Publicado el

Múltiples vulnerabilidades en Moodle

Moodle ha publicado correcciones para 16 vulnerabilidades, 8 de ellas críticas. Su explotación podría permitir ejecución de código remoto, acceso a la información e inyección de código, entre otros.

Análisis

Las vulnerabilidades críticas se describen a continuación:

    • CVE-2024-43425: vulnerabilidad de ejecución remota de código a través de tipos de preguntas calculadas. Fueron necesarias restricciones adicionales para evitar el riesgo, por lo que se añadieron y/o actualizaron preguntas.
    • Debido a falta de desinfección, es posible la lectura de archivos, la falsificación de petición en sitios cruzados, inyección SQL o el Cross-site scripting. Esto afecta a las vulnerabilidades CVE-2024-43426, CVE-2024-43434, CVE-2024-43436 y CVE-2024-43439.
    • CVE-2024-43428: vulnerabilidad de envenenamiento de caché al no requerir validación adicional del almacenamiento local.
    • CVE-2024-43431: una comprobación insuficiente de las capacidades podría permitir eliminar insignias a las que un usuario no tiene permiso de acceso.
    • CVE-2024-43440: vulnerabilidad que podría provocar un riesgo de inclusión de archivos locales al restaurar copias de seguridad en bloque.

Recursos afectados

Versiones anteriores que no reciban soporte actualmente y, además:

    • Versiones 4.4 a 4.4.1
    • Versiones 4.3 a 4.3.5
    • Versiones 4.2 a 4.2.8
    • Versiones 4.1 a 4.1.11

Referencias

Publicado el

Toyota reveló una violación de datos después de que se filtraran los datos robados en un foro de ciberdelincuencia.

Toyota ha revelado una violación de datos después de que se filtrara un archivo de 240 GB de datos robados de sus sistemas en un foro de ciberdelincuencia.

La empresa intentó restar importancia al incidente alegando que la brecha de seguridad tiene un alcance limitado.
El proveedor de automóviles ya ha notificado el incidente a las personas afectadas, pero no ha facilitado detalles técnicos sobre el mismo.

«Somos conscientes de la situación. El problema es de alcance limitado y no afecta a todo el sistema, estamos comprometidos con aquellos que se han visto afectados y proporcionaremos asistencia si es necesario», añadió el comunicado de la compañía

Los investigadores notaron que el archivo robado fue creado el 25 de diciembre de 2022, lo que sugiere que los atacantes pueden haber comprometido un servidor de copia de seguridad donde se almacenaron los datos.

En diciembre de 2023, Toyota Financial Services (TFS) advirtió a sus clientes de que había sufrido una filtración de datos que expuso datos personales y financieros confidenciales.

Toyota Financial Services (TFS) es la rama financiera de Toyota Motor Corporation. Es una filial de Toyota y presta una serie de servicios financieros a los clientes y concesionarios de Toyota en todo el mundo. TFS ofrece diversos productos financieros, como préstamos para automóviles, leasing y soluciones de seguros. El objetivo de TFS es ayudar a los clientes de Toyota a financiar sus vehículos y facilitar la compra o el arrendamiento de vehículos Toyota mediante opciones financieras flexibles y adaptadas a sus necesidades. Los servicios prestados por Toyota Financial Services pueden variar según la región, y los clientes normalmente pueden acceder a estos servicios a través de los concesionarios Toyota o de plataformas en línea.

El sitio web alemán Heise obtuvo la notificación de violación de datos enviada por Toyota a los clientes alemanes. La empresa les informó de que los autores de la amenaza habían accedido a nombres completos, direcciones de residencia, información de contacto, detalles de arrendamiento con opción de compra e IBAN (número internacional de cuenta bancaria).

El 17 de noviembre de 2023, la banda de ransomware Medusa reivindicó la autoría del ataque y amenazó con filtrar los datos supuestamente robados si la empresa no pagaba el rescate.

La banda de ransomware exigió inicialmente un pago de 8.000.000 dólares para borrar los datos supuestamente robados a la empresa, y ofrecía la opción de ampliar el plazo por 10.000 dólares más al día.

Medusa Toyota fijó la fecha límite para el 26 de noviembre y publicó una muestra de los datos robados como prueba del hackeo.

El popular experto en ciberseguridad Kevin Beaumont observó por primera vez que la oficina de la empresa en Alemania tenía un Citrix Gateway vulnerable expuesto en línea. Los actores de la amenaza probablemente explotaron la vulnerabilidad Citrix Bleed para obtener acceso inicial a la red de la empresa.

    •  

Referencias

Publicado el

Múltiples vulnerabilidades en productos HPE Aruba

Introducción

HPE Product Security Response Team ha reportado 10 vulnerabilidades que afectan a AP (Access Points) con ArubaOS e InstantOS, 3 de severidad crítica y 7 medias. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código/comandos      arbitrarios y realizar una denegación de servicio.

Análisis

Las vulnerabilidades críticas se describen a continuación:

      • Vulnerabilidades en el servicio Soft AP Daemon que podrían permitir a un atacante, no autenticado, realizar un RCE. Una explotación exitosa podría permitir la ejecución de comandos arbitrarios en el sistema operativo subyacente, lo que llevaría a un compromiso completo del sistema. Se ha asignado los identificadores CVE-2024-42393 y CVE-2024-42394 para estas vulnerabilidades. 
      • Vulnerabilidad en el servicio de gestión de certificados AP que podría permitir a un atacante, no autenticado, realizar un RCE. Una explotación exitosa podría permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo afectado, comprometiendo el sistema por completo. Se ha asignado el identificador CVE-2024-42395 para esta vulnerabilidad.

Recursos afectados

      • ArubaOS 10.6.x.x: 10.6.0.0 y anteriores

      • ArubaOS 10.4.x.x: 10.4.1.3 y anteriores

      • InstantOS 8.12.x.x: 8.12.0.1 y anteriores

      • InstantOS 8.10.x.x: 8.10.0.12 y anteriores

      • Todas las versiones de los siguientes productos EoM (End of Maintenance):

        • ArubaOS 10.5.x.x

        • ArubaOS 10.3.x.x

        • InstantOS 8.11.x.x

        • InstantOS 8.9.x.x

        • InstantOS 8.8.x.x

        • InstantOS 8.7.x.x

        • InstantOS 8.6.x.x

        • InstantOS 8.5.x.x

        • InstantOS 8.4.x.x

        • InstantOS 6.5.x.x

        • InstantOS 6.4.x.x

Recomendaciones

Actualizar los AP afectados a las versiones:

      • ArubaOS 10.6.x.x: 10.6.0.1 y posteriores;
      • ArubaOS 10.4.x.x: 10.4.1.4 y posteriores;
      • InstantOS 8.12.x.x: 8.12.0.2 y posteriores;
      • InstantOS 8.10.x.x: 8.10.0.13 y posteriores.

Referencias

Publicado el

Actualizaciones de seguridad de Microsoft de agosto de 2024

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 13 de agosto, que consta de 90 vulnerabilidades, incluidas 10 vulnerabilidades críticas de día cero.

Análisis

Microsoft publicó el martes correcciones para abordar un total de 90 fallos de seguridad, incluidas 10 de día cero, de las cuales seis han sido explotadas activamente.

De los 90 errores, siete están clasificados como críticos, 79 como importantes y uno como de gravedad moderada. Esto se suma a las 36 vulnerabilidades que resolvió en su navegador Edge el mes pasado.

Las actualizaciones se destacan por abordar seis vulnerabilidades días cero explotados activamente:

CVE-2024-38189 (puntuación CVSS: 8,8): vulnerabilidad de ejecución remota de código en Microsoft Project.

 CVE-2024-38178 (puntuación CVSS: 7,5): vulnerabilidad de corrupción de memoria en Windows Scripting Engine.

CVE-2024-38193 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock.

CVE-2024-38106 (puntuación CVSS: 7,0): vulnerabilidad de elevación de privilegios en el kernel de Windows.

CVE-2024-38107 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios del coordinador de dependencia de energía de Windows.

CVE-2024-38213 (puntuación CVSS: 6,5): vulnerabilidad de omisión de funciones de seguridad de la marca de la Web de Windows.

CVE-2024-38213, que permite a los atacantes eludir las protecciones SmartScreen, requiere que un atacante envíe al usuario un archivo malicioso y lo convenza de abrirlo. Peter Girnus, de Trend Micro, se atribuye el descubrimiento y la notificación de la falla, y sugiere que podría ser una forma de eludir CVE-2024-21412 o CVE-2023-36025 , que fueron explotadas anteriormente por los operadores del malware DarkGate.

Cuatro de los CVE que se indican a continuación se enumeran como conocidos públicamente:

CVE-2024-38200 (puntuación CVSS: 7,5): vulnerabilidad de suplantación de identidad de Microsoft Office.

CVE-2024-38199 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código en el servicio LPD (Line Printer Daemon) de Windows.

CVE-2024-21302 (puntuación CVSS: 6,7): vulnerabilidad de elevación de privilegios en el modo kernel seguro de Windows.

CVE-2024-38202 (puntuación CVSS: 7,3): vulnerabilidad de elevación de privilegios en Windows Update Stack.

Recursos Afectados

Varios productos de Microsoft.

Recomendaciones

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias