Publicado el

Vulnerabilidad Zero-Click en Microsoft

Una nueva vulnerabilidad crítica identificada como CVE-2025-21298 ha sido descubierta en productos de Microsoft, permitiendo la ejecución remota de código sin necesidad de interacción del usuario, según ha compartido Incibe.

La vulnerabilidad afecta principalmente a plataformas que utilizan servicios de correo electrónico y herramientas colaborativas de Microsoft, explotando un fallo en el procesamiento de ciertos paquetes de datos. Este tipo de vulnerabilidad “Zero-Click” es especialmente peligrosa porque permite que un atacante tome control del sistema objetivo sin que el usuario realice ninguna acción, como abrir un correo o hacer clic en un enlace.

Según los detalles revelados, los atacantes podrían enviar paquetes maliciosos diseñados para ejecutarse automáticamente al llegar al sistema, proporcionando acceso remoto y la posibilidad de instalar software malicioso, extraer información sensible o incluso deshabilitar el sistema afectado. Microsoft ya ha sido notificado sobre el problema y trabaja en el desarrollo de un parche para mitigar el riesgo.

Los expertos en ciberseguridad instan a las empresas y usuarios a implementar medidas de seguridad adicionales mientras esperan la actualización. Entre las recomendaciones, se incluye deshabilitar funciones no esenciales que puedan ser explotadas, activar opciones avanzadas de monitoreo de red, y mantener actualizado el software en todos los sistemas.

Esta vulnerabilidad pone de manifiesto los riesgos inherentes a la dependencia de tecnologías digitales masivas sin procesos de auditoría y pruebas de robustez suficientemente frecuentes. La comunidad de ciberseguridad recalca la importancia de estar informados y actuar rápidamente ante incidentes de esta naturaleza.

Referencias

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-enero-de-2025

Publicado el

Arranca la nueva edición de cursos online de seguridad para ciudadanos y empresas, ofertados por CSIRT-CV

El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) pone en marcha una nueva edición de sus 27 cursos online de seguridad diseñados para ciudadanos y empresas. El plazo de matrícula está abierto desde el 15 de enero hasta el 31 de diciembre.

Los cursos son gratuitos, de corta duración y de aplicación práctica, tanto a nivel personal como profesional, con opciones para distintos niveles técnicos. Para cursar estas formaciones es necesario registrarse en la plataforma SAPS e inscribirse en los cursos deseados.

Cursos enfocados a ciudadanos

CSIRT-CV oferta hasta un total de 21 cursos enfocados a los ciudadanos, disponibles en el portal de concienciaT, entre los que se incluyen formaciones sobre el Reglamento General de Protección de Datos (RGPD), uso seguro de iOS y Android, menores e Internet, compras online, correo electrónico, malware, copias de seguridad y uso del gestor de contraseñas Keepass, entre otros.

Cursos enfocados a las empresas

CSIRT-CV oferta un total de seis cursos enfocados a las empresas, disponibles en la plataforma eFormació, que incluyen Ingeniería Social, WordPress, Phishing, Protección de la información, Seguridad para técnicos informáticos y un curso específico para CEOS.

¿Por qué formarte en ciberseguridad con nuestros cursos?

En un mundo en el que las ciberamenazas evolucionan de manera vertiginosa, la ciberseguridad es imprescindible para que las personas sepamos cómo protegernos y podamos afrontar nuestro día a día de forma segura. ¿Necesitas cinco motivos más para unirte a nuestros cursos?:

  1. Protección de la información: Aprende a salvaguardar la confidencialidad, integridad y disponibilidad de datos personales y corporativos, son muy valiosos.
  2. Prevención de amenazas: Conoce cómo detectar y prevenir las técnicas más avanzadas de los ciberdelincuentes.
  3. Cumplimiento normativo: Descubre cómo adaptarte a regulaciones como el RGPD y proteger tu entorno legalmente.
  4. Protección de la privacidad: Mantén tus datos seguros en un entorno digital cada vez más interconectado.
  5. Resiliencia ante incidentes: Prepárate para reaccionar de manera efectiva ante ciberataques, minimizando el impacto y recuperando la normalidad rápidamente.


La ciberseguridad es tarea de todas las personas.
¡Inscríbete ya y comparte esta oportunidad con tu entorno!

Publicado el

[SCI] Inyección de comandos en productos Moxa

Introducción

El investigador, Lars Haulin, ha reportado 2 vulnerabilidades que afectan a múltiples dispositivos Moxa como pueden ser enrutadores y de seguridad de red, siendo una de ellas de severidad crítica. La explotación de esta vulnerabilidades podría permitir a un atacante inyectar comandos del sistema operativo.[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

    • CVE-2024-9140 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)  (CWE-78):
      Esta vulnerabilidad permite la inyección de comandos del sistema operativo debido a comandos restringidos incorrectamente, lo que potencialmente permite a los atacantes ejecutar código arbitrario. Esto representa un riesgo significativo para la seguridad y la funcionalidad del sistema.

Las siguientes versiones de firmware y anteriores se ven afectadas, para cada conjunto de productos:

    • 1.0.5:
      • NAT-102.
    • 3.13.1:
      • EDR-8010;
      • EDR-G9004;
      • EDR-G9010;
      • EDF-G1002-BP.
    • 3.13:
      • OnCell G4302-LTE4;
      • TN-4900.

Recomendaciones

  • Actualizar el firmwarea las versiones 3.14 o posteriores para los productos:
    • EDR-8010;
    • EDR-G9004;
    • EDR-G9010;
    • EDF-G1002-BP.
  • No se dispone de parche de firmware oficial para el producto NAT-102, se recomienda consultar la sección de mitigaciones de la página web incluida en referencias.
  • Contactar con el soporte técnico de Moxa para obtener el parche de seguridad en los productos:
    • OnCell G4302-LTE4;
    • TN-4900.

Referencias

[1] Privilege Escalation and OS Command Injection Vulnerabilities in Cellular Routers, Secure Routers, and Network Security Appliances

Publicado el

[SCI] Múltiples vulnerabilidades en Power Monitor 1000 de Rockwell Automation

Introducción

Vera Mens, de Claroty Research – Team82, ha reportado 3 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante realizar operaciones de edición, crear usuarios administradores, realizar un restablecimiento de fábrica, ejecutar código arbitrario o causar una condición de denegación de servicio.[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes[2]:

    • CVE-2024-12371 – Ausencia de autenticación para una función crítica  (CWE-306):
      Existe una vulnerabilidad de apropiación de dispositivos en Rockwell Automation Power Monitor 1000. Esta vulnerabilidad permite la configuración de un nuevo usuario titular de la póliza sin ninguna autenticación a través de API. El usuario titular de la póliza es el usuario con más privilegios que puede realizar operaciones de edición, crear usuarios administradores y realizar restablecimientos de fábrica.
    • CVE-2024-12372 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio y posible ejecución remota de código en Rockwell Automation Power Monitor 1000. La vulnerabilidad provoca la corrupción de la memoria del montón, lo que puede comprometer la integridad del sistema y permitir potencialmente la ejecución remota de código o un ataque de denegación de servicio.
    • CVE-2024-12373 – Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio en Rockwell Automation Power Monitor 1000. La vulnerabilidad genera un desbordamiento de búfer, lo que potencialmente causa una denegación de servicio.

La serie de productos afectados es:

    • PM1k 1408-BC3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-BC3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-ENT: versiones anteriores a la 4.020;

Recomendaciones

Rockwell Automation ha corregido las vulnerabilidades reportadas en la versión de firmware 4.020, y recomienda a los usuarios actualizar a la última versión disponible.

Referencias

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote
[2] SD1714: PowerMonitor 1000 Remote Code Execution and denial-of-service Vulnerabilities via HTTP protocol