A principios de julio, un atacante anunció una vulnerabilidad de día cero para Citrix ADC. Sin embargo, debido a la falta de información, la empresa se abstuvo de abordar la publicación del atacante. Hoy, Citrix alerta al público de una vulnerabilidad de gravedad crítica que afecta a NetScaler ADC y NetScaler Gateway y que se cree que está relacionada con el anuncio del atacante de principios de julio. Citrix ya ha publicado nuevas actualizaciones de software para las tres vulnerabilidades que estaban en la naturaleza antes de que Citrix comunicara sobre el día cero. CVE-2023-3519 es la vulnerabilidad más grave, con una puntuación de 9,8 sobre 10. El atacante puede ejecutar este código en cualquier momento sin necesidad de autenticación. En otras palabras, el atacante configuró el dispositivo infectado como una puerta de enlace o un servidor virtual de autenticación para utilizar las herramientas de seguridad del software. La vulnerabilidad CVE-2023-3466 tiene una puntuación de gravedad de 8,3 y se deriva de un problema en el cross-site scripting (XSS) de la empresa. La explotación se producirá si un usuario recibe una URL maliciosa de un atacante (cuando estén en la misma red) y la introduce en el navegador. La última vulnerabilidad, CVE-2023-3467, tiene una puntuación de gravedad de 8. Este problema permite a los atacantes alterar y actualizar los privilegios de administrador.
Las siguientes son las versiones recientes que parchean el día cero:
-
- NetScaler ADC y NetScaler Gateway 13.1-49.13 y versiones más recientes
- NetScaler ADC y NetScaler Gateway 13.0-91.13 y versiones posteriores de 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 y versiones posteriores de 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36 y versiones posteriores de 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36 y versiones posteriores de
(Fuente: BleepingComputer)
El Artifact Registry es el almacén de Google para todos los activos de software de alojamiento. El mes pasado, Google recibió una notificación sobre la vulnerabilidad de su almacén y proporcionó un parche; sin embargo, según los investigadores, el fallo sigue presente, y los atacantes pueden modificar las imágenes del registro e insertar malware, lanzar ataques de denegación de servicio, robar datos y mucho más. El fallo, denominado Bad.Build por los investigadores, puede afectar a los clientes una vez que descargan las fotos ocultas con malware. La creciente preocupación tiene su origen en los ataques a la cadena de suministro de MOVEit y en haber sido testigos directos de la magnitud de los daños que ha causado. Sin embargo, los investigadores creen que el fallo en realidad gira en torno a los registros de auditoría con el servicio Google Cloud Build y es un fallo de diseño. Los atacantes podrían obtener acceso a todas las cuentas y permisos de proyectos de Google Cloud imitando una cuenta de cloudbuild.builds.create.
La corrección de junio de Google parcheó el permiso de registro en Google Cloud Build, impidiendo a los atacantes acceder a los registros de auditoría y tener acceso a todos los proyectos. Sin embargo, el permiso Google cloudbuild.builds.create sigue siendo vulnerable. Cuando Cloud Build se integra en un proyecto, crea automáticamente una cuenta de servicio para ayudar al usuario a construir su proyecto. En la actualización de junio, Google desactivó la posibilidad de acceder a los registros de usuario del servicio en la nube. Google es consciente de la gravedad de los ataques a la cadena de suministro y actualmente está trabajando para eliminar por completo el riesgo.
(Fuente: DarkReading)
Los proveedores de programas espía Cytrox e Intellexa han sido incluidos en la lista negra de Estados Unidos por la administración Biden. Estas dos empresas malintencionadas son responsables de crear vulnerabilidades de privacidad y seguridad para particulares y organizaciones de todo el mundo. Las dos trafican con exploits para acceder a sistemas de información. Ambas han desplegado con éxito ciberataques contra dispositivos Apple y Android que han valido millones. Cytox ha sido conocido por colocar malware de escucha en los teléfonos de los legisladores con enlaces maliciosos de un solo clic enviados desde la popular aplicación de mensajería WhatsApp.
(Fuente: SecurityWeek)
Microsoft ha anunciado esta semana que en septiembre modificará las licencias de su software debido al aumento de los ataques de malware. Los nuevos cambios permitirán a los clientes de nivel inferior de M365 acceder gratuitamente a los valores predeterminados esenciales del registro de seguridad en la nube. El repentino cambio de Microsoft se debe a que la agencia de ciberseguridad del gobierno de Estados Unidos (CISA) descubrió esta semana que un grupo de amenazas chino tenía como objetivo a funcionarios y agencias gubernamentales. Después de que los funcionarios tuvieran conocimiento del ataque, la CISA reconoció que el sistema de Microsoft no era accesible para las licencias M365 de nivel inferior. Además, Microsoft reconoció esta semana que los hackers chinos utilizaron una clave de inicio de sesión de Azure AD robada para falsificar tokens de autenticación y llegar a las bandejas de entrada de los usuarios de M365. El ataque chino afectó a 25 empresas. El principal obstáculo surgió cuando los clientes de M365 no pudieron investigar debido a la falta de licencias E5/G5 actualizadas. Microsoft está modificando sus licencias para ofrecer a los usuarios una mayor visibilidad de los datos. En un esfuerzo por resolver las preocupaciones, se añadirán datos de registro más exhaustivos, y el periodo de retención de los datos forenses para los clientes de Audit Standard se ampliará de 90 a 180 días.
(Fuente: SecurityWeek)
Las agencias de ciberseguridad e inteligencia estadounidenses publicaron nuevas recomendaciones destinadas a mejorar la seguridad de las redes 5G. CISA y la NSA reconocen que el panorama de las amenazas 5G se ha vuelto cada vez más dinámico y vulnerable a los malos actores, en particular en lo que respecta a la fragmentación de la red. La fragmentación de la red permite a los proveedores dividir sus redes para servir a diferentes tipos de usuarios; sin embargo, la arquitectura podría exponer a los usuarios a una serie de ataques, como la denegación de servicio, las interferencias, el robo de identidad y los ataques de intermediarios. Las últimas directrices de las agencias se basan en las recomendaciones publicadas en diciembre de 2022, que también advertían a los usuarios de que el modelo de arquitectura podría ser susceptible de ataques.
La recomendación más reciente se centra en tres vectores principales: los ataques al plano de señalización, los ataques de configuración errónea y los ataques de intermediario. Las agencias están orientando a los usuarios para que adopten una arquitectura de confianza cero con el fin de proteger mejor sus redes.
(Fuente: TheHackerNews)
