Conclusiones clave Los investigadores de inteligencia de amenazas de Cyble investigaron 15 vulnerabilidades esta semana y destacaron tres de ellas para que los equipos de seguridad las prioricen. Los investigadores de Cyble también encontraron siete vulnerabilidades discutidas en la web oscura y en foros sobre delitos cibernéticos, lo que aumenta el riesgo de que esas fallas sean cada vez más explotadas. Cyble recomienda ocho mejores prácticas para prevenir y limitar los ciberataques y las filtraciones de datos. Descripción general Los investigadores de Cyble Research and Intelligence Labs (CRIL) investigaron esta semana 15 vulnerabilidades de particular importancia para los equipos de TI e identificaron tres que merecen un parche de alta prioridad. El informe semanal sobre vulnerabilidades de Cyble del 18 al 24 de septiembre para suscriptores también examinó siete exploits que circulan en la web oscura y en foros sobre delitos cibernéticos, lo que eleva la importancia de abordar esas fallas también. Cyble también destacó ocho mejores prácticas de ciberseguridad que todas las organizaciones deberían seguir para reducir el riesgo de ataques cibernéticos y contener los que ocurran. El informe completo está disponible para suscriptores; Aquí nos centraremos en los riesgos más críticos. Las principales vulnerabilidades de TI de esta semana Las tres vulnerabilidades destacadas en el informe incluyen: CVE-2024-8963, una vulnerabilidad crítica de derivación de administrador en Ivanti Cloud Services Appliance (CSA), es una solución centrada en la seguridad diseñada para facilitar la comunicación segura y la gestión de dispositivos. Recientemente, Ivanti reveló que los atacantes podrían aprovechar la falla encadenando CVE-2024-8963 con CVE-2024-8190 para evitar la autenticación del administrador y ejecutar comandos arbitrarios en dispositivos sin parches. Esta vulnerabilidad también se está discutiendo en la web oscura (ver más abajo). Hay un parche disponible. Los investigadores de Cyble también emitieron un aviso por separado sobre una vulnerabilidad (CVE-2024-7593) en Virtual Traffic Manager (VTM) de Ivanti. CVE-2024-45409, una vulnerabilidad crítica de omisión de autenticación SAML que afecta las instalaciones autoadministradas de GitLab Community Edition (CE) y Enterprise Edition (EE). El lenguaje de marcado de afirmación de seguridad (SAML) es un protocolo de autenticación de inicio de sesión único (SSO) que permite a los usuarios iniciar sesión en diferentes servicios utilizando las mismas credenciales. Por lo tanto, un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede falsificar una respuesta/afirmación SAML con contenido arbitrario. Esto permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable. La divulgación sigue a varias otras vulnerabilidades recientes de GitLab. ¿Exposición a Internet? ¿No hay parche disponible? Sí, CVE-2024-7490, una vulnerabilidad crítica de validación de entrada incorrecta en Microchip Technology Advanced Software Framework, una biblioteca integral diseñada para microcontroladores, que facilita varias etapas del desarrollo de productos, incluida la evaluación, la creación de prototipos, el diseño y la producción. La vulnerabilidad puede provocar la ejecución remota de código mediante un desbordamiento del búfer. Esta vulnerabilidad está asociada con los archivos de programa tinydhcpserver.C y las rutinas de programa lwip_dhcp_find_option. ¿Exposición a Internet? ¿No hay parche disponible? Sí Vulnerabilidades y exploits en foros clandestinos Los investigadores de CRIL observaron múltiples canales de Telegram donde el administrador del canal compartía o discutía exploits que convertían vulnerabilidades en armas, incluyendo: CVE-2024-8190: Esta es una vulnerabilidad de inyección de comandos del sistema operativo de alta gravedad presente en las versiones 4.6 del dispositivo de servicios en la nube de Ivanti. Parche 518. Permite a atacantes con acceso de administrador ejecutar comandos arbitrarios en el sistema, lo que podría comprometer completamente el sistema. CVE-2024-36837: una vulnerabilidad de inyección SQL de alta gravedad presente en CRMEB versión 5.2.2. Esta vulnerabilidad permite a atacantes remotos obtener acceso no autorizado a información confidencial. CVE-2024-46740: Una vulnerabilidad Use-After-Free (UAF) de alta gravedad en el kernel de Linux. Está específicamente relacionado con el subsistema aglutinante. CVE-2024-20439: Una vulnerabilidad de seguridad crítica que afecta a Cisco Smart Licensing Utility, lo que podría permitir a atacantes remotos no autenticados obtener acceso administrativo al sistema. CVE-2024-8956: Se identificó una vulnerabilidad crítica de autenticación incorrecta en las cámaras PT30X-SDI y PT30X-NDI de PTZOptics antes de la versión de firmware 6.3.40. CVE-1999-1587: Hay una vulnerabilidad presente en el comando ‘/usr/ucb/ps’ en el sistema operativo Solaris de Sun Microsystems, que afecta a Solaris 8 y 9, así como a algunas versiones anteriores. La vulnerabilidad permite a los usuarios locales explotar ciertos parámetros en los comandos para ver detalles del entorno en el sistema. CVE-2024-23692: CRIL observó que varios administradores de canales de Telegram y un actor de amenazas compartían una prueba de concepto (PoC) para una vulnerabilidad crítica de inyección de comandos que afectaba al servidor de archivos HTTP (HFS) de Rejetto, específicamente versiones de hasta 2,3 millones. La vulnerabilidad permite a atacantes remotos no autenticados ejecutar comandos arbitrarios enviando solicitudes HTTP especialmente diseñadas al servidor. Recomendaciones de Cyble Para protegerse contra estas vulnerabilidades y exploits, las organizaciones deben implementar las siguientes mejores prácticas: 1. Implementar los últimos parches Para mitigar las vulnerabilidades y protegerse contra los exploits, actualice periódicamente todos los sistemas de software y hardware con los últimos parches de los proveedores oficiales. 2. Implementar un proceso sólido de administración de parches Desarrollar una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Automatice el proceso cuando sea posible para garantizar la coherencia y la eficiencia. 3. Implemente una segmentación adecuada de la red Divida su red en distintos segmentos para aislar los activos críticos de las áreas menos seguras. Utilice firewalls, VLAN y controles de acceso para limitar el acceso y reducir la superficie de ataque expuesta a posibles amenazas. 4. Plan de recuperación y respuesta a incidentes Crear y mantener un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y actualice periódicamente el plan para garantizar su eficacia y alineación con las amenazas actuales. 5. Monitoreo y registro de actividades maliciosas Implemente soluciones integrales de monitoreo y registro para detectar y analizar actividades sospechosas. Utilice sistemas SIEM (gestión de eventos e información de seguridad) para agregar y correlacionar registros para la detección y respuesta a amenazas en tiempo real. 6. Realice un seguimiento de las alertas de seguridad Suscríbase a avisos y alertas de seguridad de proveedores oficiales, CERT y otras fuentes autorizadas. Revise y evalúe periódicamente el impacto de estas alertas en sus sistemas y tome las medidas adecuadas. 7. Visibilidad de los activos Mantenga un inventario actualizado de todos los activos internos y externos, incluidos hardware, software y componentes de red. Utilice herramientas de gestión de activos y supervisión continua para garantizar una visibilidad y un control integrales de su entorno de TI. 8. Política de contraseñas seguras Cambie las contraseñas predeterminadas de inmediato y aplique una política de contraseñas seguras en toda la organización. Implemente la autenticación multifactor (MFA) para proporcionar una capa adicional de seguridad y reducir significativamente el riesgo de acceso no autorizado. Relacionado