Karkoff 2020: a new APT34 espionage operation involves Lebanon Government

Experts from Cybaze/ Yoroi Zlab spotted a new sample of the Karkoff implant that was employed in past campaigns associated with Iran-linked APT34 group

https://securityaffairs.co/wordpress/98802/uncategorized/karkoff-malware-lebanon.html

How to enable firewalld logging for denied packets on Linux

https://www.cyberciti.biz/faq/enable-firewalld-logging-for-denied-packets-on-linux/

Deserialización de datos no confiables en productos Dell

Fecha de publicación: 03/03/2020
Importancia: 5 - Crítica

Recursos afectados:
Dell EMC Avamar Server, versiones 7.4.1, 7.5.0, 7.5.1, 18.2, 19.1 y 19.2;
Dell EMC Integrated Data Protection Appliance (IDPA), versiones 2.0, 2.1, 2.2, 2.3, 2.4 y 2.4.1.

Descripción:
Se ha publicado una vulnerabilidad en Dell EMC Avamar Server y en Dell EMC Integrated Data Protection Appliance que podría permitir a un atacante comprometer el sistema afectado.

Solución:
Aplicar los siguientes hotfix en función de la versión afectada:

Dell EMC Avamar Server 7.4.1 – HOTFIX 316625,
Dell EMC Avamar Server 7.5.0 – HOTFIX 316626,
Dell EMC Avamar Server 7.5.1 – HOTFIX 316627,
Dell EMC Avamar Server 18.2 – HOTFIX 316484,
Dell EMC Avamar Server 19.1 – HOTFIX 316485,
Dell EMC Avamar Server 19.2 – HOTFIX 316691,
Dell EMC Integrated Data Protection Appliance (IDPA) 2.0 – HOTFIX 316625,
Dell EMC Integrated Data Protection Appliance (IDPA) 2.1 – HOTFIX 316626,
Dell EMC Integrated Data Protection Appliance (IDPA) 2.2 – HOTFIX 316627,
Dell EMC Integrated Data Protection Appliance (IDPA) 2.3 – HOTFIX 316484,
Dell EMC Integrated Data Protection Appliance (IDPA) 2.4 – HOTFIX 316484,
Dell EMC Integrated Data Protection Appliance (IDPA) 2.4.1 – HOTFIX 316484.
Detalle:
Una vulnerabilidad de deserialización de datos no confiables podría permitir a un atacante remoto, no autenticado, enviar un payload serializado que ejecute código en el sistema. Se ha reservado el identificador CVE-2020-5341 para esta vulnerabilidad.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/deserializacion-datos-no-confiables-productos-dell

Here Be Dragons: Reverse Engineering with #Ghidra - Part 1 [Data, Functions & Scripts]
https://www.shogunlab.com/blog/2019/12/22/here-be-dragons-ghidra-1.html

Reverse Engineering Go, Part II
https://blog.osiris.cyber.nyu.edu/2019/12/19/ugo-ghidra-plugin/

Google Patches the Critical MediaTek rootkit Vulnerability that Affects Millions of Android Devices

https://gbhackers.com/mediatek-rootkit-vulnerability/

Let's Encrypt to revoke 3 million certificates on March 4 due to software bug

Let's Encrypt issued 3,048,289 TLS certificates without checking the CAA field for the requesting domain.

https://www.zdnet.com/article/lets-encrypt-to-revoke-3-million-certificates-on-march-4-due-to-bug/

Múltiples vulnerabilidades en productos de Netgear

Fecha de publicación: 04/03/2020
Importancia: Crítica

Recursos afectados
R7800, ejecutando versiones de firmware anteriores a 1.0.2.68;
R6400v2, ejecutando versiones de firmware anteriores a 1.0.4.84;
R6700, ejecutando versiones de firmware anteriores a 1.0.2.8;
R6700v3, ejecutando versiones de firmware anteriores a 1.0.4.84;
R6900, ejecutando versiones de firmware anteriores a 1.0.2.8;
R7900, ejecutando versiones de firmware anteriores a 1.0.3.10;
D6220, ejecutando versiones de firmware anteriores a 1.0.0.52;
D6400, ejecutando versiones de firmware anteriores a 1.0.0.86;
D7000v2, ejecutando versiones de firmware anteriores a 1.0.0.53;
D8500, ejecutando versiones de firmware anteriores a 1.0.3.44;
R6220, ejecutando versiones de firmware anteriores a 1.1.0.80;
R6250, ejecutando versiones de firmware anteriores a 1.0.4.34;
R6260, ejecutando versiones de firmware anteriores a 1.1.0.64;
R6400, ejecutando versiones de firmware anteriores a 1.0.1.46;
R6700v2, ejecutando versiones de firmware anteriores a 1.2.0.36;
R6800, ejecutando versiones de firmware anteriores a 1.2.0.36;
R6900P, ejecutando versiones de firmware anteriores a 1.3.1.64;
R6900v2, ejecutando versiones de firmware anteriores a 1.2.0.36;
R7000, ejecutando versiones de firmware anteriores a 1.0.9.42;
R7000P, ejecutando versiones de firmware anteriores a 1.3.1.64;
R7100LG, ejecutando versiones de firmware anteriores a 1.0.0.50;
R7300DST, ejecutando versiones de firmware anteriores a 1.0.0.70;
R7900P, ejecutando versiones de firmware anteriores a 1.4.1.30;
R8000, ejecutando versiones de firmware anteriores a 1.0.4.28;
R8000P, ejecutando versiones de firmware anteriores a 1.4.1.30;
R8300, ejecutando versiones de firmware anteriores a 1.0.2.128;
R8500, ejecutando versiones de firmware anteriores a 1.0.2.128;
R8900, ejecutando versiones de firmware anteriores a 1.0.4.12;
R9000, ejecutando versiones de firmware anteriores a 1.0.4.12;
XR500, ejecutando versiones de firmware anteriores a 2.3.2.32.

Descripción
Netgear ha publicado 3 vulnerabilidades, 1 de severidad crítica y 2 de severidad alta, que afectan a sus productos.


Solución
Acceder a la página de soporte de Netgear y descargar la última versión del firmware del dispositivo afectado.


Detalle
La vulnerabilidad de severidad crítica permitiría a un atacante remoto realizar una ejecución de código sin autenticación.
Se ha identificado una vulnerabilidad, con severidad alta, de tipo inyección de comandos previa a la autenticación.
Se ha identificado otra vulnerabilidad, también de severidad alta, de tipo inyección de comandos posterior a la autenticación.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-netgear-10

Detectada una campaña de intento de fraude a través de aplicaciones de compraventa como Wallapop y mediante un phishing a DHL

Se han detectado varios casos de intentos de fraude, cuyo origen se encuentra en un contacto interesado en comprar un producto a través de una aplicación de compraventa de artículos de segunda mano, en concreto Wallapop. El ciberdelincuente redirige la comunicación hacia el correo electrónico, mediante el que trata de engañar al vendedor para que le envíe dinero a través de tarjetas prepago, o le dé sus datos bancarios mediante un phishing realizado a DHL.

https://www.osi.es/es/actualidad/avisos/2020/03/detectada-una-campana-de-intento-de-fraude-traves-de-aplicaciones-de

Ryuk Ransomware Attacked Epiq Global Via TrickBot Infection

Legal services and e-discovery giant Epiq Global took their systems offline on Saturday after the Ryuk Ransomware was deployed and began encrypting devices on their network. 

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-attacked-epiq-global-via-trickbot-infection/

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación: 05/03/2020
Importancia: 4 - Alta

Descripción: 

Cisco, trabajando conjuntamente con varios investigadores, ha detectado cuatro vulnerabilidades de criticidad alta que afectan a múltiples productos. Un atacante remoto, no autenticado, podría ejecutar código arbitrario, interceptar tráfico o modificar las configuraciones del dispositivo.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-64

Actualiza tus contraseñas de acceso al foro HTCMania

En los últimos días el conocido foro sobre móviles, tablets y tecnología HTCMania ha hecho pública la difusión no autorizada de datos de sus usuarios. En el mensaje publicado en el propio foro, HTCMania recomienda por prevención, a todos sus usuarios cambiar periódicamente las credenciales de acceso a su cuenta.

Recursos afectados
Potencialmente todos los usuarios que tengan cuenta en HTCMania.

https://www.osi.es/es/actualidad/avisos/2020/03/actualiza-tus-contrasenas-de-acceso-al-foro-htcmania

Point-to-Point Protocol Daemon Vulnerability

The CERT Coordination Center (CERT/CC) has released information on a vulnerability affecting Point-to-Point Protocol Daemon versions 2.4.2 through 2.4.8. A remote attacker can exploit this vulnerability to take control of an affected system. Point-to-Point Protocol Daemon is used to establish internet links such as those over dial-up modems, DSL connections, and Virtual Private Networks.

The Cybersecurity and Infrastructure Security Agency (CISA) encourages users and administrators to review CERT/CC’s Vulnerability Note VU#782301 for more information and apply the necessary patches provided by software vendors.

https://www.us-cert.gov/ncas/current-activity/2020/03/05/point-point-protocol-daemon-vulnerability

Una vulnerabilidad crítica de hace 17 años afecta a múltiples distribuciones de Linux

https://unaaldia.hispasec.com/2020/03/una-vulnerabilidad-critica-de-hace-17-anos-afecta-a-multiples-distribuciones-de-linux.html

Intel CSME bug is worse than previously thought

Researchers say a full patch requires replacing hardware. Only the latest Intel 10th generation CPUs are not affected.

https://www.zdnet.com/article/intel-csme-bug-is-worse-than-previously-thought/

Denegación de servicio en Spectrum Scale de IBM

Fecha de publicación: 09/03/2020
Importancia: 4 - Alta

Recursos afectados: 
IBM Spectrum Scale, todas las versiones.

Descripción: 
El investigador Honggang Ren, de Fortinet, ha reportado a IBM una vulnerabilidad de criticidad alta que afecta a todas las versiones de IBM Spectrum Sacle. Un atacante remoto podría generar una condición de denegación de servicio.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/denegacion-servicio-spectrum-scale-ibm

Ejecución remota de código en Desktop Central de ManageEngine

Fecha de publicación: 09/03/2020
Importancia: 5 - Crítica

Recursos afectados: 
ManageEngine Desktop Central, versión 10.0.473 y anteriores.

Descripción: 
Steven Seeley, de Source Incite, ha descubierto una vulnerabilidad, de severidad crítica, que permitiría a un usuario remoto tomar el control del sistema afectado.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/ejecucion-remota-codigo-desktop-central-manageengine

#UnderDOCS Marzo 2020 - Número 8
📌 https://underc0de.org/foro/e-zines/underdocs-marzo-2020-numero-8/new/#new
En esta edición disfruten de:
Reseña de una Conferencia
• Noticias Informaticas
• Hacking
• GNU/Linux
• [In]Seguridad Móvil
• [In]Seguridad
• Videojuegos
• QA Analítica Web
• Capsulas del Tiempo
• CTF/Retos (soluciones)
• UNDERTOOLS DIY
• OFF TOPIC
Esperamos que sea de su agrado y desde luego nos encantará leer sus comentarios, en este post o vía e-mail info@Underc0de.org | redacciones@Underc0de.org
todas las observaciones nos ayudan a mejorar #UnderDOCS. #Underc0de

ADV200005 | Microsoft Guidance for Disabling SMBv3 Compression

Security Advisory

Published: 03/10/2020 | Last Updated : 03/11/2020

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200005

Actualización de seguridad de Joomla! 3.9.16

Fecha de publicación: 11/03/2020
Importancia: 2 - Baja

Recursos afectados: 

Joomla! CMS, versiones:
desde la 1.7.0, hasta la 3.9.15;
desde la 3.2.0, hasta la 3.9.15;
desde la 3.0.0, hasta la 3.9.15;
desde la 2.5.0, hasta la 3.9.15;
desde la 3.7.0, hasta la 3.9.15.

Descripción: 

Joomla! ha publicado una nueva versión que soluciona 6 vulnerabilidades de criticidad baja en su núcleo, de los tipos SQL injection, CSRF, XSS, acceso de control incorrecto y colisión de identificadores.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-joomla-3916

⚠️⚠️⚠️⚠️⚠️⚠️⚠️⚠️⚠️⚠️
Boletín de seguridad de Microsoft de marzo de 2020

Fecha de publicación: 11/03/2020
Importancia: 5 - Crítica

Recursos afectados: 

Microsoft Windows;
Microsoft Edge (basado en EdgeHTML);
Microsoft Edge (basado en Chromium);
ChakraCore;
Internet Explorer;
Microsoft Exchange Server;
Microsoft Office, Microsoft Office Services y Web Apps;
Azure DevOps;
Windows Defender;
Visual Studio;
Open Source Software;
Azure;
Microsoft Dynamics;
Microsoft Server Message Block 3.1.1 (SMBv3), en Windows 10 y Windows Server; versiones 1909 y 1903.

Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de marzo, consta de 114 vulnerabilidades, 26 clasificadas como críticas y 88 como importantes.

IMPORTANTE: mención especial a una vulnerabilidad de severidad crítica que afecta a SMBv3.

Solución: 
Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

IMPORTANTE: la vulnerabilidad con identificador CVE-2020-0796 de SMBv3 no dispone de actualización que mitigue el fallo encontrado, pero Microsoft ha publicado una serie de recomendaciones hasta la divulgación del parche:
Deshabilitar la compresión de SMBv3 en servidores:

SMBv3 Server, ejecutar la siguiente línea en PowerShell, esta no previene la explotación en clientes SMB:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force
Adicionalmente se recomienda bloquear el puerto TCP 445.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/boletin-seguridad-microsoft-marzo-2020

Actualización de seguridad de SAP de marzo de 2020

Fecha de publicación: 11/03/2020
Importancia: 5 - Crítica

Descripción: 
SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual.

https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-sap-marzo-2020