El boletín de seguridad de Android de junio comparte información de una serie de vulnerabilidades altas. Además, Zyxel emite parches para dispositivos al final de su vida útil, Microsoft advierte sobre uso de protocolo NTLM y una vulnerabilidad en biblioteca Apache Log4j2 aún es de peligrosidad a nivel global.
Boletín mensual de Android aborda 37 vulnerabilidades
Esta semana se publicó el boletín de seguridad de Android de junio de 2024, el que detalla 37 vulnerabilidades que afectan a estos dispositivos. Estas vulnerabilidades incluyen problemas graves de escalación de privilegios locales en los componentes del sistema y del kernel, sin necesidad de privilegios de ejecución adicionales. Todos los parches de código fuente están publicados en el repositorio de AOSP.
Las medidas de mitigación de la plataforma de seguridad de Android y Google Play Protect reducen la posibilidad de explotación exitosa de estas vulnerabilidades y el fabricante recomienda a los usuarios actualizar a la última versión de Android y mantener sus dispositivos al día con los parches de seguridad más recientes.
El boletín también detalla las vulnerabilidades específicas, incluyendo sus CVE, referencias, tipo de vulnerabilidad, gravedad y las versiones de AOSP afectadas. Además, se mencionan vulnerabilidades en componentes de terceros como Arm, Imagination Technologies, MediaTek y Qualcomm, con detalles disponibles directamente en sus respectivos informes de seguridad.
Zyxel emite parches para dispositivos NAS en el final de su vida útil
Zyxel Networks ha lanzado una actualización de seguridad de emergencia para corregir tres vulnerabilidades críticas en sus dispositivos NAS. Se trata de los modelos NAS326 y NAS542, que ya han llegado al final de su vida útil. Estas vulnerabilidades permiten a los atacantes realizar inyección de comandos y ejecución remota de código.
CVE-2024-29972, corrige una falla que permite a un atacante no autenticado ejecutar comandos del sistema operativo utilizando una cuenta de puerta trasera, mientras que CVE-2024-29973 corrige un error que facilita a un atacante la ejecución de comandos del sistema operativo mediante una solicitud HTTP POST. Por último, con el parche de CVE-2024-29974, se logra evitar que un atacante puerda cargar archivos de configuración maliciosos en el dispositivo.
Sin embargo, Zyxel no corrigió dos vulnerabilidades adicionales que permiten la escalada de privilegios y la divulgación de información. Estas vulnerabilidades fueron identificadas como CVE-2024-29975 y CVE-2024-29976.
A pesar de que los dispositivos dejaron de recibir soporte el 31 de diciembre de 2023, Zyxel ha lanzado estas actualizaciones debido a la gravedad de las fallas.
La vulnerabilidad CVE-2021-44832 en la biblioteca Apache Log4j2 sigue siendo un problema grave para múltiples industrias
La vulnerabilidad CVE-2021-44832 en Apache Log4j2 permite a un atacante remoto ejecutar código malicioso en sistemas afectados. Afecta a versiones desde 2.0-alpha7 hasta 2.17.0, excluyendo 2.3.2 y 2.12.4.
Un ataque de ejecución remota de código (RCE) puede ocurrir si un atacante modifica el archivo de configuración del registro para construir un archivo malicioso con un Appender JDBC que hace referencia a un URI JNDI. Apache Software Foundation lanzó la versión 2.17.1 para solucionar la falla. Las recientes violaciones en Sisense y Snowflake, subrayan la gravedad de la vulnerabilidad en la industria financiera.
Explotación activa de vulnerabilidades XSS en complementos de WordPress
Se han detectado intentos de explotación activa de tres CVE de alta gravedad (CVE-2024-2194, CVE-2023-6961 y CVE-2023-40000) en varios complementos de WordPress. Estas vulnerabilidades permiten ataques de secuencias de comandos entre sitios (XSS) almacenados no autenticados, lo anterior como producto de a una limpieza de entrada y un escape de salida inadecuados.
Los ataques inyectan secuencias de comandos maliciosas que pueden crear nuevas cuentas de administrador, introducir puertas traseras y configurar scripts de seguimiento.
Se han observado numerosos intentos de explotación desde direcciones IP asociadas con el Sistema Autónomo IP Volume Inc, principalmente en los Países Bajos, y se han identificado varios dominios utilizados en las cargas útiles del ataque.
Vulnerabilidad RCE en Atlassian Confluence Corregida
La vulnerabilidad CVE-2024-21683 que afecta a Atlassian Confluence Server y Data Center, plataformas utilizadas en empresas para gestionar conocimientos y colaboración, fue recientemente corregida. Esta vulnerabilidad permite la ejecución remota de código a través de un archivo JavaScript malicioso en la función «Agregar un nuevo idioma» de la sección «Configurar macro de código». Aunque no se considera crítica, requiere que el atacante esté autenticado y tenga altos privilegios. Se ha publicado una prueba de concepto (PoC) en GitHub, desarrollada por el investigador de seguridad Huong Kieu.
Microsoft emite advertencias sobre el uso del protocolo de autenticación NTLM debido a vulnerabilidades
Microsoft ha desaprobado oficialmente el protocolo de autenticación NTLM (New Technology LAN Manager) en Windows y servidores Windows, recomendando a los desarrolladores que migren a Kerberos o autenticación de negociación para evitar problemas futuros. NTLM, lanzado en 1993, es obsoleto y vulnerable a ataques como la retransmisión NTLM y el «pass-the-hash». A pesar de las medidas de seguridad adicionales, los ataques continúan debido a la debilidad del cifrado de NTLM y su pobre rendimiento en comparación con protocolos modernos como Kerberos.
El proceso de eliminación de NTLM se realizará gradualmente, aunque seguirá funcionando en las próximas versiones de Windows Server y Windows. Microsoft insta a los administradores a usar herramientas de auditoría para identificar el uso de NTLM y planificar una transición adecuada a Negotiate, que intenta autenticar primero con Kerberos y recurre a NTLM solo si es necesario. Para la mayoría de las aplicaciones, la transición puede implicar un simple cambio en la solicitud AcquireCredentialsHandle a la Interfaz del proveedor de soporte de seguridad (SSPI).
Vulnerabilidad en Wallbox Hardy Barth cPH2 para estaciones de carga de vehículos eléctricos
El actor de amenazas Interpol404 está vendiendo un código de explotación para la vulnerabilidad CVE-2023-46359 a un precio de 200 dólares. Esta vulnerabilidad, escrita en Python, aprovecha una inyección de comandos del sistema operativo, permitiendo a atacantes no autenticados tomar el control completo del sistema afectado y ejecutar comandos arbitrarios de forma remota.
La vulnerabilidad ha sido descubierta en la estación de carga de vehículos eléctricos Wallbox Hardy Barth cPH2. La explotación de esta vulnerabilidad puede interrumpir las operaciones de carga, lanzar más ciberataques, y comprometer datos confidenciales almacenados en el dispositivo.