Casi una decena de vulnerabilidades importantes fueron parchadas en los últimos días, incluyendo una de Signal que estaba pendiente desde 2018 y que había minimizada por el fabricante, pero que a raíz de una reciente polémica en la que también comentó Elon Musk, finalmente la empresa implementó mejoras.
Falla crítica en complemento Backup and Staging de WP Time Capsule
Se ha descubierto una vulnerabilidad crítica en el complemento Backup and Staging de WP Time Capsule, afectando a las versiones 1.22.20 y anteriores. Esta falla permitía a usuarios no autorizados obtener acceso administrativo a sitios web explotando un error en el mecanismo de autenticación del archivo wptc-cron-functions.php. Aunque se lanzó inicialmente el parche 1.22.20 para mitigar el problema, resultó ser parcialmente efectivo, lo que llevó al lanzamiento posterior de la versión 1.22.21 con correcciones más robustas.
VMware soluciona falla de inyección SQL en Aria Automation
VMware ha solucionado una grave vulnerabilidad de inyección SQL, identificada como CVE-2024-22280, en su producto Aria Automation, utilizado para la automatización de la nube y la gestión de infraestructuras y aplicaciones. La vulnerabilidad permitía a usuarios malintencionados autenticados ejecutar consultas SQL diseñadas específicamente para realizar operaciones no autorizadas en la base de datos, comprometiendo así la integridad del sistema. Afectó a versiones específicas del software, incluyendo VMware Aria Automation versión 8.x y VMware Cloud Foundation versiones 5.x y 4.x.
VMware reconoció la notificación de investigadores del Centro Gubernamental de Ciberdefensa de Canadá para encontrar esta falla. La empresa advirtió que no existen soluciones alternativas para este problema, enfatizando la importancia de actualizar a las versiones parcheadas para mitigar riesgos de seguridad.
Citrix corrige errores críticos y de alta gravedad en Netscaler
Citrix ha lanzado actualizaciones críticas para abordar múltiples vulnerabilidades en varios de sus productos, incluyendo NetScaler y Workspace. Entre las más graves se encuentra CVE-2024-6235, una falla de autorización incorrecta en NetScaler que podría permitir a un atacante acceder a información sensible si tiene acceso a la IP de la consola. Además, se corrigió CVE-2024-6236, una vulnerabilidad que podría ser explotada para causar una denegación de servicio al exceder los límites del búfer de memoria.
Citrix también solucionó problemas de gestión de privilegios en su aplicación Workspace para Windows, identificado como CVE-2024-6286, y en Virtual Delivery Agent para Windows, con CVE-2024-6151, ambos potencialmente permitiendo a atacantes locales obtener privilegios de sistema.
Microsoft Outlook se enfrenta a una vulnerabilidad crítica de RCE
Los investigadores de seguridad han identificado una vulnerabilidad crítica, CVE-2024-38021, en Microsoft Outlook que permite la ejecución remota de código sin clic. A diferencia de vulnerabilidades anteriores, esta no requiere autenticación y podría facilitar filtraciones de datos y acceso no autorizado. Morphisec inicialmente informó de esta vulnerabilidad a Microsoft el 21 de abril de 2024, y tras su confirmación, Microsoft emitió un parche el 9 de julio de 2024 como parte de sus actualizaciones mensuales de seguridad.
Morphisec y Microsoft están de acuerdo en que, aunque esta vulnerabilidad es compleja y menos probable de explotar por sí sola, combinada con otras podría simplificar ataques maliciosos.
Error crítico en GitLab permite a los atacantes ejecutar pipelines como otros usuarios
GitLab ha corregido una vulnerabilidad crítica, CVE-2024-6385, que permitía a los atacantes ejecutar trabajos de canalización como otros usuarios en sus ediciones Community y Enterprise. Esta falla afectó múltiples versiones desde la 15.8 hasta la 17.1.2 de GitLab CE/EE. Las canalizaciones son componentes clave de GitLab para automatizar procesos de CI/CD, utilizados ampliamente en empresas como T-Mobile y Goldman Sachs. GitLab instó a todos los administradores a actualizar urgentemente a las versiones parcheadas, 17.1.2, 17.0.4 y 16.11.6, para mitigar el riesgo de explotación.
Actores de amenaza explotan vulnerabilidad PHP
Varios actores de amenazas están explotando activamente la vulnerabilidad CVE-2024-4577 en PHP para distribuir malware, incluidos Gh0st RAT, RedTail y XMRig, según el Equipo de Respuesta de Inteligencia de Seguridad de Akamai. Esta vulnerabilidad permite la inyección de comandos PHP-CGI en sistemas Windows, tiene una calificación CVSS de 9,8 y puede ser utilizada para ejecutar código arbitrario en servidores vulnerables. Desde su divulgación, se han observado intentos rápidos de explotación, y tanto Shadowserver como GreyNoise han reportado actividad maliciosa al respecto.
Los investigadores recomiendan a los usuarios evaluar y actualizar PHP a la última versión para mitigar los riesgos. Además, se destaca la creciente amenaza de campañas maliciosas que aprovechan esta vulnerabilidad para comprometer sistemas y distribuir malware, subrayando la necesidad urgente de medidas proactivas de seguridad cibernética.
Vulnerabilidad de Exim que afecta a 1,5 millones de servidores
Más de 1,5 millones de servidores de correo electrónico que ejecutan versiones vulnerables del agente de transferencia de correo Exim son susceptibles a una vulnerabilidad crítica, CVE-2024-39929, la que permite a los atacantes enviar archivos adjuntos ejecutables.
Esta vulnerabilidad permite eludir las protecciones contra correos electrónicos maliciosos diseñados para instalar malware en los dispositivos de los usuarios finales.
La vulnerabilidad CVE-2024-39929 afecta a todas las versiones de Exim hasta la 4.97.1 y se basa en un error en el manejo de encabezados de múltiples líneas según RFC 2231. Aunque los usuarios deben interactuar abriendo archivos adjuntos ejecutables para que el ataque tenga éxito, se subraya la importancia de que los administradores actualicen a la versión más reciente de Exim para mitigar esta amenaza potencial.
Signal actualiza seguridad de cliente de escritorio tras polémica
Signal ha actualizado finalmente la seguridad de su cliente de escritorio tras minimizar un problema desde 2018 relacionado con el almacenamiento de claves de cifrado en texto plano. En el pasado, Signal Desktop almacenaba estas claves en archivos locales accesibles para cualquier proceso en la computadora, lo que comprometía la seguridad de los datos cifrados. A pesar de las preocupaciones planteadas en 2018 por investigadores y usuarios, Signal inicialmente minimizó el problema, argumentando que la seguridad del cifrado en reposo no era una prioridad.
Sin embargo, después de recientes críticas en las que incluso interino Elon Musk, Signal ha implementado cambios significativos. Ahora, las claves de cifrado se almacenan de manera más segura utilizando la API SafeStorage de Electron, que emplea métodos como DPAPI en Windows y Keychain en macOS para proteger las claves de acceso no autorizado. Estos cambios están diseñados para mejorar la seguridad de los datos almacenados localmente en los dispositivos de los usuarios de Signal Desktop, aunque algunos usuarios han expresado decepción por la demora en abordar este problema crítico hasta después del revuelo reciente.
Palo Alto corrige error crítico en Expedition
Palo Alto Networks ha lanzado actualizaciones críticas para abordar múltiples vulnerabilidades en sus productos, destacando principalmente CVE-2024-5910, que afecta a Palo Alto Networks Expedition. Esta vulnerabilidad, con un puntaje CVSS de 9.3, permite a los atacantes sin autenticación apropiarse de cuentas de administrador en Expedition. Expedition es crucial para la migración y optimización de configuraciones de firewall, lo que significa que los datos sensibles como credenciales y configuraciones podrían estar en riesgo debido a esta falla.
Además, Palo Alto Networks corrigió CVE-2024-5911 en la interfaz web Panorama de PAN-OS, con un puntaje CVSS de 7.0. Esta vulnerabilidad permite a un administrador autenticado con acceso a la interfaz web cargar archivos de manera arbitraria, lo que podría interrumpir los procesos del sistema y eventualmente poner Panorama en modo de mantenimiento, requiriendo intervención manual para restablecerlo.
Netgear advierte sobre fallos de autenticación y XSS del enrutador
Netgear ha instado a los usuarios a actualizar sus dispositivos a los últimos firmwares disponibles para corregir vulnerabilidades críticas de ejecución de comandos entre sitios (XSS) y elusión de autenticación en varios modelos de enrutadores WiFi 6. La vulnerabilidad XSS afecta al modelo XR1000 Nighthawk y podría permitir a los atacantes secuestrar sesiones de usuario, redirigir a usuarios a sitios maliciosos o robar información sensible, mientras que la omisión de autenticación en los enrutadores CAX30 Nighthawk AX6 podría dar acceso no autorizado a la interfaz administrativa, potencialmente llevando al control completo del dispositivo.
Netgear recomienda encarecidamente la descarga inmediata del firmware más reciente desde su sitio de soporte técnico, siguiendo instrucciones específicas para cada modelo. Además, la compañía advierte que no se hace responsable de las consecuencias derivadas de no seguir estas recomendaciones.