Cohesity anunció recientemente que la versión 6.8.1_u3 ha sido designada como versión de soporte a largo plazo (LTS), por lo que, todas las futuras versiones 6.8.x recibirán dicho soporte.
Las versiones de soporte a largo plazo (LTS) se soportan durante un mínimo de 12 meses desde la fecha de designación como LTS y un mínimo de 6 meses de cobertura solapada entre dos versiones LTS, estimandose la fecha de fin de soporte para la versión 6.8.1 el 15 de mayo de 2024.
La versión LTS anterior, 6.6.0d, finaliza el 15 de noviembre de 2023.
🔄 Recomendamos instalar o actualizar a versiones LTS en todos los entornos de producción.
INFORMACIÓN IMPORTANTE
Microsoft Threat Intelligence ha publicado las actualizaciones de seguridad, correspondientes al mes de marzo y que incluye toda la información comprendida entre los días 15/02/2023 y 14/03/2023, consta de 109 vulnerabilidades (con CVE asignado), calificadas como: 9 de severidad crítica, 70 importantes, 1 moderada y 29 sin severidad asignada.
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
❌ Denegación de servicio.
❌ Escalada de privilegios.
❌ Divulgación de información.
❌ Ejecución remote de código.
❌ Omisión de medidas de seguridad.
❌ Suplantación de identidad (spoofing).
👀 Aquí podéis consultar las actualizaciones de seguridad.
RECURSOS AFECTADOS
Fortinet ha publicado 15 avisos, 1 de severidad crítica, 5 altos, 8 medios y 1 bajo.
La vulnerabilidad crítica podría permitir a un atacante la ejecución de código remoto y/o la realización de una denegación de servicio,
Dicha vulnerabilidad está descrita en este artículo.
RECURSOS AFECTADOS
A mediados de febrero se ha detectado una vulnerabilidad en un componente de Veeam® Backup & Replication™ con una puntuación CVSS de 7,5, lo que indica una gravedad alta. Esta vulnerabilidad podría permitir a un usuario no autenticado solicitar credenciales cifradas que podrían llevarle a obtener acceso a los hosts de la infraestructura de backup.
RECURSOS AFECTADOS
❌ Todas las versiones de Veeam Backup & Replication
Por el momento, se recomienda:
Proceder a la actualización de las instalaciones.
🔄 Se han desarrollado parches para V11 y V12 para mitigar esta vulnerabilidad.
🔄 Si utilizas un dispositivo Veeam todo en uno sin componentes de infraestructura de backup remoto, también puede bloquear las conexiones externas al puerto TCP 9401 en el cortafuegos del servidor de backup como solución temporal hasta que se instale el parche.
Varios administradores de sistemas, proveedores de hosting e incluso varios CERT, alertan de numerosos ataques dirigidos a servidores VMware ESXi sin parchear.
El principal problema radica en la explotación de una vulnerabilidad detectada en febrero de 2021, con código CVE-2021-21974 y una puntuación de 9,8 sobre 10.
A pesar de su gravedad, de haber transcurrido dos años desde su descubrimiento y de existir parches y medidas de mitigación para prevenir que sea aprovechada por atacantes, a día de hoy son muchas las máquinas que siguen siendo vulnerables.
El mayor grado de exposición a esta vulnerabilidad se provoca cuando tenemos publicado el servicio de vCenter al exterior.
RECURSOS AFECTADOS
❌ ESXi v7.x anteriores a ESXi70U1c-17325551
❌ ESXi v6.7.x anteriores a ESXi670-202102401-SG
❌ ESXi v6.5.x anteriores a ESXi650-202102101-SG
Por el momento, se recomienda:
Si ha programado incremental forever backups para las cargas de trabajo basadas en archivos de su servidor físico (Windows, Linux, AIX, Solaris), puede encontrarse con problemas de integridad de los datos en el momento de la recuperación.
Es improbable que esto ocurra ya que el comportamiento sólo se manifiesta después de una nueva ruta raíz, Al introducir una nueva ruta raíz, es posible que las rutas heredadas incluidas anteriormente no estén disponibles en las instantáneas posteriores.
Cualquier dato modificado en las rutas existentes se copiará como se esperaba. Si se encuentra con este problema, deberá realizar una copia completa para recuperar todos los datos. Sin embargo, esto sólo es posible si el servidor está disponible y funciona para realizar la copia.
RECURSOS AFECTADOS
❌ Versión 6.6.0.d_U2 o anterior cuando se realizó el último full backup.
❌ Si realiza copias de seguridad de cargas de trabajo basadas en archivos de servidores físicos.
❌ Si utiliza el método incremental-forever (una copia de seguridad completa seguida de todas las ejecuciones incrementales).
❌ Si ha añadido un directorio principal a los datos desde la última copia de seguridad completa.
Las versiones 6.6.0d_u3 y superiores tienen la solución aplicada.
Por el momento, se recomienda:
Proceder a la actualización de:
🔄 La versión LTS 6.6.0.d_u6 y realizar una copia de seguridad completa.
🔄 Si ya ha actualizado a la versión 6.6.0d_u3 o superior, programe una copia de seguridad completa para todos sus trabajos relevantes al menos una vez para evitar que el comportamiento se transmita junto con la actualización.
Para obtener más información específica sobre la versión del clúster ⇢ Artículo KB
En este apartado os explicamos dos vulnerabilidades detectadas en las últimas horas.
El pasado 23/12/2022, se notificó una vulnerabilidad de tipo 0 day (crítica al más alto nivel) de desbordamiento de búfer basado en memoria dinámica (heap) en Fortinet, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario a través de solicitudes maliciosas.
Se ha asignado el identificador CVE-2022-42475 para esta vulnerabilidad.
Dicha vulnerabilidad está descrita en este artículo.
RECURSOS AFECTADOS
❌ FortiOS, versiones:
⇢ desde 7.2.0 hasta 7.2.2;
⇢ desde 7.0.0 hasta 7.0.8;
⇢ desde 6.4.0 hasta 6.4.10;
⇢ desde 6.2.0 hasta 6.2.11;
[Actualización 23/12/2022]
⇢ desde 6.0.0 hasta 6.0.15;
⇢ desde 5.6.0 hasta 5.6.14;
⇢ desde 5.4.0 hasta 5.4.13;
⇢ desde 5.2.0 hasta 5.2.15;
⇢ desde 5.0.0 hasta 5.0.14;
❌ FortiOS-6K7K, versiones:
⇢ desde 7.0.0 hasta 7.0.7;
⇢ desde 6.4.0 hasta 6.4.9;
⇢ desde 6.2.0 hasta 6.2.11;
⇢ desde 6.0.0 hasta 6.0.14;
[Actualización 23/12/2022]
❌ FortiOSProxy, versiones:
⇢ desde 7.2.0 hasta 7.2.1;
⇢ desde 7.0.0 hasta 7.0.7;
⇢ desde 2.0.0 hasta 2.0.11;
⇢ desde 1.2.0 hasta 1.2.13;
⇢ desde 1.1.0 hasta 1.1.6;
⇢ desde 1.0.0 hasta 1.0.7.
Por el momento, se recomienda:
Proceder a la actualización de:
🔄 FortiOS:
⇢ 7.2.3;
⇢ 7.0.9;
⇢ 6.4.11;
⇢ 6.2.12;
⇢ [Actualización 23/12/2022] 6.0.16.
🔄 FortiOS-6K7K:
⇢ 7.0.8 (próxima publicación);
⇢ 6.4.10;
⇢ 6.0.15;
[Actualización 23/12/2022]
🔄 FortiProxy:
⇢ 7.2.2;
⇢ 7.0.8;
⇢ 2.0.12 (próxima publicación)
El pasado 23/12/2022, Microsoft está investigando dos vulnerabilidades de tipo 0 day (crítica al más alto nivel) que afectan a Microsoft Exchange Server, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario a través de solicitudes maliciosas.
La primera es una vulnerabilidad de tipo Server-Side Request Forgery (SSRF), mientras que la segunda permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell.
En estos momentos no hay disponible una actualización o parche de seguridad que corrija estas vulnerabilidades.
Dicha vulnerabilidad está descrita en este artículo.
Si no se ejecuta Microsoft Exchange on premise y no se tiene Outlook Web App con acceso a Internet, no se verá afectado.
❌ Exchange Server 2013;
❌ Exchange Server 2016;
❌ Exchange Server 2019;
Microsoft recomienda aplicar una serie de medidas de mitigación y recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados.
El pasado 14/12/2022, se notificó una vulnerabilidad de tipo 0 day (crítica al más alto nivel), cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el dispositivo afectado.
RECURSOS AFECTADOS
Para verse afectados, Citrix ADC o Citrix Gateway deben configurarse como un SAML SP o un SAML IdP.
❌ Citrix ADC y Citrix Gateway, versiones:
⇢ anteriores a 12.1 y EOL;
⇢ 13.0 anteriores a 13.0-58.32;
⇢ 12.1 anteriores a 12.1-65.25.
❌ Citrix ADC 12.1-FIPS, versiones anteriores a 12.1-55.291.
❌ Citrix ADC 12.1-NDcPP, versiones anteriores a 12.1-55.291.
Por el momento, se recomienda:
Proceder a la actualización de:
🔄 Citrix ADC and Citrix Gateway, versiones:
⇢ 13.0-58.32 y posteriores;
⇢ 12.1-65.25 y posteriores de 12.1.
🔄 Citrix ADC 12.1-FIPS, versiones 12.1-55.291 y posteriores de 12.1-FIPS.
🔄 Citrix ADC 12.1-NDcPP, versiones 12.1-55.291 y posteriores de 12.1-NDcPP.
Workaraund recomendado por el fabricante:
Aplicar las reglas de detección YARA publicadas en el aviso de seguridad de la NSA para detectar intentos de explotación
El pasado 13/12/2022, se notificó una vulnerabilidad de tipo 0 day (crítica al más alto nivel), que afecta a la mayoría de las versiones de FortiOS en el ámbito de los servicios VPN SSL.
Dicha vulnerabilidad permitiría a un atacante remoto ejecutar código de forma remota y tomar posiblemente el control de los firewalls o ejecutar comandos a su criterio.
Como veis es algo bastante grave que ha sido valorado en un 9.3 dentro de la escala CvSS.
Por el momento, se recomienda:
El pasado 25/08/2022, VMware publicó una vulnerabilidad grave que afecta a un componente básico de su plataforma vSphere, las VMware Tools.
Dicha vulnerabilidad, permitiría a un atacante sin permisos de administrador dentro del sistema operativo de la VM, obtenerlos sin necesidad de autenticación.
Para solucionarlo, VMware ya ha publicado una actualización de las VMware Tools.
Se ha evaluado como importante y se ha puntuado dentro de la escala CVSSv3 como 7.
Desde Encora, al valorar el posible uso que podría hacerse de la misma a través de ataques de ransomware o malware para obtener el control de los sistemas atacados, consideramos prioritario que procedáis a la actualización a la mayor brevedad posible.
Sistemas afectados
🔂 Actualizar VMware Tools para Windows, versiones 12.x.y y 11.x.y a la versión 12.1.0
🔂 Actualizar VMware Tools para Linux, versiones 12.x.y y 11.x.y a la versión 12.1.0
🔂 Actualizar VMware Tools para Linux, versión 10.x.y a la versión 10.3.25
Para más información, consultad el siguiente enlace:
Se trata de una variante del ataque anterior Log4shell, que en este caso aprovecha una vulnerabilidad del servicio «VMware Horizon View Blast Secure Gateway» para ejecutar un script que llama a la aplicación nssm.exe propia de Horizon.
El servicio es lícito y viene instalado de base con Horizon, el problema es que la llamada maliciosa no está controlada por la aplicación.
Sistemas afectados
Esta librería es ampliamente utilizada en todo el mundo y afecta a infinidad de productos.
Concretamente, todas las versiones de Apache log4j-core iguales o anteriores a la 2.14.1 se verán afectadas por la vulnerabilidad.
El día 4/10/2021, QNAP comunica que se han corregido 4 vulnerabilidades, 2 de ellas de gravedad ALTA. Estas permiten a los atacantes realizar ataques de tipo XSS (Cross-site scripting) e inyectar código con fines maliciosos.
Los dispositivos afectados son:
Dispositivos QNAP EOL – productos descatalogados – que ejecutan QVR
Dispositivos NAS de QNAP que ejecutan Photo Station
Dispositivos NAS de QNAP que ejecutan Image2PDF
¡ATENCIÓN!
Se recomienda comprobar el estado del firmware del dispositivo, así como el estado del soporte de las aplicaciones afectadas.
En la nota oficial de seguridad publicada por INCIBE se explica un Workaround para mitigar esta vulnerabilidad.
Para actualizar los dispositivos QVR:
Para actualizar Photo Station o Image2PDF:
En Encora somos expertos en ciberseguridad y podemos ayudarte a solventar este y otros problemas en tu compañía.
El fabricante está investigando una vulnerabilidad de ejecución remota de código (RCE) en MSHTML, un componente de Internet Explorer, que está siendo atacado activamente y podría afectar a Microsoft Windows, mediante el uso de documentos de Microsoft Office especialmente diseñados para uso malicioso.
Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office atacando al motor del navegador.
El atacante tendría por eso que convencer al usuario de que abra el documento malicioso.
Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tienen menos probabilidades de verse afectados que aquellos que operan con derechos de administrador.
Versiones Afectadas:
Para sistemas de 32-bits y de 64-bits:
Para sistemas de 64-bits:
Para sistemas ARM64:
Microsoft aún no ha publicado una actualización que solucione la vulnerabilidad.
Hasta su publicación, aqui os mostramos algunas acciones de prevencion:
En caso de no utilizar Microsoft Defender mantener nuestro antivirus actualizado.
En la nota oficial de seguridad publicada por Microsoft se explica un Workaround para mitigar temporalmente esta vulnerabilidad.
Hay que tener en cuenta que esto supone modificar el registro de Windows y reiniciar el sistema.
⚠️ ¡ATENCIÓN! ⚠️
Utilizar el editor del registro de forma incorrecta, puede causar graves problemas que pueden requerir la reinstalación del sistema operativo, en este caso en concreto haciendo las modificaciones indicadas por Microsoft no debería tener ninguna consecuencia ya que afectaría únicamente al Internet Explorer.
En Encora somos expertos en ciberseguridad y podemos ayudarte a solventar este y otros problemas en tu compañía.
Consulta aquí nuestro portfolio de Ciberseguridad.