17 jul 2024

API de Trello abusada para crear una base de datos de 15 millones de emails

Un actor de amenazas ha publicado más de 15 millones de direcciones de correo electrónico asociadas con cuentas de Trello que se recopilaron mediante una API no segura en enero.

Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian. Las empresas suelen utilizarlo para organizar datos y tareas en tableros, tarjetas y listas.

En enero, BleepingComputer informó que un actor de amenazas conocido como "emo" estaba vendiendo perfiles de 15.115.516 miembros de Trello en un popular foro de hacking. Si bien casi todos los datos de estos perfiles son información pública, cada perfil también contenía una dirección de correo electrónico no pública asociada con la cuenta.

Si bien Atlassian, el propietario de Trello, no confirmó en ese momento cómo se robaron los datos, "emo" le dijo a BleepingComputer que se recopilaron utilizando una API REST no segura que permitía a los desarrolladores consultar información pública sobre un perfil según el ID de Trello y el nombre de usuario de los usuarios o la dirección de correo electrónico.

"emo" creó una lista de 500 millones de direcciones de correo electrónico y la introdujo en la API para determinar si estaban vinculadas a una cuenta de Trello. Luego, la lista se combinó con la información de la cuenta devuelta para crear perfiles de miembros para más de 15 millones de usuarios.

Hoy, emo compartió la lista completa de 15.115.516 perfiles en el foro de hacking Breached por ocho créditos del sitio (por un valor de 2,32 dólares).

"Trello tenía un end-point API abierto que permite a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello", explicó "emo" en la publicación del foro. Los datos filtrados incluyen direcciones de correo electrónico e información pública de la cuenta Trello, incluido el nombre completo del usuario.

Esta información se puede utilizar en ataques de phishing dirigidos para robar información más confidencial, como contraseñas. emo también dice que los datos se pueden utilizar para doxxing, permitiendo a los actores de amenazas vincular direcciones de correo electrónico a personas y sus alias.

Atlassian confirmó que la información se recopiló a través de una API REST de Trello que se cerró en enero. "Dado el uso indebido de la API descubierto en esta investigación de enero de 2024, le hicimos un cambio para que personas no autenticadas Los usuarios/servicios no pueden solicitar información pública de otro usuario por correo electrónico. Los usuarios autenticados aún pueden solicitar información que esté disponible públicamente en el perfil de otro usuario usando esta API.".

Las API no seguras se han convertido en un objetivo popular para los actores de amenazas, que abusan de ellas para combinar información no pública, como direcciones de correo electrónico y números de teléfono, con perfiles públicos.

Fuente: BC

Vulnerabilidad crítica en GeoServer GeoTools, explotada activamente

CISA está advirtiendo soobre una falla crítica de ejecución remota de código de GeoServer GeoTools identificada como CVE-2024-36401 que está siendo explotada activamente en ataques.

GeoServer es un servidor de código abierto que permite a los usuarios compartir, procesar y modificar datos geoespaciales.

El 30 de junio, GeoServer reveló una vulnerabilidad crítica de ejecución remota de código de gravedad 9.8 en su complemento GeoTools causada por la evaluación insegura de nombres de propiedades como expresiones XPath.

"La API de la biblioteca GeoTools a la que llama GeoServer evalúa los nombres de propiedades/atributos para tipos de características de una manera que los pasa de manera insegura a la biblioteca commons-jxpath, que puede ejecutar código arbitrario al evaluar expresiones XPath", se lee en el aviso de GeoServer.

OSGeo GeoServer GeoTools contiene una neutralización inadecuada de directivas en las expresiones XPath. Esto permite a atacantes no autenticados realizar la ejecución remota de código a través de entradas especialmente diseñadas. Esta evaluación XPath está destinada a ser utilizada únicamente por tipos de funciones complejas (es decir, almacenes de datos de esquemas de aplicación), pero también se aplica incorrectamente a tipos de funciones simples, lo que hace que esta vulnerabilidad se aplique a TODAS las instancias de GeoServer.

Si bien la vulnerabilidad no estaba siendo explotada activamente, los investigadores rápidamente publicaron pruebas de concepto de exploits [1, 2, 3] que demostraron cómo realizar la ejecución remota de código en servidores expuestos y abrir shells inversas, realizar conexiones salientes o crear un archivo en la carpeta /tmp.

Los mantenedores del proyecto parchearon la falla en las versiones 2.23.6, 2.24.4 y 2.25.2 de GeoServer y recomendaron que todos los usuarios actualicen a estas versiones. Los desarrolladores también ofrecen soluciones alternativas, pero advierten que pueden dañar algunas funciones de GeoServer.

CVE-2024-36401 utilizado en ataques

Ayer, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. agregó CVE-2024-36401 a su catálogo de vulnerabilidades explotadas conocidas (KEV), advirtiendo que la falla se está explotando activamente en ataques.

Si bien CISA no proporcionó ninguna información sobre cómo se estaban explotando las fallas, el servicio de monitoreo de amenazas Shadowserver dijo que observaron que CVE-2024-36401 estaba siendo explotada activamente a partir del 9 de julio.

El motor de búsqueda OSINT ZoomEye dice que aproximadamente 16.462 servidores GeoServer están expuestos en línea, la mayoría ubicados en EE.UU., China, Rumania, Alemania y Francia.

Aquellos que aún no hayan aplicado el parche deben actualizar inmediatamente a la última versión y revisar minuciosamente su sistema y sus registros para detectar posibles compromisos.

Fuente: BC

16 jul 2024

Ransomware SEXi afecta a VMware ESXi y cambia su nombre a APT INC

La operación de ransomware SEXi, conocida por apuntar a servidores VMware ESXi, ha cambiado su nombre a APT INC y se ha dirigido a numerosas organizaciones en ataques recientes.

Los actores de amenazas comenzaron a atacar organizaciones en febrero de 2024 utilizando el cifrado filtrado del ransomware Babuk para apuntar a servidores VMware ESXi y el cifrado filtrado de LockBit 3 que apunta a Windows.

Los ciberdelincuentes pronto atrajeron la atención de los medios por un ataque masivo a IxMetro Powerhost, un proveedor de hosting chileno cuyos servidores VMware ESXi fueron cifrados en el ataque.

La operación de ransomware recibió el nombre SEXi según el nombre de la nota de rescate SEXi.txt y la extensión .SEXi en los nombres de los archivos cifrados.

El investigador de ciberseguridad Will Thomas encontró más tarde otras variantes que usan los nombres SOCOTRA, FORMOSA y LIMPOPO.

Si bien la operación de ransomware utiliza cifradores de Linux y Windows, es conocida por apuntar a servidores VMware ESXi.

Desde junio, la operación de ransomware pasó a llamarse APT INC, y el investigador de ciberseguridad Rivitna le dijo a BleepingComputer que continúan usando los cifrados Babuk y LockBit 3. Durante las últimas dos semanas, numerosas víctimas de APT INC se comunicaron con BleepingComputer o publicaron experiencias en el foro.

Los actores de amenazas obtienen acceso a los servidores VMware ESXi y cifran archivos relacionados con las máquinas virtuales, como discos virtuales, almacenamiento e imágenes de respaldo. Los demás archivos del sistema operativo no están cifrados.

A cada víctima se le asigna un nombre aleatorio que no esté afiliado a la empresa. Este nombre se utiliza para los nombres de las notas de rescate y la extensión del archivo cifrado. Estas notas de rescate contienen información sobre cómo contactar a los actores de amenazas utilizando la aplicación de mensajería cifrada Session. Tenga en cuenta que la dirección de sesión (por ejemplo, 05c5dbb3e0f6c173dd4ca479587dbeccc1365998ff9042581cd294566645ec7912) es la misma que se usa en las notas de rescate de SEXi.

Las demandas de rescate varían entre decenas de miles y millones, y el director ejecutivo de IxMetro Powerhost declaró públicamente que los actores de amenazas exigieron dos bitcoins por cada cliente cifrado.

Desafortunadamente, los cifradores Babuk y LockBit 3 son seguros y no tienen debilidades conocidas, por lo que no existe una forma gratuita de recuperar archivos. Los cifradores Babuk y LockBit 3 filtrados se han utilizado para impulsar nuevas operaciones de ransomware, incluido APT INC. Los cifradores Babuk filtrados se han adoptado ampliamente, ya que incluyen un cifrado dirigido a servidores VMware ESXi, que se utiliza mucho en la empresa.

Fuente: BC

15 jul 2024

Blast-RADIUS: ataque a RADIUS mediante colisión MD5

Blast-RADIUS, una derivación de autenticación en el protocolo RADIUS/UDP ampliamente utilizado, permite a los actores de amenazas violar redes y dispositivos en ataques de colisión MD5 de tipo intermediario.

Muchos dispositivos en red (incluidos switches, routers e infraestructuras de enrutamiento) en redes empresariales y de telecomunicaciones utilizan el protocolo de autenticación y autorización RADIUS (Remote Authentication Dial-In User Service), a veces decenas de miles de dispositivos en una sola red.

El protocolo RADIUS es el núcleo de la infraestructura de red actual. Aunque el protocolo se diseñó en 1991, durante la era del acceso telefónico a Internet, sigue siendo el protocolo de autenticación ligero estándar de facto utilizado para el acceso remoto de usuarios y administradores a dispositivos en red. "RADIUS cuenta con el respaldo de prácticamente todos los switch, router, access point, concentradores de VPN vendidos en los últimos veinte años" (fuente).

Entre su amplia gama de aplicaciones, el protocolo se utiliza para autenticación en DSL y FTTH, 802.1X y Wi-Fi, roaming celular 2G y 3G, 5G DNN (Nombre de Red de Datos), APN privado y VPN, y redes de infraestructura crítica.

Blast-RADIUS [PDF] explota una nueva vulnerabilidad de protocolo (CVE-2024-3596) y un ataque de colisión MD5, lo que permite a los atacantes con acceso al tráfico RADIUS manipular las respuestas del servidor y agregar atributos de protocolo arbitrarios, lo que les permite obtener privilegios de administrador en dispositivos RADIUS sin necesidad de fuerza o robo de credenciales.

"El ataque Blast-RADIUS permite a un atacante intermediario entre el cliente y el servidor RADIUS falsificar un mensaje de aceptación de protocolo válido en respuesta a una solicitud de autenticación fallida", explicaron los investigadores detrás del mismo. Esta falsificación podría darle al atacante acceso a dispositivos y servicios de red sin que el atacante tenga que adivinar o forzar contraseñas o secretos compartidos. El atacante no conoce las credenciales del usuario.

"Un adversario que aproveche nuestro ataque puede aumentar los privilegios desde el acceso parcial a la red hasta poder iniciar sesión en cualquier dispositivo que utilice RADIUS para autenticación o asignarse privilegios de red arbitrarios".

El protocolo RADIUS utiliza solicitudes y respuestas con hashes MD5 al realizar la autenticación en un dispositivo. El exploit de prueba de concepto de los investigadores (que aún no se ha compartido) calcula una colisión de hash de prefijo elegido MD5 necesaria para crear una respuesta válida de "Access-Accept" para indicar una solicitud de autenticación exitosa. Este hash MD5 falsificado luego se inyecta en la comunicación de la red mediante el ataque de intermediario, lo que permite al atacante iniciar sesión.

Blast-RADIUS es una vulnerabilidad de protocolo y, por lo tanto, afecta a todas las implementaciones de RADIUS que utilizan métodos de autenticación que no sean EAP a través de UDP.

El exploit tarda de 3 a 6 minutos en crear este hash MD5, más que los tiempos de espera de 30 a 60 segundos comúnmente utilizados en la práctica para RADIUS.

Sin embargo, cada paso del algoritmo de colisión utilizado en el ataque se puede paralelizar de manera efectiva y es adecuado para la optimización del hardware, lo que permitiría a un atacante con buenos recursos implementar el ataque utilizando GPU, FPGA u otro hardware más moderno y rápido para lograr tiempos de ejecución más rápidos, posiblemente decenas o cientos de veces más rápido.

"Si bien una colisión de hash MD5 se demostró por primera vez en 2004, no se pensó que fuera posible explotarla en el contexto del protocolo RADIUS", dijo el equipo de investigación. El ataque identifica una vulnerabilidad de protocolo en la forma en que RADIUS usa MD5 que permite al atacante inyectar un atributo de protocolo malicioso que produce una colisión hash entre el autenticador de respuesta generado por el servidor y el paquete de respuesta falsificado deseado por el atacante.

"Además, debido a que nuestro ataque se realiza en línea, el atacante necesita poder calcular el llamado ataque de colisión MD5 con prefijo elegido en minutos o segundos". Los tiempos de ataque de colisión con prefijo elegido mejor reportados anteriormente tomaron horas y produjeron colisiones que no eran compatibles con el protocolo RADIUS".

Una implementación de servidor RADIUS es vulnerable si no requiere un atributo Message-Authenticator en cada solicitud del cliente. Un cliente RADIUS es vulnerable si no requiere un atributo Message-Authenticator de cada respuesta del servidor. Consulte el documento técnico de Alan DeKok para obtener más información.

Dado que este ataque no compromete las credenciales del usuario final, no hay nada que los usuarios finales puedan hacer para protegerse contra él. Sin embargo, se recomienda a los proveedores y administradores de sistemas que fabrican y administran dispositivos RADIUS que sigan estas mejores prácticas y guías.

Para defenderse de este ataque, los operadores de red pueden actualizar a RADIUS sobre TLS (RADSEC), cambiar a implementaciones RADIUS de "salto múltiple" y aislar el tráfico RADIUS del acceso a Internet mediante VLAN de administración de acceso restringido o túneles TLS/IPsec.

Fuente: BC

Zero-Day en Windows MSHTML utilizado en ataques de malware (Parchea CVE-2024-38112)

Microsoft solucionó una vulnerabilidad Zero-Day de Windows que se ha explotado activamente en ataques durante dieciocho meses para lanzar scripts maliciosos y eludir las funciones de seguridad integradas.

La falla, identificada por TrendMicro y seguida como CVE-2024-38112, es un problema de suplantación de identidad MHTML de alta gravedad que se solucionó durante las actualizaciones de seguridad del martes de parches de julio de 2024.

Aquí se puede ver un video de un ataque utilizando esta vulnerabilidad.

Haifei Li de Check Point Research descubrió la vulnerabilidad y la reveló a Microsoft en mayo de 2024. Sin embargo, en un informe de Li, el investigador señala que han descubierto muestras que explotan este defecto ya en enero de 2023.

Haifei Li descubrió que los actores de amenazas han estado distribuyendo archivos de acceso directo a Internet de Windows (.URL) para falsificar archivos que parecen legítimos, como archivos PDF, pero que descargan y ejecutan archivos HTA para instalar malware que roba contraseñas.

Un archivo de acceso directo a Internet es simplemente un archivo de texto que contiene varios ajustes de configuración, como qué icono mostrar, qué enlace abrir al hacer doble clic y otra información. Cuando se guarda como un archivo .URL y se hace doble clic, Windows abrirá la URL configurada en el navegador web predeterminado.

Sin embargo, los actores de la amenaza descubrieron que podían obligar a Internet Explorer a abrir la URL especificada utilizando el controlador URL=mhtml:URI en la directiva URL, como se muestra a continuación.

MHTML es un archivo de "encapsulación MIME de documentos HTML agregados", una tecnología introducida en Internet Explorer que encapsula una página web completa, incluidas sus imágenes, en un solo archivo.

Cuando la URL se inicia con el URL=mhtml:URI>, Windows la inicia automáticamente en Internet Explorer en lugar del navegador predeterminado.

Según el investigador de vulnerabilidades Will Dormann, abrir una página web en Internet Explorer ofrece beneficios adicionales a los actores de amenazas, ya que hay menos advertencias de seguridad al descargar archivos maliciosos. "En primer lugar, IE le permitirá descargar un archivo .HTA de Internet sin previo aviso", explicó Dormann en Mastodon.

A continuación, una vez descargado, el archivo .HTA vivirá en el directorio INetCache, pero NO tendrá explícitamente un MotW (Mark of the Web). En este punto, la única protección que tiene el usuario es una advertencia de que "un sitio web" quiere abrir contenido web, usando un programa en la computadora, sin decir qué sitio web es. Si el usuario cree que confía en "este" sitio web, es cuando ocurre la ejecución del código.

Básicamente, los actores de amenazas aprovechan el hecho de que Internet Explorer todavía está incluido de forma predeterminada en Windows 10 y Windows 11. A pesar de que Microsoft anunció su retiro hace aproximadamente dos años y que Edge lo reemplazó en todas las funciones prácticas, el navegador obsoleto aún se puede invocar y aprovechar con fines maliciosos.

Check Point dice que los actores de amenazas están creando archivos de acceso directo a Internet con íconos para que aparezcan como enlaces a un archivo PDF. Al hacer clic, la página web especificada se abrirá en Internet Explorer, que automáticamente intenta descargar lo que parece ser un archivo PDF pero en realidad es un archivo HTA.

Sin embargo, los actores de amenazas pueden ocultar la extensión HTA y hacer que parezca que se está descargando un PDF rellenando el nombre del archivo con caracteres Unicode para que no se muestre la extensión .hta. Cuando Internet Explorer descarga el archivo HTA, le pregunta si desea guardarlo o abrirlo. Si un usuario decide abrir el archivo pensando que es un PDF, ya que no contiene la marca que proviene de la web (MotW), se iniciará solo con una alerta genérica sobre el contenido que se abre desde un sitio web.

Como el objetivo espera descargar un PDF, el usuario puede confiar en esta alerta y se permite la ejecución del archivo.

Check Point Research dijo que permitir la ejecución del archivo HTA instalaría el malware Atlantida Stealer, y que, de acuerdo a TrendMicro roba contraseñas en la computadora. Una vez ejecutado, el malware robará todas las credenciales almacenadas en el navegador, las cookies, el historial del navegador, las carteras de criptomonedas, las credenciales de Steam y otros datos confidenciales.

Atlantida, inspirado en otros info-stealer de código abierto como NecroStealer y PredatorTheStealer, está diseñada para extraer archivos, capturas de pantalla, geolocalización y datos confidenciales de navegadores web y otras aplicaciones, incluidas Telegram, Steam, FileZilla y varias carteras de criptomonedas.

Microsoft solucionó la vulnerabilidad CVE-2024-38112 cancelando el registro de URL=mhtml:URI de Internet Explorer, por lo que ahora se abre en Microsoft Edge. CVE-2024-38112 es similar a CVE-2021-40444, una vulnerabilidad Zero-Day que abusaba de MHTML y que los delincuentes norcoreanos aprovecharon para lanzar ataques dirigidos a investigadores de seguridad en 2021.

Fuente: BC | THN

14 jul 2024

Exploits se utilizan solo 22 minutos después del lanzamiento de una PoC

Los actores de amenazas se apresuran a utilizar como arma los exploits disponibles en ataques reales, a veces tan pronto como 22 minutos después de que las prueba de concepto (PoC) se ponen a disposición del público.

Esto es según el informe de seguridad de aplicaciones de Cloudflare para 2024, que cubre la actividad entre mayo de 2023 y marzo de 2024 y destaca las tendencias de amenazas emergentes.

Cloudflare, que actualmente procesa un promedio de 57 millones de solicitudes HTTP por segundo, continúa viendo una mayor actividad de escaneo de CVE divulgados, seguida de inyecciones de comandos e intentos de convertir los PoC disponibles en armas.

Durante el período examinado, las fallas más atacadas fueron CVE-2023-50164 y CVE-2022-33891 en productos Apache, CVE-2023-29298, CVE-2023-38203 y CVE-2023-26360 en Coldfusion, y CVE-2023- 35082 en MobileIron.

Un ejemplo característico del aumento en la velocidad de la utilización de armas es CVE-2024-27198, una falla de omisión de autenticación en JetBrains TeamCity. Cloudflare observó un caso en el que un atacante implementó un exploit basado en una PoC 22 minutos después de su publicación, lo que prácticamente no dejó a los defensores ningún margen para la oportunidad de remediar el problema.


La empresa dice que la única forma de combatir esta velocidad es emplear asistencia de inteligencia artificial para desarrollar rápidamente reglas de detección efectivas.

"La velocidad de explotación de los CVE revelados suele ser más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear e implementar parches para mitigar los ataques", explica Cloudflare en el informe. "Esto también se aplica a nuestro propio equipo interno de analistas de seguridad que mantiene el conjunto de reglas administradas WAF, lo que nos ha llevado a combinar las firmas escritas por humanos con un enfoque basado en ML para lograr el mejor equilibrio entre pocos falsos positivos y velocidad de respuesta".

Cloudflare dice que esto es en parte el resultado de actores de amenazas específicos que se especializan en ciertas categorías y productos CVE, y que desarrollan una comprensión profunda de cómo aprovechar rápidamente las nuevas revelaciones de vulnerabilidades.

El 6,8% de todo el tráfico de Internet es DDoS

Otro punto destacado sorprendente en el informe de Cloudflare es que el 6,8% de todo el tráfico diario de Internet es tráfico distribuido de denegación de servicio (DDoS) destinado a hacer que las aplicaciones y servicios en línea no estén disponibles para los usuarios legítimos.

Se trata de un aumento notable en comparación con el 6% registrado durante el período de 12 meses anterior (2022-2023), lo que muestra un aumento en el volumen general de ataques DDoS.

Cloudflare afirma que durante grandes ataques globales, el tráfico malicioso puede representar hasta el 12% de todo el tráfico HTTP. "Centrándonos únicamente en las solicitudes HTTP, en el primer trimestre de 2024 Cloudflare bloqueó un promedio de 209 mil millones de amenazas cibernéticas cada día (+86,6 % interanual) [... lo que] es un aumento sustancial en términos relativos en comparación con el mismo período del año pasado".

El informe, disponible para descargar aquí, proporciona recomendaciones adicionales para los defensores y conocimientos más profundos sobre las estadísticas compiladas.

Fuente: CloudFlare

12 jul 2024

Vulnerabilidad crítica en Exim expone a millones de personas a archivos adjuntos maliciosos

Se ha revelado un problema de seguridad crítico en el agente de transferencia de correo Exim que podría permitir a los actores de amenazas enviar archivos adjuntos maliciosos a las bandejas de entrada de los usuarios.

Exim es un agente de transferencia de correo gratuito que se utiliza en hosts que ejecutan sistemas operativos Unix o similares. Fue lanzado por primera vez en 1995 para su uso en la Universidad de Cambridge.

La vulnerabilidad, identificada como CVE-2024-39929, tiene una puntuación CVSS de 9,1 sobre 10,0 y se ha solucionado en la versión 4.98.

"Exim hasta 4.97.1 analiza erróneamente un nombre de archivo de encabezado RFC 2231 multilínea y, por lo tanto, atacantes remotos pueden eludir un mecanismo de protección de bloqueo de extensión $mime_filename y potencialmente entregar archivos adjuntos ejecutables a los buzones de correo de los usuarios finales", según una descripción compartida en EE.UU. Base de datos nacional de vulnerabilidad (NVD).

La firma Censys dijo que 4.830.719 de los 6.540.044 servidores de correo SMTP públicos están ejecutando Exim. Al 12 de julio de 2024, 1.563.085 servidores Exim con acceso a Internet ejecutan una versión potencialmente vulnerable (4.97.1 o anterior).

La mayoría de los casos vulnerables se encuentran en Estados Unidos, Rusia y Canadá. Por ejemplo en en Argentina se puede buscar con el siguiente dork de Censys:

services.software: (product="exim" and version: [* to 4.97.1]) and location.country_code:AR

La vulnerabilidad podría permitir a un atacante remoto eludir las medidas de protección de bloqueo de extensiones de archivos y entregar archivos adjuntos ejecutables directamente a los buzones de correo de los usuarios finales. Si un usuario descargara o ejecutara uno de estos archivos maliciosos, el sistema podría verse comprometido.

Esto también significa que los posibles objetivos deben hacer clic en un ejecutable adjunto para que el ataque tenga éxito. Si bien no hay informes de explotación activa de la falla, es esencial que los usuarios actúen rápidamente para aplicar los parches para mitigar amenazas potenciales.

El desarrollo se produce casi un año después de que los mantenedores del proyecto corrigieran un conjunto de seis vulnerabilidades en Exim que podrían resultar en la divulgación de información y la ejecución remota de código.

Fuente: THN

10 jul 2024

(Otra) Vulnerabilidad crítica en GitLab Community y Enterprise

GitLab advirtió hoy que una vulnerabilidad crítica en las ediciones GitLab Community y Enterprise de su producto permite a los atacantes ejecutar trabajos de canalización como cualquier otro usuario.

Las canalizaciones de GitLab son una característica del sistema de integración continua/implementación continua (CI/CD) que permite a los usuarios ejecutar automáticamente procesos y tareas en paralelo o secuencialmente para crear, probar o implementar cambios de código.

La plataforma GitLab DevSecOps tiene más de 30 millones de usuarios registrados y es utilizada por más del 50% de las empresas Fortune 100, incluidas T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia y UBS.

La falla corregida en la actualización de seguridad de hoy está identificada como CVE-2024-6385 y recibió una calificación de gravedad de puntuación base CVSS de 9,6 sobre 10. Afecta a todas las versiones de GitLab CE/EE desde 15.8 a 16.11.6, 17.0 a 17.0.4 y 17.1 a 17.1.2. En determinadas circunstancias que GitLab aún no ha revelado, los atacantes pueden aprovecharlo para activar una nueva canalización como usuario arbitrario.

Los atacantes apuntan a GitLab porque aloja varios tipos de datos corporativos confidenciales, incluidas claves API y código propietario, lo que genera un impacto significativo en la seguridad después de una infracción.

La compañía lanzó GitLab Community y Enterprise versiones 17.1.2, 17.0.4 y 16.11.6 para abordar esta falla de seguridad crítica y recomendó a todos los administradores que actualizaran todas las instalaciones de inmediato.

A finales de junio, GitLab parcheó una vulnerabilidad casi idéntica (CVE-2024-5655) a finales de junio, que también podría explotarse para ejecutar canalizaciones como otros usuarios.

Un mes antes, solucionó una vulnerabilidad de gravedad alta (CVE-2024-4835) que permite a actores de amenazas no autenticados hacerse cargo de cuentas en ataques de secuencias de comandos entre sitios (XSS).

Como advirtió CISA en mayo, los actores de amenazas también están explotando activamente otra vulnerabilidad de GitLab sin necesidad de clic (CVE-2023-7028) parcheada en enero. Esta vulnerabilidad permite a atacantes no autenticados secuestrar cuentas mediante restablecimiento de contraseña.

Si bien Shadowserver encontró más de 5.300 instancias vulnerables de GitLab expuestas en línea en enero, menos de la mitad (1.795) todavía están accesibles en la actualidad.

Fuente: BC

Actualizaciones de seguridad de julio para todas las empresas

Ayer martes se lanzaron los parches de julio de 2024 de Microsoft y otras empresas. Las actualizaciones incluyen actualizaciones de seguridad para 142 fallas, incluidas dos Zero-Day explotados activamente y dos Zero-Day divulgados públicamente. Además, se solucionaron cinco vulnerabilidades críticas, todas ellas fallas de ejecución remota de código.

La cantidad de errores en cada categoría de vulnerabilidad se enumera a continuación:

  • 26 vulnerabilidades de elevación de privilegios
  • 24 vulnerabilidades de omisión de funciones de seguridad
  • 59 vulnerabilidades de ejecución remota de código
  • 9 vulnerabilidades de divulgación de información
  • 17 vulnerabilidades de denegación de servicio
  • 7 vulnerabilidades de suplantación de identidad

Para obtener más información sobre las actualizaciones no relacionadas con la seguridad, puede revisar nuestros artículos dedicados a la nueva actualización de Windows 11 KB5040442 y a la actualización de Windows 10 KB5040427.

Cuatro Zero-Days arreglados

Este mes se corrigen dos vulnerabilidades de día cero explotadas activamente y otras dos divulgadas públicamente. Microsoft clasifica una falla de día cero como aquella que se divulga públicamente o se explota activamente mientras no hay una solución oficial disponible.

Las dos vulnerabilidades de día cero explotadas activamente en las actualizaciones son:

  • CVE-2024-38080: vulnerabilidad de elevación de privilegios de Hyper-V en Windows. Microsoft ha solucionado una vulnerabilidad de elevación de privilegios de Hyper-V explotada activamente que otorga a los atacantes privilegios de SYSTEM. Si bien Microsoft afirma que la falla se explota activamente, no ha compartido más detalles sobre la vulnerabilidad, incluido quién la descubrió.
  • CVE-2024-38112: vulnerabilidad de suplantación de plataforma MSHTML de Windows Microsoft ha solucionado una vulnerabilidad de suplantación de identidad MSHTML de Windows que se explota activamente. "La explotación exitosa de esta vulnerabilidad requiere que un atacante tome acciones adicionales antes de la explotación para preparar el entorno de destino", explica Microsoft. "Un atacante tendría que enviar a la víctima un archivo malicioso que la víctima tendría que ejecutar". Microsoft no compartió más detalles sobre cómo se aprovechó la vulnerabilidad. La falla fue revelada por Haifei Li con Check Point Research.

Las dos vulnerabilidades divulgadas públicamente son:

  • CVE-2024-35264: Vulnerabilidad de ejecución remota de código en .NET y Visual Studio. Microsoft arregló un .NET y Visual Studio RCE divulgados públicamente. "Un atacante podría aprovechar esto cerrando una secuencia HTTP/3 mientras se procesa el cuerpo de la solicitud, lo que generaría una condición de carrera. Esto podría resultar en la ejecución remota de código", explica Microsoft. No ha compartido dónde se reveló públicamente y dijo que fue descubierto internamente por Radek Zikmund de Microsoft Corporation.
  • CVE-2024-37985: Identificación y caracterización sistemática de captadores previos propietarios. Microsoft ha solucionado un ataque de canal lateral "FetchBench" previamente revelado que puede usarse para robar "información secreta". "Un atacante que explotara con éxito esta vulnerabilidad podría ver la memoria dinámica de un proceso privilegiado que se ejecuta en el servidor", explica Microsoft. "La explotación exitosa de esta vulnerabilidad requiere que un atacante tome acciones adicionales antes de la explotación para preparar el entorno de destino".

Actualizaciones de otras compañias

Fuente: BC

9 jul 2024

Vulnerabilidad crítica en Ghostscript aprovechada en Linux

Actualmente se está aprovechando una vulnerabilidad de ejecución remota de código (RCE) en el kit de herramientas de conversión de documentos Ghostscript, ampliamente utilizado en sistemas Linux.

Ghostscript viene preinstalado en muchas distribuciones de Linux y lo utilizan varios programas de conversión de documentos, incluidos ImageMagick, LibreOffice, GIMP, Inkscape, Scribus y el sistema de impresión CUPS.

Registrada como CVE-2024-29510, esta vulnerabilidad de formato de cadena afecta a todas las instalaciones de Ghostscript 10.03.0 y anteriores. Esta omisión de seguridad es especialmente peligrosa ya que les permite realizar operaciones de alto riesgo, como la ejecución de comandos y la E/S de archivos, utilizando el intérprete Ghostscript Postscript, que el sandbox normalmente bloquearía.

"Esta vulnerabilidad tiene un impacto significativo en las aplicaciones web y otros servicios que ofrecen conversión de documentos y funcionalidades de vista previa, ya que a menudo utilizan Ghostscript bajo el capó", advirtieron los investigadores de seguridad de Codean Labs que descubrieron e informaron sobre la vulnerabilidad de seguridad. "Recomendamos verificar si su solución (indirectamente) utiliza Ghostscript y, de ser así, actualizarla a la última versión".

Codean Labs también compartió este archivo Postscript que puede ayudar a los defensores a detectar si sus sistemas son vulnerables a ataques CVE-2023-36664 ejecutándolo con el siguiente comando:

ghostscript -q -dNODISPLAY -dBATCH CVE-2024-29510_testkit.ps

Si bien el equipo de desarrollo de Ghostscript solucionó el problema de seguridad en mayo, Codean Labs publicó un artículo con detalles técnicos y un código de explotación de prueba de concepto dos meses después.

Los atacantes ya están explotando la vulnerabilidad CVE-2024-29510 Ghostscript, utilizando archivos EPS (PostScript) camuflados como archivos JPG (imagen) para obtener acceso de shell a los sistemas vulnerables.

"Si tiene Ghostscript *en cualquier lugar* en sus servicios de producción, probablemente sea vulnerable a una ejecución remota de código sorprendentemente trivial, y debería actualizarlo o eliminarlo de sus sistemas de producción", advirtió el desarrollador Bill Mill.

La mejor mitigación contra esta vulnerabilidad es actualizar su instalación de Ghostscript a v10.03.1 o superior. Por ejemplo, Debian, Ubuntu, Fedora.

Hace un año, los desarrolladores de Ghostscript parchearon otra falla crítica de RCE (CVE-2023-36664) que también se activa al abrir archivos creados con fines malintencionados en sistemas sin parches.

Fuente: BC