Exploit lanzado para vulnerabilidad crítica de VMware RCE
El código de explotación de prueba de concepto ahora está disponible para una vulnerabilidad de ejecución remota de código (RCE) previa a la autenticación que permite a los atacantes ejecutar código arbitrario de forma remota con privilegios de root en dispositivos Cloud Foundation y NSX Manager sin parches. La falla (CVE-2021-39144) se encuentra en la […]
Nueva herramienta de código abierto escanea depósitos públicos de AWS S3 en busca de secretos
Un nuevo escáner ‘S3crets Scanner’ de código abierto permite a los investigadores y miembros del equipo rojo buscar ‘secretos’ almacenados por error en cubos de almacenamiento Amazon AWS S3 expuestos públicamente o de la empresa. Amazon S3 (Simple Storage Service) es un servicio de almacenamiento en la nube que las empresas suelen utilizar para almacenar […]
El día cero MoTW de Windows obtiene un parche no oficial
Se lanzó un parche no oficial gratuito para un día cero explotado activamente que permite que los archivos firmados con firmas malformadas eludan las advertencias de seguridad de Mark-of-the-Web en Windows 10 y Windows 11. Cuando un usuario descarga un archivo de Internet, Microsoft agrega un indicador Mark-of-the-Web al archivo, lo que hace que el […]
Hackers utilizan los registros del servidor web Microsoft IIS para controlar malware
El grupo de piratería Cranefly, también conocido como UNC3524, utiliza una técnica nunca antes vista para controlar el malware en los dispositivos infectados a través de los registros del servidor web de Microsoft Internet Information Services (IIS). Microsoft Internet Information Services (IIS) es un servidor web que permite alojar sitios web y aplicaciones web. También lo […]
Cisco pide actualizar para corregir las fallas de AnyConnect
Cisco advirtió a los clientes que dos vulnerabilidades de seguridad en Cisco AnyConnect Secure Mobility Client para Windows están siendo explotadas de manera salvaje. AnyConnect Secure Mobility Client simplifica el acceso seguro a puntos finales empresariales y permite a los empleados trabajar desde cualquier lugar mientras están conectados a una red privada virtual (VPN) segura […]
OpenSSL advierte de la existencia de una vulnerabilidad crítica
El proyecto OpenSSL ha anunciado una actualización con la que corregirán una vulnerabilidad de seguridad de gravedad crítica, de la que han preferido no compartir detalles por el momento. OpenSSL es un proyecto de ‘software’ libre que ofrece un conjunto de herramientas y bibliotecas que aportan funciones criptográficas para la comunicación segura en Internet. El […]