminar datos; o crear nuevas cuentas con plenos derechos de usuario. Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos administrativos.

¿En qué consisten estas vulnerabilidades?

Se descubrió un gran número de teclados y ratones Logitech que son vulnerables a ataques por medio de wireless. Los fallos permitirían a un atacante espiar las pulsaciones de los teclados; todo lo que el usuario escribe puede ser capturado y leído por un potencial atacante. También permitiría enviar cualquier comando si un dispositivo vulnerable está conectado a la máquina víctima.

¿En qué consiste?

Se trata de una vulnerabilidad en el controlador criptográfico del software Cisco Adaptive Security Appliance (ASA) y Firepower Threat Defense (FTD) que podría permitir que un atacante remoto, no autenticado, provoque que el dispositivo se reinicie inesperadamente.

La vulnerabilidad se debe a una validación incompleta de entrada, de un encabezado de paquete de ingreso de Secure Sockets Layer (SSL) o Transport Layer Security (TLS). Un atacante podría aprovechar esta vulnerabilidad enviando un paquete diseñado TLS / SSL a una interfaz en el dispositivo de destino, permitiéndole hacer que el dispositivo recargue, lo que resultaría en una condición de denegación de servicio (DoS).

Vulnerabilidades del Kernel de Linux en el reconocimiento selectivo de TCP (SACK)

Recientemente se han divulgado varias vulnerabilidades en la implementación del Kernel de Linux TCP Selective Acknowledgement (SACK) y el tamaño máximo de segmento (MSS). Jonathan Looney, Gerente de Ingeniería de Netflix, descubrió que el valor TCP_SKB_CB (skb) -> tcp_gso_segs estaba sujeto a un desbordamiento de enteros en el Kernel de Linux, al manejar los Reconocimientos TCP Selectivos (SACK). Además, descubrió que la implementación de la cola de retransmisión de TCP en tcp_fragment en el Kernel de Linux, podría estar fragmentada cuando se manejan ciertas secuencias de reconocimiento selectivo de TCP (SACK).

¿En qué consiste esta campaña que usa la técnica “Heaven’s Gate”?

La división de ciberseguridad de Cisco, Talos, ha descubierto recientemente una campaña de malware que distribuye el keylogger HawkEye Reborny por medio de la técnica "Heaven's Gate" para evitar la detección de la carga útil del código malicioso; para esto, el malware desarrollado en 32 bits al ejecutarse en arquitecturas de 64 bits, se oculta a la llamada a la API al cambiar de entorno. Otras familias de malware como Remcos, Agent Tesla y troyanos para minería de criptomonedas, usan esta técnica para eludir los controles de seguridad.

¿En qué consiste esta vulnerabilidad?

Data Center Network Manager (DCNM) es la plataforma de administración de red para todas las implementaciones habilitadas para NX-OS, que abarcan nuevas arquitecturas para el centro de datos con tecnología Cisco Nexus.

El investigador de ciberseguridad Pedro Ribeiro descubrió el CVE-2019-1619 relacionado con la vulnerabilidad de error de diseño en la interfaz web de administración de DCNM, lo cual permite que un atacante remoto robe la ´cookie´ de la sesión activa, de tal modo que no se requiera autenticación de usuario y contraseña para subir archivos o ejecutar remotamente código como un super-usuario ´root´.

¿En qué consisten las recientes vulnerabilidades de Android?

Las vulnerabilidades más críticas solucionadas están asociadas al Media Framework de Android que permiten a un atacante la ejecución remota de código arbitrario en el contexto de un proceso privilegiado tras convencer al usuario de ejecutar un archivo malicioso diseñado especialmente para tal fin.

Recientemente se publicó un boletín de seguridad de Android en el que se recomienda realizar el parcheo de seguridad del sistema operativo móvil. Con estos parches se mitigan 33 vulnerabilidades, de las cuales 9 son de criticidad alta.

¿En qué consiste la vulnerabilidad de Zoho?

Zoho es un CRM que está en auge debido a su funcionalidad y fácil manejo de los módulos que tienen que ver con el relacionamiento con los clientes. Es por este crecimiento que empezó a convertirse en el blanco de los atacantes. El CVE-2019-12476 hace referencia a una vulnerabilidad de omisión de identificación en el restablecimiento de contraseña en Zoho MangeEngine ADSelfService Plus, que se encuentra en versiones inferiores a la 5.0.6. De esta manera, un atacante con acceso físico puede obtener un Shell con privilegios del sistema.

¿En qué consiste la vulnerabilidad BlueKeep?

El caso CVE-2019-0708 indica que existe una vulnerabilidad de ejecución remota de código en Servicios de Escritorio Remoto, anteriormente conocido como Servicios de Terminal Server, la cual consiste en que un atacante no autenticado se conecta al sistema de destino mediante Protocolo de Escritorio Remoto (RDP) y envía solicitudes diseñadas que se apodan BlueKeep. Esta vulnerabilidad afecta a las ediciones Windows 2003, XP, Windows 7, Windows Server 2008 y 2008 R2, la cual podría propagarse automáticamente en sistemas no parcheados.