Esta semana se destacan los parches en el plugin LiteSpeed Cache para WordPress para una falla identificada como CVE-2024-28000 está siendo activamente explotada, permitiendo a atacantes no autenticados obtener privilegios de administrado; Google ha lanzado una actualización urgente para Chrome para solucionar CVE-2024-7971, una vulnerabilidad de día cero en el motor de JavaScript V8, la novena de este tipo en 2024; y GitHub ha corregido varias vulnerabilidades en GitHub Enterprise Server, incluyendo una crítica que permitía forjar respuestas SAML para obtener privilegios de administrador, entre serie de vulnerabilidades.
Complemento LiteSpeed Cache explotado activamente
Una vulnerabilidad crítica en el plugin LiteSpeed Cache para WordPress, identificada como CVE-2024-28000, está siendo activamente explotada, con más de 30,000 intentos de ataque bloqueados en solo 24 horas, según Wordfence. Este fallo, con una puntuación CVSS de 9.8, permite a atacantes no autenticados obtener privilegios de administrador y tomar el control total del sitio. La vulnerabilidad se origina en una característica de simulación de usuarios del plugin, que utiliza un hash de seguridad débil, facilitando su adivinanza y explotación.
El problema afecta a todas las versiones del plugin hasta la 6.3.0.1, y ha sido corregido en la versión 6.4, lanzada el 13 de agosto de 2024. Los administradores de sitios web deben actualizar el plugin a la última versión para protegerse contra esta vulnerabilidad. Además, se recomienda revisar los registros de depuración para asegurar que no se expongan hashes sensibles, monitorear la actividad inusual y considerar el uso de medidas de seguridad adicionales para proteger las instalaciones de WordPress.
Google corrige el noveno ataque de día cero de Chrome etiquetado como exploit este año
Google ha lanzado una actualización de emergencia para Chrome para corregir una vulnerabilidad de día cero identificada como CVE-2024-7971. Esta vulnerabilidad, causada por una debilidad de confusión de tipo en el motor de JavaScript V8 de Chrome, permite a los atacantes ejecutar código arbitrario en dispositivos con navegadores no actualizados. La actualización está disponible en las versiones 128.0.6613.84/.85 para Windows/macOS y 128.0.6613.84 para Linux, y se distribuirá a todos los usuarios en el canal estable de escritorio en las próximas semanas.
CVE-2024-7971 es la novena vulnerabilidad de día cero en Chrome que Google ha parcheado en 2024, destacando la continua amenaza de explotación en la web. Google ha confirmado que la vulnerabilidad ha sido utilizada en ataques. Los usuarios pueden acelerar la instalación de la actualización yendo al menú de Chrome > Ayuda > Acerca de Google Chrome, completando la actualización y reiniciando el navegador.
Corrigen error crítico en GitHub Enterprise Server
GitHub ha revelado recientemente varias vulnerabilidades en GitHub Enterprise Server (GHES) que podrían haber permitido a atacantes acceder y manipular repositorios de forma no autorizada. Las vulnerabilidades, identificadas como CVE-2024-6800, CVE-2024-6337 y CVE-2024-7711, han sido corregidas en las últimas actualizaciones de seguridad.
La vulnerabilidad más crítica fue identificada como CVE-2024-6800, con una puntuación CVSSv4 de 9.5, permitía a los atacantes forjar una respuesta SAML, otorgándose privilegios de administrador del sitio y eludiendo el proceso de autenticación.
Otra vulnerabilidad destacada fue identificada como CVE-2024-6337, que permite a aplicaciones de GitHub con permisos limitados leer contenido de problemas en repositorios privados, mientras que CVE-2024-7711 permite modificar títulos, asignaciones y etiquetas en repositorios públicos. Todas estas fallas han sido solucionadas en las versiones 3.13.3, 3.12.8, 3.11.14 y 3.10.16 de GHES, y se recomienda a los usuarios actualizar sus instalaciones de inmediato.
Lanzan exploit para RCE de día cero CVE-2024-41992 en modelo Arcadyan FMIMG51AX000J
Se ha descubierto una vulnerabilidad crítica, identificada como CVE-2024-41992, en el modelo Arcadyan FMIMG51AX000J y posiblemente otros dispositivos afiliados a la WiFi Alliance que utilizan la misma versión de firmware (DUT-Wi-FiTestSuite-9.0.0). Esta falla permite a atacantes remotos ejecutar código arbitrario y potencialmente tomar el control total del dispositivo afectado. A pesar de los intentos de contactar al WiFi Alliance y al fabricante, no se ha proporcionado un cronograma claro para una solución, lo que ha llevado a SSD Secure Disclosure a emitir un aviso público.
La vulnerabilidad en el firmware del Arcadyan FMIMG51AX000J, un componente crítico en la infraestructura de WiFi de muchos hogares y empresas, tiene el potencial de causar un impacto masivo.
Con la capacidad de ejecución remota de código (RCE), los atacantes podrían manipular el tráfico de red, interceptar datos sensibles y lanzar ataques adicionales. Un exploit de prueba de concepto (PoC) ya está disponible públicamente, facilitando la explotación de esta falla. Mientras se espera un parche, se recomienda a los usuarios restringir el acceso remoto, monitorear el tráfico de red, aislar los dispositivos vulnerables y buscar actualizaciones de firmware.
Microsoft corrige vulnerabilidad crítica de Copilot Studio que expone datos confidenciales
Investigadores de ciberseguridad han revelado una vulnerabilidad crítica en Microsoft Copilot Studio, rastreada como CVE-2024-38206, que podría ser explotada para acceder a información sensible. Esta falla, con una puntuación CVSS de 8.5, se debe a un defecto de divulgación de información relacionado con una vulnerabilidad de Server-Side Request Forgery (SSRF). Un atacante autenticado podría eludir la protección de SSRF en Copilot Studio para filtrar información sensible a través de la red, aunque Microsoft ha señalado que la vulnerabilidad ya ha sido corregida y no requiere acción adicional por parte de los clientes.
Vulnerabilidad de Kanister abre la puerta a la escalada de privilegios a nivel de clúster
Se ha descubierto una vulnerabilidad crítica en la herramienta de gestión de flujos de trabajo de protección de datos, Kanister, que podría permitir a los atacantes tomar el control total de los clústeres de Kubernetes. Identificada como CVE-2024-43403, esta falla está relacionada con el despliegue de default-kanister-operator, asociado con un ClusterRole de Kubernetes llamado «edit». Este rol otorga permisos para crear, modificar y actualizar recursos daemonset, crear tokens de cuentas de servicio e impersonar cuentas de servicio, lo que podría ser explotado para obtener control total sobre el clúster.
Si un atacante obtiene acceso a un nodo de trabajo que aloje el default-kanister-operator, podría manipular los recursos daemonset para montar cuentas de servicio de alto privilegio o crear tokens con roles de alto privilegio, escalando así su control sobre el clúster. También podrían impersonar cuentas de alto privilegio, como cluster-admin. La gravedad de CVE-2024-43403 es significativa, ya que podría llevar a la toma completa del clúster si no se aborda. Kanister ha emitido un aviso de seguridad instando a los usuarios a actualizar a la última versión, que corrige esta vulnerabilidad, para proteger sus entornos de Kubernetes.
SonicWall publica un parche urgente para una vulnerabilidad crítica del firewall
SonicWall ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2024-40766 en su sistema operativo SonicOS, la que tiene una puntuación CVSS de 8.6. Esta falla podría permitir el acceso no autorizado a los firewalls de SonicWall, potencialmente llevando a un compromiso total del sistema. El problema se origina en un control de acceso inadecuado en la interfaz de gestión de SonicOS, lo que podría permitir a un atacante acceder a información sensible, ejecutar código arbitrario o causar fallos en el firewall, interrumpiendo la conectividad de la red.
La vulnerabilidad afecta a una amplia gama de productos de firewall de SonicWall, incluidos los dispositivos Gen 5, Gen 6 y algunos de la Gen 7 que ejecutan versiones específicas de SonicOS. Para mitigar el impacto de CVE-2024-40766, SonicWall recomienda a las organizaciones que apliquen de inmediato las actualizaciones de firmware disponibles en el portal de SonicWall (mysonicwall.com). Mientras tanto, se aconseja restringir el acceso a la gestión del firewall a fuentes confiables o desactivar el acceso WAN desde fuentes de internet.
Vulnerabilidades críticas descubiertas en WhatsUp Gold
El equipo de Progress WhatsUp Gold ha revelado múltiples vulnerabilidades críticas que afectan a todas las versiones del software anteriores a la 2024.0.0. Identificadas como CVE-2024-6670, CVE-2024-6671 y CVE-2024-6672, estas fallas, que utilizan técnicas de inyección SQL, podrían permitir a los atacantes acceder de manera no autorizada a datos sensibles y escalar privilegios dentro de la red. Aunque no se han reportado explotaciones activas, el impacto potencial es grave, lo que lleva a una llamada urgente para que todos los usuarios actualicen sus sistemas de inmediato.
CVE-2024-6670 y CVE-2024-6671, ambos con una puntuación CVSS de 9.8, permiten a atacantes no autenticados recuperar contraseñas cifradas en configuraciones de usuario único. CVE-2024-6672, con una puntuación CVSS de 8.8, permite a atacantes autenticados de bajo privilegio escalar sus privilegios al modificar la contraseña de un usuario privilegiado. Los usuarios de WhatsUp Gold deben actualizar a la versión 2024.0.0 o superior para mitigar estos riesgos, ya que las versiones anteriores se convierten en objetivos primarios para los cibercriminales.
Slack corrige un error de IA que permitía a los atacantes robar datos de canales privados
Salesforce’s Slack Technologies ha corregido una vulnerabilidad crítica en la función de Slack AI que podría haber permitido a los atacantes robar datos de canales privados de Slack o realizar ataques de phishing. La vulnerabilidad se debe a un fallo de inyección de comandos en el modelo de lenguaje grande (LLM) de Slack AI. Este problema surge porque el LLM no puede distinguir entre instrucciones maliciosas y legítimas, lo que podría permitir a los atacantes manipular la IA para robar información sensible o realizar phishing.
El fallo, descubierto en agosto de 2024, se agravó con las actualizaciones recientes que aumentaron la superficie de ataque al permitir la ingestión de mensajes, documentos y archivos de Google Drive. Aunque Slack inicialmente consideró el problema como un «comportamiento esperado,» posteriormente lanzó un parche para abordar los riesgos de phishing.