Channel: SysAdmin 24x7
New Mamba 2FA bypass service targets Microsoft 365 accounts
An emerging phishing-as-a-service (PhaaS) platform called Mamba 2FA has been observed targeting Microsoft 365 accounts in AiTM attacks using well-crafted login pages.
Additionally, Mamba 2FA offers threat actors an adversary-in-the-middle (AiTM) mechanism to capture the victim's authentication tokens and bypass multi-factor authentication (MFA) protections on their accounts.
https://www.bleepingcomputer.com/news/security/new-mamba-2fa-bypass-service-targets-microsoft-365-accounts/
An emerging phishing-as-a-service (PhaaS) platform called Mamba 2FA has been observed targeting Microsoft 365 accounts in AiTM attacks using well-crafted login pages.
Additionally, Mamba 2FA offers threat actors an adversary-in-the-middle (AiTM) mechanism to capture the victim's authentication tokens and bypass multi-factor authentication (MFA) protections on their accounts.
https://www.bleepingcomputer.com/news/security/new-mamba-2fa-bypass-service-targets-microsoft-365-accounts/
BleepingComputer
New Mamba 2FA bypass service targets Microsoft 365 accounts
An emerging phishing-as-a-service (PhaaS) platform called Mamba 2FA has been observed targeting Microsoft 365 accounts in AiTM attacks using well-crafted login pages.
New Critical GitLab Vulnerability Could Allow Arbitrary CI/CD Pipeline Execution
https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html
https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html
Verificación incorrecta de la firma criptográfica en GitHub Enterprise Server
Fecha 15/10/2024
Importancia 5 - Crítica
Recursos Afectados
GitHub Enterprise Server (GHES), versiones anteriores a 3.15.
Para explotar esta vulnerabilidad se requiere que la función de aserciones cifradas esté activada, y el atacante necesitaría acceso directo a la red, así como una respuesta SAML firmada o un documento de metadatos.
Descripción
GitHub Enterprise Server contiene una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante acceder sin autorización a datos de usuarios.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/verificacion-incorrecta-de-la-firma-criptografica-en-github-enterprise-server
Fecha 15/10/2024
Importancia 5 - Crítica
Recursos Afectados
GitHub Enterprise Server (GHES), versiones anteriores a 3.15.
Para explotar esta vulnerabilidad se requiere que la función de aserciones cifradas esté activada, y el atacante necesitaría acceso directo a la red, así como una respuesta SAML firmada o un documento de metadatos.
Descripción
GitHub Enterprise Server contiene una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante acceder sin autorización a datos de usuarios.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/verificacion-incorrecta-de-la-firma-criptografica-en-github-enterprise-server
www.incibe.es
Verificación incorrecta de la firma criptográfica en GitHub Enterprise Server
GitHub Enterprise Server contiene una vulnerabilidad de severidad crítica cuya explotación podría perm
VMSA-2024-0021: VMware HCX addresses an authenticated SQL injection vulnerability (CVE-2024-38814)
Advisory ID: VMSA-2024-0021
Severity: Important
CVSSv3 Range: 8.8
Synopsis:
VMware HCX addresses an authenticated SQL injection vulnerability (CVE-2024-38814)
Issue Date: 2024-10-16
CVE(s): CVE-2024-38814
Impacted Products
VMware HCX
Introduction
An authenticated SQL injection vulnerability in VMware HCX was privately reported to VMware. Updates are available to remediate this vulnerability in affected VMware products.
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25019
Advisory ID: VMSA-2024-0021
Severity: Important
CVSSv3 Range: 8.8
Synopsis:
VMware HCX addresses an authenticated SQL injection vulnerability (CVE-2024-38814)
Issue Date: 2024-10-16
CVE(s): CVE-2024-38814
Impacted Products
VMware HCX
Introduction
An authenticated SQL injection vulnerability in VMware HCX was privately reported to VMware. Updates are available to remediate this vulnerability in affected VMware products.
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25019
Ejecución de código remoto en SolarWinds Web Help Desk
Fecha 17/10/2024
Importancia 5 - Crítica
Recursos Afectados
SolarWinds Web Help Desk, versiones 12.8.3 HF2 y anteriores.
Descripción
El investigador, Guy Lederfein, de Trend Micro Zero Day Initiative, en coordinación con SolarWinds, ha notificado una vulnerabilidad crítica que afecta a SolarWinds Web Help Desk y que de ser explotada podría permitir la ejecución de código remoto.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-remoto-en-solarwinds-web-help-desk
Fecha 17/10/2024
Importancia 5 - Crítica
Recursos Afectados
SolarWinds Web Help Desk, versiones 12.8.3 HF2 y anteriores.
Descripción
El investigador, Guy Lederfein, de Trend Micro Zero Day Initiative, en coordinación con SolarWinds, ha notificado una vulnerabilidad crítica que afecta a SolarWinds Web Help Desk y que de ser explotada podría permitir la ejecución de código remoto.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-remoto-en-solarwinds-web-help-desk
www.incibe.es
Ejecución de código remoto en SolarWinds Web Help Desk
El investigador, Guy Lederfein, de Trend Micro Zero Day Initiative, en coordinación con SolarWinds, ha
SECURITY BULLETIN: Trend Micro Cloud Edge Command Injection RCE Vulnerability
Release Date: October 15, 2024
CVE Identifiers: CVE-2024-48904
Platform: Appliance
CVSS 3.0 Score(s): 9.8
Severity Rating(s): Critical
Trend Micro has released new builds for the Trend Micro Cloud Edge appliance that resolves a command injection remote code execution (RCE) vulnerability.
https://success.trendmicro.com/en-US/solution/KA-0017998
Release Date: October 15, 2024
CVE Identifiers: CVE-2024-48904
Platform: Appliance
CVSS 3.0 Score(s): 9.8
Severity Rating(s): Critical
Trend Micro has released new builds for the Trend Micro Cloud Edge appliance that resolves a command injection remote code execution (RCE) vulnerability.
https://success.trendmicro.com/en-US/solution/KA-0017998
Uso de credenciales por defecto en Kubernetes
Fecha 18/10/2024
Importancia 5 - Crítica
Recursos Afectados
Kubernetes Image Builder, versiones 0.1.37 y anteriores;
imágenes de máquinas virtuales creadas con la versión vulnerable de Kubernetes Image Builder.
Descripción
Se ha identificado una vulnerabilidad de severidad crítica que afecta a Kubernetes Image Builder, donde se habilitan las credenciales por defecto durante el proceso de creación de la imagen, lo que podría permitir obtener privilegios de root.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/uso-de-credenciales-por-defecto-en-kubernetes
Fecha 18/10/2024
Importancia 5 - Crítica
Recursos Afectados
Kubernetes Image Builder, versiones 0.1.37 y anteriores;
imágenes de máquinas virtuales creadas con la versión vulnerable de Kubernetes Image Builder.
Descripción
Se ha identificado una vulnerabilidad de severidad crítica que afecta a Kubernetes Image Builder, donde se habilitan las credenciales por defecto durante el proceso de creación de la imagen, lo que podría permitir obtener privilegios de root.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/uso-de-credenciales-por-defecto-en-kubernetes
www.incibe.es
Uso de credenciales por defecto en Kubernetes
Se ha identificado una vulnerabilidad de severidad crítica que afecta a Kubernetes Image Builder, dond
Grafana SQL Expressions allow for remote code execution
CVE ID: CVE-2024-9264
Date Published: October 17, 2024
Description:
The SQL Expressions experimental feature of Grafana allows for the evaluation of duckdb queries containing user input.
https://grafana.com/security/security-advisories/cve-2024-9264/
CVE ID: CVE-2024-9264
Date Published: October 17, 2024
Description:
The SQL Expressions experimental feature of Grafana allows for the evaluation of duckdb queries containing user input.
https://grafana.com/security/security-advisories/cve-2024-9264/
VMSA-2024-0019:VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-38812, CVE-2024-38813)
Advisory ID: VMSA-2024-0019.2
Severity: Critical
CVSSv3 Range: 7.5-9.8
Synopsis: VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-38812, CVE-2024-38813)
Issue date: 2024-09-17
Updated on: 2024-10-21
CVE(s) CVE-2024-38812, CVE-2024-38813
Impacted Products
VMware vCenter Server
VMware Cloud Foundation
Introduction
IMPORTANT: VMware by Broadcom has determined that the vCenter patches released on September 17, 2024 did not fully address CVE-2024-38812. All customers are strongly encouraged to apply the patches currently listed in the Response Matrix. Additionally, patches for 8.0 U2 line are also available.
A heap-overflow vulnerability and a privilege escalation vulnerability in vCenter Server were responsibly reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products.
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968
Advisory ID: VMSA-2024-0019.2
Severity: Critical
CVSSv3 Range: 7.5-9.8
Synopsis: VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-38812, CVE-2024-38813)
Issue date: 2024-09-17
Updated on: 2024-10-21
CVE(s) CVE-2024-38812, CVE-2024-38813
Impacted Products
VMware vCenter Server
VMware Cloud Foundation
Introduction
IMPORTANT: VMware by Broadcom has determined that the vCenter patches released on September 17, 2024 did not fully address CVE-2024-38812. All customers are strongly encouraged to apply the patches currently listed in the Response Matrix. Additionally, patches for 8.0 U2 line are also available.
A heap-overflow vulnerability and a privilege escalation vulnerability in vCenter Server were responsibly reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products.
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968
pfSense
Interface group members are not validated on load/save on ``interfaces_groups_edit.php``, and are printed without encoding on ``interfaces_groups.php``
https://redmine.pfsense.org/issues/15778
https://github.com/physicszq/web_issue/blob/main/pfsense/interfaces_groups_edit_file.md_xss.md
Interface group members are not validated on load/save on ``interfaces_groups_edit.php``, and are printed without encoding on ``interfaces_groups.php``
https://redmine.pfsense.org/issues/15778
https://github.com/physicszq/web_issue/blob/main/pfsense/interfaces_groups_edit_file.md_xss.md
GitHub
web_issue/pfsense/interfaces_groups_edit_file.md_xss.md at main · physicszq/web_issue
Contribute to physicszq/web_issue development by creating an account on GitHub.
Vulnerabilidad 0day de ejecución de código remoto en FortiManager de Fortinet
Fecha 24/10/2024
Importancia 5 - Crítica
Recursos Afectados
FortiManager, versiones:
7.6.0;
desde 7.4.0 hasta 7.4.4;
desde 7.2.0 hasta 7.2.7;
desde 7.0.0 hasta 7.0.12;
desde 6.4.0 hasta 6.4.14;
desde 6.2.0 hasta 6.2.12.
FortiManager Cloud, versiones:
desde 7.4.1 hasta 7.4.4;
desde 7.2.1 hasta 7.2.7;
desde 7.0.1 hasta 7.0.12;
todas las versiones 6.4.
Modelos antiguos de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E que tengan habilitada la siguiente configuración y, al menos, una interfaz con el servicio fgfm habilitado:
config system global
set fmg-status enable
end
Descripción
Fortinet ha hecho pública una vulnerabilidad crítica que afecta al producto FortiManager denominada 'FortiJump'. La explotación de esta vulnerabilidad podría permitir a un atacante, remoto y no autenticado, ejecutar código.
El fabricante informa de la constancia de explotación activa de esta vulnerabilidad, además de aportar información de IoC en su propio aviso, que puede consultarse en las referencias.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-0day-de-ejecucion-de-codigo-remoto-en-fortimanager-de-fortinet
Fecha 24/10/2024
Importancia 5 - Crítica
Recursos Afectados
FortiManager, versiones:
7.6.0;
desde 7.4.0 hasta 7.4.4;
desde 7.2.0 hasta 7.2.7;
desde 7.0.0 hasta 7.0.12;
desde 6.4.0 hasta 6.4.14;
desde 6.2.0 hasta 6.2.12.
FortiManager Cloud, versiones:
desde 7.4.1 hasta 7.4.4;
desde 7.2.1 hasta 7.2.7;
desde 7.0.1 hasta 7.0.12;
todas las versiones 6.4.
Modelos antiguos de FortiAnalyzer 1000E, 1000F, 2000E, 3000E, 3000F, 3000G, 3500E, 3500F, 3500G, 3700F, 3700G, 3900E que tengan habilitada la siguiente configuración y, al menos, una interfaz con el servicio fgfm habilitado:
config system global
set fmg-status enable
end
Descripción
Fortinet ha hecho pública una vulnerabilidad crítica que afecta al producto FortiManager denominada 'FortiJump'. La explotación de esta vulnerabilidad podría permitir a un atacante, remoto y no autenticado, ejecutar código.
El fabricante informa de la constancia de explotación activa de esta vulnerabilidad, además de aportar información de IoC en su propio aviso, que puede consultarse en las referencias.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-0day-de-ejecucion-de-codigo-remoto-en-fortimanager-de-fortinet
www.incibe.es
Vulnerabilidad 0day de ejecución de código remoto en FortiManager de Fortinet
Fortinet ha hecho pública una vulnerabilidad crítica que afecta al producto FortiManager denominada 'F
Múltiples vulnerabilidades en productos de Cisco
Fecha 24/10/2024
Importancia 5 - Crítica
Recursos Afectados
Las versiones comprendidas entre la 7.1 y la 7.4 con una Base de Datos de Vulnerabilidades (VDB) versión 387 o anterior de las líneas de productos Firepower Threat Defense (FTD) 1000, 2100, 3100 y 4200. Los dispositivos que se actualizaron desde una versión del software Cisco FTD anterior a la versión 7.1, a la versión 7.1 o posterior, no se ven afectados.
Para los productos Firewall Management Center y Adaptive Security Appliance no se han especificado las versiones afectadas.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-cisco-5
Fecha 24/10/2024
Importancia 5 - Crítica
Recursos Afectados
Las versiones comprendidas entre la 7.1 y la 7.4 con una Base de Datos de Vulnerabilidades (VDB) versión 387 o anterior de las líneas de productos Firepower Threat Defense (FTD) 1000, 2100, 3100 y 4200. Los dispositivos que se actualizaron desde una versión del software Cisco FTD anterior a la versión 7.1, a la versión 7.1 o posterior, no se ven afectados.
Para los productos Firewall Management Center y Adaptive Security Appliance no se han especificado las versiones afectadas.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-cisco-5
www.incibe.es
Múltiples vulnerabilidades en productos de Cisco
Cisco ha publicado su boletín de avisos de seguridad para los productos Firepower Threat Defense, Fire
Security Flaw in Styra's OPA Exposes NTLM Hashes to Remote Attackers
Details have emerged about a now-patched security flaw in Styra's Open Policy Agent (OPA) that, if successfully exploited, could have led to leakage of New Technology LAN Manager (NTLM) hashes.
https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html
Details have emerged about a now-patched security flaw in Styra's Open Policy Agent (OPA) that, if successfully exploited, could have led to leakage of New Technology LAN Manager (NTLM) hashes.
https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html
SysAdmin 24x7
Múltiples vulnerabilidades en productos de Cisco Fecha 24/10/2024 Importancia 5 - Crítica Recursos Afectados Las versiones comprendidas entre la 7.1 y la 7.4 con una Base de Datos de Vulnerabilidades (VDB) versión 387 o anterior de las líneas de productos…
Cisco Issues Urgent Fix for ASA and FTD Software Vulnerability Under Active Attack
Cisco on Wednesday said it has released updates to address an actively exploited security flaw in its Adaptive Security Appliance (ASA) that could lead to a denial-of-service (DoS) condition.
The vulnerability, tracked as CVE-2024-20481 (CVSS score: 5.8), affects the Remote Access VPN (RAVPN) service of Cisco ASA and Cisco Firepower Threat Defense (FTD) Software.
https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html
Cisco on Wednesday said it has released updates to address an actively exploited security flaw in its Adaptive Security Appliance (ASA) that could lead to a denial-of-service (DoS) condition.
The vulnerability, tracked as CVE-2024-20481 (CVSS score: 5.8), affects the Remote Access VPN (RAVPN) service of Cisco ASA and Cisco Firepower Threat Defense (FTD) Software.
https://thehackernews.com/2024/10/cisco-issues-urgent-fix-for-asa-and-ftd.html
Apple Releases Security Updates for Multiple Products
Last RevisedOctober 29, 2024
Apple released security updates to address vulnerabilities in multiple Apple products. A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system.
CISA encourages users and administrators to review the following advisories and apply necessary updates:
iOS 18.1 and iPadOS 18.1
iOS 17.7.1 and iPadOS 17.7.1
macOS Sequoia 15.1
macOS Sonoma 14.7.1
macOS Ventura 13.7.1
Safari 18.1
watchOS 11.1
tvOS 18.1
visionOS 2.1
https://www.cisa.gov/news-events/alerts/2024/10/29/apple-releases-security-updates-multiple-products
Last RevisedOctober 29, 2024
Apple released security updates to address vulnerabilities in multiple Apple products. A cyber threat actor could exploit some of these vulnerabilities to take control of an affected system.
CISA encourages users and administrators to review the following advisories and apply necessary updates:
iOS 18.1 and iPadOS 18.1
iOS 17.7.1 and iPadOS 17.7.1
macOS Sequoia 15.1
macOS Sonoma 14.7.1
macOS Ventura 13.7.1
Safari 18.1
watchOS 11.1
tvOS 18.1
visionOS 2.1
https://www.cisa.gov/news-events/alerts/2024/10/29/apple-releases-security-updates-multiple-products
Detectada crítica vulnerabilidad critica en múltiples productos Ricoh
Fecha 31/10/2024
Importancia 5 - Crítica
Descripción
Ricoh ha identificado una vulnerabilidad crítica de desbordamiento de buffer que podría provocar un ataque de Denegación de Servicio (DoS) o de ejecución remota de código malicioso.
https://www.incibe.es/empresas/avisos/detectada-critica-vulnerabilidad-critica-en-multiples-productos-ricoh
Fecha 31/10/2024
Importancia 5 - Crítica
Descripción
Ricoh ha identificado una vulnerabilidad crítica de desbordamiento de buffer que podría provocar un ataque de Denegación de Servicio (DoS) o de ejecución remota de código malicioso.
https://www.incibe.es/empresas/avisos/detectada-critica-vulnerabilidad-critica-en-multiples-productos-ricoh
www.incibe.es
[Actualización 24/01/2025] Detectada vulnerabilidad critica en múltiples productos Ricoh
Ricoh ha identificado una vulnerabilidad crítica de desbordamiento de buffer que podría provocar un at
Descubren una vulnerabilidad crítica en SMB Service de QNAP
Fecha 31/10/2024
Importancia 5 - Crítica
Recursos Afectados
SMB Service 4.15.x
SMB Service h4.15.x
Descripción
Se ha identificado una vulnerabilidad 0day de severidad crítica en SMB Service. La vulnerabilidad detectada podría permitir a un atacante inyectar código malicioso.
https://www.incibe.es/empresas/avisos/descubren-una-vulnerabilidad-critica-en-smb-service-de-qnap
Fecha 31/10/2024
Importancia 5 - Crítica
Recursos Afectados
SMB Service 4.15.x
SMB Service h4.15.x
Descripción
Se ha identificado una vulnerabilidad 0day de severidad crítica en SMB Service. La vulnerabilidad detectada podría permitir a un atacante inyectar código malicioso.
https://www.incibe.es/empresas/avisos/descubren-una-vulnerabilidad-critica-en-smb-service-de-qnap
www.incibe.es
Descubren una vulnerabilidad crítica en SMB Service de QNAP
Se ha identificado una vulnerabilidad 0day de severidad crítica en SMB Service.
GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI
GreyNoise has discovered previously undisclosed zero-day vulnerabilities in IoT-connected live streaming cameras, leveraging AI to catch an attack before it could escalate.
https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-ai
https://www.cve.org/CVERecord?id=CVE-2024-8957
https://www.cve.org/CVERecord?id=CVE-2024-8956
GreyNoise has discovered previously undisclosed zero-day vulnerabilities in IoT-connected live streaming cameras, leveraging AI to catch an attack before it could escalate.
https://www.greynoise.io/blog/greynoise-intelligence-discovers-zero-day-vulnerabilities-in-live-streaming-cameras-with-the-help-of-ai
https://www.cve.org/CVERecord?id=CVE-2024-8957
https://www.cve.org/CVERecord?id=CVE-2024-8956
www.greynoise.io
GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI | GreyNoise Blog
GreyNoise has discovered previously undisclosed zero-day vulnerabilities in IoT-connected live streaming cameras, leveraging AI to catch an attack before it could escalate. This marks one of the first instances where threat detection has been augmented by…
DanaCON Solidario
Días 9 y 10 de noviembre de 10:00 a 22:00 CET
DanaCON Solidario es un congreso de ciberseguridad solidario online para recaudar fondos y ayudar a los afectados por la DANA que tendrá lugar el 9 y 10 de noviembre. Cualquier donación económica es bienvenida.
https://danaconsolidario.com/
Días 9 y 10 de noviembre de 10:00 a 22:00 CET
DanaCON Solidario es un congreso de ciberseguridad solidario online para recaudar fondos y ayudar a los afectados por la DANA que tendrá lugar el 9 y 10 de noviembre. Cualquier donación económica es bienvenida.
https://danaconsolidario.com/
HTML Embed Code: