Apache HTTP Server 2.4.50
Se encontró que la corrección para CVE-2021-41773 en Apache HTTP Server 2.4.50 era insuficiente. Bajo ciertas condiciones, un atacante podría usar un ataque de recorrido de ruta para asignar URL a archivos fuera de los directorios configurados por directivas similares a Alias. Este problema solo afecta a Apache 2.4.49 y Apache 2.4.50 y no a versiones anteriores. Hay que actualizar a la versión 2.4.51, tercer release en menos de 1 mes. (PD: En Chile, más del 60% de los servidores Apache no están en su última versión, de hecho la mayoría bajo versiones deprecadas y sin soporte)
Apache HTTP Server 2.4.49
Un cambio realizado en la normalizacion de rutas aplicado únicamente en la versión Apache 2.4.49, supuestamente solucionado en la 2.4.50 (se evidenció nuevo fallo posteriormente), permite que un atacante remoto no autenticado mapee URL fuera del directorio raíz, permitiendo leer archivos restringidos del sistema. (PD: En Chile, más del 60% de los servidores Apache no están en su última versión, de hecho la mayoría bajo versiones deprecadas y sin soporte)
VMware vCenter Server
Esta vulnerabilidad permite que un atacante con acceso a la red mediante puerto 443 en vCenter Server ejecute códigos en el servidor mediante la carga de archivos maliciosos específicamente diseñados en el servicio de análisis. Se evidenció diversos exploit públicos en fuentes abiertas que encendieron las alarmas a nivel mundial.
Azure OMIGOD
Conjunto de vulnerabilidades en Azure permite que atacantes remotos accedan a servidores y escalar a privilegios Root debido a la creación del agente Open Management Infrastructure (OMI), el cual es implementado automáticamente y sin notificación al administrador una vez que se habilitan ciertos servicios alojados en una máquina Linux. OMI es un proyecto OpenSource que posiblemente esté implementado en otras plataformas y también exista la vulnerabilidad en ellas producto de este fallo de seguridad.
Atlassian: Confluence Server [Exploit]
Se publican Pruebas de Concepto y exploits para vulnerabilidad CVE-2021-26084, permitiendo un ataque de forma automatizada.
Forti Leak
Se publicó en la red TOR una filtración de credenciales de usuarios de Fortinet VPN SSL de todo el mundo, recopilada explotando un Path Traversal en el portal web de SSL VPN. Lo destacable es que aún en Chile se evidencian muchos dispositivos aún vulnerables a este fallo de seguridad crítico de mayo de 2019.
Atlassian: Confluence Server
Un error en de inyección OGNL permite que tanto usuarios autenticados como no autenticados puedan ejecutar código arbitrario en instancias de Confluence Server y DataCenter. Durante septiembre se evidenció un alto volumen de explotación de esta vulnerabilidad debido a la liberación de diversas pruebas de concepto (PoC).
Azure ChaosDB
Llegó el turno de la nube, la vulnerabilidad en CosmosDB de Azure permite a atacantes remotos acceder como administrador a bases de dato de otros usuarios, sin que este permiso se le haya otorgado.
PetitPotam
Microsoft advierte de PetitPotam, que potencialmente se puede usar para atacar controladores de dominio de Windows u otros servidores de Windows. PetitPotam es un ataque de retransmisión NTLM clásico; Microsoft informó que ha documentado previamente estos ataques junto con numerosas opciones de mitigación para proteger a los clientes.
Microsoft Exchange: ProxyShell
Comienza una nueva ola de parches de seguridad para vulnerabilidades activamente explotadas en Microsoft Exchange, esta vez identificadas como ProxyShell. Éstas, permiten la omisión de autenticación, escalada de privilegios y la ejecución de código remoto que finalizan con la carga de una webshell remota en el servidor afectado, por lo que nuevamente son identificadas como un riesgo “crítico”. ¡El plan de parcheado no puede esperar!
Microsoft Exchange: ProxyOracle
Aparece un nuevo conjunto de vulnerabilidades para Microsoft Exchange, un CVE de mayo y otro de junio dan la creación del conjunto ProxyOracle. ProxyOracle permite que un atacante recupere la contraseña del usuario en formato de texto plano por completo. ¿Qué ocurre con Microsoft Exchange?, claramente afectado en 2021 por ser un activo crítico de las empresas: ¡debemos mantener sus actualizaciones a la vanguardia!
Microsoft Exchange: ProxyToken
Vulnerabilidad de que permite a atacantes con cuenta dentro del mismo servidor modificar la configuracion de cuentas de correo de otros usuarios permitiendo desviar el destino de todos los correos hacia el atacante. ¡Basta Exchange, ya es demasiado!, ¿Parcheaste tu server con el último CU (Cumulative Update)?
Windows: PrintNightmare
Los investigadores aclararon que el parche de Microsoft para CVE-2021-1675 del 8 de junio estaba incompleto, lo que provocó que un nuevo exploit fuese difundido como parte de la explotación de esta vulnerabilidad, fusionándose con otras vulnerabilidades de años anteriores, obligando a la compañía a lanzar un parche de emergencia para proteger nuevamente a los usuarios.
Windows RCE Wormable
Una falla que explota la pila del protocolo HTTP. Esta pila es utilizada por el servidor IIS integrado de Windows y si este servidor está habilitado, Microsoft dice que un atacante puede enviar un paquete con formato incorrecto y ejecutar código malicioso directamente en el kernel del sistema operativo.
RockYou2021
RockYou2021, es el diccionario de contraseñas más grande de la historia, sin embargo, no se debe confundir con el leak de credenciales COMB21, de hecho, ni siquiera está en la misma categoría ya que este archivo solo cuenta con contraseñas que no están asociadas a un usuario ni correo electrónico. Recibe su nombre de un famoso diccionario de contraseñas llamado ROCKYOU, que aparece principalmente en ejercicios de ciberseguridad y desafíos de CTF en estos días, donde los expertos en ciberseguridad y los jugadores de CTF lo usan para intentar forzar un inicio de sesión o descifrar una contraseña.
Microsoft Exchange: ProxyRCE
Continuó la explotación de nuevas vulnerabilidades de Microsoft Exchange Server, investigadores de todo el mundo buscan nuevas vulnerabilidades en este sistema a través de concursos de Bug Bounty como Pwn20wn. Se prevé un escenario de múltiples nuevas vulnerabilidades para Exchange.
Continúa la explotación de SAP
Vulnerabilidades que permiten: "Reconocimiento", "Preautorización de gravedad máxima", "Escalamiento de privilegios y ejecución de comandos arbitrarios", "Activación de estados de denegación de servicio (DoS)" y "Ejecución de comandos del sistema operativo para acceder a la aplicación SAP y a la base de datos conectada".
Backdoor en el código fuente PHP
El equipo de desarrollo de PHP evidencio cambios en su repositorio interno de Git del lenguaje de programación, identificando que se habían efectuado dos modificaciones válidas que lograron agregar una puerta trasera al código fuente en un ataque que tuvo lugar el domingo 28 de marzo. Afortunadamente, este comportamiento fue detectado a tiempo y ya han corregido estas brechas de seguridad.
OpenSSL
Esta vulnerabilidad tiene el potencial de bloquear un servidor OpenSSL con un mensaje ClientHello de renegociación creado con fines malintencionados. Esto producirá un quiebre en la referencia de puntero ya que se vincula a un objeto NULL, lo que provocará un bloqueo y un posble ataque de denegación de servicio. Actualmente en Chile hay más de 1.400 (CVE-2021-3449) y 130 (CVE-2021-3450) activos afectos a estas vulnerabilidades respectivamente.
F5 BIG-IP & BIG-IQ: REST in iControl
Vulnerabilidad parcheada el 10 de marzo cuya explotación estuvo presente activamente hasta fines de abril. Un actor no autenticado que esté dentro de la red podría realizar la ejecución remota de comandos, esto afecta a la interfaz REST de iControl permitiendo crear o eliminar archivos y deshabilitar servicios sin la necesidad de autenticarse en su infraestructura.
Microsoft Exchange: ProxyLogon
Microsoft publicó una actualización urgente y fuera de ciclo para Exchange Server (on-premise) en respuesta a que se detectó ataques activos por actores de amenazas sofisticados a nivel mundial. Las actualizaciones cubren cuatro vulnerabilidades graves que combinadas permiten acceso completo al servidor, permitiendo la instalación de puertas traseras basadas en webshells para facilitar el acceso persistente.
VMWare Vcenter
Tres vulnerabilidades que afectan a vSphere Client y a ESXi, las cuales al ser explotadas permitirían a un atacante ejecutar comandos de código remoto (CVE-2021-21972 y CVE-2021-21973), obtener información sensible del sistema al ejecutar una solicitud específica al servidor (SSRF: Server Side Request Forgery).
COMB21: el mayor leak de la historia
PWCOMB21 (PassWord Compilation Of Many Breaches Of 2021) es la mayor compilación de filtraciones de credenciales de todos los tiempos, con más de 3.280 millones de registros obtenidos de múltiples filtraciones de diferentes empresas y organizaciones que sucedieron a lo largo de los años, concentradas en solo un archivo organizado por correo electrónico, nombre de usuario y contraseña. La filtración no solo expone credenciales actuales o pasadas, sino que también brinda información sobre los elementos y patrones clave de las contraseñas junto a algunos hábitos de reutilización; es un banco de información sin precedentes. En muchos casos, existen hasta 30 contraseñas vinculadas a un único correo electrónico, dejando expuestos a aquellos usuarios con hábitos de reutilizar contraseñas.
Sudo Linux: Baron Samedit
Esta vulnerabilidad apunta a que el comando "sudo" contiene un error que puede resultar en un desbordamiento del búfer permitiendo un escalamiento de privilegios hasta "root". Es decir, entrega el control total y compromete al equipo y sistemas de la víctima si cae en las manos equivocadas.
Exploit SAP Solution Manager (SolMan)
Vulnerabilidad de preautorización de gravedad máxima, la cual podría llevar a la toma de control de sistemas SAP sin parche. La vulnerabilidad fue revelada y parcheada por SAP en marzo de 2020, sin embargo, en enero de 2021 se publicó un código de explotación que redujo de manera drástica la complejidad del ataque para un usuario no autenticado y su explotación se acrecentó mundialmente.