Posted on

Vulnerabilitat a VMware ESXI

Introducció

VMware ha publicat un avís de seguretat que conté informació sobre la vulnerabilitat CVE-2024-37085, classificada com a alta. L’explotació d’esta vulnerabilitat podria permetre l’accés no autoritzat al sistema i l’execució de codi.

Esta informació va ser descoberta pels investigadors de VMware.

Anàlisi

La vulnerabilitat trobada és la següent:

      • CVE-2024-37085 –Vulnerabilitat d’omissió d’autenticació: Un component de VMware ESXi conté una vulnerabilitat que permet a un atacant amb permisos suficients en Active Directory (AD) obtindre accés complet a un host ESXi prèviament configurat per a usar AD per a la gestió d’usuaris. L’atacant pot recrear el grup AD configurat (‘ESXi Admins’ per defecte) després que haja sigut eliminat d’AD, obtenint així accés complet al sistema.

Recomanacions

Per a mitigar esta vulnerabilitat, es recomana als administradors de VMware ESXi revisar la configuració d’AD i assegurar la integritat dels grups AD configurats.

A més d’això es recomana instal·lar les últimes actualitzacions de programari, practicar la higiene de credencials i prendre mesures per a protegir els actius crítics mitjançant procediments de monitoratge adequats i plans de suport i recuperació.

Referències

Posted on

Nova versió del malware SYS01 que usa anuncis de Facebook per a furtar contrasenyes

Investigadors de Trustwave han observat que cibercriminals promouen descàrregues gratuïtes de jocs i cracks d’activació de programari amb finalitats maliciosos.

Els criminals estan fent ús d’anuncis publicats en la xarxa social Facebook de Meta, per a infectar equips amb el malware SYS01. Estos anuncis, enganyen els usuaris perquè descarreguen contingut maliciós disfressat com a arxius legítims. A més, per a augmentar la credibilitat i les possibilitats que un internauta caiga, suplanten pàgines legítimes que coincidixen amb l’arxiu maliciós que s’està descarregant. Entre altres, s’ha vist suplantacions de jocs com Call of Duty: Modern Warfare III i cracks com Sora AI, Photoshop i Microsoft Office.

Impacte del malware

El principal objectiu del malware SYS01 és robar dades sensibles, incloent-hi cookies del navegador, credencials guardades, historial de navegació i carteres de criptomonedes.

A més, este malware inclou una tasca que utilitza les cookies de Facebook que es troben en el dispositiu per a robar informació del compte del lloc de xarxes socials:

    • Extrau informació del perfil personal, com el nom, l’email i la data d’aniversari.
    • Recapta dades detallades de comptes publicitaris, inclosos gastos i mètodes de pagament.
    • Dades que inclouen empreses, comptes publicitaris i usuaris professionals, agències, la qual cosa posa de manifest la profunditat de l’accés a dades comercials i financeres sensibles.
    • Detalls relatius a les pàgines de Facebook, inclòs el recompte de seguidors i les seues funcions.

 

Estratègia de distribució

Els anuncis publicitaris en Facebook redirigixen als usuaris a pàgines web allotjades en Google Sites o True Hosting, que es fan passar per pàgines de descàrrega. En intentar descarregar estos arxius, l’usuari rep un arxiu ZIP que conté el malware SYS01. 

Conclusió

Per a evitar caure víctima d’estos enganys, es recomana no descarregar arxius de llocs poc de confiança o que promocionen ofertes massa sucoses.


Abans de descarregar qualsevol arxiu en internet s’ha de revisar la legitimitat de la pàgina i en cas de dubte és preferible no descarregar i/o executar l’arxiu.

Referències

Posted on

Apple advertix a usuaris de iPhone de 98 països d’atacs de spyware

Apple ha emés una nova ronda de notificacions d’amenaces a usuaris d’iPhone de 98 països, en què els advertix de possibles atacs de spyware mercenari. És la segona campanya d’alerta d’este tipus que realitza la companyia enguany, després d’una notificació similar enviada a usuaris de 92 països en abril.

Des de 2021, Apple envia regularment estes notificacions, que arriben a usuaris de més de 150 països, segons un document de suport publicat en el lloc web de la companyia. Els últims advertiments, emesos el dimecres, no van revelar les identitats dels atacants ni els països en els quals els usuaris van rebre les notificacions.

“Apple ha detectat que esteu sent objecte d’un atac de spyware mercenari que està tractant de comprometre de manera remota l’iPhone associat amb el seu ID d’Apple -xxx-”, va escriure la companyia en l’advertiment als clients afectats.

“És probable que este atac es dirigisca específicament a tu per ser qui eres o pel que fas. Encara que mai és possible tindre una certesa absoluta a l’hora de detectar este tipus d’atacs, Apple confia plenament en este advertiment; per favor, considera’l seriosament”, va afegir Apple en el missatge.

En conclusió, esta iniciativa, que la companyia du a terme des de 2021, subratlla el seu compromís amb la protecció de la privacitat i seguretat dels seus clients.

Posted on

Vulnerabilitat de falta d’autenticació en Expedition de Palo Alto Networks

Brian Hysell (Synopsys CyRC) ha reportat una vulnerabilitat de severitat crítica, l’explotació de la qual podria permetre a un atacant prendre el control d’un compte d’administrador.

Anàlisi

La falta d’autenticació per a una funció crítica en Expedition de Palo Alto Networks podria donar lloc a una presa de control del compte d’administrador d’Expedition per part d’atacants amb accés de xarxa.

Expedition és una ferramenta que ajuda a migrar, ajustar i enriquir la configuració. Palo Alto Networks indica que els secrets de configuració, les credencials i altres dades importades en Expedition corren perill a causa de la vulnerabilitat reportada.

S’ha assignat l’identificador CVE-2024-5910 amb puntuació CVSSv4.0 de 9,3 per a esta vulnerabilitat.

Versions afectades

Versions anteriors a la 1.2.92.

Recomanacions

Es recomana actualitzar a la versió 1.2.92 o superior.

Referènciess