Alertas de Ciberseguridad

CONSULTA LAS ALERTAS DE CIBERSEGURIDAD

VULNERABILIDAD CRÍTICA - 0 Day Fortinet & Exchange

En este apartado os explicamos dos vulnerabilidades detectadas en las últimas horas.

VULNERABILIDAD CRÍTICA - Desbordamiento de búfer en productos Fortinet

El pasado 23/12/2022, se notificó una vulnerabilidad de tipo 0 day (crítica al más alto nivel) de desbordamiento de búfer basado en memoria dinámica (heap) en Fortinet, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario a través de solicitudes maliciosas.

Se ha asignado el identificador CVE-2022-42475 para esta vulnerabilidad.

Dicha vulnerabilidad está descrita en este artículo.

RECURSOS AFECTADOS

❌ FortiOS, versiones:

           ⇢ desde 7.2.0 hasta 7.2.2;

           ⇢ desde 7.0.0 hasta 7.0.8;

           ⇢ desde 6.4.0 hasta 6.4.10;

           ⇢ desde 6.2.0 hasta 6.2.11;

[Actualización 23/12/2022]

           ⇢ desde 6.0.0 hasta 6.0.15;

           ⇢ desde 5.6.0 hasta 5.6.14;

           ⇢ desde 5.4.0 hasta 5.4.13;

           ⇢ desde 5.2.0 hasta 5.2.15;

           ⇢ desde 5.0.0 hasta 5.0.14;

❌ FortiOS-6K7K, versiones:

           ⇢ desde 7.0.0 hasta 7.0.7;

           ⇢ desde 6.4.0 hasta 6.4.9;

           ⇢ desde 6.2.0 hasta 6.2.11;

           ⇢ desde 6.0.0 hasta 6.0.14;


[Actualización 23/12/2022]


❌ FortiOSProxy, versiones:

           ⇢ desde 7.2.0 hasta 7.2.1;

           ⇢ desde 7.0.0 hasta 7.0.7;

           ⇢ desde 2.0.0 hasta 2.0.11;

           ⇢ desde 1.2.0 hasta 1.2.13;

           ⇢ desde 1.1.0 hasta 1.1.6;

           ⇢ desde 1.0.0 hasta 1.0.7.

Por el momento, se recomienda:

Proceder a la actualización de:

🔄 FortiOS:

     ⇢ 7.2.3;

     ⇢ 7.0.9;

     ⇢ 6.4.11;

     ⇢ 6.2.12;

     ⇢ [Actualización 23/12/2022] 6.0.16.


🔄 FortiOS-6K7K:

     ⇢ 7.0.8 (próxima publicación);

     ⇢ 6.4.10;

     ⇢ 6.0.15;

[Actualización 23/12/2022]

🔄 FortiProxy:

     ⇢ 7.2.2;

     ⇢ 7.0.8;

     ⇢ 2.0.12 (próxima publicación)

VULNERABILIDAD CRÍTICA - Microsoft Exchange Server

El pasado 23/12/2022, Microsoft está investigando dos vulnerabilidades de tipo 0 day (crítica al más alto nivel) que afectan a Microsoft Exchange Server, cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario a través de solicitudes maliciosas.

La primera es una vulnerabilidad de tipo Server-Side Request Forgery (SSRF), mientras que la segunda permite la ejecución remota de código (RCE) cuando el atacante puede acceder a PowerShell.

En estos momentos no hay disponible una actualización o parche de seguridad que corrija estas vulnerabilidades.

Dicha vulnerabilidad está descrita en este artículo.

Si no se ejecuta Microsoft Exchange on premise y no se tiene Outlook Web App con acceso a Internet, no se verá afectado.

❌ Exchange Server 2013;

❌ Exchange Server 2016;

❌ Exchange Server 2019;   

Microsoft recomienda aplicar una serie de medidas de mitigación y recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados.

VULNERABILIDAD CRÍTICA - 0 Day en productos Citrix

El pasado 14/12/2022, se notificó una vulnerabilidad de tipo 0 day (crítica al más alto nivel), cuya explotación podría permitir a un atacante remoto, no autenticado, ejecutar código arbitrario en el dispositivo afectado. 

El software de los dispositivos vulnerables no mantiene el control sobre un recurso durante toda su vida útil (creación, uso y liberación) y ofrece a los atacantes remotos la oportunidad de ejecutar código arbitrario (sin autenticación previa) en los dispositivos vulnerables.
Se ha asignado el identificador CVE-2022-27518 para esta vulnerabilidad. 
 
Dicha vulnerabilidad está descrita en este artículo.

RECURSOS AFECTADOS

Para verse afectados, Citrix ADC o Citrix Gateway deben configurarse como un SAML SP o un SAML IdP.

❌ Citrix ADC y Citrix Gateway, versiones:

           ⇢ anteriores a 12.1 y EOL;

           ⇢ 13.0 anteriores a 13.0-58.32;

           ⇢ 12.1 anteriores a 12.1-65.25.

❌ Citrix ADC 12.1-FIPS, versiones anteriores a 12.1-55.291.

❌ Citrix ADC 12.1-NDcPP, versiones anteriores a 12.1-55.291.

 

Por el momento, se recomienda:

Proceder a la actualización de:

 

🔄 Citrix ADC and Citrix Gateway, versiones:

     ⇢ 13.0-58.32 y posteriores;

     ⇢ 12.1-65.25 y posteriores de 12.1.

🔄 Citrix ADC 12.1-FIPS, versiones 12.1-55.291 y posteriores de 12.1-FIPS.

🔄 Citrix ADC 12.1-NDcPP, versiones 12.1-55.291 y posteriores de 12.1-NDcPP.

 

Workaraund recomendado por el fabricante:

Aplicar las reglas de detección YARA publicadas en el aviso de seguridad de la NSA para detectar intentos de explotación

VULNERABILIDAD CRÍTICA - 0 Day en FortiOS SSL-VPN

El pasado 13/12/2022,  se notificó una vulnerabilidad de tipo 0 day (crítica al más alto nivel), que afecta a la mayoría de las versiones de FortiOS en el ámbito de los servicios VPN SSL.

Dicha vulnerabilidad permitiría a un atacante remoto ejecutar código de forma remota y tomar posiblemente el control de los firewalls o ejecutar comandos a su criterio.

Como veis es algo bastante grave que ha sido valorado en un 9.3 dentro de la escala CvSS.

 
Dicha vulnerabilidad está descrita en este 🔗enlace.

Por el momento, se recomienda

🔂 Proceder a la actualización de la versión de FortiOS de vuestros Firewalls a la mayor brevedad posible, ya que cómo podréis apreciar, prácticamente afecta a todas las versiones actuales.
 
Workaraund recomendado por el fabricante:
 
– Si no podéis proceder a la actualización rápidamente, es desactivar la VPN SSL, si es que la estáis usando.

VULNERABILIDAD CRÍTICA - VMware Tools

El pasado 25/08/2022, VMware publicó una vulnerabilidad grave que afecta a un componente básico de su plataforma vSphere, las VMware Tools.

Dicha vulnerabilidad, permitiría a un atacante sin permisos de administrador dentro del sistema operativo de la VM, obtenerlos sin necesidad de autenticación.

Para solucionarlo, VMware ya ha publicado una actualización de las VMware Tools.

Se ha evaluado como importante y se ha puntuado dentro de la escala CVSSv3 como 7.

Desde Encora, al valorar el posible uso que podría hacerse de la misma a través de ataques de ransomware o malware para obtener el control de los sistemas atacados, consideramos prioritario que procedáis a la actualización a la mayor brevedad posible.

Sistemas afectados

  • VMware Tools versiones 12.x y 11.x.y en sistemas operativos Linux y Windows
  • VMware Tools versiones 10.x.y en sistemas operativos Linux
 
Por el momento, se recomienda:
 

🔂 Actualizar VMware Tools para Windows, versiones 12.x.y y 11.x.y a la versión 12.1.0

🔂 Actualizar VMware Tools para Linux, versiones 12.x.y y 11.x.y a la versión 12.1.0

🔂 Actualizar VMware Tools para Linux, versión 10.x.y a la versión 10.3.25

Para más información, consultad el siguiente enlace:

VULNERABILIDAD CRÍTICA - VMware Horizon

El pasado 21/01/2022, se ha realizado un nuevo ataque masivo dirigido específicamente a los entornos de Horizon View publicados al exterior.
 

Se trata de una variante del ataque anterior Log4shell, que en este caso aprovecha una vulnerabilidad del servicio «VMware Horizon View Blast Secure Gateway» para ejecutar un script que llama a la aplicación nssm.exe propia de Horizon.

El servicio es lícito y viene instalado de base con Horizon, el problema es que la llamada maliciosa no está controlada por la aplicación.

Sistemas afectados

Acciones a realizar (según la KB siguiente):
 
🔂 Actualizar UAGs a la versión 2111 o 7.13.1
🔂 Actualizar Connection Servers a la versión 2111 o 7.13.1
🔂 Actualizar agentes afectados.
 
⚠️ ¡ATENCIÓN! ⚠️ 
Desde Encora estamos preparados para remediar y actualizar vuestro entorno de Horizon View, también podemos atender incidencias relacionadas con esta vulnerabilidad en entornos corporativos.

VULNERABILIDAD CRÍTICA - Log4j en Apache

El pasado día 9/12/2021, se publicó una vulnerabilidad crítica en la librería de Java log4j. Se trata de una librería open source de la fundación Apache que es utilizada para el tratamiento de logs y que podría permitir la ejecución remota de código.
 
La vulnerabilidad CVE-2021-44228 está descrita en este artículo

Esta librería es ampliamente utilizada en todo el mundo y afecta a infinidad de productos.

Concretamente, todas las versiones de Apache log4j-core iguales o anteriores a la 2.14.1 se verán afectadas por la vulnerabilidad.

Encora vulnerabilidad crítica Log4j
Por el momento, se recomienda:
 
  1. Si es posible, actualizar directamente Log4j a la versión 2.15.0 o superior
  2. Entre las versiones 2.10 y 2.14.1, puede mitigarse modificando la propiedad del sistema log4j2.formatMsgNoLookups = true
  3. Entre las versiones 2.0-beta9 y 2.10.0, se recomienda eliminar la clase JndiLookupdel classpath: zip -q -d log4j-core – *. Jar org / apache / logging / log4j / core / lookup / JndiLookup .class. 
  4. Comprobar si alguno de sus productos está afectado a partir de la siguiente lista publicada de productos afectados
  5. Durante los próximos días, prestar atención a los comunicados y lanzamientos de nuevos parches por parte de sus proveedores.
Aunque la vulnerabilidad reside en la propia aplicación, en lo que refiere a firewalls y seguridad perimetral, la mayoría de fabricantes ya tienen publicados (o están publicando) actualizaciones en el control de Aplicaciones y Threats, así como módulos IPS, para prevenir una posible explotación de esta vulnerabilidad desde el exterior.
 
Algunos de ellos: 
 
⚠️ ¡ATENCIÓN! ⚠️ 
Desde Encora recomendamos mantener actualizadas todas las soluciones de seguridad en todo el entorno IT (Firewalls, WAF, endpoints, etc.).

QNAP corrige cuatro vulnerabilidades

El día 4/10/2021, QNAP comunica que se han corregido 4 vulnerabilidades, 2 de ellas de gravedad ALTA. Estas permiten a los atacantes realizar ataques de tipo XSS (Cross-site scripting) e inyectar código con fines maliciosos.

Encora soluciona vulnerabilidad QNAP

Los dispositivos afectados son:

Dispositivos QNAP EOL – productos descatalogados – que ejecutan QVR

  • Versiones anteriores a 5.1.5 compiliación 20210902.

Dispositivos NAS de QNAP que ejecutan Photo Station

  • Versiones anteriores a 6.0.18
  • Versiones anteriores a 5.7.13
  • Versiones anteriores 5.4.10
  •  

Dispositivos NAS de QNAP que ejecutan Image2PDF

  • Versiones anteriores a 2.15

⚠️ ¡ATENCIÓN! ⚠️ 

Se recomienda comprobar el estado del firmware del dispositivo, así como el estado del soporte de las aplicaciones afectadas.

En la nota oficial de seguridad publicada por INCIBE se explica un Workaround para mitigar esta vulnerabilidad.

Para actualizar los dispositivos QVR:

  1. Inicie sesión en QVR como administrador.
  2. Vaya a “Panel de control > Configuración del sistema > Actualización del firmware”.
  3. En «Live Update», haga clic en «Check for Update».
  4. Se descarga e instala la última actualización QVR disponible.

Para actualizar Photo Station o Image2PDF:

  1. Inicie sesión en QTS o QuTS hero como administrador.
  2. Abra el App Center y luego haga clic en el icono de la lupa, aparecerá un cuadro de búsqueda.
  3. Escriba “Photo Station” o “Image2PDF” y luego presione ENTER.
  4. Haga clic en Actualizar y aparecerá un mensaje de confirmación.
  5. Nota: El botón Actualizar no está disponible si ya está actualizado.
  6. Cuando aparezca Aceptar, haga clic en él y significará que la aplicación está actualizada

En Encora somos expertos en ciberseguridad y podemos ayudarte a solventar este y otros problemas en tu compañía.

VULNERABILIDAD CRÍTICA

MICROSOFT WINDOWS (CVE - 2021 - 40444)

El pasado día 7/09/2021, Microsoft hizo pública una vulnerabilidad crítica, catalogada con un nivel alto por parte de Microsoft.
 

El fabricante está investigando una vulnerabilidad de ejecución remota de código (RCE) en MSHTML, un componente de Internet Explorer, que está siendo atacado activamente y podría afectar a Microsoft Windows, mediante el uso de documentos de Microsoft Office especialmente diseñados para uso malicioso.

Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office atacando al motor del navegador.

El atacante tendría por eso que convencer al usuario de que abra el documento malicioso.

Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tienen menos probabilidades de verse afectados que aquellos  que operan con derechos de administrador.

 
Alerta de ciberseguridad Encora

Versiones Afectadas:

Para sistemas de 32-bits y de 64-bits:

  • Windows 10 y versiones 1607, 1809, 1909, 2004, 20H2 y 21H1
  • Windows 7 Service Pack 1
  • Windows 8.1
  • Windows Server 2008 Service Pack 2 y 2008 Service Pack 2 (Server Core installation)

Para sistemas de 64-bits:

  • Windows Server 2008 R2 Service Pack 1 y 2008 R2 Service Pack 1 (Server Core installation)
  • 2012 y 2012 R2; ambas también para instalaciones de Server Core
  • 2016, 2019 y 2022: en los tres casos también para instalaciones de Server Core
  • 2004 (Server Core installation) y 20H2 (Server Core installation)

Para sistemas ARM64:

  • Windows 10 versiones 1809, 1909, 2004, 20H2 y 21H1
  • Windows RT 8.1

Microsoft aún no ha publicado una actualización que solucione la vulnerabilidad.

Hasta su publicación, aqui os mostramos algunas acciones de prevencion:

  1. Abrir los documentos Microsoft Office descargados de Internet en modo de Vista Protegida, de esta forma el ataque no tendrá efecto.
  2. Actualizar y activar Microsoft Defender ya que proporciona detección y protección para esta vulnerabilidad. 
  3. En caso de no utilizar Microsoft Defender mantener nuestro antivirus actualizado.

En la nota oficial de seguridad publicada por Microsoft se explica un Workaround para mitigar temporalmente esta vulnerabilidad.

Hay que tener en cuenta que esto supone modificar el registro de Windows y reiniciar el sistema.

⚠️ ¡ATENCIÓN! ⚠️

Utilizar el editor del registro de forma incorrecta, puede causar graves problemas que pueden requerir la reinstalación del sistema operativo, en este caso en concreto haciendo las modificaciones indicadas por Microsoft no debería tener ninguna consecuencia ya que afectaría únicamente al Internet Explorer.

En Encora somos expertos en ciberseguridad y podemos ayudarte a solventar este y otros problemas en tu compañía.

Auditoría del entorno Azure AD

Recientemente se hizo público este artículo donde se informaba que una librería DLL había sido comprometida y que permitió a los atacantes disponer de una puerta de acceso directa (backdoor) a los dispositivos afectados.
 
Multitud de aplicaciones y herramientas que utilizamos en el día a día solicitan conexión a Azure AD como parte de su configuración inicial.

Al cabo del tiempo, cada una de las aplicaciones integradas pueden sufrir brechas de seguridad frente a vulnerabilidades que hayan sido publicadas y de este modo, los ciberdelincuentes pueden llegar a escalar privilegios en la plataforma de Azure AD, causando así un desastre aún mayor.
 
Desde Ncora ofrecemos a nuestros clientes una revisión gratuita del entorno Azure AD, con el objetivo de conocer la exposición actual del entorno y poder mitigar los riesgos que suponen algunas herramientas o aplicaciones vinculadas a la plataforma cloud de Azure AD.
 
Si deseas realizar la revisión de tu entorno, sólo nos lo tienes que comunicar y nuestro equipo se pondrá en contacto lo antes posible.

Consulta aquí nuestro portfolio de Ciberseguridad.