Conclusiones clave Los investigadores de Cyble investigaron 19 vulnerabilidades en la semana que terminó el 1 de octubre y marcaron ocho de ellas como de alta prioridad. Cyble también observó 10 exploits discutidos en foros de la web oscura y delitos cibernéticos, incluida una vulnerabilidad OpenSSH con 8 millones de exposiciones y reclamada cero días en Apple y Android. Los actores de amenazas también están discutiendo vulnerabilidades en productos de SolarWinds, Microsoft, Zimbra, WordPress y Fortinet en foros clandestinos. Cyble insta a los equipos de seguridad a corregir estas vulnerabilidades e implementar nueve mejores prácticas adicionales. Descripción general Cyble Research & Intelligence Labs (CRIL) investigó 19 vulnerabilidades del 25 de septiembre al 1 de octubre y marcó ocho de ellas en cuatro productos para que los equipos de seguridad las prioricen. Los investigadores de CRIL también observaron 10 exploits discutidos en foros de la web oscura y sobre delitos cibernéticos, uno de los cuales, una vulnerabilidad OpenSSH, está presente en más de 8 millones de servidores web detectados por los sensores Cyble. Las vulnerabilidades en productos de SolarWinds, Microsoft, Apple, Zimbra, WordPress y Fortinet también están siendo objeto de discusión activa en foros de ciberdelincuencia, incluidos los días cero reclamados en la mensajería de Apple y Android. Estas son las vulnerabilidades y exploits de la web oscura que más preocupan a los equipos de seguridad esta semana, seguidas de las recomendaciones de Cyble. Principales vulnerabilidades de TI de la semana CVE-2024-41925 y CVE-2024-45367: Análisis de impacto del conmutador de agregación de espectros ONS-S8: Ambas vulnerabilidades críticas afectan al conmutador de agregación de espectros ONS-S8, un dispositivo de administración de red desarrollado por Optigo Networks para implementación Redes ópticas pasivas (PON) en edificios inteligentes. CVE-2024-41925 está clasificado como un problema de inclusión remota de archivos (RFI) de PHP que surge de una validación o saneamiento incorrectos de las rutas de archivos proporcionadas por el usuario, mientras que CVE-2024-45367 es un problema de autenticación débil que surge de una aplicación inadecuada de verificación de contraseña en el mecanismo de autenticación. . CISA publicó una advertencia para ambas vulnerabilidades, citando la baja complejidad del ataque y el uso del producto en infraestructura crítica. ¿Exposición a Internet? ¿No hay parche disponible? Las versiones 1.3.7 y anteriores se ven afectadas. Optigo recomienda controles adicionales, como una VLAN de administración única y una NIC dedicada, un firewall con lista de permitidos o una conexión VPN segura. CVE-2024-0132: Análisis de impacto de NVIDIA Container Toolkit: esta vulnerabilidad de alta gravedad de tiempo de verificación y tiempo de uso (TOCTOU) afecta a NVIDIA Container Toolkit, un conjunto de herramientas diseñadas para facilitar el desarrollo y la implementación de GPU. aplicaciones aceleradas dentro de entornos en contenedores. La vulnerabilidad permite a un atacante realizar ataques de escape de contenedores y obtener acceso completo al sistema host, lo que puede provocar la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos. ¿Exposición a Internet? ¿No hay parche disponible? Sí CVE-2024-34102: Análisis de impacto de Adobe Commerce: esta vulnerabilidad de restricción inadecuada de referencia de entidad externa XML (‘XXE’) de gravedad 9,8 afecta a Adobe Commerce, anteriormente conocido como Magento, una plataforma integral de comercio electrónico que proporciona a las empresas las herramientas para crear y gestionar tiendas online B2B y B2C. Un atacante podría aprovechar esta vulnerabilidad enviando un documento XML diseñado que haga referencia a entidades externas, lo que daría como resultado la ejecución de código arbitrario. Los investigadores observaron recientemente varias tiendas de Adobe Commerce y Magento comprometidas por actores que aprovechaban la vulnerabilidad, y la vulnerabilidad también se está discutiendo en foros de cibercrimen (consulte la sección Subterránea a continuación). ¿Exposición a Internet? Sí ¿Parche disponible? Sí CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177: Análisis de impacto de vulnerabilidades de CUPS: estas vulnerabilidades reveladas recientemente: CVE-2024-47076 (libcupsfilters), CVE-2024-47175 ( libppd), CVE-2024-47176 (cups-browsed) y CVE-2024-47177 (cups-filters): impact CUPS (Common UNIX Printing System), un sistema de impresión modular diseñado para sistemas operativos similares a Unix. Permite que las computadoras funcionen como servidores de impresión, permitiéndoles aceptar trabajos de impresión de máquinas cliente, procesarlos y enviarlos a las impresoras apropiadas. Bajo ciertas condiciones, los atacantes pueden encadenar el conjunto de vulnerabilidades en múltiples componentes del sistema de impresión de código abierto CUPS para ejecutar código arbitrario de forma remota en máquinas vulnerables. ¿Exposición a Internet? ¿No hay parche disponible? Consulte los listados de CVE para obtener más detalles: Vulnerabilidades y exploits en foros clandestinos Los investigadores de Cyble observaron una gran cantidad de vulnerabilidades y exploits discutidos en canales de Telegram y foros de cibercrimen. Debido a que estas vulnerabilidades son objeto de discusión activa por parte de los actores de amenazas, merecen mucha atención por parte de los equipos de seguridad. CVE-2024-28987: Una vulnerabilidad crítica en el software SolarWinds Web Help Desk (WHD) causada por credenciales de inicio de sesión de desarrollador codificadas. CVE-2024-38200: una vulnerabilidad crítica que afecta a múltiples versiones de Microsoft Office y surge del manejo inadecuado de ciertas propiedades de documentos dentro de las aplicaciones de Microsoft Office. Potencialmente, podría exponer información confidencial, como hashes NTLM. CVE-2023-32413: Una vulnerabilidad de seguridad identificada como una condición de carrera que afecta a varios sistemas operativos de Apple. Surge de una sincronización inadecuada cuando varios procesos acceden a recursos compartidos simultáneamente, lo que puede provocar un comportamiento inesperado en el sistema. CVE-2024-43917: Una vulnerabilidad crítica de inyección SQL que afecta al complemento TI WooCommerce Wishlist para WordPress, específicamente en versiones hasta 2.8.2. CVE-2024-45519: Se descubrió una vulnerabilidad crítica de ejecución remota de código (RCE) en el servicio de publicaciones de Zimbra Collaboration Suite, una plataforma de colaboración y correo electrónico ampliamente utilizada. Los investigadores de Cyble también publicaron un informe separado sobre la vulnerabilidad Zimbra y CISA lo agregó al catálogo de vulnerabilidades explotadas conocidas de la agencia. CVE-2024-8275: una vulnerabilidad crítica de inyección SQL en el complemento de calendario de eventos para WordPress, que afecta a todas las versiones hasta la 6.6.4 inclusive. La vulnerabilidad surge de una validación de entrada insuficiente en funciones específicas. CVE-2024-6387: Un actor de amenazas (TA) ofreció una lista de direcciones IP potencialmente afectadas por esta vulnerabilidad, que también se conoce como RegreSSHion. Se trata de una vulnerabilidad crítica de ejecución remota de código (RCE) en OpenSSH, un conjunto ampliamente utilizado de utilidades de redes seguras. El servicio de búsqueda de vulnerabilidades Odin de Cyble muestra más de 8 millones de servidores web expuestos a esta vulnerabilidad. CVE-2024-34102: Un TA ofreció vender una vulnerabilidad de seguridad crítica que afecta a Adobe Commerce y Magento, específicamente las versiones 2.4.6 y anteriores. La vulnerabilidad surge del manejo inadecuado de la deserialización anidada, que permite a atacantes remotos ejecutar código arbitrario a través de documentos XML diseñados que explotan entidades externas XML (XXE) durante el proceso de deserialización. FortiClient: un asistente técnico en BreachForums anunciado explota las vulnerabilidades de uso de armas presentes en FortiClient EMS 7.4/7.3 de Fortinet, lo que resulta en inyección SQL y ejecución remota de código. La TA está vendiendo las hazañas por 30.000 dólares. Día cero de Apple y Android: un asistente técnico en BreachForums anuncia un exploit de día 0 presente en iMessage de Apple y mensajes de texto de Android. La vulnerabilidad da como resultado la ejecución remota de código (RCE). La TA está vendiendo el binario del exploit por 800.000 dólares. Recomendaciones de Cyble Para protegerse contra estas vulnerabilidades y exploits, las organizaciones deben implementar las siguientes mejores prácticas: 1. Implementar los últimos parches Para mitigar las vulnerabilidades y protegerse contra los exploits, actualice periódicamente todos los sistemas de software y hardware con los últimos parches de los proveedores oficiales. 2. Implementar un proceso sólido de administración de parches Desarrollar una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Automatice el proceso cuando sea posible para garantizar la coherencia y la eficiencia. 3. Implemente una segmentación adecuada de la red Divida su red en distintos segmentos para aislar los activos críticos de las áreas menos seguras. Utilice firewalls, VLAN y controles de acceso para limitar el acceso y reducir la superficie de ataque expuesta a posibles amenazas. 4. Plan de respuesta y recuperación de incidentes Crear y mantener un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y actualice periódicamente el plan para garantizar su eficacia y alineación con las amenazas actuales. 5. Monitoreo y registro de actividades maliciosas Implemente soluciones integrales de monitoreo y registro para detectar y analizar actividades sospechosas. Utilice sistemas SIEM (gestión de eventos e información de seguridad) para agregar y correlacionar registros para la detección y respuesta a amenazas en tiempo real. 6. Realice un seguimiento de las alertas de seguridad Suscríbase a avisos y alertas de seguridad de proveedores oficiales, CERT y otras fuentes autorizadas. Revise y evalúe periódicamente el impacto de estas alertas en sus sistemas y tome las medidas adecuadas. 7. Pruebas de penetración y auditoría Realice ejercicios periódicos de evaluación de vulnerabilidades y pruebas de penetración (VAPT) para identificar y remediar vulnerabilidades en sus sistemas. Complemente estos ejercicios con auditorías de seguridad periódicas para garantizar el cumplimiento de las políticas y estándares de seguridad. 8. Visibilidad de los activos Mantenga un inventario actualizado de todos los activos internos y externos, incluidos hardware, software y componentes de red. Utilice herramientas de gestión de activos y supervisión continua para garantizar una visibilidad y un control integrales de su entorno de TI. 9. Política de contraseñas seguras Cambie las contraseñas predeterminadas de inmediato y aplique una política de contraseñas seguras en toda la organización. Implemente la autenticación multifactor (MFA) para proporcionar una capa adicional de seguridad y reducir significativamente el riesgo de acceso no autorizado. Relacionado