CVE-2024-50623
- 4 Posts
- 61 Interactions
CVE Info
Fediverse
A writeup on the Cleo vulnerabilities, which are under mass exploitation now. Write any file into any folder by using path=..\..\..\ - since it's a webapp, just drop a webshell.
watchTowr: Cleo Harmony, VLTrader, and LexiCom - RCE via Arbitrary File Write (CVE-2024-50623)
With Cleo software under active exploitation by threat actors (and rumors of Termite ransomware group being in possession of the zero-day exploit), watchTowr patch diffs and explores CVE-2024-50623 (8.8 high) Cleo Harmony/VLTrader/LexiCom remote code execution. This isn't much that isn't already covered by Huntress (which includes Indicators of Compromise).
There's the possibility that the "CVE Pending" will be labeled a CVE-2024-50623 patch bypass vulnerability due to the insufficient patch.
#threatintel #CVE_2024_50623 #vulnerability #cve #eitw #cleo #harmony #vltrader #lexicom #Activeexploitation #infosec #cybersecurity #IOC #zeroday
Rapid7: Modular Java Backdoor Dropped in Cleo Exploitation Campaign
Rapid7 reports a Java-based Remote Access Trojan (RAT) being dropped in the mass exploitation of Cleo software (Harmony, VLTrader, LexiCom). They provide a malware analysis, as well as observed post-exploitation activity. Indicators of compromise provided, and TTPs mapped to MITRE ATT&CK.
#threatintel #CVE_2024_50623 #vulnerability #cve #eitw #cleo #harmony #vltrader #lexicom #ActiveExploitation #infosec #cybersecurity #IOC #zeroday
https://labs.watchtowr.com/cleo-cve-2024-50623/
CVE-2024-11053
- 3 Posts
- 108 Interactions
CVE Info
Fediverse
CVE-2024-11053 holds the new #curl record with its ** 9039 ** days present in code until fixed
#curl 8.11.1 has been released. It includes a fix to #CVE_2024_11053 - a #vulnerability I discovered.
It is a logic flaw in the way curl parses .netrc file. In certain situations, the configured password can be sent to a incorrect host. Luckily the affected configurations should be quite rare and thus the situation is unlikely to occur often.
The issue has existed in the curl source code for almost twenty-five years.
• https://curl.se/docs/CVE-2024-11053.html
• https://hackerone.com/reports/2829063
No AI tools were used in discovering or reporting the vulnerability.
The new #curl CVE-2024-11053 we call "netrc and redirect credential leak"
While graded severity low, it will of course still be relevant to whomever uses the unlucky combination of options.
CVE-2024-11205
- 4 Posts
- 1 Interaction
CVE Info
Fediverse
Tracked under CVE-2024-11205, the flaw was categorized as a high-severity problem due to the authentication prerequisite. https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/
Security researchers reveal vulnerability in #WPForms plugin for #WordPress
The vulnerability is tracked as CVE-2024-11205, and when exploited, allows anyone to request refunds and cancel subscriptions
Administrators are advised to patch ASAP
#Wordpress WPForms #vulnerability CVE-2024-11205 impacts over 6mln websites allowing any unprivileged authenticated user to perform Stripe refunds:
👇
https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/
Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti!
È stata rilevata una vulnerabilità nel plug-in WPForms WordPress, un pluginutilizzato da oltre 6 milioni di siti, che consente agli utenti di emettere rimborsi arbitrari tramite Stripe o annullare abbonamenti.
WPForms è un generatore di moduli per WordPress che ti consente di creare moduli di contatto, iscrizione e pagamento e supporta anche Stripe, PayPal, Square e altri sistemi di pagamento.
Il problema viene monitorato sotto il CVE-2024-11205 e non è considerato critico in quanto richiede l’autenticazione per essere sfruttato. Tuttavia, dato che un utente necessita di autorizzazioni a livello di abbonato e che i sistemi di registrazione sono disponibili sui siti vulnerabili per altri bug noti, il problema potrebbe rappresentare una seria minaccia.
La vulnerabilità è stata scoperta dal ricercatore indipendente sulla sicurezza informatica vullu164, che ha ricevuto 2.376 dollari per la sua scoperta come parte del programma Wordfence bug boony.
Il problema è dovuto all’uso errato della funzione wpforms_is_admin_ajax() per determinare se una richiesta AJAX proviene da un amministratore. In effetti, il bug consente a qualsiasi utente autenticato (anche a livello di abbonato) di utilizzare funzioni come ajax_single_payment_refund(), che esegue un rimborso in Stripe, e ajax_single_payment_cancel(), che annulla un abbonamento.
La vulnerabilità colpisce le versioni di WPForms dalla 1.8.4 alla 1.9.2.1 e il mese scorso gli sviluppatori del plugin, Awesome Motive, hanno rilasciato una patch come parte della versione 1.9.2.2.
Secondo le statistiche di wordpress.org, su circa la metà di tutti i siti che utilizzano WPForms, il plugin non è stato aggiornato a una versione sicura (e nemmeno all’attuale ramo 1.9.x), ovvero il numero di risorse vulnerabili è almeno 3 milioni.
Gli specialisti di Wordfence sottolineano di non aver ancora rilevato lo sfruttamento attivo di CVE-2024-11205, ma raccomandano vivamente agli amministratori di aggiornare il plugin alla versione 1.9.2.2 il prima possibile o di disabilitarlo temporaneamente.
L'articolo Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti! proviene da il blog della sicurezza informatica.
CVE-2024-53677
- 2 Posts
- 23 Interactions
CVE Info
Fediverse
Critical ../ -> RCE in Apache Struts? Nice. The bulletin is from a couple weeks ago but the CVE was just published today: https://cwiki.apache.org/confluence/display/WW/S2-067
Apache Struts security advisory 26? November 2024: S2-067
CVE-2024-53677 (CVSSv4: 9.5 critical) File upload logic is flawed, and allows an attacker to enable paths with traversals (@cR0w @reverseics) (impact: remote code execution)
For those of you keeping track, Apache Struts has eight CVEs in CISA's KEV Catalog, 7 of which are related to remote code execution. One is known to be used in ransomware campaigns 🔺
#apache #struts #CVE_2024_53677 #vulnerability #cve #infosec #cybersecurity
CVE-2024-11639
- 3 Posts
CVE Info
Fediverse
#Ivanti has a new maximum-severity authentication bypass #vulnerability CVE-2024-11639 in its Cloud Services Appliance (CSA) solution. Patch now!
👇
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/
https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/
The security flaw (tracked as CVE-2024-11639 and reported by CrowdStrike's Advanced Research Team) enables remote attackers to gain administrative privileges on vulnerable appliances running Ivanti CSA 5.0.2 or earlier. https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/
#Ivanti has released software updates to address a critical vulnerability in its Cloud Services Appliance (CSA)
The vulnerability is tracked as CVE-2024-11639, and when exploited, allows an attacker to bypass authentication and gain administrative privileges
Administrators are advised to patch ASAP
CVE-2024-54492
- 1 Post
- 23 Interactions
CVE Info
Fediverse
Since iOS 18 launched, the new Passwords app has been using unencrypted HTTP to download icons for password entries—a serious #security risk. We reported this bug to #Apple in September, and it’s finally fixed in #iOS 18.2 (CVE-2024-54492).
The bug also impacts iPadOS and #macOS
Why does this matter? Watch 🎬 :
#cybersecurity #privacy #infosec
CVE-2024-49138
KEV- 3 Posts
- 4 Interactions
CVE Info
Fediverse
Update yo shit! https://www.cve.org/CVERecord?id=CVE-2024-49138
Microsoft's December Patch Tuesday is here! 🎉 It addresses 72 vulnerabilities, including a critical zero-day flaw (CVE-2024-49138) that could give attackers SYSTEM privileges. 🚨 Windows users should update ASAP to stay secure! 💻🔒 Read more about the fixes and how to apply them here: https://cyberinsider.com/windows-11-december-patch-tuesday-fixes-72-flaws-one-zero-day/ #Windows11 #CyberSecurity #PatchTuesday #CVE2024
#newz
Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo
Con il Patch Tuesday di dicembre, Microsoft chiude il 2024 con un’ultima serie di aggiornamenti di sicurezza, portando il totale del mese a 71 CVE (Common Vulnerabilities and Exposures). Questo mese segna la terza più ridotta distribuzione di patch dell’anno, preceduta solo da gennaio e giugno. Tuttavia, la dimensione ridotta non significa che manchino criticità: tra le vulnerabilità risolte, figura un pericoloso zero-day già sfruttato attivamente, CVE-2024-49138.
La Vulnerabilità CVE-2024-49138
Questa vulnerabilità di elevazione dei privilegi colpisce il sistema Windows Common Log File System e consente agli attaccanti di ottenere privilegi SYSTEM, il che significa accesso completo al sistema bersaglio. Non sorprende che Microsoft abbia posto un accento particolare su questa falla, considerando che è già oggetto di attacchi attivi e riguarda ogni versione supportata di Windows e Windows Server. L’applicazione immediata delle patch è cruciale per prevenire potenziali compromissioni, mentre Microsoft ha fornito poche informazioni tecniche, se non per sottolineare la gravità del problema.
Oltre allo Zero-Day, tra le 16 vulnerabilità classificate come “critiche”, spicca CVE-2024-49112, una falla di esecuzione di codice remoto nel protocollo Windows Lightweight Directory Access Protocol (LDAP). Con un punteggio di gravità di 9.8 su 10, è questione di tempo prima che venga sfruttata attivamente.
Per chi non può aggiornare immediatamente, Microsoft ha fornito mitigazioni temporanee:
- Configura i controller di dominio per bloccare l’accesso a Internet.
- Impedisci l’accesso RPC in ingresso da reti non fidate.
Queste misure non solo proteggono contro CVE-2024-49112, ma rappresentano buone pratiche di sicurezza generale, come sottolineato da Tyler Reguly, direttore associato di Security R&D presso Fortra. “Microsoft ha fornito mitigazioni che sono fondamentalmente norme di buona gestione informatica, ma servono come promemoria importante per le imprese,” ha dichiarato Reguly.
Il protocollo Windows Remote Desktop Services continua a essere un bersaglio privilegiato per gli attaccanti, con 9 delle vulnerabilità critiche di questo mese che riguardano l’esecuzione di codice remoto in questa componente. Questo evidenzia quanto sia essenziale per le aziende adottare configurazioni sicure e applicare immediatamente gli aggiornamenti forniti.
Altre vulnerabilità rilevanti includono falle critiche in componenti chiave come LSASS, Hyper-V e Microsoft Message Queuing (MSMQ), tutte potenziali vettori per attacchi devastanti se non affrontate tempestivamente.
Conclusione
Microsoft chiude il sipario del 2024 con un ultimo Zero-Day e un pacchetto di patch che richiede attenzione immediata. Agire con rapidità è essenziale per proteggere i sistemi e prepararsi al futuro di un panorama di minacce in continua evoluzione.
Nel 2025, la parola d’ordine sarà prevenzione: applicare tempestivamente le patch oggi rappresenta l’investimento più efficace per evitare interruzioni critiche e vulnerabilità costose in futuro.
L'articolo Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo proviene da il blog della sicurezza informatica.
CVE-2024-45337
- 1 Post
- 2 Interactions
CVE Info
Fediverse
Rounding out our trifecta of releases today: Stork 2.1.0, the first release of a new development branch, is now available!
ISC does not recommend running development versions in production.
We are aware of golang CVE-2024-45337 published today. Stork does not use the affected package and our current assessment is that this issue does not impact Stork.
Download the software from our website at https://www.isc.org/download/#Stork or get deb/Alpine/RPM packages at https://cloudsmith.io/~isc/repos/stork/groups/.
CVE-2024-37071
- 1 Post
- 1 Interaction
CVE Info
Fediverse
Forewarned is forearmed: Critical Vulnerability (CVE-2024-37071) in IBM Db2 Affects Linux and UNIX Platforms https://lxer.com/module/newswire/view/348580/index.html
CVE-2024-21893
KEV- 4 Posts
CVE Info
Fediverse
ELITETEAM: Il Service Provider che i Criminal Hacker Recensiscono con 5 Stelle!
Il team Knownsec 404 ha identificato una vasta rete del provider di hosting ELITETEAM, che fornisce infrastrutture ai criminali informatici. Questi servizi consentono agli aggressori di eludere i controlli legali e supportano il funzionamento di malware, siti fraudolenti, e-mail di spam e altre attività illegali. Gli esperti sottolineano che questo genere di hosting rappresentano una seria minaccia per la sicurezza informatica globale, poiché operano in condizioni di debole regolamentazione legislativa e sono altamente resistenti alle misure legali.
Secondo il rapporto, ELITETEAM è stata registrata alle Seychelles nel novembre 2020 con il nome “1337TEAM LIMITED”. Il provider possiede il sistema autonomo AS51381 e fornisce servizi relativi all’hosting di siti di phishing, malware, server di comando e controllo botnet e infrastrutture per frodi in criptovaluta. La particolarità di tali fornitori è la selezione deliberata di giurisdizioni con una regolamentazione legislativa debole.
Secondo il Phishing Network Study 2021 di Interisle, solo un segmento della rete ELITETEAM con 256 indirizzi IP si è classificato all’ottavo posto nel mondo per attività dannose. Sulla piattaforma VirusTotal tutti i 256 indirizzi IP della rete ELITETEAM sono stati contrassegnati come dannosi, il che conferma il loro utilizzo attivo negli attacchi informatici. Sulla piattaforma ThreatFox, diversi indirizzi IP nel 2024 sono stati contrassegnati con indicatori di compromissione (IOC) per malware come Amadey e RedLine, indicandone l’utilizzo in attacchi di phishing e distribuzione di malware.
Gli specialisti di Cloudflare hanno scoperto che gli indirizzi IP di ELITETEAM vengono utilizzati attivamente per hackerare i siti WordPress. Gli attacchi prendono di mira le pagine di login e le interfacce XML-RPC, dove gli aggressori tentano di sfruttare le vulnerabilità per ottenere l’accesso ai sistemi.
Trend Micro ha collegato l’infrastruttura ELITETEAM alla distribuzione dei ransomware Quakbot ed Emotet. Solo nel primo trimestre del 2023 sono stati registrati 200mila casi di traffico malevolo associato all’infrastruttura ELITETEAM; 140mila di loro sono registrati alle Seychelles. Questi programmi venivano utilizzati per crittografare i dati sulle reti aziendali a scopo di estorsione.
L’infrastruttura di ELITETEAM è stata utilizzata anche per supportare le truffe di criptovaluta sul mercato ombra di Hydra, consentendo transazioni illegali e riciclaggio di denaro. Queste azioni hanno attirato l’attenzione dell’Interpol, che ha inviato diverse richieste per indagare sulle attività dell’azienda.
L’analisi dei dati sul segmento di rete 185.215.113.0/24 attraverso la piattaforma ZoomEye ne ha rivelato le caratteristiche principali: porte aperte per l’accesso remoto (22/3389), servizi web (80/443), spam (25/465/587) e Server C2 (7766). Dieci indirizzi IP di questo segmento hanno porte di posta aperte, il che potrebbe indicare che vengono utilizzati per inviare spam.
La ricerca ha permesso di collegare la sottorete 185.208.158.0/24 al segmento principale di ELITETEAM. Dei 256 indirizzi presenti su questa sottorete, 95 sono contrassegnati come dannosi. Entrambe le reti sono registrate alle Seychelles e sono tecnicamente connesse tramite certificati SSL comuni. Otto indirizzi IP di entrambe le reti hanno utilizzato identiche impronte SSL tra settembre e novembre 2024, indicando il controllo da parte di un singolo gruppo di hacker.
Un’analisi dettagliata ha rivelato cinque indirizzi IP sospetti: 185.208.158.114, 185.208.158.115, 77.91.68.21, 147.45.47.102 e 109.107.182.45. Questi indirizzi vengono assegnati a causa delle caratteristiche uniche dei certificati SSL e del contenuto HTTP. Ad esempio, l’impronta digitale del certificato SSL C416E381FAF98A7E6D5B5EC34F1774B728924BD8 è stata trovata sia sulla sottorete 185.208.158.0/24 che sulla rete principale ELITETEAM.
Gli esperti osservano che le attività di tali hosting provider creano condizioni favorevoli per i criminali informatici. Dal 2015 il gruppo APT28 ha effettuato più di 80 attacchi utilizzando hosting bulletproof per phishing, furto di dati e spionaggio. L’ubicazione delle infrastrutture in paesi con una regolamentazione permissiva consente agli aggressori di eludere i procedimenti giudiziari e continuare le operazioni a lungo termine.
L'articolo ELITETEAM: Il Service Provider che i Criminal Hacker Recensiscono con 5 Stelle! proviene da il blog della sicurezza informatica.
10 Milioni di Dollari per Chi Trova Guan! Il Ricercatore Cinese che Colpì 81.000 Firewall
l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti D’America sta sanzionando la società di sicurezza informatica Sichuan Silence Information Technology Company, Limited (Sichuan Silence) e uno dei suoi dipendenti, Guan Tianfeng (Guan), entrambi con sede nella Repubblica Popolare Cinese (RPC), per il loro ruolo nella compromissione di decine di migliaia di firewall Sophos in tutto il mondo nell’aprile 2020. Molte delle vittime erano società di infrastrutture critiche statunitensi.
Gli autori di attacchi informatici malintenzionati, compresi quelli che operano in Cina, continuano a rappresentare una delle minacce più grandi e persistenti per la sicurezza nazionale degli Stati Uniti, come evidenziato nella Valutazione annuale delle minacce del 2024 pubblicata dall’Office of the Director of National Intelligence.
“L’azione di oggi sottolinea il nostro impegno a denunciare queste attività informatiche dannose, molte delle quali rappresentano un rischio significativo per le nostre comunità e i nostri cittadini, e a ritenere responsabili gli autori dei loro piani”, ha affermato il sottosegretario facente funzione del Tesoro per il terrorismo e l’intelligence finanziaria Bradley T. Smith. “Il Tesoro, come parte dell’approccio coordinato del governo degli Stati Uniti per affrontare le minacce informatiche, continuerà a sfruttare i nostri strumenti per interrompere i tentativi degli autori di attacchi informatici dannosi di minare la nostra infrastruttura critica”.
Oggi, il Dipartimento di Giustizia (DOJ) ha desecretato un atto di accusa contro Guan per la stessa attività. Inoltre, il Dipartimento di Stato degli Stati Uniti ha annunciato un’offerta di ricompensa Rewards for Justice fino a10 milioni di dollari per informazioni su Sichuan Silence o Guan.
Compromissione del firewall di aprile 2020
Guan Tianfeng ha scoperto un exploit zero-day in un prodotto firewall. Tra il 22 e il 25 aprile 2020, Guan Tianfeng ha utilizzato questo exploit zero-day per distribuire malware a circa 81.000 firewall di proprietà di migliaia di aziende in tutto il mondo. Lo scopo dell’exploit era quello di utilizzare i firewall compromessi per rubare dati, inclusi nomi utente e password. Tuttavia, Guan ha anche tentato di infettare i sistemi delle vittime con la variante del ransomware Ragnarok. Questo ransomware disabilita il software antivirus e crittografa i computer sulla rete di una vittima se tenta di porre rimedio alla compromissione.
Oltre 23.000 dei firewall compromessi si trovavano negli Stati Uniti. Di questi firewall, 36 proteggevano i sistemi delle aziende di infrastrutture critiche statunitensi. Se una di queste vittime non avesse patchato i propri sistemi per mitigare l’exploit, o le misure di sicurezza informatica non avessero identificato e rimediato rapidamente all’intrusione, il potenziale impatto dell’attacco ransomware Ragnarok avrebbe potuto causare gravi lesioni o la perdita di vite umane.
Una vittima era una società energetica statunitense che era attivamente coinvolta in operazioni di perforazione al momento della compromissione. Se questa compromissione non fosse stata rilevata e l’attacco ransomware non fosse stato sventato, avrebbe potuto causare il malfunzionamento delle piattaforme petrolifere, causando potenzialmente una significativa perdita di vite umane.
Guan Tianfeng e il silenzio del Sichuan
Guan è un cittadino cinese ed era un ricercatore di sicurezza presso Sichuan Silence al momento della compromissione. Guan ha gareggiato per conto di Sichuan Silence in tornei di sicurezza informatica e ha pubblicato exploit zero-day scoperti di recente su forum di vulnerabilità ed exploit, anche sotto il suo soprannome GbigMao. Guan è stato responsabile della compromissione del firewall di aprile 2020.
Sichuan Silence è un appaltatore governativo per la sicurezza informatica con sede a Chengdu, i cui clienti principali sono i servizi di intelligence della RPC. Sichuan Silence fornisce a questi clienti prodotti e servizi di sfruttamento della rete informatica, monitoraggio delle e-mail, cracking delle password con forza bruta e operazioni di manipolazione del pubblico. Inoltre, Sichuan Silence fornisce a questi clienti apparecchiature progettate per sondare e sfruttare i router di rete target. Un dispositivo di pre-posizionamento utilizzato da Guan nella compromissione del firewall di aprile 2020 era in realtà di proprietà del suo datore di lavoro, Sichuan Silence.
L’OFAC ha designato Sichuan Silence e Guan ai sensi dell’Ordine esecutivo (EO) 13694, modificato dall’EO 13757, per essere responsabili o complici, o per aver preso parte, direttamente o indirettamente, ad attività informatiche provenienti da, o dirette da, persone situate, in tutto o in parte sostanziale, al di fuori degli Stati Uniti, che hanno ragionevolmente probabilità di causare, o di aver contribuito materialmente a, una minaccia significativa alla sicurezza nazionale, alla politica estera, alla salute economica o alla stabilità finanziaria degli Stati Uniti e che hanno lo scopo o l’effetto di danneggiare, o altrimenti compromettere significativamente la fornitura di servizi da parte di, un computer o una rete di computer che supportano una o più entità in un settore di infrastrutture critiche.
L'articolo 10 Milioni di Dollari per Chi Trova Guan! Il Ricercatore Cinese che Colpì 81.000 Firewall proviene da il blog della sicurezza informatica.
Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti!
È stata rilevata una vulnerabilità nel plug-in WPForms WordPress, un pluginutilizzato da oltre 6 milioni di siti, che consente agli utenti di emettere rimborsi arbitrari tramite Stripe o annullare abbonamenti.
WPForms è un generatore di moduli per WordPress che ti consente di creare moduli di contatto, iscrizione e pagamento e supporta anche Stripe, PayPal, Square e altri sistemi di pagamento.
Il problema viene monitorato sotto il CVE-2024-11205 e non è considerato critico in quanto richiede l’autenticazione per essere sfruttato. Tuttavia, dato che un utente necessita di autorizzazioni a livello di abbonato e che i sistemi di registrazione sono disponibili sui siti vulnerabili per altri bug noti, il problema potrebbe rappresentare una seria minaccia.
La vulnerabilità è stata scoperta dal ricercatore indipendente sulla sicurezza informatica vullu164, che ha ricevuto 2.376 dollari per la sua scoperta come parte del programma Wordfence bug boony.
Il problema è dovuto all’uso errato della funzione wpforms_is_admin_ajax() per determinare se una richiesta AJAX proviene da un amministratore. In effetti, il bug consente a qualsiasi utente autenticato (anche a livello di abbonato) di utilizzare funzioni come ajax_single_payment_refund(), che esegue un rimborso in Stripe, e ajax_single_payment_cancel(), che annulla un abbonamento.
La vulnerabilità colpisce le versioni di WPForms dalla 1.8.4 alla 1.9.2.1 e il mese scorso gli sviluppatori del plugin, Awesome Motive, hanno rilasciato una patch come parte della versione 1.9.2.2.
Secondo le statistiche di wordpress.org, su circa la metà di tutti i siti che utilizzano WPForms, il plugin non è stato aggiornato a una versione sicura (e nemmeno all’attuale ramo 1.9.x), ovvero il numero di risorse vulnerabili è almeno 3 milioni.
Gli specialisti di Wordfence sottolineano di non aver ancora rilevato lo sfruttamento attivo di CVE-2024-11205, ma raccomandano vivamente agli amministratori di aggiornare il plugin alla versione 1.9.2.2 il prima possibile o di disabilitarlo temporaneamente.
L'articolo Allerta WordPress: Vulnerabilità critica in WPForms mette a rischio 3 milioni di siti! proviene da il blog della sicurezza informatica.
Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo
Con il Patch Tuesday di dicembre, Microsoft chiude il 2024 con un’ultima serie di aggiornamenti di sicurezza, portando il totale del mese a 71 CVE (Common Vulnerabilities and Exposures). Questo mese segna la terza più ridotta distribuzione di patch dell’anno, preceduta solo da gennaio e giugno. Tuttavia, la dimensione ridotta non significa che manchino criticità: tra le vulnerabilità risolte, figura un pericoloso zero-day già sfruttato attivamente, CVE-2024-49138.
La Vulnerabilità CVE-2024-49138
Questa vulnerabilità di elevazione dei privilegi colpisce il sistema Windows Common Log File System e consente agli attaccanti di ottenere privilegi SYSTEM, il che significa accesso completo al sistema bersaglio. Non sorprende che Microsoft abbia posto un accento particolare su questa falla, considerando che è già oggetto di attacchi attivi e riguarda ogni versione supportata di Windows e Windows Server. L’applicazione immediata delle patch è cruciale per prevenire potenziali compromissioni, mentre Microsoft ha fornito poche informazioni tecniche, se non per sottolineare la gravità del problema.
Oltre allo Zero-Day, tra le 16 vulnerabilità classificate come “critiche”, spicca CVE-2024-49112, una falla di esecuzione di codice remoto nel protocollo Windows Lightweight Directory Access Protocol (LDAP). Con un punteggio di gravità di 9.8 su 10, è questione di tempo prima che venga sfruttata attivamente.
Per chi non può aggiornare immediatamente, Microsoft ha fornito mitigazioni temporanee:
- Configura i controller di dominio per bloccare l’accesso a Internet.
- Impedisci l’accesso RPC in ingresso da reti non fidate.
Queste misure non solo proteggono contro CVE-2024-49112, ma rappresentano buone pratiche di sicurezza generale, come sottolineato da Tyler Reguly, direttore associato di Security R&D presso Fortra. “Microsoft ha fornito mitigazioni che sono fondamentalmente norme di buona gestione informatica, ma servono come promemoria importante per le imprese,” ha dichiarato Reguly.
Il protocollo Windows Remote Desktop Services continua a essere un bersaglio privilegiato per gli attaccanti, con 9 delle vulnerabilità critiche di questo mese che riguardano l’esecuzione di codice remoto in questa componente. Questo evidenzia quanto sia essenziale per le aziende adottare configurazioni sicure e applicare immediatamente gli aggiornamenti forniti.
Altre vulnerabilità rilevanti includono falle critiche in componenti chiave come LSASS, Hyper-V e Microsoft Message Queuing (MSMQ), tutte potenziali vettori per attacchi devastanti se non affrontate tempestivamente.
Conclusione
Microsoft chiude il sipario del 2024 con un ultimo Zero-Day e un pacchetto di patch che richiede attenzione immediata. Agire con rapidità è essenziale per proteggere i sistemi e prepararsi al futuro di un panorama di minacce in continua evoluzione.
Nel 2025, la parola d’ordine sarà prevenzione: applicare tempestivamente le patch oggi rappresenta l’investimento più efficace per evitare interruzioni critiche e vulnerabilità costose in futuro.
L'articolo Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo proviene da il blog della sicurezza informatica.
CVE-2024-50393
- 1 Post
CVE Info
Fediverse
The most severe of the security holes is CVE-2024-50393 (CVSS score of 8.7), a command injection flaw that could allow remote attackers to execute arbitrary commands on vulnerable devices. https://www.securityweek.com/qnap-patches-vulnerabilities-exploited-at-pwn2own/
CVE-2024-40834
- 1 Post
CVE Info
Fediverse
"Unveiling the Apple CVE-2024-40834 - A "shortcut" to the bypass road" (Marcio Almeida)
Users can build automations called shortcuts and even send them to other users or share them. 💀 He demonstrated one attack vector where you could persist malware via adding code to the .zshrc file. I'm sure there are many more. There aren't a lot of guardrails on what these shortcuts can do.
For enterprises, I would consider banning shortcuts entirely if you can.
#detectionengineering
CVE-2024-53919
- 1 Post
CVE Info
Fediverse
anyone got any details on this one?
https://www.barco.com/en/support/knowledge-base/15008-clickshare-cve-2024-53919
CVE-2024-9579
- 1 Post
- 11 Interactions
CVE Info
Fediverse
CVE-2024-11395
- 1 Post
- 2 Interactions
CVE Info
Fediverse
Palo Alto Networks security advisory: PAN-SA-2024-0017 Chromium: Monthly Vulnerability Updates
Palo Alto Networks' Prisma Access Browser patched two older Google Chrome vulnerabilities: CVE-2024-11395 and CVE-2024-12053, which are both Type Confusion in V8 (JavaScript engine). "Palo Alto Networks is not aware of any malicious exploitation of these issues."
#paloaltonetworks #paloalto #patchtuesday #cve #vulnerability #infosec #cybersecurity
CVE-2024-12053
- 1 Post
- 2 Interactions
CVE Info
Fediverse
Palo Alto Networks security advisory: PAN-SA-2024-0017 Chromium: Monthly Vulnerability Updates
Palo Alto Networks' Prisma Access Browser patched two older Google Chrome vulnerabilities: CVE-2024-11395 and CVE-2024-12053, which are both Type Confusion in V8 (JavaScript engine). "Palo Alto Networks is not aware of any malicious exploitation of these issues."
#paloaltonetworks #paloalto #patchtuesday #cve #vulnerability #infosec #cybersecurity
CVE-2023-41990
KEV- 1 Post
CVE Info
Fediverse
"Triangulating TrueType Fonts On macOS: Reconstructing CVE-2023-41990" (Aleksandar Nikolic )
Fonts are so much more complicated than I thought. To handle low-resolution displays, fonts could specify how they should be displayed when they scaled up and down. This complicated code allowed for an out-of-bounds memory write.
CVE-2024-34102
KEV- 1 Post
CVE Info
Fediverse
My teammate @NOP_0x090 investigated a compromised Adobe Commerce (formerly known as Magento) webpage, where the attackers exploited CVE-2024-34102 to steal the encryption keys. The timeline is interesting in this case. Adobe published a bulletin about the vulnerability on June 11, 2024.
On June 21, 2024, details about how the vulnerability can be exploited were published on GitHub [1] (without PoC code). Four days later, our customer's webshop was attacked and successfully exploited.
Like in other cases, the timeframe to patch exposed systems is narrow nowadays. As defenders and system administrators, we must be careful not to miss a critical update or fix a vulnerability. Otherwise, like in this case here, attackers will exploit our systems quickly. By the way, the public exploit code was released a few days later, on June 28.
https://github.com/spacewasp/public_docs/blob/main/CVE-2024-34102.md
CVE-2024-8190
KEV- 1 Post
- 75 Interactions
CVE Info
Fediverse
CVE-2024-8963
KEV- 1 Post
- 75 Interactions
CVE Info
Fediverse
CVE-2024-9380
KEV- 1 Post
- 75 Interactions
CVE Info
Fediverse
CVE-2024-9381
- 1 Post
- 75 Interactions
CVE Info
Fediverse
CVE-2024-9379
KEV- 1 Post
- 75 Interactions
CVE Info
Fediverse
CVE-2024-49600
- 1 Post
- 3 Interactions
CVE Info
Fediverse
📬 Sicherheitslücke im Power Manager: Dell rät zu sofortigem Update
#Datenschutz #ITSicherheit #CVE202437143 #CVE202449600 #DELL #DellPowerManager #PowerManager #TsungShuChiu https://sc.tarnkappe.info/2bc751
CVE-2024-37143
- 1 Post
- 3 Interactions
CVE Info
Fediverse
📬 Sicherheitslücke im Power Manager: Dell rät zu sofortigem Update
#Datenschutz #ITSicherheit #CVE202437143 #CVE202449600 #DELL #DellPowerManager #PowerManager #TsungShuChiu https://sc.tarnkappe.info/2bc751
CVE-2024-49112
- 1 Post
CVE Info
Fediverse
Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo
Con il Patch Tuesday di dicembre, Microsoft chiude il 2024 con un’ultima serie di aggiornamenti di sicurezza, portando il totale del mese a 71 CVE (Common Vulnerabilities and Exposures). Questo mese segna la terza più ridotta distribuzione di patch dell’anno, preceduta solo da gennaio e giugno. Tuttavia, la dimensione ridotta non significa che manchino criticità: tra le vulnerabilità risolte, figura un pericoloso zero-day già sfruttato attivamente, CVE-2024-49138.
La Vulnerabilità CVE-2024-49138
Questa vulnerabilità di elevazione dei privilegi colpisce il sistema Windows Common Log File System e consente agli attaccanti di ottenere privilegi SYSTEM, il che significa accesso completo al sistema bersaglio. Non sorprende che Microsoft abbia posto un accento particolare su questa falla, considerando che è già oggetto di attacchi attivi e riguarda ogni versione supportata di Windows e Windows Server. L’applicazione immediata delle patch è cruciale per prevenire potenziali compromissioni, mentre Microsoft ha fornito poche informazioni tecniche, se non per sottolineare la gravità del problema.
Oltre allo Zero-Day, tra le 16 vulnerabilità classificate come “critiche”, spicca CVE-2024-49112, una falla di esecuzione di codice remoto nel protocollo Windows Lightweight Directory Access Protocol (LDAP). Con un punteggio di gravità di 9.8 su 10, è questione di tempo prima che venga sfruttata attivamente.
Per chi non può aggiornare immediatamente, Microsoft ha fornito mitigazioni temporanee:
- Configura i controller di dominio per bloccare l’accesso a Internet.
- Impedisci l’accesso RPC in ingresso da reti non fidate.
Queste misure non solo proteggono contro CVE-2024-49112, ma rappresentano buone pratiche di sicurezza generale, come sottolineato da Tyler Reguly, direttore associato di Security R&D presso Fortra. “Microsoft ha fornito mitigazioni che sono fondamentalmente norme di buona gestione informatica, ma servono come promemoria importante per le imprese,” ha dichiarato Reguly.
Il protocollo Windows Remote Desktop Services continua a essere un bersaglio privilegiato per gli attaccanti, con 9 delle vulnerabilità critiche di questo mese che riguardano l’esecuzione di codice remoto in questa componente. Questo evidenzia quanto sia essenziale per le aziende adottare configurazioni sicure e applicare immediatamente gli aggiornamenti forniti.
Altre vulnerabilità rilevanti includono falle critiche in componenti chiave come LSASS, Hyper-V e Microsoft Message Queuing (MSMQ), tutte potenziali vettori per attacchi devastanti se non affrontate tempestivamente.
Conclusione
Microsoft chiude il sipario del 2024 con un ultimo Zero-Day e un pacchetto di patch che richiede attenzione immediata. Agire con rapidità è essenziale per proteggere i sistemi e prepararsi al futuro di un panorama di minacce in continua evoluzione.
Nel 2025, la parola d’ordine sarà prevenzione: applicare tempestivamente le patch oggi rappresenta l’investimento più efficace per evitare interruzioni critiche e vulnerabilità costose in futuro.
L'articolo Il gran finale di Microsoft per il 2024: 1 Zero-Day, 71 CVE e una corsa contro il tempo proviene da il blog della sicurezza informatica.
CVE-2024-12292
- 1 Post
- 3 Interactions
CVE Info
Fediverse
Happy #PatchTuesday on a Wednesday from GitLab: GitLab Patch Release: 17.6.2, 17.5.4, 17.4.6
- CVE-2024-11274 (8.7 high) Injection of Network Error Logging (NEL) headers in kubernetes proxy response could lead to account takeover abusing OAuth flows
- CVE-2024-8233 (7.5 high) Denial of Service by repeatedly sending unauthenticated requests for diff-files
- No CVE ID (6.7 medium) CI_JOB_TOKEN could be used to obtain GitLab session
- CVE-2024-9387 (6.4 medium) Open redirect in releases API
- CVE-2024-8647 (5.4 medium) Client-Side Path Traversal in Harbor artifact links
- CVE-2024-8179 (5.4 medium) HTML injection in vulnerability details could lead to Cross Site Scripting
- CVE-2024-8116 (5.3 medium) Leak branch names of projects with confidential repository
- CVE-2024-8650 (5.3 medium) Non member can view unresolved threads marked as internal notes
- CVE-2024-9367 (4.3 medium) Uncontrolled Resource Consumption through a maliciously crafted file
- CVE-2024-12292 (4.0 medium) Certain sensitive information passed as literals inside GraphQL mutations retained in GraphQL logs
- CVE-2024-10043 (3.1 low) Information disclosure of confidential incidents details to a group member in Gitlab Wiki
- CVE-2024-9633 (3.1 low) Domain Confusion in GitLab Pages Unique Domain Implementation
No mention of exploitation.
CVE-2024-8647
- 1 Post
- 3 Interactions
CVE Info
Fediverse
Happy #PatchTuesday on a Wednesday from GitLab: GitLab Patch Release: 17.6.2, 17.5.4, 17.4.6
- CVE-2024-11274 (8.7 high) Injection of Network Error Logging (NEL) headers in kubernetes proxy response could lead to account takeover abusing OAuth flows
- CVE-2024-8233 (7.5 high) Denial of Service by repeatedly sending unauthenticated requests for diff-files
- No CVE ID (6.7 medium) CI_JOB_TOKEN could be used to obtain GitLab session
- CVE-2024-9387 (6.4 medium) Open redirect in releases API
- CVE-2024-8647 (5.4 medium) Client-Side Path Traversal in Harbor artifact links
- CVE-2024-8179 (5.4 medium) HTML injection in vulnerability details could lead to Cross Site Scripting
- CVE-2024-8116 (5.3 medium) Leak branch names of projects with confidential repository
- CVE-2024-8650 (5.3 medium) Non member can view unresolved threads marked as internal notes
- CVE-2024-9367 (4.3 medium) Uncontrolled Resource Consumption through a maliciously crafted file
- CVE-2024-12292 (4.0 medium) Certain sensitive information passed as literals inside GraphQL mutations retained in GraphQL logs
- CVE-2024-10043 (3.1 low) Information disclosure of confidential incidents details to a group member in Gitlab Wiki
- CVE-2024-9633 (3.1 low) Domain Confusion in GitLab Pages Unique Domain Implementation
No mention of exploitation.
CVE-2024-9367
- 1 Post
- 3 Interactions
CVE Info
Fediverse
Happy #PatchTuesday on a Wednesday from GitLab: GitLab Patch Release: 17.6.2, 17.5.4, 17.4.6
- CVE-2024-11274 (8.7 high) Injection of Network Error Logging (NEL) headers in kubernetes proxy response could lead to account takeover abusing OAuth flows
- CVE-2024-8233 (7.5 high) Denial of Service by repeatedly sending unauthenticated requests for diff-files
- No CVE ID (6.7 medium) CI_JOB_TOKEN could be used to obtain GitLab session
- CVE-2024-9387 (6.4 medium) Open redirect in releases API
- CVE-2024-8647 (5.4 medium) Client-Side Path Traversal in Harbor artifact links
- CVE-2024-8179 (5.4 medium) HTML injection in vulnerability details could lead to Cross Site Scripting
- CVE-2024-8116 (5.3 medium) Leak branch names of projects with confidential repository
- CVE-2024-8650 (5.3 medium) Non member can view unresolved threads marked as internal notes
- CVE-2024-9367 (4.3 medium) Uncontrolled Resource Consumption through a maliciously crafted file
- CVE-2024-12292 (4.0 medium) Certain sensitive information passed as literals inside GraphQL mutations retained in GraphQL logs
- CVE-2024-10043 (3.1 low) Information disclosure of confidential incidents details to a group member in Gitlab Wiki
- CVE-2024-9633 (3.1 low) Domain Confusion in GitLab Pages Unique Domain Implementation
No mention of exploitation.