Esta semana Microsoft liberó 79 parches, cuatro de ellas para vulnerabilidades de día cero explotadas activamente. Además, destacan una vulnerabilidad crítica de ejecución remota de código OFBiz corregida por Apache y múltiples vulnerabilidades solucionadas por Cisco, entre otras.
Novedades del Martes de Parche de Parche de Microsoft
El Patch Tuesday de septiembre incluyó actualizaciones de seguridad para 79 vulnerabilidades, de las cuales cuatro son fallos de día cero activamente explotados y uno fue públicamente divulgado. Se corrigieron siete vulnerabilidades críticas, principalmente de ejecución remota de código o elevación de privilegios. Entre los fallos destacados, se encuentran vulnerabilidades que afectan a Windows Installer y Windows Update, y fallos de bypass de características de seguridad como el «Mark of the Web» y Microsoft Publisher.
Entre las vulnerabilidades explotadas activamente están CVE-2024-38014, que permite elevación de privilegios en Windows Installer, y CVE-2024-43491, una vulnerabilidad de ejecución remota de código en Windows Update que afecta versiones antiguas de Windows 10. También se corrigieron fallos que permiten evadir controles de seguridad en archivos LNK y en macros de Microsoft Publisher.
Apache corrige vulnerabilidad crítica de ejecución remota de código OFBiz
Apache ha solucionado una vulnerabilidad crítica en su software OFBiz, que permite a los atacantes ejecutar código arbitrario en servidores Linux y Windows vulnerables. OFBiz es un conjunto de aplicaciones de CRM y ERP, también utilizado como un marco web basado en Java. La vulnerabilidad, identificada como CVE-2024-45195, se debe a una debilidad de «forced browsing» que expone rutas restringidas a ataques sin autenticación. Apache corrigió el fallo en la versión 18.12.16, añadiendo verificaciones de autorización.
CVE-2024-45195 es un bypass de parches anteriores que cubrían otras vulnerabilidades de OFBiz, como CVE-2024-32113 y CVE-2024-38856, que también permitían la ejecución de código remoto sin autenticación. CISA advirtió en agosto que la vulnerabilidad CVE-2024-32113 estaba siendo explotada, y urgió a las organizaciones a aplicar los parches para proteger sus redes.
FreeBSD emite aviso urgente sobre CVE-2024-43102
El Proyecto FreeBSD ha emitido una advertencia de seguridad sobre una vulnerabilidad crítica (CVE-2024-43102) que afecta a varias versiones de su sistema operativo. Con una puntuación CVSS máxima de 10, este fallo podría permitir que actores maliciosos provoquen un pánico del kernel o ejecuten código arbitrario, lo que podría comprometer completamente el sistema. La vulnerabilidad reside en la llamada al sistema _umtx_op, utilizado para la sincronización de hilos, y su manejo incorrecto de la memoria compartida anónima puede causar una condición de carrera, generando un escenario de «Use-After-Free».
Las versiones vulnerables incluyen FreeBSD por debajo de las versiones 14.1, 14.0, 13.4 y 13.3. Dada la gravedad del fallo, que podría llevar a la ejecución de código o a la evasión de medidas de seguridad como el sandbox Capsicum, se insta a los usuarios a actualizar a las versiones más seguras o aplicar parches proporcionados por el Proyecto FreeBSD. También se recomienda restringir el acceso a sistemas vulnerables y monitorear actividades sospechosas en entornos críticos hasta que se aplique la solución completa.
Cisco corrigió múltiples vulnerabilidades
Cisco eliminó una cuenta con puerta trasera en la Cisco Smart Licensing Utility (CSLU) que permitía a atacantes no autenticados acceder a sistemas sin parchear con privilegios administrativos. Identificada como CVE-2024-20439, la vulnerabilidad permitía el inicio de sesión remoto utilizando credenciales estáticas no documentadas. Además, Cisco solucionó otra vulnerabilidad (CVE-2024-20440) que exponía archivos de registro con datos sensibles mediante solicitudes HTTP maliciosas. Ambas vulnerabilidades afectan solo a sistemas con versiones vulnerables de CSLU y requieren que el usuario inicie la aplicación.
También se corrigió una vulnerabilidad de inyección de comandos (CVE-2024-20469) en su solución Identity Services Engine (ISE), que permite a atacantes con privilegios de administrador escalar a root en sistemas vulnerables. Esta falla se debe a una validación insuficiente de entradas en comandos de la CLI y puede ser explotada localmente sin interacción del usuario. Aunque existe un código de exploit público, Cisco aún no ha detectado ataques en el entorno real. La vulnerabilidad afecta a versiones específicas de ISE, y la empresa ha lanzado actualizaciones de seguridad para corregirla.
Google amplía la corrección de la falla EoP de Pixel a otros dispositivos Android
Google lanzó las actualizaciones de seguridad de Android para corregir 34 vulnerabilidades, incluida CVE-2024-32896, una falla de elevación de privilegios previamente corregida en los dispositivos Pixel y explotada activamente en ataques dirigidos. Esta vulnerabilidad permite a los atacantes eludir protecciones en Android con interacción del usuario. La actualización ahora extiende la corrección a dispositivos que ejecutan Android 12, 12L, 13 y 14. Además, se corrigieron otras fallas de alta gravedad, incluidas dos en componentes de Qualcomm relacionadas con problemas de corrupción de memoria explotables localmente.
Simultáneamente, Google lanzó parches de seguridad para dispositivos Pixel, desde la serie 6 en adelante, corrigiendo seis vulnerabilidades críticas en componentes clave del sistema, como el Subsistema de control local y el Firmware del dispositivo de bajo nivel.
Error en caché de LiteSpeed expone millones de sitios de WordPress a ataques de adquisición
Una vulnerabilidad crítica en LiteSpeed Cache, un complemento de almacenamiento en caché utilizado en más de 6 millones de sitios de WordPress, fue descubierto e identificado como CVE-2024-44000. La vulnerabilidad permite la apropiación de cuentas no autenticadas a través de la función de depuración del complemento, que registra encabezados HTTP, incluidas cookies de sesión.
Un atacante puede acceder a estas cookies si logra acceder al archivo de registro de depuración, obteniendo control administrativo del sitio. LiteSpeed Technologies solucionó el problema con la versión 6.5.0.1, moviendo los registros a una carpeta dedicada, aleatorizando nombres de archivo y eliminando la opción de registrar cookies.
Aunque más de 375 mil usuarios descargaron la actualización, millones de sitios aún son vulnerables.
Bandas de ransomware se aprovechan de error crítico de SonicWall SSLVPN
Bandas de ransomware como Akira, están explotando la vulnerabilidad crítica CVE-2024-40766 en los firewalls SonicWall SonicOS para acceder a redes de víctimas. Esta falla, que afecta a las generaciones 5, 6 y 7 de los dispositivos, fue parchada en agosto de 2024. Inicialmente se pensó que solo afectaba la interfaz de administración, pero SonicWall luego confirmó que también afecta la función SSLVPN y que ya está siendo explotada en ataques. Investigadores de firma de ciberseguridad Arctic Wolf detectaron que los atacantes desactivaron la autenticación multifactor (MFA) en los dispositivos comprometidos, lo que facilitó el acceso a las redes.
Tanto SonicWall como los especialistas de Arctic Wolf y de la firma de ciberseguridad Rapid7, han instado a los administradores a aplicar los parches y habilitar MFA en los dispositivos afectados. CISA también ha incluido la vulnerabilidad en su lista de fallos explotados, exigiendo a las agencias federales actualizar sus firewalls antes del 30 de septiembre. Esta vulnerabilidad se suma a una serie de ataques previos que han afectado a dispositivos SonicWall, utilizados por empresas y gobiernos a nivel global, siendo un blanco frecuente de ransomware y ciberespionaje.
Veeam advierte sobre falla crítica de RCE en software de backup y replicación
Veeam ha lanzado actualizaciones de seguridad para sus productos, abordando 18 vulnerabilidades de alta y crítica gravedad en Veeam Backup & Replication, Service Provider Console y ONE. La más grave es CVE-2024-40711, una vulnerabilidad crítica de ejecución remota de código (RCE) en Veeam Backup & Replication que permite la explotación sin autenticación. Esta falla afecta a versiones hasta la 12.1.2.172, y los atacantes podrían tomar control completo del sistema, lo que representa un riesgo significativo dado el papel crucial del software en la protección de datos.
Además, el boletín de seguridad detalla otras vulnerabilidades críticas en Veeam ONE y Service Provider Console, como CVE-2024-42024, que permite la ejecución remota de código con credenciales de cuenta de servicio, y CVE-2024-38650, que da acceso al hash NTLM de la cuenta de servicio con pocos privilegios. Estas vulnerabilidades afectan versiones anteriores a las 12.2.0.4093 y 8.1.0.21377, respectivamente.