Publicado el

Apple mitiga vulnerabilidades Zero-Day

Apple ha lanzado actualizaciones para corregir dos vulnerabilidades críticas, CVE-2024-44308 y CVE-2024-44309, según ha informado el medio The Hacker News. Estos fallos afectan a su motor WebKit y podrían ser explotadas mediante la apertura de contenido malicioso, permitiendo a un atacante ejecutar código no autorizado en dispositivos como iPhones, iPads y Macs.

Las actualizaciones incluyen parches para versiones recientes de macOS, iOS, iPadOS y Safari. Estas vulnerabilidades destacan por su severidad, ya que podrían comprometer por completo la seguridad de los dispositivos afectados. Apple confirma que una explotación exitosa requeriría una acción del usuario, como visitar un sitio web preparado específicamente.

El fallo CVE-2024-44308 involucra un problema de tipo use-after-free en WebKit, mientras que CVE-2024-44309 se relaciona con una escritura fuera de los límites. Ambos fallos pueden desencadenar ejecución de código arbitrario con privilegios elevados. Hasta el momento, no se han reportado casos de explotación activa de estas vulnerabilidades en entornos reales.

Se insta a los usuarios a aplicar las actualizaciones de inmediato para mitigar los riesgos. La corrección de estas vulnerabilidades subraya la importancia de mantener los sistemas operativos actualizados para prevenir posibles ciberataques.

Referencias

Publicado el

[SCI] Inyección de comandos en productos de Cisco

Introducción

DJ Cole, investigador de Cisco, descubrió durante unas pruebas internas de seguridad una vulnerabilidad de severidad crítica que afecta a la interfaz web de gestión del software Cisco Unified Industrial Wireless para puntos de acceso Cisco Ultra-Reliable Wireless Backhaul (URWB).[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-20418 – Neutralización indebida de elementos especiales utilizados en un comando (inyección de comandos)(CWE-77):
      Esta vulnerabilidad se origina por una validación incorrecta de la entrada a la interfaz web de gestión de URWB. Un atacante podría explotar esta vulnerabilidad enviando peticiones HTTP maliciosas a dicha interfaz, lo que podría permitir la ejecución de comandos arbitrarios con privilegios de root en el sistema operativo subyacente del dispositivo afectado.

La serie de productos afectados es:

Las versiones 17.15, 17.14 y anteriores de Cisco Unified Industrial Wireless Software están afectadas por esta vulnerabilidad.

Esta vulnerabilidad afecta a los siguientes productos Cisco si ejecutan una versión vulnerable y tienen habilitado el modo operativo URWB:

    • Puntos de acceso de alta resistencia Catalyst IW9165D,
    • Puntos de acceso y clientes inalámbricos ruguerizados Catalyst IW9165E,
    • Puntos de acceso de alta resistencia Catalyst IW9167E.

Recomendaciones

Actualizar Cisco Unified Industrial Wireless Software a la versión 17.15.1.

Referencias

[1] Cisco Unified Industrial Wireless Software for Ultra-Reliable Wireless Backhaul Access Point Command Injection Vulnerability

Publicado el

Cibercriminales usan API de DocuSign para lanzar campaña masiva de phishing con facturas falsas

Según ha informado la empresa de ciberseguridad Wallarm, un grupo de cibercriminales ha comenzado a explotar la API de DocuSign en una sofisticada campaña de phishing que envía facturas falsas a usuarios corporativos. Este método, publicado por el medio especializado en ciberseguridad Bleeping Computer, permite que las estafas pasen desapercibidas para las herramientas de detección tradicionales, ya que los correos electrónicos fraudulentos provienen directamente de DocuSign y parecen solicitudes de firma legítimas, sin enlaces o archivos adjuntos maliciosos. El peligro reside en la autenticidad de la solicitud en sí.

La campaña observada se basa en la creación de cuentas legítimas y de pago en DocuSign, lo que permite a los atacantes personalizar plantillas de documentos y enviar correos a múltiples destinatarios directamente desde la plataforma, utilizando la API de «Envelopes: create API». Los mensajes imitan solicitudes de firmas electrónicas de marcas conocidas, y las facturas falsas están diseñadas con detalles que incluyen precios y cargos específicos, lo que refuerza su autenticidad.

Si un usuario firma electrónicamente estos documentos, los atacantes pueden enviar la factura a departamentos de finanzas y solicitar pagos fraudulentos, engañando a las organizaciones para que transfieran fondos a cuentas controladas por los delincuentes. Wallarm alerta que este método podría ser replicado en otras plataformas de firma electrónica que también permitan el acceso mediante API, lo que amplía el riesgo de este tipo de ataques.

Para protegerse, los expertos recomiendan que las organizaciones verifiquen cuidadosamente la dirección de correo del remitente y las cuentas asociadas para verificar su legitimidad, además de establecer controles internos que involucren a varios miembros en la aprobación de transacciones financieras y aprobación de compras. También sugieren que los empleados de IT reciban formación para identificar las tácticas de phishing más avanzadas, incluso cuando las solicitudes parecen proceder de fuentes fiables como DocuSign, para proteger a sus organizaciones.

Referencias

    • https://blog.segu-info.com.ar/2024/11/ataques-de-phishing-mediante-abuso-de.html
    • https://lab.wallarm.com/attackers-abuse-docusign-api-to-send-authentic-looking-invoices-at-scale/
Publicado el

Actualizaciones de seguridad de Microsoft de Noviembre 2024

Las actualizaciones de seguridad de Microsoft para el Patch Tuesday de noviembre de 2024 abordaron 89 vulnerabilidades, incluidas dos zero-day explotadas activamente.

Análisis

Las actualizaciones de seguridad de Patch Tuesday de Microsoft para noviembre de 2024 solucionaron 89 vulnerabilidades en Windows y Componentes de Windows; Office y Componentes de Office; Azure; .NET y Visual Studio; LightGBM; Exchange Server; SQL Server; TorchGeo; Hyper-V; y Windows VMSwitch.

Cuatro de estas vulnerabilidades están calificadas como Críticas, 84 están calificadas como Importantes, y una está calificada como Moderada en gravedad. Microsoft ha solucionado un total de 949 vulnerabilidades este año.

Dos de las vulnerabilidades, rastreadas como CVE-2024-43451 y CVE-2024-49039, están listadas como explotadas al momento de su lanzamiento.

A continuación se encuentran las descripciones de estas dos vulnerabilidades:

    • CVE-2024-43451: Una vulnerabilidad de suplantación de divulgación de hash NTLM en MSHTML permite que los atacantes extraigan el hash NTLMv2 de un usuario a través de los componentes de Internet Explorer en el control WebBrowser. Aunque se necesita interacción del usuario, los atacantes aún pueden explotarla para suplantar a la víctima. Se recomienda aplicar el parche de inmediato.
    • CVE-2024-49039: Una falla de escalada de privilegios en el Programador de Tareas de Windows permite escapar de AppContainer, lo que permite a los usuarios con pocos privilegios ejecutar código con integridad media. Descubierta por varios investigadores, está siendo explotada activamente, especialmente en diferentes regiones, lo que resalta su posible impacto.

Recomendaciones

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se indican los productos afectados así como se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Referencias