Cisco Releases Security Updates for Multiple Products
Original release date: September 08, 2022
Cisco has released security updates to address vulnerabilities in multiple Cisco products. A remote attacker could exploit some of these vulnerabilities to take control of an affected system. For updates addressing lower severity vulnerabilities, see the Cisco Security Advisories page.
CISA encourages users and administrators to review the following advisories and apply the necessary updates:
• Cisco SD-WAN vManage Software Unauthenticated Access to Messaging Services cisco-sa-vmanage-msg-serv-AqTup7vs
• Vulnerability in NVIDIA Data Plane Development Kit Affecting Cisco Products: August 2022 cisco-sa-mlx5-jbPCrqD8
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/08/cisco-releases-security-updates-multiple-products
Original release date: September 08, 2022
Cisco has released security updates to address vulnerabilities in multiple Cisco products. A remote attacker could exploit some of these vulnerabilities to take control of an affected system. For updates addressing lower severity vulnerabilities, see the Cisco Security Advisories page.
CISA encourages users and administrators to review the following advisories and apply the necessary updates:
• Cisco SD-WAN vManage Software Unauthenticated Access to Messaging Services cisco-sa-vmanage-msg-serv-AqTup7vs
• Vulnerability in NVIDIA Data Plane Development Kit Affecting Cisco Products: August 2022 cisco-sa-mlx5-jbPCrqD8
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/08/cisco-releases-security-updates-multiple-products
www.cisa.gov
Cisco Releases Security Updates for Multiple Products | CISA
Cisco has released security updates to address vulnerabilities in multiple Cisco products. A remote attacker could exploit some of these vulnerabilities to take control of an affected system. For updates addressing lower severity vulnerabilities, see the…
Forwarded from Una al día
Ataque de cifrado de datos en sistemas Windows con BitLocker
https://unaaldia.hispasec.com/2022/09/ataque-de-cifrado-de-datos-en-sistemas-windows-con-bitlocker.html
https://unaaldia.hispasec.com/2022/09/ataque-de-cifrado-de-datos-en-sistemas-windows-con-bitlocker.html
Una al Día
Ataque de cifrado de datos en sistemas Windows con BitLocker
Microsoft ha publicado una investigación realizada al grupo iraní DEV-0270 en la que han realizado ataques de cifrado de datos con BitLocker.
Vulnerability in Xalan-J could allow arbitrary code execution.
Open source project is used by various SAML implementations
A vulnerability in Xalan-J, an Apache project used by multiple SAML implementations, could allow arbitrary code execution, researchers warn.
https://portswigger.net/daily-swig/vulnerability-in-xalan-j-could-allow-arbitrary-code-execution
Open source project is used by various SAML implementations
A vulnerability in Xalan-J, an Apache project used by multiple SAML implementations, could allow arbitrary code execution, researchers warn.
https://portswigger.net/daily-swig/vulnerability-in-xalan-j-could-allow-arbitrary-code-execution
The Daily Swig | Cybersecurity news and views
Vulnerability in Xalan-J could allow arbitrary code execution
Open source project is used by various SAML implementations
Microsoft September 2022 Patch Tuesday fixes zero-day used in attacks, 63 flaws
18 Elevation of Privilege Vulnerabilities
1 Security Feature Bypass Vulnerabilities
30 Remote Code Execution Vulnerabilities
7 Information Disclosure Vulnerabilities
7 Denial of Service Vulnerabilities
16 Edge - Chromium Vulnerabilities
https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2022-patch-tuesday-fixes-zero-day-used-in-attacks-63-flaws/
18 Elevation of Privilege Vulnerabilities
1 Security Feature Bypass Vulnerabilities
30 Remote Code Execution Vulnerabilities
7 Information Disclosure Vulnerabilities
7 Denial of Service Vulnerabilities
16 Edge - Chromium Vulnerabilities
https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2022-patch-tuesday-fixes-zero-day-used-in-attacks-63-flaws/
BleepingComputer
Microsoft September 2022 Patch Tuesday fixes zero-day used in attacks, 63 flaws
Today is Microsoft's September 2022 Patch Tuesday, and with it comes fixes for an actively exploited Windows vulnerability and a total of 63 flaws.
Forwarded from Una al día
PsExec nueva implementación sobre el puerto 135
https://unaaldia.hispasec.com/2022/09/psexec-nueva-implementacion-sobre-el-puerto-135.html
https://unaaldia.hispasec.com/2022/09/psexec-nueva-implementacion-sobre-el-puerto-135.html
Una al Día
PsExec: nueva implementación sobre el puerto 135
Nueva implementación para PsExec permite movimiento lateral en una red utilizando el puerto 135/TCP en vez del tradicional puerto 445/TCP.
Múltiples vulnerabilidades en HPE SAN Switches con Brocade FOS
Fecha de publicación: 20/09/2022
Identificador: INCIBE-2022-0926
Importancia: 5 - Crítica
Recursos afectados:
HPE SAN Switches con las siguientes versiones de Brocade Fabric OS (FOS):
9.1 anteriores a 9.1.1;
9.0 anteriores a 9.0.1e;
8.2 anteriores a 8.2.3c;
7.4 anteriores a 7.4.2j.
Descripción:
Se han identificado 28 vulnerabilidades en productos HPE SAN Switches con Brocade FOS, 7 con severidad crítica, 11 altas, 9 medias y 1 baja.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-hpe-san-switches-brocade-fos
Fecha de publicación: 20/09/2022
Identificador: INCIBE-2022-0926
Importancia: 5 - Crítica
Recursos afectados:
HPE SAN Switches con las siguientes versiones de Brocade Fabric OS (FOS):
9.1 anteriores a 9.1.1;
9.0 anteriores a 9.0.1e;
8.2 anteriores a 8.2.3c;
7.4 anteriores a 7.4.2j.
Descripción:
Se han identificado 28 vulnerabilidades en productos HPE SAN Switches con Brocade FOS, 7 con severidad crítica, 11 altas, 9 medias y 1 baja.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-hpe-san-switches-brocade-fos
INCIBE-CERT
Múltiples vulnerabilidades en HPE SAN Switches con Brocade FOS
Se han identificado 28 vulnerabilidades en productos HPE SAN Switches con Brocade FOS, 7 con severidad crítica, 11 altas, 9 medias y 1 baja.
Vulnerabilidades de desbordamiento de búfer en Grandstream GSD3710
Fecha de publicación: 20/09/2022
Identificador: INCIBE-2022-0925
Importancia: 5 - Crítica
Recursos afectados:
Grandstream GSD3710, versión 1.0.11.13.
Descripción:
INCIBE ha coordinado la publicación de 2 vulnerabilidades en Grandstream GSD3710, con el código interno INCIBE-2022-0925, que han sido descubiertas por José Luis Verdeguer Navarro.
A estas vulnerabilidades se les han asignado los códigos:
CVE-2022-2070. Se ha calculado una puntuación base CVSS v3.1 de 9,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
CVE-2022-2025. Se ha calculado una puntuación base CVSS v3.1 de 9,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Solución:
Las vulnerabilidades han sido resueltas por Grandstream en la versión 1.0.11.23.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-desbordamiento-bufer-grandstream-gsd3710
Fecha de publicación: 20/09/2022
Identificador: INCIBE-2022-0925
Importancia: 5 - Crítica
Recursos afectados:
Grandstream GSD3710, versión 1.0.11.13.
Descripción:
INCIBE ha coordinado la publicación de 2 vulnerabilidades en Grandstream GSD3710, con el código interno INCIBE-2022-0925, que han sido descubiertas por José Luis Verdeguer Navarro.
A estas vulnerabilidades se les han asignado los códigos:
CVE-2022-2070. Se ha calculado una puntuación base CVSS v3.1 de 9,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
CVE-2022-2025. Se ha calculado una puntuación base CVSS v3.1 de 9,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Solución:
Las vulnerabilidades han sido resueltas por Grandstream en la versión 1.0.11.23.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-desbordamiento-bufer-grandstream-gsd3710
INCIBE-CERT
Vulnerabilidades de desbordamiento de búfer en Grandstream GSD3710
INCIBE ha coordinado la publicación de 2 vulnerabilidades en Grandstream GSD3710, con el código interno INCIBE-2022-0925, que han sido descubiertas por José Luis Verdeguer Navarro. A estas
Moodle corrige múltiples vulnerabilidades, ¡actualiza!
Fecha de publicación: 20/09/2022
Importancia: 4 - Alta
Recursos afectados:
Versiones de Moodle:
desde la versión 4.0 hasta la versión 4.0.3;
desde la versión 3.11 hasta la versión 3.11.9;
desde la versión 3.9 hasta la versión 3.9.16;
todas las versiones anteriores sin soporte.
Descripción:
La plataforma de formación Moodle ha publicado actualizaciones de seguridad que corrigen varias vulnerabilidades.
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/moodle-corrige-multiples-vulnerabilidades-actualiza-0
Fecha de publicación: 20/09/2022
Importancia: 4 - Alta
Recursos afectados:
Versiones de Moodle:
desde la versión 4.0 hasta la versión 4.0.3;
desde la versión 3.11 hasta la versión 3.11.9;
desde la versión 3.9 hasta la versión 3.9.16;
todas las versiones anteriores sin soporte.
Descripción:
La plataforma de formación Moodle ha publicado actualizaciones de seguridad que corrigen varias vulnerabilidades.
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/moodle-corrige-multiples-vulnerabilidades-actualiza-0
www.incibe.es
Moodle corrige múltiples vulnerabilidades, ¡actualiza!
La plataforma de formación Moodle ha publicado actualizaciones de seguridad que corrigen varias vulner
Critical Vulnerability in Oracle Cloud Infrastructure Allowed Unauthorized Access.
A new vulnerability in Oracle Cloud Infrastructure (OCI) would allow unauthorized access to cloud storage volumes of all users, hence violating cloud isolation.
https://www.infosecurity-magazine.com/news/flaw-in-oracle-cloud-unauthorized/
A new vulnerability in Oracle Cloud Infrastructure (OCI) would allow unauthorized access to cloud storage volumes of all users, hence violating cloud isolation.
https://www.infosecurity-magazine.com/news/flaw-in-oracle-cloud-unauthorized/
Infosecurity Magazine
Critical Vulnerability in Oracle Cloud Infrastructure Allowed Unauthorized Access
Potential attacks resulting from it may include privilege escalation and cross–tenant access
Vulnerabilidad de spoofing en Microsoft Endpoint Configuration Manager
Fecha de publicación: 22/09/2022
Importancia: Alta
Recursos afectados
Microsoft Endpoint Configuration Manager, versiones:
2103, 2107, 2111, 2203, 2207.
Descripción
El investigador, Brandon Colley, en colaboración con Trimarc Security, ha descubierto una vulnerabilidad de severidad alta en Microsoft Endpoint Configuration Manager, que ha sido publicada en un aviso fuera de ciclo por parte del fabricante. Un atacante podría aprovechar esta vulnerabilidad para obtener información sensible.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-spoofing-microsoft-endpoint-configuration-manager
Fecha de publicación: 22/09/2022
Importancia: Alta
Recursos afectados
Microsoft Endpoint Configuration Manager, versiones:
2103, 2107, 2111, 2203, 2207.
Descripción
El investigador, Brandon Colley, en colaboración con Trimarc Security, ha descubierto una vulnerabilidad de severidad alta en Microsoft Endpoint Configuration Manager, que ha sido publicada en un aviso fuera de ciclo por parte del fabricante. Un atacante podría aprovechar esta vulnerabilidad para obtener información sensible.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-spoofing-microsoft-endpoint-configuration-manager
www.incibe.es
Vulnerabilidad de spoofing en Microsoft Endpoint Configuration Manager
El investigador, Brandon Colley, en colaboración con Trimarc Security, ha descubierto una vulnerabilid
Cisco NX-OS Software Border Gateway Protocol Denial of Service Vulnerability
Advisory ID: cisco-sa-20180620-nxosbgp
First Published: 2018 June 20 16:00 GMT
Last Updated: 2022 September 22 20:15 GMT
Workarounds: No workarounds available
CVSS Score: Base 8.6
Summary:
A vulnerability in the Border Gateway Protocol (BGP) implementation of Cisco NX-OS Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition due to the device unexpectedly reloading.
Version: 1.1
Description: CSCve87784 added for Nexus 7000 and 9000 platforms.
Section: Fixed Software
Status: Final
Date: 2022-SEP-22
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nxosbgp
Advisory ID: cisco-sa-20180620-nxosbgp
First Published: 2018 June 20 16:00 GMT
Last Updated: 2022 September 22 20:15 GMT
Workarounds: No workarounds available
CVSS Score: Base 8.6
Summary:
A vulnerability in the Border Gateway Protocol (BGP) implementation of Cisco NX-OS Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition due to the device unexpectedly reloading.
Version: 1.1
Description: CSCve87784 added for Nexus 7000 and 9000 platforms.
Section: Fixed Software
Status: Final
Date: 2022-SEP-22
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nxosbgp
Cisco
Cisco Security Advisory: Cisco NX-OS Software Border Gateway Protocol Denial of Service Vulnerability
A vulnerability in the Border Gateway Protocol (BGP) implementation of Cisco NX-OS Software could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition due to the device unexpectedly reloading.
The vulnerability is due to…
The vulnerability is due to…
Malicious OAuth applications used to compromise email servers and spread spam
Microsoft 365 Defender Research Team
https://www.microsoft.com/security/blog/2022/09/22/malicious-oauth-applications-used-to-compromise-email-servers-and-spread-spam/
Microsoft 365 Defender Research Team
https://www.microsoft.com/security/blog/2022/09/22/malicious-oauth-applications-used-to-compromise-email-servers-and-spread-spam/
RHSA-2022:6681 - Security Advisory
Synopsis
Important: OpenShift Virtualization 4.9.6 Images security and bug fix update
Affected Products
Red Hat Container Native Virtualization 4.9 for RHEL 8 x86_64
Red Hat Container Native Virtualization 4.9 for RHEL 7 x86_64
https://access.redhat.com/errata/RHSA-2022:6681
Synopsis
Important: OpenShift Virtualization 4.9.6 Images security and bug fix update
Affected Products
Red Hat Container Native Virtualization 4.9 for RHEL 8 x86_64
Red Hat Container Native Virtualization 4.9 for RHEL 7 x86_64
https://access.redhat.com/errata/RHSA-2022:6681
ISC Releases Security Advisories for Multiple Versions of BIND 9
The Internet Systems Consortium (ISC) has released security advisories that address vulnerabilities affecting multiple versions of the ISC’s Berkeley Internet Name Domain (BIND) 9. A remote attacker could exploit these vulnerabilities to potentially cause denial-of-service conditions. For advisories addressing lower severity vulnerabilities, see the BIND 9 Security Vulnerability Matrix.
CISA encourages users and administrators to review the following ISC advisories CVE-2022-2906, CVE-2022-3080, CVE-2022-38177, and CVE-2022-38178 and apply the necessary mitigations.
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/22/isc-releases-security-advisories-multiple-versions-bind-9
The Internet Systems Consortium (ISC) has released security advisories that address vulnerabilities affecting multiple versions of the ISC’s Berkeley Internet Name Domain (BIND) 9. A remote attacker could exploit these vulnerabilities to potentially cause denial-of-service conditions. For advisories addressing lower severity vulnerabilities, see the BIND 9 Security Vulnerability Matrix.
CISA encourages users and administrators to review the following ISC advisories CVE-2022-2906, CVE-2022-3080, CVE-2022-38177, and CVE-2022-38178 and apply the necessary mitigations.
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/22/isc-releases-security-advisories-multiple-versions-bind-9
www.cisa.gov
ISC Releases Security Advisories for Multiple Versions of BIND 9 | CISA
The Internet Systems Consortium (ISC) has released security advisories that address vulnerabilities affecting multiple versions of the ISC’s Berkeley Internet Name Domain (BIND) 9. A remote attacker could exploit these vulnerabilities to potentially cause…
Resolved RCE in Sophos Firewall (CVE-2022-3236)
Product(s)
Sophos Firewall
Publication ID: sophos-sa-20220923-sfos-rce
Article Version: 1
First Published: 2022 Sep 23
Workaround: Yes
Remediation
Ensure you are running a supported version
Hotfixes for the following versions published on September 21, 2022:
v19.0 GA, MR1, and MR1-1
v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
Hotfixes for the following versions published on September 23, 2022:
v18.0 MR3, MR4, MR5, and MR6
v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
v17.0 MR10
Fix included in v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), and v19.5 GA
Users of older versions of Sophos Firewall are required to upgrade to receive the latest protections, and this fix
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
Product(s)
Sophos Firewall
Publication ID: sophos-sa-20220923-sfos-rce
Article Version: 1
First Published: 2022 Sep 23
Workaround: Yes
Remediation
Ensure you are running a supported version
Hotfixes for the following versions published on September 21, 2022:
v19.0 GA, MR1, and MR1-1
v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
Hotfixes for the following versions published on September 23, 2022:
v18.0 MR3, MR4, MR5, and MR6
v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
v17.0 MR10
Fix included in v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), and v19.5 GA
Users of older versions of Sophos Firewall are required to upgrade to receive the latest protections, and this fix
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
SOPHOS
Cybersecurity as a Service Delivered | Sophos
We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.
Múltiples vulnerabilidades en productos HPE y Aruba
Fecha de publicación: 28/09/2022
Identificador: INCIBE-2022-0941
Importancia: 5 - Crítica
Recursos afectados:
HP-UX OpenSSL Software, versiones anteriores a A.01.01.01p.001;
Aruba InstantOS, versiones:
6.4.4.8-4.2.4.20 y anteriores;
6.5.4.23 y anteriores;
8.6.0.18 y anteriores;
8.7.1.9 y anteriores;
8.10.0.1 y anteriores;
10.3.1.0 y anteriores;
branches que se encuentran en fin de soporte (EOL).
Descripción:
Se han identificado 16 vulnerabilidades en productos HPE y Aruba: 9 de severidad crítica, 4 altas y 3 medias.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hpe-y-aruba-0
Fecha de publicación: 28/09/2022
Identificador: INCIBE-2022-0941
Importancia: 5 - Crítica
Recursos afectados:
HP-UX OpenSSL Software, versiones anteriores a A.01.01.01p.001;
Aruba InstantOS, versiones:
6.4.4.8-4.2.4.20 y anteriores;
6.5.4.23 y anteriores;
8.6.0.18 y anteriores;
8.7.1.9 y anteriores;
8.10.0.1 y anteriores;
10.3.1.0 y anteriores;
branches que se encuentran en fin de soporte (EOL).
Descripción:
Se han identificado 16 vulnerabilidades en productos HPE y Aruba: 9 de severidad crítica, 4 altas y 3 medias.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hpe-y-aruba-0
www.incibe.es
Multiples Vulnerabilidades Productos Hpe Y Aruba 0 | INCIBE-CERT | INCIBE
Se han identificado 16 vulnerabilidades en productos HPE y Aruba: 9 de severidad crítica, 4 altas y 3
Vulnerability in Apache Pulsar allowed manipulator-in-the-middle attacks.
Clients vulnerable due to improper certificate validation
A newly-discovered vulnerability in Apache Pulsar allows a remote attacker to carry out a manipulator-in-the-middle (MitM) attack due to improper certificate validation.
Apache Pulsar is a distributed, open source solution for server-to-server messaging and queuing built on the publisher-subscribe pattern.
https://portswigger.net/daily-swig/vulnerability-in-apache-pulsar-allowed-manipulator-in-the-middle-attacks
Clients vulnerable due to improper certificate validation
A newly-discovered vulnerability in Apache Pulsar allows a remote attacker to carry out a manipulator-in-the-middle (MitM) attack due to improper certificate validation.
Apache Pulsar is a distributed, open source solution for server-to-server messaging and queuing built on the publisher-subscribe pattern.
https://portswigger.net/daily-swig/vulnerability-in-apache-pulsar-allowed-manipulator-in-the-middle-attacks
The Daily Swig | Cybersecurity news and views
Vulnerability in Apache Pulsar allowed manipulator-in-the-middle attacks
Clients vulnerable due to improper certificate validation
Ethernet VLAN Stacking flaws let hackers launch DoS, MiTM attacks.
Four vulnerabilities in the widely adopted 'Stacked VLAN' Ethernet feature allows attackers to perform denial-of-service (DoS) or man-in-the-middle (MitM) attacks against network targets using custom-crafted packets.
https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/
Four vulnerabilities in the widely adopted 'Stacked VLAN' Ethernet feature allows attackers to perform denial-of-service (DoS) or man-in-the-middle (MitM) attacks against network targets using custom-crafted packets.
https://www.bleepingcomputer.com/news/security/ethernet-vlan-stacking-flaws-let-hackers-launch-dos-mitm-attacks/
BleepingComputer
Ethernet VLAN Stacking flaws let hackers launch DoS, MiTM attacks
Four vulnerabilities in the widely adopted 'Stacked VLAN' Ethernet feature allows attackers to perform denial-of-service (DoS) or man-in-the-middle (MitM) attacks against network targets using custom-crafted packets.
Vulnerabilidades 0day en Microsoft Exchange Server
Fecha de publicación: 30/09/2022
Identificador: INCIBE-2022-0947
Importancia: 5 - Crítica
Recursos afectados:
Microsoft Exchange Server, versiones 2013, 2016 y 2019.
Para ayudar a las organizaciones a comprobar si sus servidores Exchange han sido explotados por este fallo, GTSC ha publicado una guía y una herramienta para escanear los archivos de registro de IIS:
Ejecutar el comando de PowerShell:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
Utilizar la herramienta NCSE0Scanner desarrollada por GTSC.
Descripción:
GTSC Cyber Security ha informado de una nueva campaña de ataque que explota 2 vulnerabilidades 0-day afectando a Microsoft Exchange Server, que fueron notificadas a Microsoft a través del programa ZDI de Trend Micro: ZDI-CAN-18333 (CVSS 8.8) y ZDI-CAN-18802 (CVSS 6.3). La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-0day-microsoft-exchange-server
Fecha de publicación: 30/09/2022
Identificador: INCIBE-2022-0947
Importancia: 5 - Crítica
Recursos afectados:
Microsoft Exchange Server, versiones 2013, 2016 y 2019.
Para ayudar a las organizaciones a comprobar si sus servidores Exchange han sido explotados por este fallo, GTSC ha publicado una guía y una herramienta para escanear los archivos de registro de IIS:
Ejecutar el comando de PowerShell:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
Utilizar la herramienta NCSE0Scanner desarrollada por GTSC.
Descripción:
GTSC Cyber Security ha informado de una nueva campaña de ataque que explota 2 vulnerabilidades 0-day afectando a Microsoft Exchange Server, que fueron notificadas a Microsoft a través del programa ZDI de Trend Micro: ZDI-CAN-18333 (CVSS 8.8) y ZDI-CAN-18802 (CVSS 6.3). La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidades-0day-microsoft-exchange-server