Conclusiones clave CVE-2024-6800 (GitHub Enterprise Server) plantea el riesgo de violaciones de datos y ataques a la cadena de suministro. CVE-2024-38063, una vulnerabilidad crítica de ejecución remota de código (RCE) en Windows, puede permitir ataques cibernéticos a gran escala, afectando tanto a entidades gubernamentales como privadas. Descripción general Los investigadores de Cyble Research and Intelligence Labs (CRIL) investigaron 12 vulnerabilidades del 14 al 20 de agosto, con una gravedad que iba de media a crítica. Los investigadores de CRIL también observaron cinco casos de vulnerabilidades y exploits de prueba de concepto (POC) discutidos en canales clandestinos y foros de delitos cibernéticos durante ese período. Según las evaluaciones de Cyble de las amenazas cibernéticas relativas presentadas por las vulnerabilidades y los exploits, cinco vulnerabilidades se destacan por justificar la atención prioritaria de los equipos de seguridad. Las principales vulnerabilidades de la semana Aquí hay un análisis más profundo de esas cinco vulnerabilidades identificadas por los investigadores de Cyble. 1. CVE-2024-6800: Vulnerabilidad de envoltura de firma XML en GitHub Enterprise Server Esta vulnerabilidad de envoltura de firma XML en GitHub Enterprise Server (GHES) tiene implicaciones significativas para las organizaciones que usan esta plataforma para la gestión y colaboración de código fuente. Un atacante con acceso directo a la red puede falsificar una respuesta SAML para aprovisionar y/o obtener acceso a un usuario con privilegios de administrador del sitio, lo que resulta en un acceso no autorizado a la instancia sin autenticación previa. Esta vulnerabilidad afecta a GHES, una plataforma ampliamente utilizada para administrar el código fuente, lo que la convierte en una solución de alta prioridad. Dado que las organizaciones usan GHES para administrar el código fuente de sus aplicaciones, un atacante podría explotar una vulnerabilidad robando información confidencial o aprovechando privilegios de administrador no autorizados para llevar a cabo ataques a la cadena de suministro. ¿Exposición a Internet? Sí ¿Parche disponible? Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.3, 3.12.8, 3.11.14 y 3.10.16. 2. CVE-2024-4577: Vulnerabilidad crítica en PHP CVE-2024-4577, una vulnerabilidad crítica generalizada fue descubierta inicialmente en mayo y afecta a PHP cuando se utiliza Apache y PHP-CGI en Windows. El módulo PHP CGI puede malinterpretar caracteres como opciones PHP, lo que permite a un usuario malintencionado pasar opciones al binario PHP que se está ejecutando, revelando el código fuente de los scripts y ejecutando código PHP arbitrario en el servidor. Recientemente, los investigadores descubrieron que atacantes desconocidos habían implementado una puerta trasera recién descubierta denominada Msupedge en los sistemas Windows de un instituto educativo en Taiwán, probablemente explotando esta vulnerabilidad. ¿Exposición en Internet? Sí ¿Parche disponible? Sí 3. CVE-2024-38193: Vulnerabilidad de elevación de privilegios en el controlador de función auxiliar de Windows El controlador de función auxiliar de Windows es un punto de entrada al kernel de Windows para el protocolo Winsock. Se reveló una vulnerabilidad de elevación de privilegios de alta gravedad en este controlador, y los investigadores creen que el grupo de piratas informáticos Lazarus puede haberla aprovechado para elevar privilegios e instalar el rootkit FUDModule. ¿Exposición a Internet? ¿No hay parche disponible? Sí 4. CVE-2024-38063: Vulnerabilidad crítica de ejecución remota de código TCP/IP en Windows Se identificó una vulnerabilidad crítica de ejecución remota de código TCP/IP en Windows, que permite a los atacantes desencadenar desbordamientos de búfer que se pueden usar para ejecutar código arbitrario en sistemas vulnerables de Windows 10, Windows 11 y Windows Server. Esta vulnerabilidad se considera gusano, lo que permite a un atacante remoto no autenticado obtener ejecución de código elevado enviando paquetes IPv6 especialmente diseñados a un objetivo afectado. ¿Exposición a Internet? ¿No hay parche disponible? Sí 5. CVE-2024-41730: Vulnerabilidad de SAP BusinessObjects Business Intelligence Una vulnerabilidad crítica en SAP BusinessObjects Business Intelligence (SAP BO) afecta a las organizaciones que utilizan este conjunto centralizado de herramientas de informes y análisis para inteligencia empresarial. Un usuario no autorizado puede obtener un token de inicio de sesión mediante un punto final REST, lo que genera un alto impacto en la confidencialidad, integridad y disponibilidad. ¿Exposición en Internet? ¿No hay parche disponible? Sí Vulnerabilidades y exploits discutidos en el underground Además de las principales vulnerabilidades, los investigadores de Cyble observaron varias otras vulnerabilidades que se discutían en foros y canales underground, lo que aumentaba el perfil de estas vulnerabilidades entre los atacantes. Estas incluyen: CVE-2024-40348: Una vulnerabilidad de alta gravedad en la API de Bazaar, que permite a los atacantes no autenticados ejecutar un recorrido de directorio. CVE-2024-30088: Una vulnerabilidad de elevación de privilegios de alta gravedad en el kernel de Windows. CVE-2024-38856: Una vulnerabilidad de autorización incorrecta en Apache OFBiz, que permite a los puntos finales no autenticados ejecutar código de representación de pantalla de pantallas si se cumplen ciertas condiciones previas. CVE-2024-38213: Una vulnerabilidad de elusión de funciones de seguridad de Windows Mark of the Web. CVE-2024-2212: Una vulnerabilidad de Eclipse ThreadX que puede provocar envoltorios de enteros, asignaciones insuficientes y desbordamientos de búfer de montón. Nuestras recomendaciones Para protegerse contra estas vulnerabilidades y exploits, las organizaciones deben implementar las siguientes prácticas recomendadas de ciberseguridad: 1. Implementar los últimos parches Para mitigar las vulnerabilidades y protegerse contra los exploits, actualice periódicamente todos los sistemas de software y hardware con los parches más recientes de los proveedores oficiales. 2. Implementar un proceso sólido de administración de parches Desarrollar una estrategia integral de administración de parches que incluya administración de inventario, evaluación de parches, pruebas, implementación y verificación. Automatice el proceso cuando sea posible para garantizar la coherencia y la eficiencia. 3. Implementar una segmentación de red adecuada Divida su red en segmentos distintos para aislar los activos críticos de las áreas menos seguras. Utilice firewalls, VLAN y controles de acceso para limitar el acceso y reducir la superficie de ataque expuesta a amenazas potenciales. 4. Plan de respuesta y recuperación ante incidentes Cree y mantenga un plan de respuesta a incidentes que describa los procedimientos para detectar, responder y recuperarse de incidentes de seguridad. Pruebe y actualice regularmente el plan para garantizar su eficacia y alineación con las amenazas actuales. 5. Monitoreo y registro de actividades maliciosas Implemente soluciones integrales de monitoreo y registro para detectar y analizar actividades sospechosas. Use sistemas SIEM (Gestión de eventos e información de seguridad) para agregar y correlacionar registros para la detección y respuesta de amenazas en tiempo real. 6. Realice un seguimiento de las alertas de seguridad Suscríbase a avisos y alertas de seguridad de proveedores oficiales, CERT y otras fuentes autorizadas. Revise y evalúe regularmente el impacto de estas alertas en sus sistemas y tome las medidas adecuadas. 7. Visibilidad de los activos Mantenga un inventario actualizado de todos los activos internos y externos, incluidos hardware, software y componentes de red. Utilice herramientas de administración de activos y monitoreo continuo para garantizar una visibilidad y un control integrales sobre su entorno de TI. 8. Política de contraseñas seguras Cambie las contraseñas predeterminadas de inmediato y aplique una política de contraseñas seguras en toda la organización. Implemente la autenticación multifactor (MFA) para brindar una capa adicional de seguridad y reducir significativamente el riesgo de acceso no autorizado.