Una importante cantidad de vulnerabilidades de días cero fueron corregidas esta última semana, destacando el quinto y sexto parche para el navegador Chrome de Google
Corrección de día cero en Safari WebKit de Apple
Apple landó actualizaciones de seguridad para solucionar una vulnerabilidad de día cero en el navegador web Safari. La falla se identifica con el CVE-2024-27834 y se encuentra en sistemas que ejecutan macOS Monterey y macOS Ventura.
Esta falla se puede explotar cuando un atacante con capacidad de lectura y escritura arbitraria es capaz de eludir la autenticación de puntero.
VmWare soluciona cuatro vulnerabilidades, tres de ellas de día cero
VMware solucionó cuatro fallos en sus hipervisores de escritorio y fusión, tres de ellas de día cero. En el listado están el CVE-2024-22267, en la cual un actor de amenaza con privilegios administrativos locales en una máquina virtual podría aprovechar el problema para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host.
Otra vulnerabilidad identificada como CVE-2024-22268, permitiría a un actor con acceso no administrativo a una máquina virtual con gráficos 3D habilitados, crear una condición de denegación de servicio.
Una vulnerabilidad de divulgación de información en el dispositivo Bluetooth identificada con el CVE-2024-22269, permitiría a un atacante con privilegios administrativos locales en una máquina virtual, leer información privilegiada contenida en la memoria del hipervisor desde una máquina virtual.
Finalmente, se parchó la vulnerabilidad CVE-2024-22270, con la cual un actor maliciosos con privilegios administrativos locales en una máquina virtual podría leer información privilegiada contenida en la memoria del hipervisor desde una máquina virtual.
Microsoft corrige tres días cero en sus “martes de parche”
Tres días ceros -dos de los cuales han sido explotados activamente-, fueron corregidos esta semana por Microsoft. En total, fueron 61 parches los liberados por la compañía esta semana.
Entre los principales, figura el CVE-2024-30051, utilizado para distribuir QuakBot, además de otro malware.
La vulnerabilidad puede ser explotada por un usuario local con pocos privilegios en un sistema compartido para obtener acceso a nivel del sistema, facilitando la instalación de software, alterar o eliminar datos y modificar la configuración del sistema de manera destructiva.
La segunda vulnerabilidad fue identificada como CVE-2024-30040, una falla de omisión de característica de seguridad de la plataforma MSHTML de Windows. La vulnerabilidad puede eludir las mitigaciones OLE en Microsoft 365 y Microsoft Office, y puede ser aprovechada para ejecutar código convenciendo a un usuario de que abra un documento malicioso.
La tercera vulnerabilidad de día cero, corresponde a una falla de denegación de servicio en Microsoft Visual Studio, identificada como CVE-2024-30046, la cual no estaba explotada.
Google repara dos días cero para Chrome en una semana
Hace unos días Google publicó el quinto parche de día cero del año para la vulnerabilidad CVE-2024-4671, para el navegador Chrome, específicamente en el componente Visuals, que maneja la representación y visualización del contenido en el navegador.
El problema fue solucionado con la liberación de las versiones 124.0.6367.201/.202 para Mac/Windows y 124.0.6367.201 para Linux. Para el canal “Extended Stable”, las correcciones estarán disponibles en la versión 124.0.6367.201 para Mac y Windows.
Tras ese parche, surgió la necesidad urgente de un sexto parche en el año, esta vez para la vulnerabilidad CVE-2024-4761, que corresponde a un problema de escritura fuera de límites que afecta al motor JavaScript V8 de Chrome, que es responsable de ejecutar el código JS en la aplicación.
La solución del fallo está en las versiones 124.0.6367.207/.208 para Mac/Windows y 124.0.6367.207 para Linux, mientras que para el canal “Extended Stable” estará en la versión 124.0.6367.207 para Mac y Windows.
Las actualizaciones de Chrome son automáticas cuando están disponibles.
Las anteriores fallas de día cero del año han sido CVE-2024-0519 en el motor JavaScript Chrome V8; CVE-2024-2887 en Wasm; CVE-2024-2886 en la API WebCodecs; y CVE-2024-3159, también en el motor JavaScript Chrome V8.
Vulnerabilidades en Next Central Manager de F5
Cinco vulnerabilidades de Next Central Manager de F5 fueron descubiertas recientemente por investigadores de la firma Eclypsium, quienes indicaron que «vulnerabilidades explotables remotamente en Next Central Manager de F5 que pueden dar a los atacantes control administrativo total del dispositivo”.
De acuerdo a los investigadores, F5 solo asignó formalmente un CVE a dos vulnerabilidades no autenticadas (CVE-2024-21793 y CVE-2024-26026) en un lote de parche del mes de abril, pero no existía claridad que las otras tres detectadas tienen una solución.
Next Central Manager de F5 sirve como punto de control centralizado para todas las tareas del ciclo de vida en las flotas de BIG-IP Next. La herramienta proporciona a las organizaciones una interfaz de usuario de gestión unificada para la disponibilidad de aplicaciones, control de acceso y soluciones de seguridad.
Los investigadores aseguran que, al iniciar sesión con esta herramienta, un atacante puede crear cuentas integradas que no son visibles en la plataforma, y la evasión podría permitir permitirles mantenerse en la red incluso después de que se restablezca la contraseña de administrador y se instale el parche en el sistema. Por lo pronto, el llamado es para actualizar F5 a la última versión del software 20.2.0
Vulnerabilidad alta en Veeam Service Provider Console (VSPC)
VSPC es una plataforma en la nube utilizada por proveedores de servicios gestionados (MSP) y empresas para gestionar y monitorear las operaciones de respaldo de datos.
Recientemente fue liberado el parche de la vulnerabilidad identificada con el CVE-2024-29212, originada por un método de deserialización inseguro utilizado por el servidor VSPC durante la comunicación entre el agente de administración y sus componentes. Dicha vulnerabilidad afecta a las versiones 4.0, 5.0, 6.0, 7.0 y 8.0 de VSPC.
Al ser explotada, la vulnerabilidad permite a un atacante la ejecución de código remoto en la máquina servidor en la que se instaló VSPC, y, de este modo, pueden interrumpir los procesos de copia de seguridad y recuperación ante desastres.
Citrix pide actualizar manualmente versión de PuTTy
Una vulnerabilidad identificada como CVE-2024-31497, afecta a varias versiones de XenCenter para Citrix Hypervisor 8.2 CU1 LTSR, que incluye PuTTY, un componente de terceros, para conexiones SSH a máquinas virtuales invitadas. El problema es que la versión de PuTTY quedó obsoleta desde 8.2.6 de XenCenter y cualquier versión posterior a la 8.2.7 ha dejado de incluir a PuTTY.
De acuerdo a los descubridores de la vulnerabilidad -dos investigadores de la Universidad de Ruhr en Bochum- esta podría permitir la recuperación completa de la clave secreta tras la generación de nonces criptográficos ECDSA sesgados.
FileZilla (3.24.1 – 3.66.5), WinSCP (5.9.5 – 6.3.2), TortugaGit (2.4.0.2 – 2.15.0) y TortugaSVN (1.10.0 – 1.14.6), son los productos que la versión de PuTTy afectada.
La falla se solucionó en PuTTY 0.81, FileZilla 3.67.0, WinSCP 6.3.3 y TortoiseGit 2.15.0.1.