Publicado el

Campaña de explotación del plugin de calendario de WordPress usado en 150,000 sitios

Un grupo de hackers están tratando de explotar una vulnerabilidad en el plugin Modern Events Calendar WordPress que está presente en más de 150.000 sitios web para cargar archivos arbitrarios en un sitio vulnerable y ejecutar código de forma remota.

El plugin está desarrollado por Webnus y se utiliza para organizar y gestionar eventos presenciales, virtuales o híbridos.

Análisis
Wordfence afirma que el problema de seguridad se debe a una falta de validación del tipo de archivo en la función que se utiliza para subir y configurar las imágenes destacadas de los eventos.

Las versiones hasta la 7.11.0 inclusive no tienen comprobaciones del tipo de extensión de los archivos de imagen subidos, permitiendo subir cualquier tipo de archivo, incluidos los arriesgados archivos .PHP.
Una vez subidos, se puede acceder a estos archivos y ejecutarlos, lo que permite la ejecución remota de código en el servidor y, potencialmente, el control total del sitio web.

Se le ha asignado el identificador CVE-2024-5441 y se ha categorizado como alta con un CVSS v3.1 de 8.8.

Versiones afectadas
Versiones anteriores e incluyendo la 7.11.0.

Recomendaciones
Actualizar a la versión 7.12.0

Referencias
https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/

Publicado el

139 Vulnerabilidades en productos de Microsoft

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 10 de julio, consta de 139 vulnerabilidades (con CVE asignado), calificada 4 como críticas, 115 como importantes y el resto divididas entre moderadas y bajas.

Análisis

Las vulnerabilidades de severidad crítica publicadas se les asignaron los siguientes indicadores:

    • CVE-2024-38076: se trata de una vulnerabilidad de ejecución de código remoto que afecta a Windows Remote Desktop;
    • CVE-2024-38089: se trata de una vulnerabilidad de elevación de privilegios que afecta a Microsoft Defender for IoT;
    • CVE-2024-38077 y CVE-2024-38074: ambas de ejecución de código en remoto y afectan al mismo producto, Windows Remote Desktop Licensing Service.

El resto de vulnerabilidades afectan productos como Windows, Azure, Office ,.NET, Visual Studio, Defender y SQL server, entre otros y pueden consultarse en las páginas listadas abajo.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

 

Referencias y enlaces de interés

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul

https://msrc.microsoft.com/update-guide

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-julio-de-2024

Publicado el

Campaña de suplantación de Meta

En un entorno digital cada vez más amenazante, la protección de nuestros datos personales y credenciales de acceso se ha vuelto una prioridad crítica. Sin embargo, los ciberdelincuentes continúan ideando métodos sofisticados para engañar a los usuarios y robar información sensible. Recientemente, se ha detectado una nueva campaña de phishing que suplanta la página del centro de privacidad de Meta con el objetivo de robar credenciales y/o el código de doble factor de autenticación (2FA).

Cómo funciona

En esta reciente campaña de phishing, los atacantes envían correos electrónicos o mensajes a las víctimas, haciéndose pasar por la plataforma legítima y alertándolas sobre un supuesto problema de seguridad en su cuenta, como por ejemplo » La página XXXXXX infringe las normas de la comunidad» o «La página XXXXXX se eliminará debido a infracciones de políticas.». El mensaje incluye un enlace que redirige a una página web que parece ser el centro de privacidad de la plataforma.

La página falsificada está diseñada meticulosamente para imitar el aspecto del centro de privacidad original, incluyendo logotipos, colores y estilos de fuente.

imagen_suplantacion_meta

La web indica que se va a borrar la  página de la red social y para evitarlo se debe rellenar un formulario con los datos de la cuenta y las credenciales.

formulario_appeal

Tras rellenar todos los datos se solicita la contraseña de la cuenta asociada al email indicado. Posteriormente, al aceptar la contraseña se solicitaría el doble factor de autenticación. De esta forma los atacantes tomarían control total sobre la cuenta objetivo.

 

Campo contraseña
Cómo protegerse

    • Verificación de Enlaces y Remitentes: Siempre verifica la URL de los enlaces y el remitente en correos electrónicos o mensajes antes de hacer clic. Asegúrate de que la dirección web sea la oficial de la plataforma.
      En este caso concreto, los enlaces tenían la estructura, XXX[.]pages[.]dev, donde XXX representa número y letras aleatorios, y el remitente era del dominio oxkrqdecor[.]com.
      Aunque, tanto los enlaces como los remitente pueden variar de un caso a otro, no suelen tener nada que ver con facebook.com o meta.com u otras páginas oficiales.

    • No Compartir Códigos 2FA: Ante la duda, no compartas los códigos de 2FA, mantener este recurso bajo control garantiza mantener control sobre la cuenta ¡Incluso cuando el atacante conoce el usuario y contraseña!

    • Doble Comprobación de Mensajes: Si recibes una alerta sobre un problema de seguridad, verifica la información directamente a través de la plataforma oficial, evitando usar enlaces proporcionados en mensajes sospechosos.

    • Educación Continua:  Desde la web concienciaT podrás mantenerte informado sobre las últimas campañas y tácticas de phishing. Además encontrarás multitud de cursos para prepararte para el mundo digital.

      Conclusión

      La seguridad en línea es una responsabilidad compartida. Al estar atentos y tomar medidas preventivas, podemos reducir significativamente el riesgo de caer en trampas de phishing. Si sospechas que has sido víctima de esta nueva campaña, cambia tus contraseñas de inmediato y contacta con el soporte de la plataforma afectada para obtener asistencia. Recuerda, la prevención y la educación son nuestras mejores herramientas contra los ciberdelincuentes.

Publicado el

Vulnerabilidad en Apache HTTP Server

La Apache Software Foundation ha solucionado múltiples vulnerabilidades en su popular servidor HTTP Apache. Las vulnerabilidades incluyen problemas de denegación de servicio (DoS), ejecución remota de código y acceso no autorizado.

Una de estas vulnerabilidades es una vulnerabilidad puede llevar a la exposición involuntaria de código fuente.

Está catalogada como CVE-2024-39884.

Análisis

La vulnerabilidad CVE-2024-39884, es descrita por Apache como: «Una regresión en el núcleo del servidor HTTP de Apache ignora algún uso de la configuración basada en contenido de los manejadores.»

Es decir, un fallo introducido por una actualización reciente permite que cuando algunas directivas como «AddType» son utilizadas bajo ciertas condiciones, puedan exponer el código fuente de algunos archivos.

Esta vulnerabilidad aún no tiene CVSS asociado, pero Apache, siguiendo su propio criterio, la ha catalogado como «Importante».

Recomendaciones

Actualizar a la versión 2.4.6.1

Referencias