Posted on

Vulnerabilitats crítiques en Veeam Backup & Replication

Introducció

      S’han identificat múltiples vulnerabilitats crítiques en Veeam Backup & Replication, un programari àmpliament usat per a còpies de seguretat empresarials. Algunes d’estes vulnerabilitats són de tipus execució remota de codi (RCE). Veeam ha publicat pegats i actualitzacions de seguretat, però els sistemes encara sense actualitzar poden romandre exposats a atacs persistents, incloent-hi l’eliminació de còpies de seguretat i el desplegament de programari maliciós (malware) en infraestructures crítiques. 

Anàlisi 

Destaca la vulnerabilitat crítica CVE-2025-59470:

Per a explotar la vulnerabilitat cal estar autenticat amb un rol privilegiat, com Backup Operator o Tape Operator. Estos rols tenen permisos elevats dins de Veeam Backup & Replication, cosa que permet que un atacant autenticat puga enviar paràmetres maliciosos i executar codi com l’usuari Postgres.

A més, es publiquen altres vulnerabilitats:

    • CVE-2025-55125: permet a un operador de còpia de seguretat o cinta executar un codi remot com a arrel (root) mitjançant un arxiu de configuració maliciós. Té severitat alta i un CVSS v3.1: 7.2.

    • CVE-2025-59468: permet a un administrador de còpia de seguretat executar un codi remot com l’usuari Postgres enviant un paràmetre de contrasenya maliciós. Té severitat mitjana i un CVSS v3.1: 6.7

    • CVE-2025-59469: permet que un operador de còpia de seguretat o cinta puga escriure arxius com a arrel. Té severitat alta i un CVSS v3.1: 7.2.

Recursos afectats:

    • Veeam Backup & Replication 13.0.1.180 i totes les versions anteriors dins de la branca 13.x sense aplicar pegats.

Solució: actualitzar a 13.0.1.1071 o posterior.

Referències: 

Posted on

Reactivación de ataques contra CVE-2020-12812 en Fortinet

Més de 10.000 firewalls de Fortinet exposats a una omissió de 2FA explotada activament

 

Introducció

       S’ha detectat activitat maliciosa explotant una vulnerabilitat crítica en dispositius Fortinet FortiGate que permet ometre el segon factor d’autenticació (2FA). Esta vulnerabilitat, identificada com CVE-2020-12812 i corregida en 2020, continua afectant més de 10.000 firewalls exposats públicament que no han aplicat el pedaç corresponent.

 

Anàlisi 

La vulnerabilitat CVE-2020-12812 afecta FortiOS SSL VPN quan l’autenticació es realitza mitjançant LDAP. Permet a un atacant eludir la verificació del segon factor (FortiToken) si el nom d’usuari és manipulat (per exemple, canviant majúscules/minúscules).

Fortinet va publicar actualitzacions de seguretat al juliol de 2020 per a corregir la fallada i va instar a desactivar la distinció entre majúscules i minúscules com a mitigació temporal.

En les últimes setmanes, Fortinet ha confirmat que esta vulnerabilitat continua sent activament explotada en escenaris reals. El grup hadowserver detecta actualment més de 10.000 dispositius vulnerables en línia, amb especial concentració als Estats Units.

Esta vulnerabilitat ja va ser assenyalada en 2021 per la CISA i l’FBI com a part de campanyes de grups APT patrocinats per estats, i es va afegir en el seu moment al catàleg de vulnerabilitats explotades conegudes.

 

Vector d’atac

  • Aprofita la distorsió en el nom d’usuari en autenticar-se via SSL VPN.
  • Si LDAP està activat i el sistema és vulnerable, l’atacant aconseguix accés sense necessitat d’introduir el segon factor.

 

Impacte potencial

  • Accés no autoritzat a la xarxa corporativa.
  • Segrest de sessions administratives.
  • Persistència dins de l’entorn compromés.
  • Risc de desplegament de malware, ransomware o exfiltració de dades.

Classificació CVSS: 9.8 – Crítica

 

Recursos afectats:

Dispositius FortiGate amb FortiOS en les versions següents (sense posar pedaços):

  • FortiOS 6.0.0 a 6.0.9 (corregit en 6.0.10)
  • FortiOS 6.2.0 a 6.2.3 (corregit en 6.2.4)
  • FortiOS 6.4.0 (corregit en 6.4.1)

 

 

Recomanacions:

  • Aplicar immediatament les actualitzacions de seguretat publicades per Fortinet.
  • Verificar si LDAP està habilitat en les configuracions SSL VPN i revisar que no hi haja distorsió en el tractament del nom d’usuari.
  • Revisar registres d’accés i indicadors de compromís.
  • Desactivar temporalment l’autenticació per SSL VPN si no és imprescindible.

 

Referències: 

Logo de LangChain
Logo LangChain
Posted on

Vulnerabilitat crítica en LangChain Core permet injecció d’objectes i exfiltración de secrets

Investigadors de seguretat han detectat una vulnerabilitat greu a LangChain Core, una llibreria àmpliament utilitzada per desenvolupar aplicacions d’intel·ligència artificial basades en models lingüístics (LLM).

La vulnerabilitat permet que dades manipulades per tercers es processin com si fossin fiables, la qual cosa podria provocar un accés no autoritzat a informació sensible com ara contrasenyes, claus de servei i dades internes de l’empresa. També hi ha el risc que els atacants alterin maliciosament el comportament dels agents d’IA.

Les versions afectades inclouen les darreres versions de LangChain:

    • Python: versions de l’1.0.0 a l’1.2.4 i versions anteriors a la 0.3.81
    • JavaScript: versions de @langchain/core anteriors a l’1.1.8 i la 0.3.80

Els desenvolupadors ja han publicat actualitzacions segures que corregeixen la vulnerabilitat:

    • Python: actualitzeu a la 1.2.5 o superior, o a la 0.3.81 o superior
    • JavaScript: actualitzeu a la versió 1.1.8 o superior, o a la 0.3.80 o superior

Es recomana a totes les organitzacions i desenvolupadors que revisin les seves aplicacions que utilitzen LangChain i les actualitzin immediatament a les versions parchejades. A més, és essencial tractar sempre la informació generada pels models d’IA com a poc fiable fins que no es validï, per tal de minimitzar els riscos.

Aquesta vulnerabilitat destaca la importància de la seguretat en les aplicacions d’intel·ligència artificial, especialment en entorns on els models interactuen directament amb dades i sistemes crítics.

Referències:

    • https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html
Logo de LangChain
Logo LangChain
Posted on

Vulnerabilitat crítica en MongoDB

MongoDB ha alertat recentment els administradors de sistemes sobre l’existència d’una vulnerabilitat d’alta gravetat que podria ser explotada per a dur a terme atacs d’execució remota de codi (RCE) contra servidors vulnerables. Segons el fabricant, l’explotació d’esta fallada permetria a un atacant comprometre completament la instància afectada, per la qual cosa es recomana aplicar les actualitzacions de seguretat de manera immediata.

La vulnerabilitat, identificada com a CVE-2025-14847, es deu a un maneig inadequat de la inconsistència del paràmetre de longitud en el servidor MongoDB. Esta fallada pot ser explotada per atacants remots no autenticats, mitjançant atacs de baixa complexitat i sense interacció de l’usuari, que permeten l’execució de codi arbitrari i la possible presa de control del sistema.

Segons l’avís de seguretat de MongoDB, el problema està relacionat amb la implementació de la compressió zlib, i pot provocar l’exposició de memòria en monticle no inicialitzada durant el processament de determinades peticions. Una explotació exitosa podria afectar greument la confidencialitat, integritat i disponibilitat de les dades emmagatzemades en la base de dades.

Les versions afectades inclouen múltiples branques de MongoDB, des de versions recents fins a branques antigues encara desplegades en nombrosos entorns, la qual cosa incrementa el risc en sistemes no actualitzats.

Des de CSIRT-CV es recorda la importància de mantindre els sistemes actualitzats, especialment en servicis crítics com les bases de dades. MongoDB recomana actualitzar de manera immediata a una versió corregida. En aquells casos en els quals no siga possible aplicar el pedaç de manera immediata, s’aconsella deshabilitar temporalment la compressió zlib i reforçar els controls de xarxa, limitant l’exposició dels servidors MongoDB mitjançant firewalls i segmentació de xarxa. Així mateix, es recomana monitorar possibles indicadors de compromís després de l’aplicació de les mesures correctores.

Per a més informació tècnica i detalls oficials sobre esta vulnerabilitat, poden consultar-se les següents referències.

Referències:

 

https://jira.mongodb.org/browse/server-115508
https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/