Conclusiones clave Los investigadores de Cyble han identificado vulnerabilidades de alta prioridad en productos de Ivanti, Microsoft, Qualcomm, Zimbra y Common Unix Printing System (CUPS). El martes de parches de Microsoft incluyó cinco nuevas vulnerabilidades de día cero, dos de las cuales están siendo explotadas activamente, y los investigadores de Cyble han observado a los actores de amenazas discutiendo las otras tres vulnerabilidades de día cero en foros de cibercrimen. Cyble también detectó 14 vulnerabilidades discutidas en foros de la web oscura, lo que sugiere que pronto podrían estar bajo ataque, si no ya. Descripción general Cyble Research and Intelligence Labs (CRIL) investigó 22 vulnerabilidades durante la semana del 2 al 8 de octubre e identificó seis productos que los equipos de seguridad deberían priorizar para parchear y mitigar. Además, los investigadores de Cyble detectaron 14 vulnerabilidades y exploits compartidos en foros de cibercrimen que los analistas de seguridad también deberían priorizar, incluidos los tres días cero de Microsoft que aún no están bajo explotación activa. El informe semanal de vulnerabilidad de TI de Cyble que cubre el período del 2 al 8 de octubre también ofreció las mejores prácticas que todos los equipos de seguridad deberían seguir. Principales vulnerabilidades de TI de esta semana Los investigadores de CRIL identificaron ocho vulnerabilidades en seis productos que los equipos de seguridad deberían priorizar; tres afectan a Ivanti Cloud Services Appliances (CSA). CVE-2024-9379, CVE-2024-9380, CVE-2024-9381: Ivanti CSA Estas tres vulnerabilidades críticas afectan a Ivanti Cloud Services Appliance (CSA), un dispositivo de Internet diseñado para facilitar la comunicación segura y la administración de dispositivos a través de Internet. Sirve como puente entre el servidor central y los dispositivos administrados, permitiéndoles comunicarse incluso cuando están detrás de firewalls o utilizando servidores proxy. CVE-2024-9379 es una falla de inyección SQL que puede desencadenar un atacante remoto autenticado con privilegios de administrador. CVE-2024-9380 es una vulnerabilidad de inyección de comandos del sistema operativo que permite a un atacante remoto autenticado con privilegios de administrador lograr la ejecución remota de código. CVE-2024-9381 es una vulnerabilidad de recorrido de ruta que permite a un atacante remoto autenticado con privilegios de administrador eludir las restricciones. En un aviso reciente, Ivanti reveló la explotación de CVE-2024-9379, CVE-2024-9380 o CVE-2024-9381 por parte de atacantes, encadenados con CVE-2024-8963. CISA también emitió un aviso instando a los equipos de seguridad a corregir las fallas. CVE-2024-47176: CUPS Esta vulnerabilidad afecta al Common Unix Printing System, un sistema de impresión de código abierto diseñado para Linux y otros sistemas operativos similares a Unix, que proporciona un marco estandarizado para administrar y controlar impresoras y permite que las computadoras actúen como servidores de impresión. que aceptan trabajos de impresión de máquinas cliente, los procesan y los envían a la impresora adecuada. Recientemente, los investigadores revelaron que los actores de amenazas pueden explotar vulnerabilidades para lanzar ataques de denegación de servicio distribuido (DDoS) con un factor de amplificación de 600x. Bajo ciertas condiciones, los atacantes pueden encadenar el conjunto de vulnerabilidades en múltiples componentes de CUPS para ejecutar código arbitrario de forma remota en máquinas vulnerables. Los investigadores de Cyble habían advertido sobre la vulnerabilidad CUPS la semana anterior y reiteraron la advertencia a medida que surgían nuevos exploits. CVE-2024-45519: Zimbra Esta vulnerabilidad de gravedad 9,8 afecta a Zimbra Collaboration Suite (ZCS), una plataforma integrada de comunicación y colaboración diseñada para empresas y organizaciones, que integra varias herramientas para correo electrónico, calendario, gestión de contactos y uso compartido de documentos. Los usuarios no autenticados pueden aprovechar la falla para ejecutar comandos. Recientemente, los investigadores revelaron que los atacantes están explotando activamente la vulnerabilidad RCE que puede activarse simplemente enviando correos electrónicos especialmente diseñados con comandos para ejecutar en el campo CC, que luego se ejecutan cuando el servicio postdiario procesa el correo electrónico. Los investigadores de Cyble también observaron múltiples discusiones sobre la vulnerabilidad en la web oscura (consulte la sección Web oscura a continuación). CVE-2024-43047: Qualcomm Esta vulnerabilidad de día cero en el servicio del procesador de señal digital (DSP) que afecta a docenas de conjuntos de chips de Qualcomm también se puede aprovechar en campañas de software espía dirigidas a dispositivos Android. Cyble publicó un informe y ha destacado la explotación de CVE-2024-43047 en ataques dirigidos. Se recomienda a los OEM que apliquen los parches proporcionados de inmediato. Los usuarios preocupados por sus dispositivos deben comunicarse con los fabricantes para obtener detalles específicos del parche. CVE-2024-43572 y CVE-2024-43573: Microsoft El parche del martes de octubre de 2024 de Microsoft incluyó actualizaciones de seguridad para 118 fallas, incluidos cinco de día cero divulgados públicamente, dos de los cuales están siendo explotados activamente: CVE-2024-43572, un código remoto Vulnerabilidad de ejecución en Windows Management Console y CVE-2024-43573, una vulnerabilidad de suplantación de identidad en la plataforma MSHTML de Windows. Los investigadores de Cyble observaron discusiones sobre exploits de delitos cibernéticos en los otros días cero informados por Microsoft (consulte la sección Dark Web a continuación): CVE-2024-38200, una vulnerabilidad de suplantación de identidad de Microsoft Office; CVE-2024-29050, una falla de ejecución remota de código (RCE) en Windows 10 para sistemas basados ​​en x32 y x64; y CVE-2024-6769, una vulnerabilidad de escalada de privilegios en Windows 10, Windows 11 – 10.0.0, Windows Server 2016, Windows Server 2019 – 10.0.0. Explotaciones de la Dark Web y los foros sobre delitos cibernéticos CRIL observó múltiples canales de Telegram y foros sobre delitos cibernéticos que compartían o discutían exploits que convertían en armas diferentes vulnerabilidades. Las vulnerabilidades discutidas incluyeron: CVE-2024-38200: una vulnerabilidad crítica que afecta a múltiples versiones de Microsoft Office y surge del manejo inadecuado de ciertas propiedades de documentos dentro de las aplicaciones de Microsoft Office. Potencialmente, podría exponer información confidencial, como hashes NTLM. CVE-2024-29050: una vulnerabilidad de ejecución remota de código (RCE) de servicios criptográficos de Windows que surge de errores de truncamiento que ocurren cuando un tipo de datos primitivo se convierte a un tamaño más pequeño, lo que resulta en una posible pérdida de datos durante la conversión. CVE-2024-6769: una vulnerabilidad que afecta a varias versiones de Microsoft Windows, incluidas Windows 10, Windows 11 y varias ediciones de Windows Server. La vulnerabilidad explota una combinación de secuestro de DLL y envenenamiento de caché de activación, lo que permite a un atacante elevar privilegios de un proceso de integridad media a uno de alta integridad sin activar un mensaje de Control de cuentas de usuario (UAC). CVE-2024-7479: Una vulnerabilidad de seguridad crítica que afecta a los productos Remote Client y Remote Host de TeamViewer para Windows. La vulnerabilidad surge de la verificación inadecuada de firmas criptográficas durante la instalación de controladores VPN, lo que permite a atacantes con acceso local sin privilegios escalar sus privilegios y ejecutar código arbitrario. CVE-2024-7481: Una vulnerabilidad de seguridad crítica que afecta a los productos Remote Client y Remote Host de TeamViewer para Windows. La vulnerabilidad surge de una verificación inadecuada de firmas criptográficas durante la instalación de controladores de impresora, lo que permite a atacantes con acceso local sin privilegios escalar sus privilegios y ejecutar código arbitrario. CVE-2024-36435: Una vulnerabilidad crítica en el firmware del controlador de administración de placa base (BMC) de varios productos empresariales de Supermicro. La vulnerabilidad permite a atacantes no autenticados aprovechar un desbordamiento del búfer, lo que lleva a la ejecución remota de código (RCE). CVE-2024-38816: Una vulnerabilidad de recorrido de ruta de alta gravedad descubierta en Spring Framework y la plataforma VMWare Tanzu Spring, que afecta a varias versiones. Esta vulnerabilidad permite a los atacantes aprovechar el manejo inadecuado de los recursos estáticos, obteniendo potencialmente acceso no autorizado a archivos confidenciales en el servidor. CVE-2024-45519: Las pruebas de concepto (PoC) de esta vulnerabilidad de Zimbra ampliamente reportada se comparten en múltiples canales de Telegram. Se trata de una vulnerabilidad crítica de ejecución remota de código (RCE) que se descubrió en el servicio posterior al diario de Zimbra Collaboration Suite, una plataforma de colaboración y correo electrónico ampliamente utilizada. CVE-2024-45409: Una vulnerabilidad crítica que afecta a las bibliotecas Ruby SAML y OmniAuth SAML. Esta falla permite a atacantes no autenticados eludir los mecanismos de autenticación del Lenguaje de marcado de afirmación de seguridad (SAML) explotando las debilidades en el proceso de verificación de firmas de las respuestas SAML. Los sensores de Cyble Honeypot detectaron ataques activos a esta vulnerabilidad. CVE-2024-26304: Una vulnerabilidad crítica que afecta a los dispositivos HPE Aruba, clasificada como una vulnerabilidad de desbordamiento de búfer no autenticado en el servicio de administración L2/L3 al que se accede a través del protocolo PAPI. La vulnerabilidad permite a los atacantes enviar paquetes especialmente diseñados al puerto UDP PAPI (8211), lo que potencialmente les permite ejecutar código arbitrario como usuario privilegiado en el sistema afectado. CVE-2024-5830: Se descubrió una vulnerabilidad de seguridad crítica en el motor JavaScript V8 de Google Chrome, que afecta a las versiones anteriores a la 126.0.6478.54. Esta vulnerabilidad es un error de confusión de tipos, que un atacante puede aprovechar para ejecutar código arbitrario dentro del entorno limitado del renderizador de Chrome simplemente incitando a la víctima a visitar un sitio web malicioso. CVE-2024-44193: Esta es una vulnerabilidad que afecta a Apple iTunes para Windows, específicamente a las versiones anteriores a la 12.13.3. La vulnerabilidad permite a los atacantes locales elevar sus privilegios en los sistemas afectados, lo que plantea importantes riesgos de seguridad. CVE-2024-8275: Un actor de amenazas (TA) compartió una PoC en un foro para una vulnerabilidad crítica de inyección SQL descubierta en el complemento de calendario de eventos para WordPress. La vulnerabilidad afecta a todas las versiones hasta la 6.6.4 incluida y surge de una validación de entrada insuficiente en funciones específicas. CVE-2024-43363: Un asistente técnico en un foro compartió una PoC para una vulnerabilidad de alta gravedad que afecta a Cacti, un marco de gestión de fallas. La vulnerabilidad permite a los atacantes explotar el sistema de forma remota, comprometiendo potencialmente los datos confidenciales y la integridad del sistema. Recomendaciones de Cyble Para protegerse contra estas vulnerabilidades y exploits, las organizaciones deben implementar las siguientes mejores prácticas: Para mitigar las vulnerabilidades y protegerse contra exploits, actualice periódicamente todos los sistemas de software y hardware con los últimos parches de los proveedores oficiales. Desarrolle una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Automatice el proceso cuando sea posible para garantizar la coherencia y la eficiencia. Divida su red en distintos segmentos para aislar los activos críticos de las áreas menos seguras. Utilice firewalls, VLAN y controles de acceso para limitar el acceso y reducir la superficie de ataque expuesta a posibles amenazas. Cree y mantenga un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y actualice periódicamente el plan para garantizar su eficacia y alineación con las amenazas actuales. Implemente soluciones integrales de monitoreo y registro para detectar y analizar actividades sospechosas. Utilice sistemas SIEM (gestión de eventos e información de seguridad) para agregar y correlacionar registros para la detección y respuesta a amenazas en tiempo real. Suscríbase a avisos y alertas de seguridad de proveedores oficiales, CERT y otras fuentes autorizadas. Revise y evalúe periódicamente el impacto de estas alertas en sus sistemas y tome las medidas adecuadas. Realice ejercicios periódicos de evaluación de vulnerabilidades y pruebas de penetración (VAPT) para identificar y remediar vulnerabilidades en sus sistemas. Complemente estos ejercicios con auditorías de seguridad periódicas para garantizar el cumplimiento de las políticas y estándares de seguridad. Conclusión Estas vulnerabilidades resaltan la necesidad urgente de que los equipos de seguridad den prioridad a la reparación de vulnerabilidades críticas en los principales productos. Con los crecientes debates sobre estos exploits en los foros de la web oscura, las organizaciones deben mantenerse alerta y proactivas. Implementar prácticas de seguridad sólidas es esencial para proteger los datos confidenciales y mantener la integridad del sistema. Relacionado