Security News for Everyone

2022-05-17 11:27:25 #Apple #Mac #iOS

Análisis de causa raíz: AppleAVD Overflow

Este artículo contiene un análisis de causa raíz de CVE-2022-22675. La vulnerabilidad se parcheó en las versiones 12.3.1 de MacOS y 15.4.1 de iOS.

La vulnerabilidad se describe como una escalada de privilegios local, pero si es posible explotarla para conseguir una ejecución de código remoto.

Análisis:
https://googleprojectzero.github.io/0days-in-the-wild/0day-RCAs/2022/CVE-2022-22675.html

PoC:
https://googleprojectzero.github.io/0days-in-the-wild//0day-RCAs/2022/CVE-2022-22675.mp4 Open / Comment

2022-05-17 10:29:36 #Hardware #Hardwareio #CTF

Hardware[.]io: Talleres y conferencias de seguridad

Este evento que tendrá lugar del 6 al 10 de junio trata sobre ciberseguridad en sistemas embebidos.

El evento se realizará de forma presencial en Santa Clara, USA.

Página web:
https://hardwear.io/

Registro, entradas y más información:
https://hardwear.io/usa-2022/ Open / Comment

2022-05-16 11:04:20 #Zyxel #VPN #Firewall

Explotan un bug crítico en firewalls y VPNs de Zyxel

Varios atacantes han empezado a explotar CVE-2022-30525. La vulnerabilidad permite a atacantes inyectar comandos arbitrarios a remoto sin autenticación.

El fallo ya está resuelto, siendo recomendable aplicar el parche cuanto antes.

Detección:
https://gist.github.com/z3r0-0t/a3bd4c0015458b018308cca3360a7e24

https://github.com/xFFninja/threat_hunting/blob/main/web/cve-2022-30525.yaml

Más información de la vulnerabilidad:
https://www.rapid7.com/blog/post/2022/05/12/cve-2022-30525-fixed-zyxel-firewall-unauthenticated-remote-command-injection/

Fuente en inglés:
https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/ Open / Comment

2022-05-16 10:58:18 #ElasticSearch

Fallos de configuración de servidores de ElasticSearch exponen la actividad de usuarios online

Un total de 579GB de datos de usuarios se han visto expuestos online. 2 servidores pertenecientes a una organización expusieron 359 millones de registros.

Una organización empleaba un software de código abierto de analíticas de datos, el cual recolectaba información de los usuarios y la almacenaba en la página web sin su conocimiento.

Fuente en inglés:
https://www.hackread.com/misconfigured-elasticsearch-servers-user-website-activity/ Open / Comment

2022-05-12 10:29:53 #OSINT #Investigator #Web

Investigator: Herramienta de reconocimiento

Investigator es una herramienta para examinar dominios web, comprobando información de varias fuentes rápidamente.

Herramienta online:
https://abhijithb200.github.io/investigator/ Open / Comment

2022-05-11 10:42:07 #AMD #ASP

Review técnica: AMD Secure Processor (ASP)

Los miembros de Project Zero y el equipo de ciberseguridad de Google Cloud han compartido una review de ASP. El artículo tendrá en cuenta la tercera generación de CPUs, llamada "Milan".

ASP es un núcleo aislado en CPUs AMD EPYC, el cual añade funciones para asegurarse de una inicialización segura. Una de las características interesantes es SEV, la cual añade cifrado a la memoria usada por máquinas virtuales ejecutándose en el procesador.

La review revela 19 vulnerabilidades en el firmware de ASP que han sido corregidas por AMD. Los fallos encontrados son desde un uso incorrecto de criptografía hasta corrupciones de memoria.

Fuente en inglés:
https://googleprojectzero.blogspot.com/2022/05/release-of-technical-report-into-amd.html?m=1 Open / Comment

2022-05-10 21:59:19 #Windows #Microsoft #KrbRelayUp #0day

KrbRelayUp: Escalada de privilegios en Windows

Este fallo consiste en una escalada de privilegios local en dominios donde el entorno no tiene firmas LDAP habilitadas.

La vulnerabilidad afecta tanto a Windows 10 como a 11 y no existe ningún fix. Windows por defecto trae la configuración vulnerable.

Es recomendable realizar los siguientes pasos:

- Habilitar firmas LPAD y LPAD Channel Binding.

- Poner 0 en el atributo MS-DS-Machine-Account-Quota en AD, haciendo que los usuarios no puedan añadir una nueva cuenta de máquina en el dominio.

- Poner la flag "Account is sensitive and cannot be delegated" en todas las cuentas de admin.

Respuesta de Microsoft y consejo:
https://t.co/1sETyFkahP

Reglas de detección:
https://github.com/elastic/detection-rules/blob/fb6ee2c69864ffdfe347bf3b050cb931f53067a6/rules/windows/privilege_escalation_krbrelayup_suspicious_logon.toml

https://github.com/elastic/detection-rules/blob/main/rules/windows/credential_access_kerberoasting_unusual_process.toml

Más información, reglas y mitigaciones:
https://github.com/Dec0ne/KrbRelayUp

Ejemplo de log:
https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES/blob/master/Privilege%20Escalation/privesc_KrbRelayUp_windows_4624.evtx Open / Comment

2022-05-10 11:49:33 #F5BIGIP #webshells

Explotación masiva de CVE-2022-1388 en F5 BIG-IP

El fallo que está siendo explotado es una ejecución de código remoto que no necesita autenticación.

Es recomendable actualizar cuanto antes para prevenir caer víctima de los ataques.

Evidencias:
https://twitter.com/1ZRR4H/status/1523945820940296193?t=gjrTg1kAXZIpV_Qfa_GEuA&s=19

CVE:
https://support.f5.com/csp/article/K23605346

Actualización:
IoCs:
https://twitter.com/abuse_ch/status/1523958390501875713?t=1jhJh5mjLpTKS9kEYjPCbw&s=19 Open / Comment

2022-05-09 09:29:36 #BPFDoor #RedMenshen #Linux

BPFDoor: Una herramienta activa de vigilancia

Recientemente, han documentado la existencia de BPFDoor, una puerta trasera atribuida al grupo Red Menshen.

BPFDoor permite a atacantes comprometer sistemas sin abrir nuevos puertos o añadir reglas en el firewall. Funciona utilizando puertos ya existentes filtrando paquetes.

Fuente en inglés:
https://doublepulsar.com/bpfdoor-an-active-chinese-global-surveillance-tool-54b078f1a896?gi=d9611940c2a1 Open / Comment

2022-05-07 17:14:44 #Google #GoogleDocs

Google corrige un bug en Google Docs que provocaba crashes

Ciertas palabras escritas en Docs podían causar fallos repentinos de la aplicación. Algunas cadenas de palabras como "And. And. And. And. And. And." hacían que la aplicación dejase de funcionar totalmente.

Varias cadenas de palabras parecían provocar el fallo tras repetirlas 5 veces aunque todavía se desconoce la posible causa. El artículo se irá actualizando a medida que obtengan más información.

Fuente en inglés:
https://www.zdnet.com/article/weird-bug-made-google-docs-crash-if-you-typed-one-word-five-times/ Open / Comment