SysAdmin 24x7

📢 Información sobre las #vulnerabilidades detectadas en Microsoft Exchange Server. Ampliamos los datos ofrecidos en la alerta de ayer, a través de un #Abstract que incluye detalles técnicos, indicadores de compromiso y una serie de #recomendaciones. https://t.co/Phe1zzUU5d https://t.co/dWN0yBA1yt

Alert (AA21-062A) Mitigate Microsoft Exchange Server Vulnerabilities Original release date: March 03, 2021 https://us-cert.cisa.gov/ncas/alerts/aa21-062a

Authentication bypass vulnerability in Genua GenuGate High Resistance Firewall Title Authentication bypass vulnerability Product Genua GenuGate High Resistance Firewall Vulnerable Version GenuGate <10.1 p4, <9.6 p7, <9.0/9.0 Z p19 Fixed Version GenuGate 10.1 p4 (G1010_004), 9.6 p7 (G960_007), 9.0 and 9.0 Z p19 (G900_019) CVE Number CVE-2021-27215 Impact critical https://sec-consult.com/vulnerability-lab/advisory/authentication-bypass-genua-genugate/

Boletín de seguridad de Android: marzo de 2021 CVE-2021-0397 RCE Crítico Android 8.1, 9, 10, 11 https://source.android.com/security/bulletin/2021-03-01

Microsoft Senior Threat Intelligence Analyst Kevin Beaumont has created a Nmap script that can be used to scan a network for potentially vulnerable Microsoft Exchange servers. To use the script, download it from his GitHub page and store it in /usr/share/nmap/scripts and then use the nmap --script http-vuln-exchange command. https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

Released: March 2021 Exchange Server Security Updates ‎Mar 02 2021 01:08 PM Microsoft has released a set of out of band security updates for vulnerabilities for the following versions of Exchange Server: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 Security updates are available for the following specific versions of Exchange: Exchange Server 2010 (RU 31 for Service Pack 3 – this is a Defense in Depth update) Exchange Server 2013 (CU 23) Exchange Server 2016 (CU 19, CU 18) Exchange Server 2019 (CU 8, CU 7) Because we are aware of active exploits of related vulnerabilities in the wild (limited targeted attacks), our recommendation is to install these updates immediately to protect against these attacks. The vulnerabilities affect Microsoft Exchange Server. Exchange Online is not affected. https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

Microsoft fixes actively exploited Exchange zero-day bugs, patch now https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/

Experts found a critical authentication bypass flaw in Rockwell Automation software A critical authentication bypass vulnerability could be exploited by remote attackers to Rockwell Automation programmable logic controllers (PLCs). https://securityaffairs.co/wordpress/115085/ics-scada/rockwell-automation-software-flaw.html

Múltiples vulnerabilidades en productos de Cisco Fecha de publicación: 25/02/2021 Importancia: 5 - Crítica Recursos afectados: Los siguientes productos de Cisco, si están ejecutando Cisco NX-OS Software versiones 9.3(5) o 9.3(6): Nexus 3000 Series Switches, Nexus 9000 Series Switches en modo NX-OS independiente. Cisco Application Services Engine Software, versiones 1.1 (3d) y anteriores. Cisco ACI Multi-Site Orchestrator (MSO) ejecutando una versión de software 3.0, solo si se desplegó en un Cisco Application Services Engine. Descripción: Se han identificado 4 vulnerabilidades en productos de Cisco, todas ellas de severidad crítica, que podrían permitir a un atacante remoto crear, borrar o modificar archivos aleatorios, obtener acceso privilegiado a información sensible u omitir la autenticación en el dispositivo afectado. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-75

Cisco AnyConnect Secure Mobility Client Arbitrary File Read Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-fileread-PbHbgHMj

Técnica permite modificar ficheros PDF firmados digitalmente https://unaaldia.hispasec.com/2021/02/tecnica-permite-modificar-ficheros-pdf-firmados-digitalmente.html

Advisory ID: VMSA-2021-0002 CVSSv3 Range: 5.3-9.8 Issue Date: 2021-02-23 Impacted Products: VMware ESXi VMware vCenter Server (vCenter Server) VMware Cloud Foundation (Cloud Foundation) https://www.vmware.com/security/advisories/VMSA-2021-0002.html

Múltiples vulnerabilidades en Xen Fecha de publicación: 17/02/2021 Importancia: 4 - Alta Recursos afectados: Todas las versiones Linux 3.2 y anteriores, ejecutándose en modo PV en x86 o ejecutándose en Arm. Las versiones Linux ejecutándose en modo HVM (Hardware Virtual Machine) / PVH (Paravirtualization on Hardware) no son vulnerables. Versiones Linux 2.6.39 y superiores en modo PV. Las versiones Linux ejecutándose en modo HVM / PVH no son vulnerables. Versiones Linux 4.18 y superiores. Xen versión 4.9 y superiores en sistemas Arm. Versiones Linux 3.11 y superiores. Descripción: Múltiples vulnerabilidades en Xen podrían permitir a un atacante la denegación de servicio, la escalada de privilegios o la divulgación de información. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-xen-4

Apple parchea una vulnerabilidad en el root con más de 10 años de antiguedad. https://unaaldia.hispasec.com/2021/02/apple-parchea-una-vulnerabilidad-en-el-root-con-mas-de-10-anos-de-antiguedad.html

CVE-2021-3033 Prisma Cloud Compute: SAML Authentication Bypass Vulnerability in Console Description An improper verification of cryptographic signature vulnerability exists in the Palo Alto Networks Prisma Cloud Compute console. This vulnerability enables an attacker to bypass signature validation during SAML authentication by logging in to the Prisma Cloud Compute console as any authorized user. This issue impacts: All versions of Prisma Cloud Compute 19.11, Prisma Cloud Compute 20.04, and Prisma Cloud Compute 20.09; Prisma Cloud Compute 20.12 before update 1. Prisma Cloud Compute SaaS version is not impacted by this vulnerability. https://security.paloaltonetworks.com/CVE-2021-3033

Evasión de autenticación en Prisma Cloud Compute de Palo Alto Networks Fecha de publicación: 11/02/2021 Importancia: 5 - Crítica Recursos afectados: Prisma Cloud Compute, utilizando la autenticación SAML, las siguientes versiones: 19.11 <= actualización 2; 20.04 <= actualización 2; 20.09 <= actualización 2; 20.12 < actualización 1. Descripción: Palo Alto Networks ha informado de una vulnerabilidad de severidad crítica que podría permitir a un atacante eludir la autenticación en SAML (Security Assertion Markup Language). Solución: Actualizar Prisma Cloud Compute a la versión 20.12 – actualización 1 o a una versión posterior. Como medida de mitigación, se recomienda desactivar la autenticación SAML. https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/evasion-autenticacion-prisma-cloud-compute-palo-alto-networks

Microsoft urges customers to patch critical Windows TCP/IP bugs https://www.bleepingcomputer.com/news/security/microsoft-urges-customers-to-patch-critical-windows-tcp-ip-bugs/

🔐Segundo factor de autenticación (2FA) en SSH🔐 https://derechodelared.com/segundo-factor-de-autenticacion-ssh/

Zero-days under active exploit are keeping Windows users busy Microsoft and Adobe issue patches to stop malicious attacks in the wild. https://arstechnica.com/information-technology/2021/02/zerodays-under-active-exploit-are-keeping-windows-users-busy/