S2 Grupo

Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2022 S2 Grupo

admin

Vulnerabilidades de acceso no autorizado en el panel de control de Cisco Nexus

INTRODUCCIÓN

Se han descubierto nuevas vulnerabilidades (CVE-2022-20857, CVE-2022-20861, CVE-2022-20858) en Cisco Nexus Dashboard que podrían permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios.

ANÁLISIS

CVE-2022-20857: La vulnerabilidad podría permitir a un atacante remoto no autenticado acceder a una API específica que se esté ejecutando en la red de datos y ejecutar comandos arbitrarios en un dispositivo afectado. La vulnerabilidad se debe a la insuficiencia de los controles de acceso a una API específica. Un atacante podría explotar esta vulnerabilidad enviando peticiones HTTP falsificadas a la API afectada. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios como usuario root en cualquier pod de un nodo. Puntuación básica de CVSS: 9.8

CVE-2022-20861: Una vulnerabilidad en la interfaz de usuario web que se ejecuta en la red de gestión de Cisco Nexus Dashboard podría permitir a un atacante remoto no autenticado llevar a cabo un ataque de falsificación de solicitud de sitio cruzado (CSRF) en un dispositivo afectado. Esta vulnerabilidad se debe a la insuficiencia de las protecciones CSRF para la interfaz de usuario web en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad persuadiendo a un administrador autenticado de la interfaz de gestión basada en la web para que haga clic en un enlace malicioso. Una explotación exitosa podría permitir al atacante realizar acciones con privilegios de administrador en un dispositivo afectado. Puntuación básica de CVSS: 8.8

CVE-2022-20858: Esta vulnerabilidad podría permitir a un atacante remoto no autenticado acceder a un servicio que se ejecuta en las redes de datos y de gestión de un dispositivo afectado. La vulnerabilidad se debe a la insuficiencia de los controles de acceso a un servicio que gestiona imágenes de contenedores. Un atacante podría explotar esta vulnerabilidad abriendo una conexión TCP al servicio afectado. Una explotación exitosa podría permitir al atacante descargar imágenes de contenedores o cargar imágenes de contenedores maliciosas a un dispositivo afectado. Las imágenes maliciosas se ejecutarían después de que el dispositivo se reiniciara o un pod se reiniciara. Puntuación de base CVSS: 8.2

Versiones afectadas:

  • 1.1
  • 2.0
  • 2.1
  • 2.2

RECOMENDACIONES

Los usuarios deben actualizar Cisco Nexus Dashboard a la versión 2.2(1e). No hay soluciones que solucionen estas vulnerabilidades.

REFERENCIAS

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y

Vulnerabilidad de inyección de comandos en Apache Spark

INTRODUCCIÓN

Se ha encontrado una nueva vulnerabilidad de inyección de comandos en la interfaz de usuario de Apache Spark (CVE-2022-33891).

ANÁLISIS

La interfaz de usuario de Apache Spark ofrece la posibilidad de habilitar ACLs a través de la opción de configuración spark.acls.enable. Con un filtro de autenticación, se comprueba si un usuario tiene permisos de acceso para ver o modificar la aplicación. Si las ACLs están habilitadas, una ruta de código en HttpSecurityFilter puede permitir que alguien realice una suplantación de identidad proporcionando un nombre de usuario arbitrario. Un usuario malicioso podría entonces ser capaz de llegar a una función de comprobación de permisos que finalmente construirá un comando de shell Unix basado en su entrada, y lo ejecutará. Esto dará lugar a la ejecución de un comando shell arbitrario.

Versiones afectadas:

  • <=3.0.3
  • 3.1.1 a 3.1.2
  • 3.2.0 a 3.2.1

RECOMENDACIONES

Los usuarios deben actualizar Apache Spark a la versión 3.1.3, 3.2.2 o 3.3.0 o posterior.

REFERENCIAS

https://securityonline.info/cve-2022-33891-apache-spark-shell-command-injection-vulnerability/
https://nvd.nist.gov/vuln/detail/CVE-2022-33891

Vulnerabilidad RCE del sistema de archivos de red de Windows

INTRODUCCIÓN

Se ha encontrado una nueva vulnerabilidad de ejecución remota de código en el Sistema de Archivos de Red de Windows y se debe al manejo inadecuado de las peticiones NFSv4.

ANÁLISIS

Un atacante remoto puede explotar esta vulnerabilidad enviando llamadas RPC maliciosas a un servidor objetivo para lograr la ejecución de código arbitrario en el contexto de SYSTEM. Existe una vulnerabilidad de desbordamiento de búfer en la implementación de NFS en Windows. La vulnerabilidad se debe al cálculo incorrecto del tamaño de los mensajes de respuesta. CVE-2022-30136 tiene una puntuación CVSS de 9,8.

Nota: Los expertos señalaron que la explotación infructuosa de este problema puede desencadenar una caída del sistema afectado.

RECOMENDACIONES

This bug was patched by Microsoft in June 2022. Disabling NFSv4.1 will mitigate attacks. However, this could lead to a loss of functionality.

Microsoft notes the update to address this bug should not be applied unless the fix for CVE-2022-26937 is installed. Applying both updates in the appropriate order is the best method to fully address these vulnerabilities.

REFERENCIAS

https://securityaffairs.co/wordpress/133355/security/cve-2022-30136-windows-nfs-rce.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30136

La Cátedra de Cultura Empresarial de la Universitat de València impulsa su primer campus formativo fuera de España

¿Cómo actúan los ciberdelincuentes en Linkedin?

  • Desde S2 Grupo se ha destacado que grupos organizados de ciberdelincuencia internacional actúan a través de esta red social con el propósito de obtener dinero o datos a través del ciberespionaje.
  • Expertos de la compañía de ciberseguridad han advertido de que, actualmente, son numerosos los casos de phising a través de LinkedIN.
  • El modus operandi de los ciberdelincuentes en este entorno suele cumplir cuatro pasos: estudio de la víctima, aproximación a medida a ésta, generación de confianza y envío del malware.

Valencia, 12 de julio de 2022.- La empresa valenciana S2 Grupo, especializada en ciberseguridad así como ciberinteligencia y gestión de sistemas críticos, ha advertido de que cada vez es mayor la actuación de los ciberdelincuentes en redes sociales, como por ejemplo Linkedin, lo que pone en situación de vulnerabilidad a las personas y los entornos en los que trabajan.

“El objetivo de los cibercriminales siempre es el mismo, obtener dinero u obtener datos, porque la información vale mucho dinero. Muchas personas creen que los casos de phising sólo se pueden dar a través de un email que suplanta identidad y de enlaces maliciosos, pero esto no es así. Esto se ha sofisticado y también nos encontramos con casos de phising en LinkedIN, por ejemplo”, ha explicado José Rosell, socio-director de S2 Grupo.

Existen grupos de ciberdelincuencia como el coreano Lazarus que, precisamente, hacen un uso intensivo de redes como LinkedIN para generar un primer contacto con sus víctimas. Esto requiere que extrememos las precauciones en el uso de estas redes sociales para evitar caer en su trampa, muchas veces orientada hacia el ciberespcionaje”, ha afirmado Miguel A. Juan, socio-director de S2 Grupo.

El equipo de expertos de la compañía de ciberseguridad ha destacado que el modus operandi de estos grupos de cibercrimen suele ser el siguiente:

  1. En primer lugar, hacen un estudio del perfil objetivo. Analizan a la víctima para acercarse a ella “sin sospechas”. De esta forma, estudian sus intereses, su entorno, contactos, la empresa a la que pertenecen, etc.
  • El segundo paso, es realizar una aproximación a medida. “Con la víctima estudiada, se envía algún mensaje o se realiza un contacto inicial a medida. Por ejemplo, si mis intereses son X o mi trabajo es Y, en función de mi perfil, el acercamiento será adecuado a ese trabajo, intereses, perfil, etc. Esto incrementará las probabilidades de éxito”, ha asegurado José Rosell.
  • En tercer lugar, es clave la confianza. Los grupos de ciberdelincuentes inician un intercambio de mensajes que parecen inocuos para ganarse la confianza de la víctima.
  • El cuarto paso es el “delivery”. Una vez establecido el contacto, habiendo cierta confianza y seguridad en la conversación, aprovechan para realizar el envío de un código dañino. Este mensaje puede incluir adjuntos o enlaces que permitirán al ciberdelincuente el control total (por ejemplo, mediante despliegue de un RAT, software capaz de realizar tareas de espionaje y monitoreo del equipo infectado) o parcial (por ejemplo, mediante la captura de credenciales válidas) de su víctima.

Más información: prensa@s2grupo.es

Vulnerabilidad de ejecución de código arbitrario en Node.js

INTRODUCCIÓN

Node.js ha emitido un aviso debido al descubrimiento de siete nuevas vulnerabilidades.

ANÁLISIS

Entre las vulnerabilidades se encuentran 3 vulnerabilidades de HTTP request smuggling de criticidad media (CVE-2022-32213, CVE-2022-32214, CVE-2022-32215), 1 vulnerabilidad de DLL hijacking de criticidad alta (CVE-2022-32223) y 1 vulnerabilidad de ejecución de código de criticidad alta (CVE-2022-3212).

CVE-2022-3212, probablemente la más crítica, se debe a que la comprobación IsAllowedHost puede ser fácilmente eludida porque IsIPAddress no comprueba adecuadamente si una dirección IP es inválida o no. Cuando se proporciona una dirección IPv4 no válida, los navegadores realizarán peticiones DNS al servidor DNS, proporcionando un vector para un servidor DNS controlado por un atacante o un MITM que puede falsificar las respuestas DNS para realizar un ataque de rebinding y, por tanto, conectarse al depurador WebSocket, permitiendo la ejecución de código arbitrario. Esto es un bypass de CVE-2021-22884.

Versiones afectadas:

  • Todas las versiones de las versiones 18.x, 16.x y 14.x

RECOMENDACIONES

Se aconseja a los usuarios que actualicen a las últimas versiones de 18.x, 16.x y 14.x.

REFERENCIAS

https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/

Nueva vulnerabilidad RCE en OpenSSL

INTRODUCCIÓN

Se ha encontrado una nueva vulnerabilidad en la versión 3.0.4 de OpenSSL que podría conducir a la ejecución remota de código.

ANÁLISIS

La versión 3.0.4 de OpenSSL ha introducido un grave error en la implementación de RSA para las CPUs X86_64 que soportan las instrucciones AVX512IFMA. Este problema hace que la implementación de RSA con claves privadas de 2048 bits sea incorrecta en dichas máquinas y que se produzca una corrupción de memoria durante el cálculo. Como consecuencia de la corrupción de memoria, un atacante puede ser capaz de desencadenar una ejecución remota de código en la máquina que realiza el cálculo.

La vulnerabilidad ha sido calificada como Severidad: Alta pero no se ha atribuido ninguna puntuación CVSS hasta el momento.

Versiones afectadas:

  • 3.0.4

OpenSSL 1.1.1 y 1.0.2 no están afectadas por este problema.

RECOMENDACIONES

Los usuarios de la versión 3.0.4 de OpenSSL deben actualizar a OpenSSL 3.0.5.

REFERENCIAS

https://www.openssl.org/news/secadv/20220705.txt

Prueba de concepto de vulnerabilidad de ejecución remota de código en Oracle JDeveloper ADP (CVE-2022-21445)

ANÁLISIS

El fallo existe en el componente ADF Faces, se trata de la deserialización de datos no confiables que podría llevar a la ejecución de código arbitrario. La vulnerabilidad, fácilmente explotable, permite a los atacantes no autentificados con acceso a la red a través de HTTP comprometer a Oracle JDeveloper.

La vulnerabilidad afecta a todas las aplicaciones que dependen de ADF Faces, incluyendo

  • Business Intelligence
  • Enterprise Manager
  • Gestión de identidades
  • SOA Suite
  • Portal WebCenter
  • Suite de pruebas de aplicaciones
  • Gestión de transporte

Versiones afectadas:

12.2.1.3.0
12.2.1.4.0

RECOMENDACIONES

Oracle recomienda encarecidamente que los clientes apliquen los parches de seguridad lo antes posible.

REFERENCIAS

https://securityonline.info/researcher-details-oracle-jdeveloper-adf-faces-rce-cve-2022-21445/
https://peterjson.medium.com/miracle-one-vulnerability-to-rule-them-all-c3aed9edeea2
https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA

6 consejos para evitar caer en la ciberdelincuencia estas Rebajas

Estos medios se han hecho eco de la noticia:

AVE https://www.ave.org.es/2022/06/seis-consejos-para-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Levante https://www.levante-emv.com/economia/empresas-y-responsabilidad-social/2022/06/28/seis-consejos-evitar-victima-ciberdelincuencia-67728245.html
El Candelero https://elcandelerotecnologico.com/2022/06/27/seis-consejos-para-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Murcia https://www.murcia.com/empresas/noticias/2022/06/28-como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas.asp
El Boletín https://www.elboletin.com/notas-de-empresa?notaid=como-evitar-ser-victima-de-la&sid=comunicae
Comunicae https://www.comunicae.es/nota/como-evitar-ser-victima-de-la-1237590/
El Mundo financiero http://www.elmundofinanciero.com/seccion/46/Negocios/?notaid=como-evitar-ser-victima-de-la&sid=mundofinancierocom
Ciudad emprendedores https://ciudademprendedores.com/seguridad/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Financial red http://financialred.com/comunicae/nota-de-prensa/empresas/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas–10081842.html
Notas de prensa http://www.notasdeprensa.es/1237590/como-evitar-ser-victima-de-la
Zaragoza buenas https://zaragozabuenasnoticias.com/2022/06/28/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Bilbao Buenas https://bilbaobuenasnoticias.com/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Informadrid https://informadrid.com/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Valdecilla noticias https://www.valdecillanoticias.com/informacion-al-dia/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Casitlla León https://castillaleon24horas.com/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
El Negocio https://elnegocio.es/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Infocapital https://infocapital.es/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Tecnobitt https://tecnobitt.com/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Diario SXXI http://www.diariosigloxxi.com/texto-diario/mostrar/3808280/como-evitar-victima-ciberdelincuencia-durante-rebajas
Europa 24 https://www.europa24horas.com/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
Andalucía Buenas https://andaluciabuenasnoticias.com/2022/06/28/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/
eBuenas noticias https://ebuenasnoticias.com/2022/06/28/como-evitar-ser-victima-de-la-ciberdelincuencia-durante-las-rebajas/

Seis consejos para evitar ser víctima de la ciberdelincuencia durante las rebajas

  • Expertos de la compañía han destacado que, igual que sabemos cómo proteger nuestras tarjetas o dinero en el mundo físico, también es esencial concienciarnos sobre cómo hacerlo con nuestros datos bancarios en el mundo online.
  • Verificar que estamos en la página oficial donde queremos comprar, no almacenar nuestros datos de pago o activar el doble factor de autenticación a la hora de pagar, son sólo algunos hábitos que nos resultarán de gran ayuda para evitar caer en las redes de los ciberestafadores.

Valencia, 27 de junio de 2022.- La empresa valenciana S2 Grupo, especializada en ciberseguridad así como ciberinteligencia y gestión de sistemas críticos, ha advertido de que con la llegada de la temporada de rebajas hay un incremento de las compras online y, en consonancia, de la actividad de la ciberdelincuencia.

 “El mundo online ha transformado los hábitos de consumo, cada año es mayor la cantidad de compras online que realizamos y, sin embargo, son muy pocas las personas que toman la precaución de proteger sus datos bancarios en Internet. Esto es algo esencial, debemos concienciarnos de que igual que es importante proteger nuestro dinero o tarjetas a nivel físico, debemos hacer lo mismo con ellos en los entornos digitales”, ha explicado José Rosell, socio-director de S2 Grupo.

“La ciberdelincuencia, continuamente, afina más sus métodos de actuación para de una forma más sutil poder acceder a nuestros datos bancarios. Para ello, debemos conocer pautas para realizar compras online seguras y que no nos sitúen en una extremada posición de vulnerabilidad frente al ciberatacante. Verificar que estamos en la página oficial donde queremos comprar, no almacenar nuestros datos de pago o activar el doble factor de autenticación a la hora de pagar, son sólo algunos hábitos que nos resultarán de gran ayuda”, ha señalado Miguel A. Juan, socio-director de S2 Grupo.

¿Cómo proteger nuestros datos bancarios?

  1. Verificar que el portal web que estamos visitando es legítimo y no hay peligro de fraude.- Para esto, sólo tenemos que verificar la dirección web con meticulosidad y comprobar que es la oficial. En muchos casos, cambian una simple letra de la dirección web y están suplantando la identidad de la tienda oficial sin que se de cuenta el usuario, que si no pone atención en esto, puede creer estar en la tienda real.
  2. Fijarnos en que la dirección web empiece por https y tenga a su lado un candado cerrado. Si en lugar de eso aparece la leyenda “No es seguro” o una señal de peligro, no es recomendable seguir navegando en esa web.
  3. Otras medidas de seguridad que protegen los datos bancarios, incluso cuando no estamos comprando, son la activación del doble factor de autenticación en las aplicaciones o webs de tiendas donde compramos.
  4. Navegación segura y links maliciosos.- Evitar las webs donde aparecen descuentos y ofertas desorbitadas. Estos sitios suelen contener enlaces maliciosos que llevan a páginas falsas de compra. El objetivo es doble: conseguir nuestros datos bancarios y quedarse con el dinero de una compra falsa.   
  5. Investigar.- Es interesante siempre revisar la política de devoluciones del lugar donde vamos a comprar, sus datos de contacto, buscar opiniones de la experiencia de compra de otros usuarios, etc.
  6. Para evitar el robo virtual de las tarjetas, es recomendable no almacenar nuestros datos de pago en los lugares que usamos más a menudo o a los que estamos suscritos como Netflix, Spotify o Amazon. Aunque es muy cómodo hacerlo,  con esta acción ponemos en peligro los datos bancarios si no protegemos esas cuentas con las medidas de seguridad adecuadas. Lo principal será establecer una buena contraseña. Diferente a todas las demás que utilizamos y robusta. Además, hay que activar el doble factor de autenticación en todos los servicios que nos lo permitan. Así, si alguien roba la contraseña, al intentar entrar en el servicio le pedirá un código de un solo uso para confirmar que es el dueño de la cuenta. Este código nos llegará tan solo a nosotros, ya sea por SMS, por email o por medio de una aplicación, con lo que los datos de acceso quedarán protegidos.

Más información:

prensa@s2grupo.es