Publicado el

Vulnerabilidad crítica en plugin de WordPress Backup Migration

Introduccion
 
Se ha descubierto una vulnerabilidad de gravedad crítica en un complemento de WordPress que puede permitir a los atacantes obtener la ejecución remota de código para comprometer completamente los sitios web vulnerables. Conocido como Backup Migration, el complemento ayuda a los administradores a automatizar las copias de seguridad del sitio en el almacenamiento local o en una cuenta de Google Drive.

 

Análisis

CVE-2023-6553

El error de seguridad (CVE-2023-6553 y clasificado con una puntuación de gravedad de 9,8) fue descubierto por un equipo de cazadores de errores conocido como Nex Team. Este permite a atacantes no autenticados apoderarse de sitios web específicos obteniendo la ejecución remota de código mediante la inyección de código PHP a través del archivo /includes/backup-heart.php.

Recomendaciones

Instalar el ultimo parche de seguridad

Versiones afectadas

Afecta a todas las versiones de complementos hasta Backup Migration 1.3.6 incluida.

Referencias

https://blog.segu-info.com.ar/2023/12/vulnerabilidad-critica-en-plugin-de.html

https://www.wordfence.com/blog/2023/12/critical-unauthenticated-remote-code-execution-found-in-backup-migration-plugin/

Publicado el

Microsoft publica parches de seguridad

Microsoft lanzó su conjunto final de actualizaciones de Patch Tuesday para 2023, solucionando 33 fallos en su software, lo que lo convierte en uno de los lanzamientos más livianos de los últimos años.

De las 33 vulnerabilidades, cuatro están clasificadas como críticas y 29 como importantes en cuanto a su gravedad. Las correcciones se suman a 18 fallos que Microsoft solucionó en su navegador Edge en noviembre.

Análisis

Si bien ninguna de las vulnerabilidades figura como conocida públicamente o bajo ataque activo en el momento del lanzamiento, algunas de las más notables se enumeran a continuación:

CVE-2023-35628 (puntuación CVSS: 8,1): vulnerabilidad de ejecución remota de código en la plataforma MSHTML de Windows.

CVE-2023-35630 (puntuación CVSS: 8,8): vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS).

CVE-2023-35636 (puntuación CVSS: 6,5): vulnerabilidad de divulgación de información de Microsoft Outlook.

CVE-2023-35639 (puntuación CVSS: 8,8): vulnerabilidad de ejecución remota de código del controlador ODBC de Microsoft.

CVE-2023-35641 (puntuación CVSS: 8,8): vulnerabilidad de ejecución remota de código de conexión compartida a Internet (ICS).

CVE-2023-35642 (puntuación CVSS: 6,5): vulnerabilidad de denegación de servicio de conexión compartida a Internet (ICS).

CVE-2023-36019 (puntuación CVSS: 9,6): vulnerabilidad de suplantación de identidad del conector Microsoft Power Platform.

CVE-2023-35638 (puntuación CVSS: 7,5): vulnerabilidad de denegación de servicio del servicio del servidor DHCP.

CVE-2023-35643 (puntuación CVSS: 7,5): vulnerabilidad de divulgación de información del servicio del servidor DHCP.

CVE-2023-36012 (puntuación CVSS: 5,3): vulnerabilidad de divulgación de información del servicio del servidor DHCP

Recomendaciones

Instalar los ultimos parches de seguridad.

Referencias

https://thehackernews.com/2023/12/microsofts-final-2023-patch-tuesday-33.html

Publicado el

Suplantación a entidades públicas de contratación a través de phishing

Se ha detectado una campaña de correos fraudulentos de tipo phishing que suplanta a entidades públicas de contratación y se dirige a empresas que posiblemente han participado en alguna de las ofertas publicadas en la Plataforma de Contratación del Sector Público.

Análisis

Los correos detectados en esta campaña siguen una estructura similar.
La supuesta entidad se presenta e informa de un nuevo proceso de implementación de alguna herramienta tecnológica creíble, como por ejemplo, un sistema de reconocimiento de firma digital.

Se apoyan en el hecho de que la empresa haya participado o esté participando en alguna oferta de contratación pública para hacer más creíble el engaño y realizar un ataque dirigido. Incluso se añade el nombre del servicio del contrato y el número con el que está registrado en la Plataforma de Contratación del Sector Público y solicita la colaboración de la empresa, a la que se pide una serie de documentos con datos sensibles de la empresa para conformidad, además de solicitar una repuesta inmediata a la recepción del correo, probablemente para que los ciberdelincuentes tengan constancia de que ese buzón de correo se encuentra activo y continuar con el engaño.

Se han identificado correos electrónicos provenientes de dominios como ‘contratacion@jcyl.live’ o ‘contratacion@comunidad-madrid.cloud’ que no corresponde a entidades oficiales.

A continuación se muestra un ejemplo:

Evidencia phishing

Evidencia correo fraude

Al final del correo, en la firma del mismo, aparece un nombre y apellidos que simulan ser un trabajador del organismo suplantado. También se incluye la dirección física real de donde se encuentra la entidad y su logotipo.

No se descartan posibles variantes de este correo electrónico.

Recomendaciones

Si se ha recibido un correo electrónico como el descrito mas arriba, se recomienda no responder y eliminarlo inmediatamente. También se recomienda ponerlo en conocimiento del equipo de IT y del resto de empleados para evitar posibles víctimas.

Así mismo se debe contrastar la información con la entidad suplantada para corroborar que realmente es un fraude.

En caso de haber respondido al correo e, incluso, haber proporcionado algún tipo de información, recomendamos recopilar las evidencias, por ejemplo, en forma de capturas de pantalla, y contactar con las Fuerzas y Cuerpos de Seguridad del Estado para presentar una denuncia.

Referencias

Publicado el

Actualizaciones de Android de Diciembre

Google anunció hoy que las actualizaciones de seguridad de Android de diciembre de 2023 abordan 85 vulnerabilidades, incluido un error de ejecución remota de código (RCE) sin clic de gravedad crítica.

Análisis

Registrado como CVE-2023-40088, el error RCE de cero clic se encontró en el componente del sistema de Android y no requiere privilegios adicionales para ser explotado.
Si bien la compañía aún no ha revelado si los atacantes han atacado esta falla de seguridad en la naturaleza, los actores de amenazas podrían explotarla para obtener la ejecución de código arbitrario sin interacción del usuario.

Este mes se parchearon 84 vulnerabilidades de seguridad adicionales, tres de ellas (CVE-2023-40077, CVE-2023-40076 y CVE-2023-45866) eran errores críticos de escalada de privilegios y divulgación de información en el marco de trabajo y los componentes del sistema Android.

Se abordó una cuarta vulnerabilidad crítica (CVE-2022-40507) en los componentes de código cerrado de Qualcomm.

Recomendaciones

    • Aplicar las actualizaciones de seguridad publicadas por Google identificadas como los niveles de seguridad 2023-12-01 y 2023-12-05.

Este último incluye todas las correcciones del primer conjunto y parches adicionales para componentes de kernel y de código cerrado de terceros.

Referencias

  •