CEVICAS GROUP - Centro Virtual de Capacitación en Seguridad Informática -el Conocimiento Fácil-

Inglés Frances Alemán Español Italiano Holandés Ruso Portugués Japonés Koreano Arabe Chino Simplificado

En nuestro "CEVICAS Group" nos abocamos a la enseñanza personalizada sobre Seguridad Informática, capacitamos a las personas para entender todos los aspectos que atenten contra dicha Seguridad y luego de forma muy clara y sin apresurarse, las guiamos hacia la instrumentación de las "Contra-medidas" necesarias para la Securización de la Información, el Hardware asociado y el factor Humano circundante."

En esta sección se presentan las últimas noticias sobre Ciberseguridad


|News Julio 2k20 (4)| |News Agosto 2k20 (5)| |News Septiembre 2k20 (4)| |News Octubre 2k20 (5)| |News Noviembre 2k20 (4)| |News Diciembre 2k20 (4)| |News Enero 2k21 (5)| |News Febrero 2k21 (4)| |News Marzo 2k21 (4)| |News Abril 2k21 (5)| |News Mayo 2k21 (4)|

Una falla de Polkit de hace 7 años permite a usuarios sin privilegios obtener acceso de Root

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 11/06/21

Una vulnerabilidad de escala de privilegios de hace 7 años descubierta en el sistema de servicio polkit pudo ser explotada por un atacante local sin privilegios a través de autorización bypass y escalar a privilegios de usuario root.

Rastreado como CVE-2021-3560 (CVSS puntuación: 7.8), la falla afecta a las versiones de polkit desde 0.113 hasta 0.118 y fue descubierta por el investigador en seguridad Kevin Backhouse en Github, quien dijo que el problema fue introducido en un código commit hecho el 9 de noviembre del 2013. Cedric Buissart de Red Hat advirtió que las distribuciones de Debian, basadas en polkit 0.105, también son vulnerables.

Polkit es un kit de herramientas para definir y administrar autorizaciones en distribuciones Linux, y es utilizado para permitir la comunicación entre procesos sin privilegios con aquellos que tienen privilegios.

"Cuando un proceso de solicitud se desconecta del dbus-daemon justo antes de que comience la llamada a polkit_system_bus_name_get_creds_sync, el proceso no puede obtener un unico uid y pid del proceso y no puede verificar los privilegios del proceso solicitado" Dijo Red Hat en un aviso "La amenaza más alta de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema"

RHEL 8, Fedora 21 (o posteriores), Debian "Bullseye" y Ubuntu 20.04 son algunas de las populares distribuciones de Linux impactadas por la vulnerabilidad de Polkit. El problema ha sido mitigado en la versión 0.119, que fue lanzada el 3 de junio.

"La vulnerabilidad es sorpresivamente fácil de explotar. Se necesitan pocos comandos en la terminal usando solo herramientas estándar como bash, kill y dbus-send" Dijo Backhouse en una redacción publicada ayer, agregando que la falla se desencadena al enviar un comando dbus-send (es decir, para crear un nuevo usuario) pero finalizando el proceso cuando polkit está todavía en el medio de la solicitud del proceso.

"dbus-send" es un mecanismo de comunicación entre procesos de Linux (IPC) que es usado para enviar un mensaje al D-Bus, permitiendo la comunicación entre múltiples procesos ejecutándose de manera concurrente en la misma maquina. El demonio de política de autoridad Polkit es implementado como un servicio conectado al sistema de bus para autenticar credenciales de forma segura.

Al finalizar el comando, causa una autenticación por bypass porque polkit maneja mal el mensaje terminado y trata la solicitud como si viniera de un proceso con privilegios root (UID 0), autorizando la solicitud inmediatamente.

"Para activar la ruta de código vulnerable, tienes que desconectarte en el momento exacto" Dijo Backhouse "Y al haber múltiples procesos involucrados, el tiempo del 'momento exacto' varía de un proceso al otro. Es por eso que generalmente se necesitan algunos intentos para que el exploit tenga éxito. Creería que también es la razón por la cual el bug no había sido encontrado"

Se aconseja a los usuarios instalar las actualizaciones de Linux tan pronto como sea posible para remediar cualquier riesgo sobre esta falla.

Fuente: The Hacker News

Comparte en twitter Comparte en Facebook Comparte en Whatsapp Comparte en LinkedIn Comparte por mail



ALERTA: Bug RCE crítico en servidores VMware vCenter bajo ataque activo

Autor: Ravie Lakshmanan

Traducción: Leandro Di Dio

Fecha: 05/06/21

Delincuentes están escaneando activamente Internet en busca de servidores VMware vCenter vulnerables que se encuentran sin parches ante fallas críticas de ejecución de código remoto, que la empresa abordó a fines del mes pasado.

La actividad en marcha fue detectada por Bad Packets el 3 de junio y fue corroborada ayer por el investigador en seguridad, Kevin Beaumont. "Actividad de escaneo masivo detectada desde 104.40.252.159 en busca de hosts VMware vSphere vulnerables a código de ejecución remoto" tuiteó Troy Mursch director de investigación de Bad Packets.

El desarrollo sigue la publicación de prueba de concepto (PoC) de ejecución arbitraria de código apuntando al bug VMware vCenter.

Rastreado como CVE-2021-21985 (CVSS score 9.8), el problema es una consecuencia de la falta de validación de entrada en el complemento de comprobación de estado de Virtual SAN (vSAN), que podría ser vulnerado por un atacante para ejecutar comandos con privilegios irrestrictos en el sistema operativo subyacente que aloja servidores vCenter.

Si bien la falla fue ratificada por VMware el 5 de mayo, la empresa instó encarecidamente a sus clientes a aplicar el cambio de emergencia de inmediato. "En esta era de ransomware, lo más seguro es asumir que un atacante ya se encuentra dentro de la red en algún lugar, en un escritorio y tal vez incluso en el control de una cuenta de usuario, por lo que nosotros encarecidamente recomendamos declarar un cambio de emergencia y parchear tan pronto como sea posible" Dijo VMware.

Esta no es la primera vez en la que atacantes han, oportunamente, escaneado en masa internet en busca de servidores VMware vCenter vulnerables. Una vulnerabilidad de ejecución remota de código (CVE-2021-21972) similar que fue parcheada por VMware en febrero se convirtió en el objetivo de delincuentes intentando vulnerar y tomar el control de sistemas sin parches.

Al menos 14,858 servidores vCenter se encontraron accesibles a través de Internet, de acuerdo a Bad Packets y Binary Edge.

Además, una nueva investigación de Cisco Talos a principios de esta semana descubrió que el atacante detrás del bot Necro basado en Python se abrió camino hasta los servidores VMware vCenter expuestos al abusar de la misma debilidad de seguridad para aumentar las capacidades de propagación de infecciones del malware.

Fuente: The Hacker News

Comparte en twitter Comparte en Facebook Comparte en Whatsapp Comparte en LinkedIn Comparte por mail



¡ESPERA NO TE RETIRES AUN¡ ANTES QUIERO ¡REGALARTE UN LIBRO!

TU INFORME GRATIS YA


AUTOR: Ing. Diego Barrientos

Quien los capacita en Seguridad Informática

FORMACION DEL AUTOR: Ing.Sistemas (UTN) - CCNA/CCNP (Cisco) -Ethical Hacker (Cortech) - MCSA (Microsoft) - Tec. en Electronica (Rep-Francesa) - Diplomado en Seguridad (Next-Vision) - Docente, Instructor y Amigo


E-MAIL DE CONTACTO: info@cevicas.com

PAGINA PRINCIPAL: www.cevicas.com

REDES SOCIALES: www.facebook.com/CevicasGroup https://twitter.com/cevicas https://youtube.com/cevicas Suscripción Gratuita y REGALO

¡Quieres saber mas de mí, mira este video!




Argentina - Mar del Plata - 2020 | Designed by -785 & M!L- | |Powered by FREE Software|

Protected by Copyscape Website Copyright Protection

velocidad de los dias la zona en la que me mude la flia