Alertas de seguridad

Robo de privilegios de usuario por secuestro del proceso VMX.exe

1. Robo de privilegios de usuario por secuestro del proceso VMX.exevmxe

DESCRIPCIÓN 

Una vulnerabilidad en VMware Workstation para el proceso VMX (vmware-vmx.exe) configura y aloja una instancia de VM. Como es habitual en las plataformas de virtualización de escritorio, el host de VM generalmente tiene acceso privilegiado al sistema operativo, como la asignación de memoria física, lo que representa un riesgo de seguridad.

Para mitigar esto, el proceso VMX se crea con un nivel de integridad elevado por el daemon de autenticación (vmware-authd.exe) que se ejecuta en SYSTEM. Esto evita que un usuario que no sea administrador abra el proceso y abuse de su acceso elevado. Infortunadamente, el proceso se crea como usuario de escritorio y sigue el patrón común de suplantar al usuario al llamar a CreateProcessAsUser. 

Esto es un problema que, debido a una incorrecta gestión de las rutas, permitiría a un atacante explotar esta vulnerabilidad para acceder al ejecutable VMX, lo cual permite el secuestro del sistema y escalamiento de privilegios de un usuario no administrador para ejecutar código arbitrario como un proceso VMX confiable.

ACCIONES RECOMENDADAS: VMware ha publicado una serie de actualizaciones que mitigan las vulnerabilidades en función del producto y rama afectada:

VMware Workstation Pro / Player (Workstation)

  • X en sistemas Windows, aplicar la actualización 15.0.3.
  • X en sistemas Windows, aplicar la actualización 14.1.6.

suscripcion incidentes

 

 

2.  Vulnerabilidad en routers Cisco de la interfaz de administración basada en web 

remotoo

DESCRIPCIÓN

Una vulnerabilidad en la interfaz de administración basada en web, podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado. La vulnerabilidad se debe a la validación incorrecta de los datos proporcionados por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes HTTP maliciosas a un dispositivo específico. 

Una explotación exitosa podría permitir al atacante ejecutar código arbitrario en el sistema operativo subyacente del dispositivo afectado como un usuario de alto privilegio. La explotación exitosa puede no resultar en una sesión, y como tal, nunca reparará el servidor HTTP, lo que lleva a una condición de denegación de servicio. Esta vulnerabilidad tiene el módulo de Metasploit (exploit/linux/http/cisco_rv130_rmi_rce) relacionado para llevar a cabo el ataque de manera automatizada.

ACCIONES RECOMENDADAS: Cisco ha lanzado actualizaciones de software que abordan esta vulnerabilidad:

  • Firewall VPN Wireless-N RV110W: 1.2.2.1
  • Router VPN multifunción Wireless-N RV130W: 1.0.3.45
  • Router VPN Wireless-N RV215W: 1.3.1.1

Además se recomienda desactivar el acceso remoto a la interfaz de administración desde el menú “Basic Settings > Remote Management”.

 

3.Ejecución remota de código PHP / Drupal 

drupal

DESCRIPCIÓN

Algunos tipos de campo no validan correctamente los datos de fuentes que no son formularios en Drupal 8.5.x y Drupal 8.6.x. Esto puede llevar a la ejecución de código PHP arbitrario en algunos casos. Un sitio solo se ve afectado por esta vulnerabilidad si se cumple una de las siguientes condiciones:

  • El sitio tiene habilitado el módulo de servicios web (rest) de Drupal 8 RESTful y permite las solicitudes de PATCH o POST.
  • El sitio tiene otro módulo de servicios web habilitado, como JSON: API en Drupal 8, o Servicios web RESTful en Drupal 7. (Nota: El módulo de Servicios Drupal 7 en sí no requiere una actualización en este momento, pero debe aplicar otras actualizaciones contribuidas asociadas con este aviso si los servicios están en uso).

 ACCIONES RECOMENDADAS:

  • Si está utilizando Drupal 8.6.x, actualice a Drupal 8.6.10.
  • Si está utilizando Drupal 8.5.x, actualice a Drupal 8.5.11.
  • Asegúrese de instalar las actualizaciones de seguridad disponibles para los proyectos aportados después de actualizar el núcleo de Drupal.
  • No se requiere una actualización central para Drupal 7, pero varios módulos aportados por Drupal 7 requieren actualizaciones.