Un error peligroso de Sudo podría permitir el acceso de root

CVE-2021-3156 es una vulnerabilidad recientemente revelada que afecta a casi todo el ecosistema de Linux. Los investigadores de seguridad de Qualys nombraron la falla principal “Barón samedit,” como afecta “sudoedit -s”.

Leer más...

Filed in bugs, linux, permisos, seguridad, updates | Comment Now

Bug en Windows 10 permite corromper el disco a través de un comando

Un usuario ha reportado una vulnerabilidad Zero-Day en Windows 10 que permite corromper por completo un disco duro usando un simple comando. Este comando puede estar oculto en un acceso directo de Windows, en un ZIP, en un batch, o en cualquier otro tipo de archivo que permite ejecutar la línea de comandos. Al ejecutar el comando, Windows lanza un mensaje diciendo que es necesario reiniciar para reparar uno de los discos corruptos. Lo más grave del asunto es que este comando puede ejecutarse por cualquier usuario de Windows 10 que tenga una cuenta estándar y con pocos privilegios.

Leer más...

Filed in 0-day, bugs, windows | Comment Now

WhatsApp: qué pasa si no aceptas las nuevas políticas 2021 y que nuevas funciones traerá

La aplicación WhatsApp se puso estricta en las nuevas políticas 2021. Conoce los cambios y las consecuencias en caso de no aceptarlos.

¿Ya te llegó la notificación de los cambios de condiciones de WhatsApp? Más de uno se quedó con la interrogante sobre lo que se podía leer allí. En esa ventana aparecían las nuevas políticas y condiciones para usar la aplicación. ¿Qué significa? ¿Qué sucede si no lo autorizo? ¿De qué se trata? ¿Me robarán la información? ¿Mi cámara se activará? Esto es todo lo que sabe sobre las nuevas reglas de juegos de la app.

Leer más...
Filed in chat, datos, info, redes móviles, redes sociales, whatsapp | Comment Now

Certificación CISSP: Cheatsheets y otros recursos

Hoy queremos hablar de la certificación CISSP (Certified Information Systems Security Professional) de (ISC)2 (International Information Systems Security Certification Consortium) y de alguno de los recursos de estudio que se pueden encontrar para tener una primera toma de contacto y comenzar a prepararla.

Leer más...

Filed in certificados, info, seguridad | Comment Now

CrowdSec: seguridad open source, gratuita y colaborativa para servicios en Internet

CrowdSec es un nuevo proyecto de seguridad diseñado para proteger servidores, servicios, contenedores o máquinas virtuales en Internet que utiliza un agente del lado del servidor. Inspirado en fail2ban, CrowdSec aplica un modelo colaborativo más moderno que tiene como objetivo aprovechar el poder de la multitud para crear una base de datos de reputación de IP muy precisa mediante un mecanismo de consenso altamente regulado.

CrowSec se desarrolla bajo la filosofia Open Source bajo la licencia de software libre del MIT. Actualmente está disponible para GNU/Linux, macOS y Microsoft Windows.

Leer más...

Filed in empresas, hardening, seguridad, tools | Comment Now

Publican casi 50.000 Fortinet vulnerables. Verifica si estas en la lista…

Alguien ha publicado en un foro una lista de casi 50.000 dispositivos VPN de Fortinet vulnerables. En la lista de están presentes los dominios de los principales bancos y organizaciones gubernamentales de todo el mundo. La vulnerabilidad en el portal web FortiOS SSL VPN puede permitir que un atacante no autenticado descargue archivos FortiOS a través de solicitudes HTTP especialmente diseñadas.

Leer más...

Filed in bugs, empresas, OS, routers, seguridad, updates | Comment Now

0-day en el kernel de Windows está siendo explotado activamente

Descubierto un error 0-day sin parchear y explotado activamente que afecta al kernel del sistema operativo de Microsoft y permitiría escalar privilegios en los equipos comprometidos.

Leer más...

Filed in bugs, windows | Comment Now

Ejecución remota de código a través de la Samsung Galaxy Store

El equipo técnico de F-Secure, consigue explotar una cadena de vulnerabilidades presente en la versión 4.5.19.13 Samsung Galaxy Store que permite a un atacante la instalación de cualquier aplicación sin consentimiento del usuario.

Durante la última edición de la Pwn2Own, el equipo técnico de F-Secure ha conseguido explotar los dispositivos Samsung S20 a través de la aplicación ‘Galaxy Store’, instalada por defecto en todos los sistemas Samsung.

Leer más...

Filed in android, bugs, moviles | Comment Now

“The book of secret knowledge” del Pentester

“The book of secret knowledge” es un repositorio con una colección impresionante de diversos materiales y herramientas que el autor trimstray utiliza todos los días en su trabajo. Contiene mucha información útil reunida en un solo lugar y es una fuente invaluable de conocimiento.

Leer más...

Filed in aprendizaje, ciberseguridad, libros, pentest, seguridad | Comment Now

Cisco advierte de una vulnerabilidad Zero-day en IOS XR

La vulnerabilidad, catalogada como CVE-2020-3566 y con una puntuación CVSS de 8.6 podría dar lugar a un consumo descontrolado de recursos, haciendo que los dispositivos afectados dejen de funcionar.

Leer más...

Filed in bugs, cisco | Comment Now