Author: Seguridad CSIRT-CV

Google ha publicat una actualització per una fallada de seguretat d’alta gravetat en el seu navegador Chrome per a Windows que ha sigut explotada com a part d’atacs dirigits a organitzacions a Rússia.

Análisis

La vulnerabilitat, identificada com a CVE-2025-2783, s’ha descrit com un cas de “controlador incorrecte proporcionat en circumstàncies no especificades en Mojo per a Windows”. Mojo es referix a un conjunt de biblioteques d’execució que proporcionen un mecanisme independent de la plataforma per a la comunicació entre processos (IPC). L’essència de la vulnerabilitat residix en un error lògic en la intersecció de Chrome i el sistema operatiu Windows, que permet eludir la protecció sandbox del navegador.

Recursos afectados

La versió vulnerable és la 134.0.6998.177/.178 de Chrome per a Windows

Recomendaciones

En vista de l’explotació activa, també es recomana als usuaris de navegadors basats en Chromium, com Microsoft Edge, Brave, Opera i Vivaldi, que apliquen les correccions a mesura que estiguen disponibles.

Referencias

• • https://thehackernews.com/2025/03/zero-day-alert-google-releases-chrome.html
  • https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html
    

S’ha identificat una vulnerabilitat crítica d’execució remota de codi (RCE) en Apache Tomcat que està sent explotada activament.

Anàlisi

Identificada com a CVE-2025-24813 (CVSS 9.8) ja està sent activament explotada en atacs cibernètics, la qual cosa representa un risc important per als sistemes afectats.
La vulnerabilitat permet als atacants executar codi maliciós en els servidors vulnerables a través d’una sol·licitud HTTP PUT manipulada, sense la necessitat d’autenticació.
Esta vulnerabilitat va ser identificada i publicada inicialment en març de 2025 i ja ha sigut aprofitada activament en atacs dirigits. La publicació d’un codi d’explotació en fòrums públics ha accelerat la propagació de l’ús d’esta vulnerabilitat en la ciberdelinqüència

Recursos afectats

 Esta vulnerabilitat afecta principalment les següents versions d’Apache Tomcat:

• • Apache Tomcat 9.0.0-M1 a 9.0.98
  • Apache Tomcat 10.1.0-M1 a 10.1.34
  • Apache Tomcat 11.0.0-M1 a 11.0.2

Els servicis web, plataformes i aplicacions que depenen de Tomcat per a l’execució d’aplicacions Java estan en risc, especialment aquells que tenen configuracions que permeten la càrrega d’arxius de manera insegura a través d’HTTP PUT.

Recomanacions

• • Actualitzar a les versions 9.0.99, 10.1.35 i 11.0.3 de Tomcat que solucionen esta vulnerabilitat
  • Deshabilitar HTTP PUT: Si no és necessari, considere deshabilitar el mètode HTTP PUT en el servidor per a previndre l’explotació d’esta vulnerabilitat.
  • Monitorar els diaris dels registres del servidor a la recerca de sol·licituds PUT sospitoses que puguen estar relacionades amb intents d’explotació.

Condicions per a una explotació exitosa

La explotación requiere múltiples configuraciones no predeterminadas para ser explotable, lo que limita significativamente su impacto en implementaciones típicas.

• • Per a la divulgació d’informació o la injecció d’arxius, l’atac només és possible si es donen les condicions següents:
    
    • Escriptures habilitades per a la miniaplicació del servidor predeterminada (deshabilitada de manera predeterminada).
    • S’admeten sol·licituds PUT parcials (el suport per a PUT parcial està habilitat de manera predeterminada).
    • La càrrega d’arxius confidencials es fa dins d’un directori amb permisos d’escriptura públics, és a dir, es requerix d’un URL de destinació per a càrregues sensibles a la seguretat que era un subdirectori d’un URL de destinació per a càrregues públiques.
    • Coneixement de l’atacant dels noms dels arxius sensibles de seguretat que s’estan carregant
    • Els arxius sensibles a la seguretat també es carreguen mitjançant PUT parcial.
      

       

  • Per a l’execució remota de codi (RCE), l’explotació requerix:
    
    • Escriptures habilitades per a la miniaplicació del servidor predeterminada (deshabilitada de manera predeterminada).
    • S’admeten sol·licituds PUT parcials (el suport per a PUT parcial està habilitat de manera predeterminada).
    • La persistència de sessió basada en arxius de Tomcat amb la ubicació d’emmagatzematge predeterminada.
    • Una biblioteca vulnerable a la desserialització.

Poden trobar més informació sobre eixes condicions principalment en els enllaços següents:

• • https://access.redhat.com/security/cve/cve-2025-24813
  • https://www.openwall.com/lists/oss-security/2025/03/10/5
  • https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

Referències

• • https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild
  • https://access.redhat.com/security/cve/cve-2025-24813
  • https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks
  • https://thehackernews.com/2025/03/apache-tomcat-vulnerability-comes-under.html
  • https://www.darkreading.com/vulnerabilities-threats/apache-tomcat-rce-vulnerability-exploit
  • https://www.securityweek.com/exploit-code-for-apache-tomcat-rce-vulnerability-published-on-chinese-forum
  • https://securityaffairs.com/175522/security/threat-actors-rapidly-exploit-new-apache-tomcat-flaw-following-poc-release.html
  • https://www.theregister.com/2025/03/18/apache_tomcat_java_rce_flaw

Autodesk ha llançat pedaços de seguretat que corregixen múltiples vulnerabilitats del seu producte, AutoCAD i d’altres basats en este. L’explotació de les vulnerabilitats detectades pot provocar l’execució de codi, però perquè siguen explotades, cal la interacció de la persona usuària.

Anàlisi

Totes les vulnerabilitats detectades es troben classificades amb una severitat alta i estan relacionades amb la manipulació d’arxius maliciosos de diferents formats. Cal destacar que, per a ser explotades, necessiten la interacció de la persona usuària, ja que és necessari obrir un arxiu maliciós.

Estes vulnerabilitats inclouen problemes de variables no inicialitzades, lectura fora de límits, desbordament de la memòria intermèdia (buffer) basada en monticle, corrupció de memòria i ús després de l’alliberament. Estos errors ocorren quan un programa no gestiona correctament la memòria.
Un atacant pot aprofitar estes vulnerabilitats per a poder llegir dades sensibles, fer un bloqueig del programa o explotar codi arbitrari.

Els detalls de les vulnerabilitats són els següents:

• • CVE-2025-1427 : Un arxiu CATPRODUCT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de variable no inicialitzada. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1649 : Un arxiu CATPRODUCT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de variable no inicialitzada. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1650 : Un arxiu CATPRODUCT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de variable no inicialitzada. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1428 : Un arxiu CATPART creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de lectura fora de límits. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1429 : Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot generar una vulnerabilitat de desbordament basat en monticle. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1651 : Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot generar una vulnerabilitat de desbordament basat en monticle. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1430 : Un arxiu SLDPRT creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot generar una vulnerabilitat de corrupció de memòria. Un agent maliciós pot aprofitar esta vulnerabilitat per a executar codi arbitrari en el context del procés actual.
  • CVE-2025-1432 : Un arxiu 3DM creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat d’ús després de l’alliberament. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1433 :Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de lectura fora de límits. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.
  • CVE-2025-1433 : Un arxiu MODEL creat amb finalitats malicioses, en analitzar-se mitjançant Autodesk AutoCAD, pot forçar una vulnerabilitat de lectura fora de límits. Un agent maliciós pot aprofitar esta vulnerabilitat per a provocar un bloqueig, llegir dades confidencials o executar codi arbitrari en el context del procés actual.

Recursos afectats

Productes Autodesk afectats versions 2025:

• • AutoCAD
  • AutoCAD Architecture
  • AutoCAD Electrical
  • AutoCAD Mechanical
  • AutoCAD MEP
  • AutoCAD Plant 3D
  • Civil 3D
  • Advance Steel
  • AutoCAD Map 3D

Recomanacions

Austodesk insta els usuaris a actualitzar el microprogramari (firmware) a la versió 2025.1.2 que corregix estes vulnerabilitats. A més, es recomana que les persones usuàries només òbriguen arxius que s’hagen rebut des de remitents de confiança.

Referències

• • https://www.incibe.es/empresas/avisos/multiples-vulnerabilidades-detectadas-en-autodesk-autocad-y-productos-basados-en
  • Multiple Vulnerabilities in Autodesk AutoCAD and certain AutoCAD-based Products