¡Alerta de ciberseguridad! Todo sobre Atlassian Confluence (CVE-2021-26084)

La vulnerabilidad se ha calificado como “critica” según la escala publicada por Atlassian, también según la NVD (Base de datos nacional de vulnerabilidades) la vulnerabilidad alcanza una puntuación base de 9.8, confirmando de gravedad crítica.

El problema fue descubierto por Benny Jacob (SnowyOwl) a través del programa de recompensas de errores públicos de Atlassian.

Se trata de una vulnerabilidad de inyección OGNL que permite a usuarios no autentificados ejecutar código arbitrario remotamente en una instancia de Confluence Server o Data Center.

La vulnerabilidad se ha calificado como critica por diferentes medios y ha tenido un aumento de explotación en los últimos días.

Se han emitido ya diferentes alertas recomendando a los administradores priorizar sus esfuerzos para parchear sus servidores lo antes posible, pues la amenaza ha tenido un aumento de explotación en la naturaleza destacable.

Las versiones de Confluence Server y Data Center anteriores a la versión 6.13.23, de la versión 6.14.0 anterior a la 7.4.11 , de la versión 7.5.0 anterior a la 7.11.6 y de la versión 7.12.0 anterior a la 7.12.5 se ven afectadas por esta vulnerabilidad.

Es importante mencionar que los clientes de Confluence Cloud no se ven afectados, tampoco los clientes que han actualizado a las versiones 6.13.23, 7.11.6, 7.12.5, 7.13.0 o 7.4.11

Aquellos que hayan descargado e instalado versiones afectadas deben actualizar sus instalaciones para corregir la vulnerabilidad, si no es posible existen soluciones alternativas, como una plataforma de seguridad multicapa, Vision One de Trend Micro otorga las herramientas e información oportuna para hacer frente a amenazas de este tipo.

Para saber si su infraestructura está en riesgo con Vision One realice estos pasos

  • En la columna izquierda haga clic en Security Posture > Zero Trust Risk Insights
  • Haga clic en el cuadro de Vulnerability Detection
  • En el menú inferior ingrese en el buscador la vulnerabilidad: CVE-2021-26084
  • En los resultados de éste, visualizará el inventario de servidores que tienen la vulnerabilidad de Attlasian Confluence

Estás protegido si las soluciones se encuentran actualizadas, configuradas correctamente y aplicadas las siguientes reglas: “Preventative Rules, Filters & Detection”

Otra forma de protegerte de esta vulnerabilidad es con un Firewall

Palo Alto Networks proporciona protección contra la explotación de esta vulnerabilidad:

Los firewalls de próxima generación con una suscripción de seguridad de Prevención de amenazas (que ejecutan Aplicaciones y actualización de contenido de amenazas, versión 8453) pueden bloquear automáticamente las sesiones relacionadas con esta vulnerabilidad mediante el ID de amenaza 91594.

No olvides seguirnos en Facebook y LinkedIn estamos creando el mejor contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.

#NovaInforma

Si usted usa el servicio de DNS de Microsoft, está información le sirve

Existe una vulnerabilidad de ejecución remota de código en los servidores del Sistema de nombres de dominio de Windows cuando no pueden manejar correctamente las solicitudes. Un atacante que aprovechará la vulnerabilidad con éxito podría ejecutar código arbitrario en el contexto de la cuenta del sistema local. Los servidores de Windows que están configurados como servidores DNS están expuestos a esta vulnerabilidad.
 
Para aprovechar la vulnerabilidad, un atacante no autenticado podría enviar solicitudes maliciosas a un servidor DNS de Windows.
 
Microsoft ha liberado la actualización de seguridad para poder hacer el manejo de esta vulnerabilidad. De igual manera los fabricantes de seguridad como Trend Micro, Palo Alto Networks y Sophos entre otros, han liberado firmas y reglas de prevención en sus herramientas:

Trend Micro
Patch Tuesday: Fixes for ‘Wormable’ Windows DNS Server RCE, SharePoint Flaws

Sophos:
It’s always DNS, including on July, 2020’s Patch Tuesday

Palo Alto Networks
https://threatvault.paloaltonetworks.com/ Unique Threat ID: 58691

Toda la información de la vulnerabilidad la puede consultar en: CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability

Nueva botnet fileless “Novter” distribuido por la campaña de publicidad maliciosa de KovCoreG

Se encontró un nuevo malware de botnet modular fileless, que llamamos “Novter” (también conocido como “Nodersok” y “Divergente”) que la campaña KovCoreG ha estado distribuyendo desde marzo. Hemos estado monitoreando activamente esta amenaza desde su aparición y desarrollo temprano, y vimos que se actualiza con frecuencia. KovCoreG, activo desde 2011, es una campaña de larga duración conocida por utilizar el malware de botnet Kovter, que se distribuyó principalmente a través de malversiones y kits de explotación. Kovter ha estado involucrado en operaciones de fraude de clics desde 2015, utilizando anuncios fraudulentos que, según los informes, han costado a las empresas más de US $ 29 millones. La red de bots se eliminó a fines de 2018 a través de esfuerzos concertados de expertos en seguridad y ciberseguridad, incluido Trend Micro.

Si bien los ataques de publicidad maliciosa se centraron originalmente en los usuarios con sede en los EE. UU., Desde entonces se han expandido a varios países europeos a partir de este verano. Nuestra telemetría también reveló que los ataques de publicidad maliciosa se estaban distribuyendo a través de algunos de los 100 principales sitios web en los EE. UU., Que también fueron abusados ​​por Kovter en sus actividades anteriores. Nuestro análisis de Novter, particularmente sus módulos más notables, se detalla en este resumen técnico.

LEER MÁS

RECOMENDACIÓN

Las soluciones de Worry Free y Apex One de Trend Micro ofrecen protección contra malware de tipo “fileless” ya que integran una protección contra malware basada en comportamiento y en técnicas de ataque por lo que pueden detectar los intentos de ataque y bloquearlos, con esto se estaría protegiendo el Endpoint contra ataques de este tipo.