Conclusiones clave Esta semana, la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA) incorporó siete vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas (KEV) basándose en evidencia de explotación activa. El equipo de Cyble Research and Intelligence Labs analizó múltiples CVE de gravedad alta y crítica que afectan a productos y software utilizados en todo el mundo. Una de esas vulnerabilidades es CVE-2024-38812, que afecta a VMware vCenter Server y puede explotarse de forma remota sin ninguna interacción del usuario. CRIL también evaluó una alta probabilidad de ciertas vulnerabilidades que los atacantes pueden usar en campañas maliciosas, incluidas las violaciones de datos y los ataques a la cadena de suministro. A saber, CVE-2024-29847, que afecta a Ivanti Endpoint Manager, CVE-2024-45694, una vulnerabilidad de exacción de código arbitrario que afecta a los enrutadores inalámbricos D-Link, y CVE-2024-45409, que afecta a la instancia GitLab CE/EE. Los sensores de monitoreo de la dark web de CRIL observaron 15 instancias en foros clandestinos y canales de Telegram, donde se llevaban a cabo discusiones sobre vulnerabilidades y pruebas de concepto (POC). Algunas de las más notables son: CVE-2024-8504, CVE-2024-8503, CVE-2024-29847, CVE-2024-38014, cliente VMware Workstation, enrutadores TOTOLINK y enrutadores TP Link Archer C6U/C6. Descripción general Este informe semanal de inteligencia de vulnerabilidades explora las actualizaciones de vulnerabilidades entre el 11 y el 17 de septiembre. El equipo de Cyble Research and Intelligence Labs investigó 24 vulnerabilidades esta semana, entre otras vulnerabilidades reveladas, para presentar información de grado crítico, alto y medio. Las principales vulnerabilidades de la semana CVE-2024-45409: Verificación incorrecta de la firma criptográfica en GitLab Community Edition (CE) y Enterprise Edition (EE) La vulnerabilidad crítica de omisión de autenticación SAML que afecta a las instalaciones autogestionadas de GitLab Community Edition (CE) y Enterprise Edition (EE). Security Assertion Markup Language (SAML) es un protocolo de autenticación de inicio de sesión único (SSO) que permite a los usuarios iniciar sesión en diferentes servicios utilizando las mismas credenciales. Un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede así falsificar una respuesta/afirmación SAML con contenido arbitrario. Esto permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable. Puntuación CVSS: 10 Internet Exposure: No Parche disponible: Sí CVE-2024-38812: Desbordamiento de búfer basado en montón en VMware vCenter Server La vulnerabilidad crítica de desbordamiento de montón afecta a VMware vCenter Server, una plataforma de administración centralizada para entornos VMware vSphere que proporciona una única interfaz para administrar y monitorear múltiples hosts ESXi y las máquinas virtuales que se ejecutan en ellos. Un actor malintencionado con acceso de red a vCenter Server puede desencadenar esta vulnerabilidad enviando un paquete de red especialmente diseñado, lo que podría provocar la ejecución remota de código. Puntuación CVSS: 9.8 Internet Exposure: Sí Parche disponible: Sí CVE-2024-29847: Deserialización de datos no confiables en Ivanti Endpoint Manager La vulnerabilidad crítica afecta a Ivanti Endpoint Manager es una solución integral diseñada para administrar y proteger puntos finales en varios sistemas operativos y dispositivos. Integra capacidades de administración unificada de puntos finales (UEM), lo que permite a los equipos de TI supervisar una amplia gama de dispositivos desde una única plataforma. La deserialización de datos no confiables en el portal del agente de Ivanti EPM antes de 2022 SU6 o la actualización de septiembre de 2024 permite que un atacante remoto no autenticado logre la ejecución remota de código. Puntuación CVSS: 9,8 Exposición a Internet: Sí Parche disponible: Sí CVE-2024-6671, CVE-2024-6670: Inyección SQL en curso WhatsUp Gold Las vulnerabilidades críticas de inyección SQL afectan a Progress WhatsUp Gold, un software integral de monitoreo de red diseñado para brindar visibilidad y control sobre dispositivos de red, servidores, aplicaciones y entornos virtuales. Permite a los equipos de TI monitorear métricas de rendimiento y garantizar el estado de su infraestructura, ya sea implementada en las instalaciones o en la nube. La explotación de las vulnerabilidades permite a un atacante no autenticado recuperar la contraseña cifrada del usuario. Recientemente, los investigadores revelaron que los atacantes están aprovechando el código de explotación disponible públicamente para explotar vulnerabilidades críticas. Puntuación CVSS: 9,8 respectivamente Internet Exposure: Sí Parche disponible: Sí CVE-2024-45694: Desbordamiento de búfer basado en pila en enrutadores D-Link Análisis de impacto: La vulnerabilidad crítica de desbordamiento de búfer basado en pila afecta al servicio web de ciertos modelos de enrutadores inalámbricos D-Link. Los atacantes remotos no autenticados pueden explotar esta vulnerabilidad para ejecutar código arbitrario en el dispositivo. Puntuación CVSS: 9,8 Internet Exposure: No Parche disponible: Sí CVE-2024-6678: Omisión de autenticación por suplantación de identidad en GitLab Community Edition (CE) y Enterprise Edition (EE) Análisis de impacto: La vulnerabilidad de alta gravedad afecta a GitLab Community Edition (CE) y Enterprise Edition (EE), afectando a todas las versiones a partir de la 8.14 anterior a la 17.1.7, a partir de la 17.2 anterior a la 17.2.5 y a partir de la 17.3 anterior a la 17.3.2. La explotación de la vulnerabilidad permite a un atacante activar un pipeline como un usuario arbitrario bajo ciertas circunstancias, lo que lleva a la interrupción de los flujos de trabajo automatizados de las organizaciones objetivo. Puntuación CVSS: 8,8 Exposición a Internet: No Parche disponible: Sí Vulnerabilidades y exploits discutidos en la clandestinidad CRIL observó múltiples instancias de discusiones sobre vulnerabilidades y la promulgación de pruebas de concepto (POC) en foros y canales clandestinos. En un canal de Telegram llamado ‘Proxy Bar’, el administrador compartió POC para varias vulnerabilidades críticas y de alta gravedad, incluidas CVE-2024-8504 (inyección de comandos del sistema operativo), CVE-2024-8503 (inyección SQL), CVE-2024-40711 (RCE en el software Veeam Backup and Replication) y CVE-2024-38080 (escalada de privilegios en Windows Hyper-V). En el canal de Telegram CyberDilara, el administrador compartió un POC para CVE-2024-38014, una vulnerabilidad de alta gravedad en Windows Installer que permite la elevación de privilegios. Hackers Factory también compartió un POC para CVE-2024-28000, una vulnerabilidad crítica de escalada de privilegios que afecta al complemento LiteSpeed ​​Cache para WordPress, que permite a usuarios no autorizados obtener acceso de nivel de administrador a un sitio de WordPress. TA tikila afirmó tener tres vulnerabilidades de día cero que afectan a VMware Workstation, enrutadores TOTOLINK y enrutadores TP-Link Archer C6U/C6. Recomendaciones de Cyble Manténgase actualizado con los parches Priorice la actualización de todos sus sistemas con los últimos parches del proveedor. Las vulnerabilidades se explotan rápidamente y tener un cronograma de actualizaciones periódicas garantiza que no quede expuesto. Aplique parches críticos tan pronto como se publiquen, no se demore. Agilice su gestión de parches Desarrollar un proceso sólido de gestión de parches es clave. Comienza con saber qué hay en tu sistema, seguido de evaluar, probar e implementar parches de manera ordenada. Automatizar este proceso puede ahorrar tiempo y evitar errores humanos. Segmenta las redes para una mejor protección No pongas todos los huevos en una sola canasta. Segregar tu red puede proteger tus activos más críticos al limitar su exposición. Usa firewalls, VLAN y controles de acceso estrictos para asegurar que solo los usuarios autorizados tengan acceso. Ten un plan de respuesta listo Cuando ocurren incidentes, y lo harán, tener un plan de respuesta a incidentes bien ensayado es un salvavidas. Debe definir claramente cómo detectarás, reaccionarás y te recuperarás de las amenazas. Prueba y actualiza regularmente este plan para asegurarte de que esté alineado con los últimos riesgos. Monitorea y registra actividades No puedes arreglar lo que no puedes ver. Monitorear y registrar la actividad maliciosa es crucial. Usa soluciones SIEM para recopilar y analizar registros en tiempo real, lo que te ayudará a detectar amenazas antes de que se intensifiquen. Mantente informado sobre alertas de seguridad Mantente a la vanguardia de las amenazas suscribiéndote a alertas de seguridad de proveedores y autoridades. Asegúrese de evaluar el impacto de estas alertas en su organización y actúe con rapidez. Realice evaluaciones de vulnerabilidad y pruebas de penetración (VAPT) periódicas para exponer los puntos débiles de sus defensas. Combine estos ejercicios con auditorías para confirmar que está siguiendo los protocolos de seguridad. Es fundamental mantener un inventario actualizado de los activos internos y externos, como hardware y software. Las herramientas de gestión de activos pueden ayudar a mantener la visibilidad, de modo que esté al tanto de todo lo que ocurre en su red. Refuerce la seguridad de las contraseñas Las contraseñas débiles son una puerta abierta para los piratas informáticos. Comience por cambiar las contraseñas predeterminadas de inmediato y aplicar una política de contraseñas segura en toda su organización. Si combina eso con la autenticación multifactor (MFA), se agrega una capa adicional de protección, lo que dificulta el acceso de usuarios no autorizados. Relacionado