Etiqueta: noticias de seguridad cibernética hoy Página 4 de 10

AUG 11, 2025RAVIE LAKSHMANANECRITION / SEGURIDAD DE NETA Los investigadores de seguridad cibernética han descubierto un nuevo conjunto de problemas de seguridad en el protocolo de comunicaciones de radio troncal terrestre (TETRA) que exhibe el mecanismo de cifrado de extremo de extremo a fin de la propietario (E2EE) que exhibe el sistema a los ataques de reproducción de fines de extremo. Los detalles de las vulnerabilidades, denominado 2tetra: 2burst, se presentaron en la Conferencia de Seguridad Black Hat USA la semana pasada por los investigadores de Midnight Blue Carlo Meijer, Wouter Bokslag y Jos Wetzels. TETRA es un estándar de radio móvil europeo que es ampliamente utilizado por los operadores de la aplicación de la ley, militares, transporte, servicios públicos y de infraestructura crítica. Fue desarrollado por el European Telecommunications Standards Institute (ETSI). Aligue cuatro algoritmos de cifrado: Tea1, Tea2, Tea3 y Tea4. La divulgación se produce poco más de dos años después de que la compañía de seguridad cibernética con sede en los Países Bajos descubrió un conjunto de vulnerabilidades de seguridad en Tetra Standard llamado Tetra: Burst, contando lo que se describió como una «puerta trasera intencional» que podría explotarse para fugas de información sensible a fugas. Los problemas recién descubiertos se relacionan con un caso de inyección de paquetes en Tetra, así como con una solución insuficiente para CVE-2022-24401, uno de los cinco problemas de tetra: ráfaga, para evitar ataques de recuperación de llave. Los problemas identificados se enumeran a continuación: CVE-2025-52940-TETRA Las corrientes de voz encriptadas de extremo a extremo son vulnerables al ataque de reproducción. Además, un atacante sin conocimiento de la clave puede inyectar corrientes de voz arbitrarias, que se reproducen indistinguemente del tráfico auténtico por los receptores de llamadas legítimas. CVE-2025-52941-Algoritmo de cifrado de extremo a extremo TETRA ID 135 se refiere a una implementación AES-128 intencionalmente debilitada que tiene su entropía de clave de tráfico efectiva reducida de 128 a 56 bits, lo que la hace vulnerable a los ataques con fuerza bruta. CVE-2025-52942-Los mensajes TETRA SDS cifrados de extremo a extremo cuentan con protección de reproducción, lo que permite una repetición arbitraria de mensajes hacia humanos o máquinas. CVE-2025-52943-Las redes TETRA que admiten múltiples algoritmos de cifrado de interfaz de aire son vulnerables a los ataques de recuperación clave ya que la clave de red SCK/CCK es idéntica para todos los algoritmos compatibles. Cuando se admite TEA1, se puede usar una tecla TEA1 fácilmente recuperada (CVE-2022-24402) para descifrar o inyectar el tráfico Tea2 o Tea3 en la red. CVE-2025-52944: el protocolo TETRA carece de autenticación de mensajes y, por lo tanto, permite la inyección de mensajes arbitrarios como la voz y los datos. La solución de ETSI para CVE-2022-24401 es ineficaz en la prevención de los ataques de recuperación de llave (sin CVE, asignado un identificador de marcador de posición MBPH-2025-001) Midnight Blue dijo que el impacto de 2Tetra: 2Burst depende de los casos de uso y los aspectos de configuración de cada tetra en particular, y que las redes que usan tetra en una capacidad de datos de datos están particularmente de la capacidad de los datos de los datos. Ataques de inyección, lo que puede permitir a los atacantes interceptar comunicaciones por radio e inyectar tráfico de datos maliciosos. «Los escenarios de reproducción de voz o inyección (CVE-2025-52940) pueden causar confusión entre los usuarios legítimos, que pueden usarse como un factor amplificador en un ataque a mayor escala», dijo la compañía. «Los usuarios de Tetra E2EE (también aquellos que no usan Sepura E2EE incrustado) deben validar si pueden estar utilizando la variante debilitada de 56 bits (CVE-2025-52941)». «La inyección de tráfico de enlace descendente suele ser factible utilizando el tráfico de texto sin formato, ya que descubrimos que las radios aceptarán y procesarán el tráfico de enlace descendente sin cifrar incluso en las redes cifradas. Para la inyección de tráfico de enlace ascendente, la llave de tecla debe recuperarse». No hay evidencia de que estas vulnerabilidades sean explotadas en la naturaleza. Dicho esto, no hay parches que aborden las deficiencias, con la excepción de MBPH-2025-001, para los cuales se espera que se lance una solución. Las mitigaciones para otros defectos se enumeran a continuación: CVE-2025-52940, CVE-2025-52942-Migra a la solución E2EE scrutinizada y segura CVE-2025-52941-Migra a la variante E2EE no acumulada CVE-2025-52943-Dispatía Tea1 y rotación All Aie Keys CVE-2025-2025-2025- Uso de TETRA en una capacidad de carga de datos: agregue la capa TLS/VPN sobre TETRA «Si opera o usa una red TETRA, ciertamente se ve afectado por CVE-2025-52944, en el que demostramos que es posible inyectar tráfico malicioso en una red Tetra, incluso con autenticación y/o encerrado», dijo Midnight Blue. «Además, CVE-2022-24401 probablemente lo afecte, ya que permite a los adversarios recolectar una llave de teclado para incumplimiento de confidencialidad o integridad. Si opera una red de múltiples cifras, CVE-2025-52943 plantea un riesgo de seguridad crítico». En una declaración compartida con Wired, ETSI dijo que el mecanismo E2EE utilizado en las radios basadas en TETRA no es parte del estándar ETSI, y agregó que fue producido por el Grupo de Seguridad y Prevención de Fraude de la Asociación de Comunicaciones Críticas (TCCA) (SFPG). ETSI también señaló que los compradores de radios con sede en Tetra son libres de implementar otras soluciones para E2EE en sus radios. The findings also coincide with the discovery of three flaws in the Sepura SC20 series of mobile TETRA radios that allow attackers with physical access to the device to achieve unauthorized code execution – CVE-2025-52945 – Defective file management restrictions CVE-2025-8458 – Insufficient key entropy for SD card encryption Exfiltration of all TETRA and TETRA E2EE key materials with the Se espera que la excepción de la clave específica del dispositivo (sin CVE, asignada un identificador de marcador de posición MBPH-2025-003) para CVE-2025-52945 y CVE-2025-8458 se pongan a disposición en el tercer trimestre de 2025, lo que requiere que los usuarios se aconsejan que implementen políticas de administración de tetra mejoradas mejoradas. MBPH-2025-003, por otro lado, no puede remediarse debido a las limitaciones arquitectónicas. «Las vulnerabilidades permiten a un atacante obtener la ejecución del código en un dispositivo Sepura Gen 3», dijo la compañía. «Los escenarios de ataque con CVE-2025-8458 implican la ejecución persistente del código a través del acceso a la tarjeta SD de un dispositivo. El abuso de CVE-2025-52945 es aún más directo, ya que solo requiere un acceso breve al conector PEI del dispositivo». «A partir de la premisa de la ejecución del código, los múltiples escenarios de ataque son viables, como la exfiltración de materiales clave TETRA (MBPH-2025-003) o la implantación de una puerta trasera persistente en el firmware de radio. Esto conduce a la pérdida de confidencialidad e integridad de las comunicaciones de Tetra».

Aug 10, 2025Ravie Lakshmananvulnerabilidad / Seguridad de la red Una nueva técnica de ataque podría ser armado para colocar miles de controladores de dominios públicos (DC) en todo el mundo para crear una botnet maliciosa y usarla para realizar ataques de negación de servicio distribuidos de poder (DDOS). El enfoque ha sido nombrado en código Win-DDOS por investigadores de SafeBreach o Yair y Shahak Morag, quienes presentaron sus hallazgos en la Conferencia de Seguridad Def Con 33 hoy. «Mientras exploramos las complejidades del código del cliente LDAP de Windows, descubrimos un defecto significativo que nos permitió manipular el proceso de referencia de URL para apuntar a DCS a un servidor de víctimas para abrumarlo», dijeron Yair y Morag en un informe compartido con las noticias de los hackers. «Como resultado, pudimos crear Win-DDOS, una técnica que permitiría a un atacante aprovechar el poder de decenas de miles de DC públicas en todo el mundo para crear una botnet maliciosa con grandes recursos y tasas de carga. Todo sin comprar nada y sin dejar una huella trazable». Al transformar DCS en un bot DDOS sin la necesidad de ejecución de código o credenciales, el ataque esencialmente convierte la plataforma de Windows en convertirse en la víctima y el arma. El flujo de ataque es el siguiente: el atacante envía una llamada RPC a DCS que los desencadena a convertirse en clientes CLDAP DCS Envía la solicitud CLDAP al servidor CLDAP del atacante, que luego devuelve una respuesta de referencia que refiere el servidor LDAP del atacante del atacante. Responde con una respuesta de referencia LDAP que contiene una larga lista de URL de referencia LDAP, todo lo cual apunta a un solo puerto en una sola dirección IP DCS envía una consulta LDAP en ese puerto, lo que provoca el servidor web que puede servir a través del puerto para cerrar el TCP «Una vez que la conexión TCP se atribuye, los DCS continúan con la siguiente derivación en la lista de la misma lista a la misma servidor a la misma servidor, lo que dice el mismo servidor.», Dicho la conexión. «. «Y este comportamiento se repite hasta que todas las URL en la lista de referencias terminan, creando nuestra innovadora técnica de ataque Win-DDOS». Lo que hace que Win-DDOS sea significativo es que tiene un alto ancho de banda y no requiere un atacante para comprar una infraestructura dedicada. Tampoco les requiere violar ningún dispositivo, lo que les permite volar bajo el radar. Un análisis posterior del proceso de referencia del código del cliente LDAP ha revelado que es posible activar un bloqueo de LSASS, reiniciar o una pantalla azul de muerte (BSOD) enviando largas listas de referencia a DC al aprovechar el hecho de que no hay límites en los tamaños de listas de referencias y las referencias no se lanzan desde la memoria de DC hasta que la información se recupere con éxito. Además de eso, se ha encontrado que el código de transporte agnóstico que se ejecuta a las solicitudes de los clientes del servidor alberga tres nuevas vulnerabilidades de denegación de servicio (DOS) que pueden bloquear los controladores de dominio sin la necesidad de autenticación, y una falla de DOS adicional que proporciona a cualquier usuario autenticado con la capacidad de bloquear un controlador de dominio o un computadora de Windows en un dominio. The identified shortcomings are listed below – CVE-2025-26673 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Lightweight Directory Access Protocol (LDAP) allows an unauthorized attacker to deny service over a network (Fixed in May 2025) CVE-2025-32724 (CVSS score: 7.5) – Uncontrolled resource consumption in Windows Local Security Authority El servicio del subsistema (LSASS) permite a un atacante no autorizado negar el servicio a través de una red (fijada en junio de 2025) CVE-2025-49716 (puntaje CVSS: 7.5)-Consumo de recursos no controlado en Windows Netlogon permite a un atacante no autorizado a negar el servicio a través de una red (fijo en julio 2025) CVE-2025-4972 (CVSS CVSS: 5. El consumo de recursos no controlado en los componentes de la bgas de impresión de Windows permite a un atacante autorizado negar el servicio a través de una red adyacente (fijada en julio de 2025), como las vulnerabilidad LDAPNightMare (CVE-2024-49113) detalladas a principios de enero, los últimos hallazgos muestran que existen lugares ciegos en Windows a las que podrían ser apuntadas y explojadas de operaciones empresariales. «Las vulnerabilidades que descubrimos son vulnerabilidades no autenticadas con clic cero que permiten a los atacantes bloquear estos sistemas de forma remota si son accesibles públicamente, y también muestran cómo los atacantes con un acceso mínimo a una red interna pueden desencadenar los mismos resultados contra la infraestructura privada», dijeron los investigadores. «Nuestros hallazgos rompen suposiciones comunes en el modelado de amenazas empresariales: que los riesgos de DOS solo se aplican a los servicios públicos, y que los sistemas internos están a salvo de abuso a menos que sean totalmente comprometidos. Las implicaciones para la resiliencia empresarial, el modelado de riesgos y las estrategias de defensa son significativas».

Aug 09, 2025Ravie Lakshmananvulnerabilidad / Seguridad de hardware Los investigadores de ciberseguridad han revelado vulnerabilidades en cámaras web modelo seleccionadas de Lenovo que podrían convertirlos en dispositivos de ataque Badusb. «Esto permite a los atacantes remotos inyectar pulsaciones de teclas encubiertas y lanzar ataques independientemente del sistema operativo host», dijeron los investigadores de Eclypsium Paul Asadoorian, Mickey Shkatov y Jesse Michael en un informe compartido con las noticias de Hacker. Las vulnerabilidades han sido nombradas en código BADCAM por la compañía de seguridad de firmware. Los hallazgos se presentaron en la Conferencia de Seguridad Def Con 33 hoy. Es probable que el desarrollo marca la primera vez que se ha demostrado que los actores de amenaza que obtienen el control de un periférico USB basado en Linux que ya está conectado a una computadora se pueden armarse para una intención maliciosa. En un escenario de ataque hipotético, un adversario puede aprovechar la vulnerabilidad para enviar a una víctima una cámara web trasera, o adjuntarla a una computadora si es capaz de asegurar el acceso físico y emitir comandos de forma remota para comprometer una computadora para llevar a cabo la actividad de explotación posterior. Badusb, demostrado por primera vez hace más de una década por los investigadores de seguridad Karsten Nohl y Jakob Lell en la Conferencia Black Hat 2014, es un ataque que explota una vulnerabilidad inherente en el firmware USB, esencialmente reprogramándolo para ejecutar comandos discretos o ejecutar programas maliciosos en la computadora del víctima. «A diferencia del malware tradicional, que vive en el sistema de archivos y a menudo puede ser detectado por las herramientas antivirus, BadUSB vive en la capa de firmware», señala Ivanti en una explicación de la amenaza publicada a fines del mes pasado. «Una vez conectado a una computadora, un dispositivo BADUSB puede: emular un teclado para escribir comandos maliciosos, instalar puertas traseras o keyloggers, redirigir el tráfico de Internet, [and] Datos confidenciales del exfiltrado «. En los últimos años, Mandiant, propiedad de Google, y la Oficina Federal de Investigación de los Estados Unidos (FBI) han advertido que el grupo de amenazas motivado financieramente rastreado como FIN7 ha recurrido a enviar correos de organizaciones con sede en los Estados Unidos» Badusb «Maliciosos dispositivos USB para entregar un Malware llamado DiCelower. Inicialmente destinado a ser malicioso, puede ser un vector para un ataque BADUSB, marcando una escalada significativa. HID o para emular dispositivos USB adicionales «, explicaron los investigadores.» Una vez armado, la cámara web aparentemente inocua puede inyectar pulsaciones de teclas, entregar cargas útiles maliciosas o servir como un punto de apoyo para una persistencia más profunda, todo mientras se mantiene la apariencia externa y la funcionalidad central de una cámara estándar «. Reinfectar la computadora víctima con malware incluso después de que se haya limpiado y el sistema operativo se reinstale. Después de la divulgación responsable con Lenovo en abril de 2025, el fabricante de la PC ha lanzado actualizaciones de firmware (versión 4.8.0) para mitigar las vulnerabilidades y ha trabajado con la compañía china SigMastar para lanzar una herramienta que conecta la herramienta que a menudo confía en el problema. Sus propios sistemas operativos y aceptar instrucciones remotas, «Eclypsium dijo». En el contexto de las cámaras web de Linux, el firmware sin firmar o mal protegido permite que un atacante subvierta no solo el host, sino también en el futuro, la cámara se conecta, propagando la infección y eludir los controles tradicionales «.

Los investigadores de seguridad cibernética han descubierto más de una docena de vulnerabilidades en bóvedas seguras empresariales de Cybark y Hashicorp que, si se explotan con éxito, pueden permitir a los atacantes remotos descifrar sistemas de identidad corporativa y extraer secretos y tokens empresariales de ellos. Las 14 vulnerabilidades, nombradas colectivamente Fault Vault, afectan el administrador de los secretos de Cybark, autohospedados y conjurando el código abierto y la bóveda de Hashicorp, según un informe de una firma de seguridad de identidad Cyata. Después de la divulgación responsable en mayo de 2025, las fallas se han abordado en las siguientes versiones: estos incluyen derivaciones de autenticación, suplantación, errores de escalada de privilegios, vías de ejecución de código y robo de token raíz. The most severe of the issues allows for remote code execution, allowing attackers to takeover the vault under certain conditions without any valid credentials – CVE-2025-49827 (CVSS score: 9.1) – Bypass of IAM authenticator in CyberArk Secrets Manager CVE-2025-49831 (CVSS score: 9.1) – Bypass of IAM authenticator in CyberArk Secrets Manager via a misconfigured network device CVE-2025-49828 (CVSS score: 8.6) – Remote code execution in CyberArk Secrets Manager CVE-2025-6000 (CVSS score: 9.1) – Arbitrary remote code execution via plugin catalog abuse in HashiCorp Vault CVE-2025-5999 (CVSS score: 7.2) – Privilege escalation to root via policy La normalización en la bóveda de Hashicorp, además, las vulnerabilidades también se han descubierto en la lógica de protección de bloqueo de Vault de Hashicorp, que está diseñada para acelerar los intentos de fuerza bruta, que podría permitir que un atacante infiera qué nombres de usuario son válidos al aprovechar un canal lateral a base de tiempo e incluso restablecer el contador de bloqueos al cambiar el caso de un nombre de usuario conocido (EG, administrador). Otras dos deficiencias identificadas por la compañía israelí permitieron debilitar la aplicación de bloqueo y el omitir la autenticación multifactor (MFA) cuando UserName_As_alias = true en la configuración de autenticación LDAP y la aplicación de la aplicación de MFA se aplica a nivel de entidad o grupo de identidad. En la cadena de ataque detallada por la compañía de seguridad cibernética, es posible aprovechar un problema de suplantación de entidad certificado (CVE-2025-6037) con CVE-2025-5999 y CVE-2025-6000 para romper la capa de autenticación, privilegios escalados y la ejecución de código. Se dice que CVE-2025-6037 y CVE-2025-6000 existieron durante más de ocho y nueve años, respectivamente. Armado con esta capacidad, un actor de amenaza podría armarse aún más el acceso para eliminar el archivo «Core/HSM/_Barrier-Unseal-Keys», convirtiendo efectivamente una función de seguridad en un vector de ransomware. Además, la función de grupo de control se puede socavar para enviar solicitudes HTTP y recibir respuestas sin ser auditadas, creando un canal de comunicación sigiloso. «Esta investigación muestra cómo la autenticación, la aplicación de políticas y la ejecución de complementos se pueden subvertir a través de errores lógicos, sin tocar la memoria, desencadenar bloqueos o romper la criptografía», dijo el investigador de seguridad Yarden Porat. En una línea similar, las vulnerabilidades descubiertas en Cybark Secrets Manager/Conjur permiten el derivación de la autenticación, la escalada de privilegios, la divulgación de información y la ejecución del código arbitrario, abriendo efectivamente la puerta a un escenario en el que un atacante puede elaborar una cadena de explotación para obtener el acceso no autenticado y la ejecución arbitraria arbitraria. La secuencia de ataque se desarrolla de la siguiente manera: la autenticación de IAM omitiendo al forjar las respuestas de getCalleridentity de aspecto válido se autentica como un abuso de recursos políticos, el punto final de la fábrica del host para crear un nuevo anfitrión que se hace pasar por una plantilla de política válida asignada un punto de pago de rubí (ERB) malicioso de la cadena de acceso a la cadena de acceso de la política «. a la ejecución completa del código remoto sin proporcionar una contraseña, token o credenciales de AWS «, señaló Porat. La divulgación se produce cuando Cisco Talos detalló las fallas de seguridad en el firmware ControlVault3 de Dell y sus API de Windows asociadas que los atacantes podrían haber abusado de los atacantes para evitar el inicio de sesión de Windows, extraer claves criptográficas, así como mantener el acceso incluso después de una nueva instalación del sistema operativo al implementar implantes maliciosos indetectables en la firma. Juntas, estas vulnerabilidades crean un potente método remoto de persistencia posterior a la compromiso para el acceso encubierto a entornos de alto valor. The identified vulnerabilities are as follows – CVE-2025-25050 (CVSS score: 8.8) – An out-of-bounds write vulnerability exists in the cv_upgrade_sensor_firmware functionality that could lead to an out-of-bounds write CVE-2025-25215 (CVSS score: 8.8) – An arbitrary free vulnerability exists in the cv_close functionality that could lead a un CVE-2025-24922 gratuito arbitrario (puntaje CVSS: 8.8): existe una vulnerabilidad de desbordamiento de búfer basada en la pila en la funcionalidad SecureBio_identify que podría conducir a la ejecución de código arbitraria CVE-2025-24311 (puntaje CVSS: 8.4)-Una información de la Fuidosa de Fuidio CVSEND_BLOCKDAT de CVSS que podría conducir a la Fuidad de la Fuidad de la Fuidosa. CVE-2025-24919 (puntaje CVSS: 8.1): existe una deserialización de la vulnerabilidad de entrada no confiable en la funcionalidad CVHDecapsulateCmd que podría conducir a la ejecución del código arbitrario, las vulnerabilidades han sido nombradas en codenado Revault. Más de 100 modelos de computadoras portátiles Dell que ejecutan Broadcom BCM5820X se ven afectados los chips de la serie. No hay evidencia de que las vulnerabilidades hayan sido explotadas en la naturaleza. La compañía de seguridad cibernética también señaló que un atacante local con acceso físico a la computadora portátil de un usuario podría abrirla y acceder a la placa de Security Security Hub (USH), lo que permite a un atacante explotar cualquiera de las cinco vulnerabilidades sin tener que iniciar sesión o poseer una contraseña de cifrado de disco completo. «El ataque de Revault se puede utilizar como una técnica de persistencia posterior a la compromiso que puede permanecer incluso en las reinstalaciones de Windows», dijo el investigador de Cisco Talos, Philippe Laulheret. «El ataque de Revault también se puede utilizar como un compromiso físico para evitar el inicio de sesión de Windows y/o para cualquier usuario local obtener privilegios de administración/sistema». Para mitigar el riesgo planteado por estos defectos, se recomienda a los usuarios que apliquen las soluciones proporcionadas por Dell; Deshabilite los servicios de ControlVault si los periféricos como los lectores de huellas digitales, los lectores de tarjetas inteligentes y los lectores de comunicación de campo cercano (NFC) no se están utilizando; y apague el inicio de sesión de la huella digital en situaciones de alto riesgo.